Cloud Computing

Windows Azure Rights Management Services – Windows Azure Active Directory Rights Management-WAADRM

Şimdiye kadar şirket içinde kullandığımız son ismi Windows AD RMS ama önceki ve hala aynı terimi kullandığımız RMS (Rights Management Services) özelliği ile ilgili çok sayıda makale portalda paylaşılmıştı. Özellikle Mesut Aladağ hocamız burada detaylıca anlatmıştır. Kısaca hatırlamak gerekirse; RMS, Şirket içerisinde kullandığımız gizli yada kişiye özel dökümanların bilerek yada bilmeden yabancı, istenmeyen kişilerce erişiminin engellenmesini sağlamakta aynı zamanda dökümanları kısıtlı yetkilerle istediğimiz kişilere ulaştırabilmemizi sağlamaktadır.

Windows RMS ile ilgili hatırlatıcı bilgiden sonra Azure RMS yada tam ismiyle Windows Azure Active Directory Rights Management (WAADRM) bize ne sağlar, Windows RMS’ den farklılıkları ve konfigürasyonu ile ilgili bilgileri paylaşmaya çalışacağım.

Azure RMS bizlere Office 365 organizasyonu içerisinde gizli yada kişiye özel bilgilerimizi yetki kısıtlaması yada Şifreleme yaparak Şirket içi yada Şirket dışı alıcılara (sadece Office 365 Tenant kullanan kullanıcılar) ulaştırabilmemizi sağlamaktadır. Şifreleme ile ilgili daha önce portalda yazmış olduğum Office 365 Message Encryption makalemi okuyabilirsiniz. Message Encryption için alıcının Office 365 platformu kullanması şart değildir, herhangi bir platform olabilir. Yetki Kısıtlaması tarafında da örnek olarak ilettiğiniz mail yada dosya başka bir kullanıcıya forward edilemesin, print edilemesin, reply edilemesin, dosya olarak kaydedilemesin vs. gibi kısıtlamalar yapabiliriz. RMS kısıtlaması aktif edilmiş bir mail yada dosya mobil aygıtlar dahil bütün platformlardan rahatlıkla açılabilir, kullanılabilir.

 

Aşağıda Office 365 ve On-Prem ortamındaki sunucularımızın çalışma şemasını görebiliriz,

clip_image001

 

 

Azure Rights Management

Active Directory Rights Management Services (AD RMS)

Office 365 gibi MS Online Servislerde ve

On-Prem’ deki Exchange Server,Sharepoint Server ve File Classification Infrastructure servisini kullanan Sunucularda kullanılır,

On-Prem’ deki Exchange Server,Sharepoint Server ve File Classification Infrastructure servisini kullanan Sunucularda kullanılır,

Kendi office 365 organizasyonumuzda ve diğer Office 365 tenant’ ları arasında içerik koruma özelliği kullanılabilir,

On-Prem organizasyonumuz ve ADFS kullanılarak Trust yapılmış diğer domainlerle birlikte kuıllanılabilir,

Default olarak kendi Domainimizin ismi ile başlayan Confidential View Only ve Confidential isimli 2 Template gelmektedir ayrıca Owa ve Outlook kullanıcıları için de Do not forward template gelmektedir.

Mevcut Template lerin yetersiz kaldığı durumda kullanıcı kendisi özel template tanımlayabilir,

Default olarak herhangi bir template gelmemektedir, manuel oluşturulması gerekmektedir.

Mevcut Template lerin yetersiz kaldığı durumda kullanıcı kendisi özel template tanımlayabilir,

Minimum MS Office 2010 olmalı

MS Outlook for Mac for Office 365 destekleniyor ama MS Office for Mac 2011 desteklenmemektedir,

Minimum MS Office 2007 olmalı,

MS Outlook for Mac for Office 365 ve MS Office for Mac 2011 desteklenmektedir,

RMS Uygulama Paylaşımı Windows ve Mobile cihazlarda tam olarak desteklenmektedir,

RMS Uygulama paylaşımı Windows ve Mobile cihazlarda kısıtlı destekleniyor, email notification bulunmamaktadır,

Minimum desteklenen Kullanıcı İşletim Sistemi Windows 7,

Minumum desteklenen Kullanıcı İşletim Sistemi Vista SP2,

Şifreleme algoritması olarak herhangi bir konfigurasyon yapmaksızın Cryptographic Mode 2 kullanılıyor, (Public Key olarak RSA 2048 ve imzalama işlemi için SHA 256 kullanılıyor)

Şifreleme Algoritması olarak Cryptographic Mode 1 kullanılıyor ve konfigurasyon gerekiyor, (Public Key olarak RSA 1024 , 2048 ve imzalama işlemi için SHA1 yada SHA 256 kullanılabilir)

 

Yukarıda bulunan tablodaki bilgilere göre Azure RMS daha güçlü güvenlik altyapısı ve Operasyonel anlamda AD RMS’ e göre kolaylık sunmaktadır.

Bu bilgilerden sonra artık Aktivasyon kısmına geçebiliriz,

Azure RMS’ i Azure Management portal, Office 365 Admin Center ve Power Shell’ den aktif edebiliriz,

Office 365 Admin Center’ da sırasıyla Service SettingsàRights ManagementàManage ve Activate butonuna tıklanır,

Azure Management portal’ da sırasıyla Active DirectoryàRights Management Activate butonuna tıklanır,

 

 

clip_image002

Power Shell’ den de yapmak isterseniz Azure Power Shell’ de Enable-Aadrm parametresi kullanılabilir.

 

Öncelikle bilgisayarımızdan Run as Administrator ile Microsoft Azure Power Shelle bağlanarak, çalıştıracağımız komutların Trusted Publisher tarafından sign edilmesi için Microsoft Azure PowerShelli açarak Set-ExecutionPolicy RemoteSigned komutunu çalıştırıyoruz, Onay için Y harfine basarak ilerliyoruz.

clip_image003

Bundan sonraki komutlarımıza Office 365 Tenantımıza bağlanıp yeni bir oturum açarak ilerliyoruz, Tenanta bağlantı için $UserCredential = Get-Credential komutunu kullanıyoruz ve Office 365 Portal erişim bilgilerimizi yazıyoruz,

clip_image004

Office 365 Tenant’ ımıza bağlantı kurduktan sonra gerekli komutları  $Session parametresiyle çalıştırabilmemiz için $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://ps.outlook.com/powershell -Credential $UserCredential -Authentication Basic -AllowRedirection komutunu ve sonrasında her defasında yeni bir session açmadan Power Shell komutlarını çalıştırabilmemizi sağlayacak Import-PSSession $Session komutunu  çalıştıralım.

clip_image005

 

 

clip_image006

 

Online Anahtar paylaşımı (Online Key-Sharing) yani içerik kısıtlamalı mailleri açabilmemizi sağlayan gerekli anahtar değerinin temin edilebilmesi için  Information Rights Management  (IRM)  ayarlarının konfigüre edilmesi gerekmektedir, bunun için sırasıyla aşağıdaki komutların Power Shell’ den çalıştırılması gerekmektedir.

Set-IRMConfiguration –RMSOnlineKeySharingLocation https://sp-rms.eu.aadrm.com/TenantManagement/ServicePartner.svc

Avrupa için,  https://sp-rms.eu.aadrm.com/TenantManagement/ServicePartner.svc

Kuzey Amerika için,  https://sp-rms.na.aadrm.com/TenantManagement/ServicePartner.svc

Güney Amerika için,  https://sp-rms.sa.aadrm.com/TenantManagement/ServicePartner.svc

Asya için,   https://sp-rms.ap.aadrm.com/TenantManagement/ServicePartner.svc

clip_image007

Import-RMSTrustedPublishingDomain –RMSOnline –Name “RMS Online”

Set-IRMConfiguration –InternalLicensingEnabled $true

clip_image008

 

Ve son olarak IRM konfigurasyonumuzu test ediyoruz, Result kısmını PASS olarak görmeliyiz.

Test-IRMConfiguration –RMSOnline

clip_image009

Son komutumuz (opsiyonel) Power Shell oturumunu kapatıyoruz,

Remove-PSSession $Session

clip_image010

Böylelikle makalemizin konfigurasyon kısmını tamamlamış olduk, Outlook yada Owa’ dan yeni mail göndermek istediğimizde Default olarak oluşan Template’ leri görebilmemiz  gerekiyor. Örnek bir kullanıcı hesabı ile Office 365 owa ekranına bağlanıp test maili göndermeyi deniyoruz,

clip_image011

Makalemizin başında belirttiğim gibi default olarak gelen Domain ismimiz ile başlayan ConfidentialConfidential View Only ve Do Not Forward isimli 3 template bulunmaktadır, bunların yetkileri;

<Domain ismi> – Confidential View Only = Sadece içerik görüntüleme yetkisi,

<Domain ismi> – Confidential = İçerik görüntüleme, dosyayı kaydetme, içerik düzenleme, Atanmış yetkileri görüntüleme, Macro izni, Maili iletme, yanıtlama yetkileri,

Do Not Forward = Mail iletme hariç bütün yetkiler,

Template’ I seçtikten sonra aşağıdaki şekilde göstermektedir,  Do Not Forward seçmiştim,

 

clip_image012

Alıcı maili aldığında aşağıda da görüldüğü gibi Forward yapamayacaktır.

clip_image013

Mevcut template’ lerin yetersiz kaldığını düşünüp yeni templateler de oluşturabilirsiniz, bunun için Azure Management portal üzerinde sırasıyla Active DirectoryàRights ManagementàOrganizasyon adı clickà Create a new rights policy template  seçerek oluşturabilirsiniz. Verilebilecek yetkiler aşağıdadır, bu yetkilere göre template oluşturabilirsiniz, isterseniz Transport rule ile kural oluşturarak maillere otomatik olarak belirli templateler de atayabilirsiniz.

 

 

clip_image014

Tekrar hatırlatmak istiyorum, şimdilik sadece Azure RMS içerik filtreleme özelliğini (Message Encryption hariç) sadece Office 365 yapımız içerisindeki kullanıcılarda ve Office 365 hizmetini kullanan organizasyon dışı kullanıcılada kullanabilirsiniz.

 

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu