Covid sürecinden dolayı bir çok kişi evden çalışmaktadır. Pek çok şirketinde bu sürece hazır olmadığını tahmin edebiliyorum. Dolayısıyla, şirketlerin bir çoğu çalışanlarının kişisel cihazlarından çalışmasına izin vermiş olabilirler. Ani verilmiş bir karar olduğundan dolayı bu dönemde yönetilmeyen bir çok cihaz bulunmaktadır. Kimlik bilgisinin ve şirket verilerinin önemine tekrardan girmeyeceğim. Fakat kullanıcıların gerçekten üretken olabileceği, işletmeler için Microsoft 365 Uygulamalarını yükleyebileceği ve SharePoint – Onedrive uygulamalarını yerel makinelerine eşitleyebileceği anlamına gelir. Uygun veri koruma ürünleri olmadan, bu kullanımlar bir felakete dönüşebilir. Kullanıcılar bu verileri USB cihazlarına kopyalayabilir, Dropbox ve Google Drive gibi kişisel bulut depolama hizmetlerine yükleyebilir ve belgeleri kişisel e-posta hesapları üzerinden paylaşabilir.
Veri koruma, karmaşıklık, zaman ve kaynak yetersizliğinden dolayı çoğu zaman bir iş yükü haline gelebilir. Çünkü veri koruma tek başına bir BT sorumluluğu değildir. Çeşitli paydaşlar dahil edilmeli ve uygulamanın büyük bir kısmı kullanıcıların sınıflandırılması, benimsenmesi ve eğitilmesi gerekir.
Bu blog yazımda ise uygun veri koruma özelliklerine sahip olmadığınızda (henüz), yönetilmeyen cihazlardan erişimi kontrol etmek / sınırlamak isteyebilirsiniz. Kişisel cihazlarınızı (genellikle paylaşılan) şirketinizin MDM’ine kaydetmek istemediğinizi duyar gibiyim. Yönetilmeyen cihazlarla ilgili olarak yapılandırabileceğiniz bazı ayarlar vardır. Örneğin; SharePoint, yönetilmeyen cihazlardan erişimi sınırlama veya engelleme yeteneğine sahiptir. Bunu yapılandırdığınızda, Koşullu Erişim ilkesi oluşturulacaktır. Bunu aynı zamanda Teams dosyaları üzerinde de bir etkisi olacağını da belirtmek isterim.
Bugünkü yazımızda da MCAS’ı kullanarak, Microsoft Office 365 ve buna bağlı Teams uygulaması üzerindeki denetimi nasıl sağlayacağımızı göreceğiz. Bu, denetimleri (kopyalama, yapıştırma, gönderme ve yazdırma) kontrol etmenize veya yönetilmeyen cihazlarda belge indirilmesini önlemenize olanak tanır.
Ilk olarak, Koşullu Erişim hizmetini kullanarak uygulamayı Cloud App Security’ye yönlendirmemiz gerekecektir.
Sonrasında yeni bir politikanın belirlenmesi gerekir;
- + Yeni bir politika oluşturun
- Kullanıcılar ve gruplar: Kullanıcıyı seçin. Bir test kullanıcısı ile başlayın!
- Bulut uygulamaları veya eylemleri: Teams-Office 365 vs
- Koşulların belirlenmesi ve o koşullar sağladığında aksiyonlar alınır
Koşullu Erişim Uygulaması Kontrolünü kullanabilmek için aşağıdaki lisans gereksinimlerini karşılamanız gerekir:
- Azure Active Directory Premium P1 veya üzeri
- Microsoft Cloud App Security
- Azure AD’de çoklu oturum açma ile yapılandırılmalıdır
- SAML veya Open ID Connect 2.0 protokollerini kullanmalıdır
Azure AD Conditional Access session yapılandırılması uygulandıktan sonra CAS –
Connected Apps – Conditional Access App Control apps altında Microsoft Teams’ın session control connected olması gerekir. Bağlantının düzgün çalıştığını control ediniz.
Session Policy
Ardından, Cloud App Security Portal’a gidin. Artık Office 365 uygulamaları MCAS’a yönlendiriliyor, oturumu kontrol etmek için bazı ilkeler yapılandırabiliriz. Bunun yanında, yönetilmeyen cihazlardan masaüstü uygulamalarına erişimi engellenebilirsiniz. Biz bugün teams üzerinde kısıtlamalar gerçekleştireceğiz.
Öncelikle, Belirli bir eylemi kısıtlamak için yeni bir oturum politikası oluşturabilirsiniz. ‘Restrict copy/paste and print‘ şablonunu kullanarak aşağıdaki örnekte gönderildiği gibi oluşturulabilir.
Yeni bir politika oluşturun;
Konuya bağlı Policy ismin belirlenip ve Session control type (Block Activities) düzenlenenir. Activity Source bölümünde ise ‘Restrict copy/paste and print‘ aksiyonun hangi uygulamada ve kimlere uygulanacağı belirlenir.
Teams uygulaması üzerinde belirlediğimiz Adele VANCE kullanıcı Copy/Paste aksiyonunu gerçekleştirdiğinde Customize block message kısmında yazan uyarı çıkar. Bu bölümü istediğini şekilde düzenleyebilirsiniz. Yukaridaki ekran görüntüsünün alt bölümünde görüldüğü üzere günlük alert’lar oluşturabilirsiniz.
Kullanıcı Deneyimi;
Conditional Access ve Cas Session Policy işlemleri tamamlandıktan sonra artık kullanıcı tarafındaki aksiyonları deneyimlemek için Adele Vance Kullanıcısı ile Teams e erişim sağlayalım.
Kullanıcı oturum açtığında, yukarıdaki mesajla karşılanacaktır. Teams için monitor mode aktif edildiğini gösterilir.
Monitor mode ile Teams uygulamasına erişim sağladıktan sonra hem sohbet penceresinde hemde ekip- kanalı altında herhangi bir yazıyı kopyalamak istediğimizde belirlediğimiz policy devreye girecektir. (Custom mesajımızı görebiliriz.)
Cloud App Security – Alert altından bizim aldığımız Microsoft Teams Cut/Copy and Paste Block policy’nin uyarısı görüntülenmektedir. Detaylıca incelenebilir.
Burada belirtmek istediğim, Mobil uygulamalar için erişimi mutlaka engellemeniz gerekmez. Bunun yerine iOS, iPadOS ve Android gibi mobil cihazlar için Intune Uygulama Koruması kullanabilirsiniz . MAM olarak da bilinen uygulama koruması, veri sızıntısını önleyebilir ve uygulamaları PIN gibi ekstra bir güvenlik katmanı ekleyerek koruma sağlayabilirsiniz.
Not: Bu politikalar yalnızca tarayıcı oturumları için geçerlidir.
Kaynak : https://docs.microsoft.com/en-us/cloud-app-security/proxy-intro-aad
Kaynak : https://docs.microsoft.com/en-us/cloud-app-security/session-policy-aad
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
www.mshowto.org – www.emreerbulmus.com
TAGs: CloudAppSecurity, ConditionalAccess, Microsoftteams, MicrosoftTeams, TeamsMobile, Microsoft365Groups, AzureAD, CAS, SessionPolicy, AzureActiveDirectoryPremium
Eline sağlık Emre. Önemli konulardan bir tanesi.
Teşekkürler Emre Hocam,