Microsoft, Exchange Online’da kullanılan ApplicationImpersonation rolünün Şubat 2025’te tamamen kaldırılacağını duyurdu. Bu değişiklik, güvenliği artırmak amacıyla yapılmakta olup, geniş yetkiler sağlayan bu rolün potansiyel olarak kötüye kullanım risklerini önlemeyi hedefliyor. Yönetici ve geliştiricilerin sorunsuz bir geçiş sağlamak için hemen harekete geçmeleri gerekmektedir.
Zaman Çizelgesi Değişmedi
ApplicationImpersonation rolünün kaldırılma tarihi Şubat 2025 olarak belirlenmiştir ve bu tarihe kadar tüm hazırlıkların tamamlanması büyük önem taşımaktadır. Eğer tenant’ınızda bu rol kullanılıyorsa, Message Center gönderisi MC724116 ile bilgilendirilmiş olmanız gerekiyor. Ancak, bazı kullanımların raporlama kapsamı dışında kalabileceğini unutmayın ve bu rolün kullanılmadığından emin olmak için kendi denetimlerinizi de yapın.
Bu Değişikliğin Güvenlik Önemi
ApplicationImpersonation rolü, geniş erişim yetkileri sunduğu için güvenlik riski taşımaktadır. Bu rolün açık bırakılması, kuruluşların güvenlik durumunu zayıflatabilir. Microsoft, Exchange Online’daki güvenliği artırmak amacıyla bu rolü kaldırmaya karar vermiştir.
Yönetici ve Geliştiriciler İçin Adımlar
Kullanımların kesintiye uğramaması için geçiş işlemlerine hemen başlanması gerekiyor. Aşağıdaki seçenekler mevcut:
- Microsoft Graph’a Geçiş: Mümkünse, uygulamalarınızı Microsoft Graph‘a taşıyın çünkü EWS (Exchange Web Services) yavaş yavaş kullanımdan kaldırılıyor.
- App-Only Kimlik Doğrulama ve RBAC Kullanımı: Posta kutusu erişimi gerektiren EWS uygulamaları için App-Only erişimini (EWS.AccessAsApp OAuth uygulama izni) ve Exchange Online’da kaynak bazlı Role-Based Access Control (RBAC) kullanımı için gerekli kod ve yapılandırma güncellemelerini yapın.
Etkilenen Hesapların Belirlenmesi ve Gerekli Önlemler
ApplicationImpersonation rolünü kullanan hesapları belirlemek için aşağıdaki araçları kullanabilirsiniz:
- Exchange Online PowerShell: Aşağıdaki komutla ApplicationImpersonation rolüne sahip hesapları kontrol edin:
Get-ManagementRoleAssignment -Role ApplicationImpersonation -GetEffectiveUsers
- GitHub’daki Raporlama Scripti: Microsoft 365 üçüncü parti EWS uygulamalarında ApplicationImpersonation rolünü kullanan hesapları listeleyen bir script GitHub’da mevcutt. Bu script, etkilenen hesapların listesini çıkararak Entra’daki uygulamaları ve sahiplerini belirlemenize yardımcı olur. Kuruluş içindeki ve üçüncü parti uygulama sahipleriyle iletişime geçerek geçiş sürecini başlatın.
Script ile elde edilen Application ID‘yi kullanarak, Entra portalında bu ID’yi belirli bir uygulama adı ile eşleştirebilirsiniz. ID, bağımsız bir yazılım sağlayıcı tarafından oluşturulmuş bir uygulamaya aitse, sağlayıcıyla iletişime geçerek ApplicationImpersonation rolüne bağlı olmayan güncellenmiş bir sürüm talep etmelisiniz. Uygulama, kuruluş içi geliştirilmiş bir uygulama ise, geçiş için geliştiricilerle birlikte çalışmalısınız.
Şubat 2025 itibarıyla, güncellenmeyen uygulamalar çalışmayı durduracaktır. Bu nedenle, geçiş işlemlerini hızlandırmak ve uygulama sahipleriyle iletişime geçerek rehberliği takip etmek kritik önem taşır.