Microsoft 365 mükemmel bir üretkenlik platformu; fakat güvenlik, lisansı açtığınız anda otomatik olarak “maksimum” gelmiyor. Gerçek koruma, Entra ID (Azure AD) üzerinde doğru MFA ve Conditional Access politikalarının kurgulanmasıyla başlıyor; üzerine cihaz uyumluluğu, e-posta koruması, veri kaybı önleme ve görünürlük ekleniyor.
Bu rehber, M365 kullanan şirketlerin en yaygın hatalarını, önerilen politika setlerini ve 30–60 günlük uygulanabilir yol haritasını sunar.
- Paylaşılan Sorumluluk ve Yanlış Güven
- Entra ID Temelleri: Security Defaults mı, Conditional Access mi?
- MFA: Hangi yöntem, kime?
- Conditional Access: Önerilen politika seti
- Cihaz Uyumluluğu & Intune
- E-posta Güvenliği: Defender for Office 365, DKIM/SPF/DMARC
- OAuth Uygulama Riskleri ve Onay Yönetimi
- Loglama, İzleme, Secure Score ve SIEM
- Hızlı Öz-Denetim Listesi
- 30–60 Günlük Yol Haritası
- Sıkça Sorulan Sorular
Paylaşılan Sorumluluk ve Yanlış Güven
Bulutta üretkenlik servislerini Microsoft işletir; kimlik, erişim, veri paylaşımı ve cihaz güvenliği ise sizin sorumluluğunuzdadır. “Lisansı açtık, güvenlik tamam” yanılgısı; varsayılan açık paylaşım, zayıf MFA ve eski protokoller nedeniyle veri sızıntısına yol açar.
Özet: Güvenliğin merkezinde Entra ID’deki kimlik ve erişim kararları vardır. Geri kalanı bunun etrafına yerleşir.
Entra ID Temelleri: Security Defaults mı, Conditional Access mi?
- Security Defaults: Küçük yapılar için iyidir; esneklik sınırlıdır.
- Conditional Access: Risk, konum, cihaz uyumluluğuna göre ince ayar yapılır; önerilen yaklaşım.
- Break-glass hesap: En az iki adet, rastgele uzun parola; oturum hariç tutulur fakat sıkı loglanır.
- PIM (Privileged Identity Management): Admin rollerinde zaman kısıtlı yetki + onay.
- Identity Protection: Oturum/kimlik riskine göre ek faktör veya engelleme.
- Legacy Auth Engeli: IMAP/POP/SMTP Basic Auth ve uygulama parolaları kapatılır.
MFA: Hangi yöntem, kime?
- Genel kullanıcı: Authenticator (TOTP/Push), numara eşleştirme açık.
- Yönetici & geliştirici: FIDO2/Passkeys + donanım anahtarı; SMS yasak.
- Çağrı merkezi: Push onaylarında konum/cihaz ipucu göster; bombardımana hız limiti.
- Misafir/taşeron: Kısa TTL, kapsam kısıtlı, ayrı CA politikası.
- Defender for O365: Safe Links/Safe Attachments/Anti-phishing açık.
- DKIM-SPF-DMARC: Alan adınızı taklite karşı güçlendirin; raporları izleyin.
- DLP/Purview: KVKK/PII sızıntılarını engellemek için şablonlarla kural yazın.
- Unified Audit Log ve Sign-in Logs aktif; saklama süresi tanımlı.
- Secure Score hedefi belirleyin (ör. 70→85); her sprint iyileştirin.
- Sentinel / SIEM bağlayıcılarıyla alarmlar: riskli oturum, MFA bypass, çok sayıda şüpheli onay vb.
- En az 2 adet break-glass var mı? Parolalar kasada mı?
- Legacy Auth tamamen engelli mi?
- Adminler FIDO2 ile mi doğruluyor? PIM aktif mi?
- BYOD için MFA + oturum kısıtı var mı?
- DKIM-SPF-DMARC geçerli ve izleniyor mu?
- Unified Audit Log/SIEM alarmları çalışıyor mu?
Conditional Access: Önerilen politika seti
| Politika | Amaç | Not |
|---|---|---|
| Admin Rolleri → FIDO2 Zorunlu | Privileged hesapları phishing-dayanıklı yap | Break-glass hariç |
| Legacy Auth → Block | IMAP/POP/SMTP Basic Auth’u kapat | Uygulama parolası yok |
| Unmanaged Device → MFA + Kısıt | BYOD erişimi | Download/print kısıtları (MAM/CAE) |
| High Sign-in Risk → Challenge/Block | Şüpheli oturumları engelle | Identity Protection ile |
| Outside Named Locations → MFA | Ülke/IP dışında ek faktör | Named locations güncel tutulmalı |
| Session Controls | Oturum süreleri & yeniden doğrulama | CAE + Sign-in frequency |
Cihaz Uyumluluğu & Intune
Kimlik güçlü olsa bile zayıf cihaz risktir. Intune uyumluluk ilkeleriyle şifre, disk şifreleme, anti-malware, OS versiyon gibi temel kontrolleri zorunlu tutun. Defender for Endpoint ile cihaz riski CA kararlarına dahil edilebilir.
E-posta Güvenliği: Defender for Office 365, DKIM/SPF/DMARC
OAuth Uygulama Riskleri ve Onay Yönetimi
Kullanıcı, zararlı bir uygulamaya Graph izinleri verebilir. Publisher verification, admin consent workflow ve izin inceleme ile yetkiyi kontrol altına alın. Kullanılmayan App Registration’ları periyodik temizleyin.
Loglama, İzleme, Secure Score ve SIEM
Hızlı Öz-Denetim Listesi
30–60 Günlük Yol Haritası
Sıkça Sorulan Sorular
| Soru | Kısa Yanıt |
|---|---|
| Security Defaults yeterli mi? | Küçük yapılar için evet; orta-büyük yapılarda Conditional Access şart. |
| SMS’i kapatmalı mıyız? | Hedefte FIDO2/Passkeys; SMS yalnızca geçiş döneminde yedek. |
| Misafir (B2B) erişimini nasıl güvene alırım? | Ayrı CA politikası, kısıtlı kapsam, kısa TTL, onay zinciri. |
| Hizmet hesaplarında MFA? | MFA yerine Managed Identity/Workload ID; kısa ömürlü gizler. |
M365 Güvenliğini 30–60 Günde Bir Üst Seviyeye Taşıyın
İnvekor, Entra ID Conditional Access tasarımı, PIM, FIDO2 geçişi, Intune uyumluluk ve Defender/DLP yapılandırmasını kurumunuza özel planlar.