OneDrive ve SharePoint'in en hızlı veri sızıntısı yolu yanlış yapılandırılmış paylaşım linkleridir. "Anyone with the link" bir tek tıkla şirketin tüm hassas dosyalarını internete açar. Bu yazıda 4 link tipini, KVKK uyumlu yapılandırmayı ve DLP entegrasyonunu anlatıyoruz.
4 Paylaşım Link Tipi
| Tip | Kim Erişebilir | Risk |
| Anyone with the link | Link'i bilen herkes (anonim, giriş gerekmez) | ⛔ Yüksek — link sızarsa veri açık |
| People in {Organization} | Şirketinizin tüm M365 kullanıcıları | 🟢 Orta — sadece iç |
| People with existing access | Halihazırda izni olan kişiler | ✅ Düşük — link kontrolü genişletmez |
| Specific people | Belirli email adresleri (iç veya dış) | ✅ En düşük — granüler |
Tenant Düzeyinde Genel Politika
- SharePoint Admin Center → Policies → Sharing.
- External sharing kaydırma çubuğu — en sıkıdan en açığa:
- Only people in your organization
- Existing guests
- New and existing guests
- Anyone (en açık — KVKK için risk)
- Default sharing link type: "Specific people" önerilir (kullanıcı yanlışlıkla "Anyone" seçmesin).
- Default link permission: View (Edit değil).
Anyone Links — KVKK Riski
⚠ KVKK uyarısı: Anyone with the link, kişisel veri içeren bir dosya için açık ihlaldir. Madde 12 (veri güvenliği) ve Madde 9 (yurt dışı aktarımı) ihlali olur — link bilen herkes Türkiye dışından da erişebilir.
Anyone Link Tedbirleri (Eğer açık tutulacaksa)
- Expiration date zorunlu: Maximum 30 gün (varsayılan).
- Password protection: Link açarken parola sorulması.
- Permission: Sadece View (Edit yasak).
- DLP policy: TC kimlik / kredi kartı içeren dosyalar Anyone linkle paylaşılamaz.
SharePoint Admin → Detaylı Konfigürasyon
External Sharing Settings (tenant düzeyinde)
| Ayar | Önerilen Değer |
| External sharing | "New and existing guests" (orta yol) |
| Limit external sharing by domain | Trusted partner domains beyaz listesi |
| Default link type | Specific people |
| Anyone link expiration | 30 days max |
| Anyone link permission | View only |
| People who use a verification code | Code expiration: 7 days |
| Allow guests to share items they don't own | Off |
Site Bazında Override
Tenant ayarından daha sıkı olabilir, daha gevşek olamaz. Hassas siteler için "Only people in your organization" şart.
- SharePoint Admin → Sites → Active sites → ilgili site.
- Sharing sekmesi → "External sharing" tenant'tan daha sıkı seç.
DLP Entegrasyonu — Otomatik Engelleme
- purview.microsoft.com → DLP → Create policy.
- Template: Turkey - Financial Data veya Custom.
- Locations: OneDrive accounts + SharePoint sites.
- Conditions: Content contains → "Turkish ID Number" 5 instances OR "Credit Card Number" 1 instance.
- Actions:
- Restrict access or encrypt
- Block "share with people outside organization"
- User notification (policy tip)
- Admin email alert
- Test mode → 1-2 hafta → Enforce.
Sonuç: Kullanıcı TC kimlik içeren bir Excel'i Anyone linkle paylaşmaya kalkarsa otomatik bloke + uyarı.
Audit ve İnceleme
Kim Neyi Kime Paylaştı?
- purview.microsoft.com → Audit.
- Activities: "Shared file or folder", "Created sharing invitation".
- Filter date + user → search.
- Detay: hangi dosya, hangi link tipi, ne zaman, kime gönderildi.
SharePoint Sharing Report
Microsoft 365 Admin Center → Reports → SharePoint → External Users — son 90 gün aktif external link sayısı.
PowerShell Toplu Audit
Connect-SPOService -Url https://sirketiniz-admin.sharepoint.com
# Tüm external paylaşımları listele
Get-SPOExternalUser -PageSize 50 | Select Email, DisplayName, AcceptedAs, WhenCreated
# Site bazında external user
Get-SPOSite | ForEach-Object {
Get-SPOExternalUser -SiteUrl $_.Url -PageSize 50
}
Paylaşım Yaşam Döngüsü
Yıllık paylaşım hijyeni:
- Expiration enforcement: Tüm Anyone link'ler 30 günde otomatik biter
- External guest review: 6 ayda bir Access Review ile aktif olmayan guest'leri temizle
- Sharing recertification: Her yıl owner'lara "şu kullanıcılara hâlâ erişim ver mi?" sor
Sık Karşılaşılan Sorunlar
Sorun 1: "Anyone link bu site'da kapalı" hatası
Site-level override tenant'tan sıkı. Çözüm: site'ı kontrol et veya farklı bir site'ta paylaş.
Sorun 2: External user paylaşıma erişemiyor
Email doğrulama linki spam'e düşmüş veya 14 gün geçmiş. Yeni invitation gönder.
Sorun 3: Dosya paylaşıldığı kişi "okuma" yetkili görünüyor ama Edit yapıyor
"Share" yerine "Manage access" ile ayrıca direct permission verilmiş olabilir. Manage access'i tekrar kontrol et.
🔗 Sharing Policy + DLP Entegrasyonu
Mevcut external sharing audit + KVKK uyumlu yeniden yapılandırma + DLP policy + Anyone link kısıtla + access review. Microsoft Yetkili CSP destek.
Sharing Audit →
İlgili Rehberler