Conditional Access ile ActiveSync Erişiminin Engellenmesi
Conditional Access ile maillerinize ve şirket kaynaklarınıza bağlanabilecek cihazları ve uygulamaları kontrol edebilirsiniz.
EMS’in bir parçası olan Conditional Access kurumsal verilerinizi güvende tutmak için ayrıntılı erişim kontrolü sağlarken, kullanıcılara herhangi bir cihazdan ve herhangi bir yerden işlerini en iyi şekilde yapmalarını sağlayan bir deneyim sunar.
Konum, cihaz, kullanıcı durumu ve uygulama hassasiyetine göre kurumsal verilerinize erişim sağlayan koşullar tanımlayabilirsiniz.
Özellikle son zamanlar da yurtdışında Kurumsal yapılarda yaptığım projeler ‘de Security Architect’lerden gelen taleplerin başında IOS , Android ve Windows Phone cihazlarında bulunan ActiveSync protokol bağlantısının engellenmesini ve şu an için güncel ve güvenli olan IOS için Outlook veya Android için Outlook uygulamalarının Modern Authentication ile kullandırılmaya zorlandırılması istenmektedir.
Özellikle Conditional Access ile gelen nimetlerden Intune beraber faydalanıldığında güvenliği çok daha üst seviyeye taşıyarak son kullanıcı cihazlarındaki data güvenliğini kontrol altına almaktasınız.
Senaryomuzdan bahsetmek gerekirse;
Android, IOS ve Windows Phone üzerinde Active Sync protokol erişimini engelliyor olacağız ve kullanıcıları Outlook uygulamasını kullanmaları gerektiği konusunda bilgilendireceğiz.
Notlar:
- Uygulamaya geçmeden önce Azure Active Directory lisansına sahip olduğunuza emin olunuz.
- Değişiklikleri yapmadan önce kullanıcılara muhakkak bilgilendirme maili geçmenizde fayda var. ActiveSync protokolünü kullanan kullanıcıların erişimleri duruyor olacak.
Azure Active Directory altında Conditional Access paneline eriştikten sonra “Custom: BlockNativeApp-Mobile” adlı bir policy oluşturuyoruz.
Custom: BlockNativeApp-Mobile
Active Sync’i tüm kullanıcılar da engellemek için “All users” seçeneğini seçiyoruz.
Not: Active Sync’i engellemek istemediğiniz bireysel kullanıcı veya grup varsa Exclude bölümünden dışlayabilirsiniz.
Cloud apps ve actions bölümünden uygulama olarak “Office 365 Exchange Online” seçeneğini seçiyoruz.
Conditions altında Active Sync engelleyeceğiniz platform olarak “Android,IOS ve Windows Phone” seçeneklerini seçiyoruz.
Client apps altından “Exchange ActiveSync clients” seçeneğini seçiyoruz.
Son olarak Access controls bölümünde “Grant Access” seçeneği ile ActiveSync erişimine ancak onaylanmış client uygulamaları ile erişilmesine izin veriyoruz. Yani burada maile erişmek için mobile IOS, Android ve Windows Phone cihazlarında Outlook uygulamasını zorunlu koşuyoruz.
Uygulama listesi için: https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/technical-reference#approved-client-app-requirement
Not: Policy’i oluşturduktan sonra Policy’nin aktif hale gelmesi birkaç saati bulabilir.
Active Sync erişimini engellediğinizde kullanıcılar mobile cihazlarındaki Native uygulama üzerinde maillerini kurduklarında aşağıdaki uyarı ile karşılaşıyor olacaklar.
Not: Hali hazır ‘da ActiveSync protokolünü kullanan kullanıcılarda bu durumdan etkilenecek.
Active Sync protokolünü kullanan veya kurulumu gerçekleştiren kullanıcıların erişimlerinin engellenerek Outlook uygulamasına yönlendirilmesini sağladık. Fakat IOS 11 ile beraber IOS Native mail uygulaması OAuth 2.0 dediğimiz Modern Authentication metodunu desteklemeye başladı. Yani biz yukarıdaki Conditional Access policy ci ile Active Sync’i engelliyor olsak da eğer kullanıcı IOS üzerinde Native mail uygulamasına kurulumu modern authentication seçeneği ile gerçekleştirdiyse policy’imiz gerçekli olmuyor olacak.
Modern Authentication seçeneği:
Bunun ‘da engellenmesi ve Modern Authentication ile gelen isteklerin sadece Outlook uygulamasına force edilmesi için yeni bir Conditional Access oluşturuyor olacağız.
Azure Active Directory altında Conditional Access paneline eriştikten sonra “Custom: AllowModernAuth-Mobile” adlı yeni bir policy oluşturuyoruz.
“Custom: AllowModernAuth-Mobile”
Policy’i tüm kullanıcılar da uygulamak için “All users” seçeneğini seçiyoruz.
Cloud apps ve actions bölümünden uygulama olarak “Office 365 Exchange Online” seçeneğini seçiyoruz.
Conditions altında Active Sync engelleyeceğiniz platform olarak “Android ve IOS ” seçeneklerini seçiyoruz.
Client apps altından bu sefer ActiveSync yerine “Modern authentication clients” seçeneğini seçiyoruz.
Son olarak Access controls bölümünde “Grant Access” seçeneği ile onaylanmış client uygulamaları ile erişilmesine izin veriyoruz. Yani burada maile erişmek için Native mail uygulamasına Modern Authentication ile bağlantı kurulmuşsa bile Outlook uygulamasını zorunlu koşuyoruz.
Uygulama listesi için: https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/technical-reference#approved-client-app-requirement
Not: Policy’i oluşturduktan sonra Policy’nin aktif hale gelmesi birkaç saati bulabilir.
Client Native mail uygulamasından bu sefer Modern Authentication ile mail hesabını kurmaya çalıştığınızda aşağıda gördüğünüz gibi uygulamanın erişimi kabul etmediğini belirtmektedir. Approved uygulama olarak Store üzerinden Outlook uygulamasının kurulması istenmektedir. Kullanıcı Outlook uygulamasını indirip erişmeye çalıştığında ise herhangi bir problem olmadan mail hesabını kurabiliyor olacak.
Umarım faydalı olmuştur, keyifli okumalar.
Eline sağlık
Merhaba Hakan Bey,
Öncelikle yazınız için çok teşekkürler, elinize sağlık. Benim bir sorum olacaktı. MDM üzerinden Conditional Exchange Access özelliğini aktif ettiğimizde, On-Prem Exchange Server üzerinde ne gibi değişiklikleri uyguluyor. Yani Server üzerinde nerelere dokunuyor acaba?