Windows Azure Rights Management Services – Windows Azure Active Directory Rights Management-WAADRM
Şimdiye kadar şirket içinde kullandığımız son ismi Windows AD RMS ama önceki ve hala aynı terimi kullandığımız RMS (Rights Management Services) özelliği ile ilgili çok sayıda makale portalda paylaşılmıştı. Özellikle Mesut Aladağ hocamız burada detaylıca anlatmıştır. Kısaca hatırlamak gerekirse; RMS, Şirket içerisinde kullandığımız gizli yada kişiye özel dökümanların bilerek yada bilmeden yabancı, istenmeyen kişilerce erişiminin engellenmesini sağlamakta aynı zamanda dökümanları kısıtlı yetkilerle istediğimiz kişilere ulaştırabilmemizi sağlamaktadır.
Windows RMS ile ilgili hatırlatıcı bilgiden sonra Azure RMS yada tam ismiyle Windows Azure Active Directory Rights Management (WAADRM) bize ne sağlar, Windows RMS’ den farklılıkları ve konfigürasyonu ile ilgili bilgileri paylaşmaya çalışacağım.
Azure RMS bizlere Office 365 organizasyonu içerisinde gizli yada kişiye özel bilgilerimizi yetki kısıtlaması yada Şifreleme yaparak Şirket içi yada Şirket dışı alıcılara (sadece Office 365 Tenant kullanan kullanıcılar) ulaştırabilmemizi sağlamaktadır. Şifreleme ile ilgili daha önce portalda yazmış olduğum Office 365 Message Encryption makalemi okuyabilirsiniz. Message Encryption için alıcının Office 365 platformu kullanması şart değildir, herhangi bir platform olabilir. Yetki Kısıtlaması tarafında da örnek olarak ilettiğiniz mail yada dosya başka bir kullanıcıya forward edilemesin, print edilemesin, reply edilemesin, dosya olarak kaydedilemesin vs. gibi kısıtlamalar yapabiliriz. RMS kısıtlaması aktif edilmiş bir mail yada dosya mobil aygıtlar dahil bütün platformlardan rahatlıkla açılabilir, kullanılabilir.
Aşağıda Office 365 ve On-Prem ortamındaki sunucularımızın çalışma şemasını görebiliriz,
Azure Rights Management |
Active Directory Rights Management Services (AD RMS) |
Office 365 gibi MS Online Servislerde ve On-Prem’ deki Exchange Server,Sharepoint Server ve File Classification Infrastructure servisini kullanan Sunucularda kullanılır, |
On-Prem’ deki Exchange Server,Sharepoint Server ve File Classification Infrastructure servisini kullanan Sunucularda kullanılır, |
Kendi office 365 organizasyonumuzda ve diğer Office 365 tenant’ ları arasında içerik koruma özelliği kullanılabilir, |
On-Prem organizasyonumuz ve ADFS kullanılarak Trust yapılmış diğer domainlerle birlikte kuıllanılabilir, |
Default olarak kendi Domainimizin ismi ile başlayan Confidential View Only ve Confidential isimli 2 Template gelmektedir ayrıca Owa ve Outlook kullanıcıları için de Do not forward template gelmektedir. Mevcut Template lerin yetersiz kaldığı durumda kullanıcı kendisi özel template tanımlayabilir, |
Default olarak herhangi bir template gelmemektedir, manuel oluşturulması gerekmektedir. Mevcut Template lerin yetersiz kaldığı durumda kullanıcı kendisi özel template tanımlayabilir, |
Minimum MS Office 2010 olmalı MS Outlook for Mac for Office 365 destekleniyor ama MS Office for Mac 2011 desteklenmemektedir, |
Minimum MS Office 2007 olmalı, MS Outlook for Mac for Office 365 ve MS Office for Mac 2011 desteklenmektedir, |
RMS Uygulama Paylaşımı Windows ve Mobile cihazlarda tam olarak desteklenmektedir, |
RMS Uygulama paylaşımı Windows ve Mobile cihazlarda kısıtlı destekleniyor, email notification bulunmamaktadır, |
Minimum desteklenen Kullanıcı İşletim Sistemi Windows 7, |
Minumum desteklenen Kullanıcı İşletim Sistemi Vista SP2, |
Şifreleme algoritması olarak herhangi bir konfigurasyon yapmaksızın Cryptographic Mode 2 kullanılıyor, (Public Key olarak RSA 2048 ve imzalama işlemi için SHA 256 kullanılıyor) |
Şifreleme Algoritması olarak Cryptographic Mode 1 kullanılıyor ve konfigurasyon gerekiyor, (Public Key olarak RSA 1024 , 2048 ve imzalama işlemi için SHA1 yada SHA 256 kullanılabilir) |
Yukarıda bulunan tablodaki bilgilere göre Azure RMS daha güçlü güvenlik altyapısı ve Operasyonel anlamda AD RMS’ e göre kolaylık sunmaktadır.
Bu bilgilerden sonra artık Aktivasyon kısmına geçebiliriz,
Azure RMS’ i Azure Management portal, Office 365 Admin Center ve Power Shell’ den aktif edebiliriz,
Office 365 Admin Center’ da sırasıyla Service SettingsàRights ManagementàManage ve Activate butonuna tıklanır,
Azure Management portal’ da sırasıyla Active DirectoryàRights Management Activate butonuna tıklanır,
Power Shell’ den de yapmak isterseniz Azure Power Shell’ de Enable-Aadrm parametresi kullanılabilir.
Öncelikle bilgisayarımızdan Run as Administrator ile Microsoft Azure Power Shelle bağlanarak, çalıştıracağımız komutların Trusted Publisher tarafından sign edilmesi için Microsoft Azure PowerShelli açarak Set-ExecutionPolicy RemoteSigned komutunu çalıştırıyoruz, Onay için Y harfine basarak ilerliyoruz.
Bundan sonraki komutlarımıza Office 365 Tenantımıza bağlanıp yeni bir oturum açarak ilerliyoruz, Tenanta bağlantı için $UserCredential = Get-Credential komutunu kullanıyoruz ve Office 365 Portal erişim bilgilerimizi yazıyoruz,
Office 365 Tenant’ ımıza bağlantı kurduktan sonra gerekli komutları $Session parametresiyle çalıştırabilmemiz için $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://ps.outlook.com/powershell -Credential $UserCredential -Authentication Basic -AllowRedirection komutunu ve sonrasında her defasında yeni bir session açmadan Power Shell komutlarını çalıştırabilmemizi sağlayacak Import-PSSession $Session komutunu çalıştıralım.
Online Anahtar paylaşımı (Online Key-Sharing) yani içerik kısıtlamalı mailleri açabilmemizi sağlayan gerekli anahtar değerinin temin edilebilmesi için Information Rights Management (IRM) ayarlarının konfigüre edilmesi gerekmektedir, bunun için sırasıyla aşağıdaki komutların Power Shell’ den çalıştırılması gerekmektedir.
Set-IRMConfiguration –RMSOnlineKeySharingLocation https://sp-rms.eu.aadrm.com/TenantManagement/ServicePartner.svc
Avrupa için, https://sp-rms.eu.aadrm.com/TenantManagement/ServicePartner.svc
Kuzey Amerika için, https://sp-rms.na.aadrm.com/TenantManagement/ServicePartner.svc
Güney Amerika için, https://sp-rms.sa.aadrm.com/TenantManagement/ServicePartner.svc
Asya için, https://sp-rms.ap.aadrm.com/TenantManagement/ServicePartner.svc
Import-RMSTrustedPublishingDomain –RMSOnline –Name “RMS Online”
Set-IRMConfiguration –InternalLicensingEnabled $true
Ve son olarak IRM konfigurasyonumuzu test ediyoruz, Result kısmını PASS olarak görmeliyiz.
Test-IRMConfiguration –RMSOnline
Son komutumuz (opsiyonel) Power Shell oturumunu kapatıyoruz,
Remove-PSSession $Session
Böylelikle makalemizin konfigurasyon kısmını tamamlamış olduk, Outlook yada Owa’ dan yeni mail göndermek istediğimizde Default olarak oluşan Template’ leri görebilmemiz gerekiyor. Örnek bir kullanıcı hesabı ile Office 365 owa ekranına bağlanıp test maili göndermeyi deniyoruz,
Makalemizin başında belirttiğim gibi default olarak gelen Domain ismimiz ile başlayan Confidential–Confidential View Only ve Do Not Forward isimli 3 template bulunmaktadır, bunların yetkileri;
<Domain ismi> – Confidential View Only = Sadece içerik görüntüleme yetkisi,
<Domain ismi> – Confidential = İçerik görüntüleme, dosyayı kaydetme, içerik düzenleme, Atanmış yetkileri görüntüleme, Macro izni, Maili iletme, yanıtlama yetkileri,
Do Not Forward = Mail iletme hariç bütün yetkiler,
Template’ I seçtikten sonra aşağıdaki şekilde göstermektedir, Do Not Forward seçmiştim,
Alıcı maili aldığında aşağıda da görüldüğü gibi Forward yapamayacaktır.
Mevcut template’ lerin yetersiz kaldığını düşünüp yeni templateler de oluşturabilirsiniz, bunun için Azure Management portal üzerinde sırasıyla Active DirectoryàRights ManagementàOrganizasyon adı clickà Create a new rights policy template seçerek oluşturabilirsiniz. Verilebilecek yetkiler aşağıdadır, bu yetkilere göre template oluşturabilirsiniz, isterseniz Transport rule ile kural oluşturarak maillere otomatik olarak belirli templateler de atayabilirsiniz.
Tekrar hatırlatmak istiyorum, şimdilik sadece Azure RMS içerik filtreleme özelliğini (Message Encryption hariç) sadece Office 365 yapımız içerisindeki kullanıcılarda ve Office 365 hizmetini kullanan organizasyon dışı kullanıcılada kullanabilirsiniz.