SharePoint Online site izinleri yanlış yapılandırıldığında en sık KVKK + veri sızıntısı kaynağıdır. "Everyone except external users" gibi geniş izinler veya "Anyone with the link" paylaşımları kontrolsüz veri açar. Bu yazıda KOBİ adminleri için SharePoint izin yönetiminin adım adım pratiğini anlatıyoruz.
SharePoint İzin Yapısının 3 Katmanı
| Katman | Kapsam | Yönetim |
| 1. Tenant | Tüm SharePoint tenant'ı | SharePoint Admin Center |
| 2. Site Collection | Bir site ve alt siteleri | Site Owner |
| 3. Item Level | Tekil dosya/klasör/liste öğesi | Site Owner + dosya sahibi |
Site Düzeyinde Varsayılan 3 İzin Grubu
Her SharePoint sitesinde otomatik 3 grup oluşur:
- {Site Name} Owners (Full Control) — site yöneticileri. İzin ekler, silinir, ayarları değiştirir. Sınır 2-3 kişi olmalı.
- {Site Name} Members (Edit) — günlük kullanıcılar. Dosya ekler, düzenler, siler. Kendi yüklediği klasörde tam yetki.
- {Site Name} Visitors (Read) — sadece okuma. İndirme + yazdırma olabilir (DLP ile kapatılabilir).
İzin Atama — Doğru Yöntem
Best practice: bireysel kullanıcıya izin verme, gruplara ver. Yeni çalışan grubun üyesi olur, gruptaki tüm sitelere otomatik erişim sağlar. Çıkanı gruptan çıkarınca tüm erişim biter.
- Site → ⚙️ Site permissions → Advanced permissions settings.
- Grup seç (örn "Marketing Members").
- New → Add Users → AD security group veya M365 group seç.
- Email bildirimi (opsiyonel) → Share.
Custom Permission Level Oluşturma
Standart Edit/Read yetmiyorsa custom yapı:
- Site Settings → Permission Levels → Add a Permission Level.
- Örnek: "View Only — No Download". Read + View Items + View Pages işaretle. Open Items yok (indirme engelli).
- İlgili gruba bu seviyeyi ata.
External Sharing — Dış Kullanıcı İzni
External sharing 3 ayar kombinasyonu:
1. Tenant düzeyinde (SharePoint Admin Center)
- Anyone: Link bilen herkes (en açık)
- New and existing guests: Davet edilen (önerilen)
- Existing guests only: Daha önce davet edilmiş
- Only people in your organization: Sadece şirket (en sıkı)
2. Site düzeyinde
Tenant ayarından daha sıkı olamaz, daha gevşek olabilir. Hassas siteler için "Only your org" şart.
3. Document/Folder düzeyinde
Dosya/klasör başına paylaşım kararı. "Share" butonu ile link oluşturulur.
⚠ KVKK uyarısı: KVKK kapsamında kişisel veri içeren bir SharePoint dosyasını "Anyone with the link" ile paylaşmak açık ihlaldir. Hassas siteler için "Only people in your organization" şart. DLP politikası ile TC kimlik / kredi kartı tespit edildiğinde otomatik paylaşım engellenebilir.
Group/Site Tipi Karşılaştırma
| Tip | Kullanım | İzin yapısı |
| Team site (Microsoft 365 Group ile) | Departman / proje ekibi | Owner/Member, Teams kanalına bağlı |
| Communication site | Şirket portali, intranet, duyurular | Owners + Members + Visitors |
| Hub site | Birden fazla siteyi gruplayan ana | Hub permissions otomatik dağılır |
İzin Audit ve İnceleme
Site izin denetimi
- Site Settings → Site permissions: her grup ve üyelerini görüntüle
- Sağ tık Check permissions: belirli kullanıcının hangi izinlere sahip olduğunu sorgula
- Access Requests: kim izin istediyse listeler
Genel SharePoint audit (admin)
- purview.microsoft.com → Audit
- "SharePoint sharing" filtreleri ile son 90 gün external paylaşım aktivitesi
- "Shared file or folder" eylemi: kim, ne zaman, neye external link verdi
PowerShell ile İzin Toplu İşlem
Connect-PnPOnline -Url "https://sirketiniz.sharepoint.com/sites/Marketing" -Interactive
# Site üyelerini listele
Get-PnPGroupMember -Identity "Marketing Members"
# Yeni üye ekle
Add-PnPGroupMember -LoginName "ali@sirketiniz.com" -Identity "Marketing Members"
# Üyeyi çıkar
Remove-PnPGroupMember -LoginName "ali@sirketiniz.com" -Identity "Marketing Members" -Force
Yaygın Hata 5 + Çözüm
Hata 1: "Access denied" — Site Owner olduğunu düşünüyor ama erişim yok
Site izinleri "broken inheritance" sorunundan kaynaklı. Parent site izninden ayrılmış, kendi izin yapısı kurulmuş ama yöneticiyi eklemeyi unutmuş. Çözüm: SharePoint Admin Center → site'a girip kendi hesabını Owner ekle.
Hata 2: External user paylaşımdan sonra erişemiyor
External sharing tenant düzeyinde "Existing guests only" olabilir, kişi henüz guest olmamış. Çözüm: tenant ayarını "New and existing guests"'e geçir veya kullanıcıyı Entra ID\'ye manuel guest olarak ekle.
Hata 3: "Anyone with the link" çalışmıyor
Tenant düzeyinde "Anyone" devre dışı olabilir. SharePoint Admin → Sharing → Anyone seç (KVKK riski tartılarak).
Hata 4: Kullanıcı dosyayı görebiliyor ama indiremiyor
"View Only" custom permission veya DLP "block download" politikası uygulanıyor. Beklenen davranış.
Hata 5: Çalışan ayrıldı ama hâlâ izinleri görünüyor
Hesap unutuldu (Block sign-in yapıldı ama delete edilmedi). Çözüm: Active users → Delete user → 30 gün içinde permanently remove. SharePoint kayıtlarında "deleted user" olarak görünür.
📁 SharePoint İzin Yapılandırma + Audit
Mevcut SharePoint sitelerinin izin denetimi + KVKK uyumlu yeniden yapılandırma + external sharing politikaları + DLP entegrasyonu. CSP partner desteği.
SharePoint Audit →
İlgili Rehberler