Geri
Office 365′de EWS ile Uygulama Bazlı Yasaklama

Office 365′de EWS ile Uygulama Bazlı Yasaklama

by Ezgi CAN, 9 Haziran 2017

Office 365 hizmetlerinden Exchange Online ile ilgili birçok firma güvenlik ile ilgili özel ayarlar talep etmektedirler. Bunlardan bazıları mobil cihazların yönetimi ile ilgili olup bazıları protokollerin kapatılması yönünde olmaktadır. Bu ve ya buna benzer birçok kontrol Office 365 arayüzlerinden sağlanmakta olup özel uygulamalara dair kısıtlamaların yapılması gibi senaryolarda da EWS ayarlarının değiştirilmesi söz konusudur. Böylelikle belirlenen spesifik uygulamalara Exchange Online ile ilgili kurulumlar yasaklanabilmektedir.

Temelde PowerShell komutları ile yapılan bu ayar ile ilgili varsayılanda gelen özelliklerin gözlemlenmesi için Get-OrganizationConfig komutu kullanılmalıdır. Akabinde yapılacak ayarlar için Set-OrganizationConfig komutu kullanılmaktadır. Set-OrganizationConfig komutunun çalıştırılmasının ardından EWS uygulamaları ile ilgili yasak ve izin vermek adına 2 ana parametre bulunmaktadır. Tabi bu komutlar çalıştırılmadan önce Azure Active Directory PowerShell ile Exchange Online’a bağlantı kurulması gerekmektedir. Bunun için aşağıdaki komutların çalıştırılması gerekmektedir. Bu komutlarda Exchange Online’da yetkili olan kullanıcı hesabına ihtiyaç duyulmaktadır.

$UserCredential = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

Import-PSSession $Session


Aşağıdaki komut satırının çalıştırılması ile beraber EWS ile ilgili izin verilen ya da yasaklanan uygulamaların listelenmesi sağlanmaktadır. Böylelikle spesifik uygulamalar ile ilgili yasak ya da izin verilecek organizasyona ait var olan kuralların gözlemlenecektir. Şekilde de görüldüğü üzere EwsApplicationAccessPolicy ile ilgili herhangi kuralın ayarlanmadığı gözlemlenmektedir.

Get-OrganizationConfig |ft Name,EwsApplicationAccessPolicy,EwsBlockList,EwsAllowList


Uygulamaların kısıtlama işlemi 2 farklı method ile yapılabilmektedir. Bunlardan uygulamaların hepsine yasak koymak EnforceAllowList’dekilere izin vererek olurken, diğer yöntem tüm uygulamalara izin verip EnforceBlockList’deki uygulamaları yasaklamaktır. Firmalar genellikle tüm uygulamalara izin verip yasaklanacak uygulamaları EnforceBlockList’e ekleyerek yapılandırmaktadırlar.

-EwsApplicationAccessPolicy <EnforceAllowList | EnforceBlocklist>

Yukarıda görüldüğü üzere EwsApplicationAccessPolicy parametreleri yer almaktadır. EnforceAllowList parametresi ayarlandığı durumda tüm uygulamalar yasaklanmış sadece izin listesinde yer alacak uygulamalar kullanılacaktır. Eğer EnforceBlockList parametresi ayarlanırsa her uygulamaya izin verilmiş BlockList’te yer alanlara yasak konulmuş olunacaktır. Burada tanımlanacak uygulamalar Entourage, Mac Outlook ve Outlook dışında olmalıdır.

Sadece belirli uygulamanın yasaklanacağı senaryoda aşağıdaki komut dizini kullanılmalıdır. Aşağıdaki komutta da gözlemlendiği üzere kullanıcılar tüm uygulamalar ile erişim sağlayabilecek iken aşağıda belirtilen uygulamaya Exchange Online ile ilgili yasak konulmuş olunacaktır.

Set-OrganizationConfig –EwsApplicationAccessPolicy:EnforceBlockList –EwsBlockList:”CloudMagic*”


EwsApplicationAccessPolicy ile uygulama bazlı Exchange online ile ilgili yasak ya da izinlerin verilmesi gibi özel ayarlamaların yapılacağı böylelikle de firmaların güvenlik tabanlı çalışmalarında firmaya özel ayarların yapılması sağlanacaktır. Buna benzer güvenlik ayarlarına dair özelleştirmeler Office 365 portallarında ya da ADFS farm mimarilerindeki claim rule’lar ile de yapılabilmektedir.