SharePoint Online site izinleri yanlış yapılandırıldığında en sık KVKK + veri sızıntısı kaynağıdır. "Everyone except external users" gibi geniş izinler veya "Anyone with the link" paylaşımları kontrolsüz veri açar. Bu yazıda KOBİ adminleri için SharePoint izin yönetiminin adım adım pratiğini anlatıyoruz.

SharePoint İzin Yapısının 3 Katmanı

KatmanKapsamYönetim
1. TenantTüm SharePoint tenant'ıSharePoint Admin Center
2. Site CollectionBir site ve alt siteleriSite Owner
3. Item LevelTekil dosya/klasör/liste öğesiSite Owner + dosya sahibi

Site Düzeyinde Varsayılan 3 İzin Grubu

Her SharePoint sitesinde otomatik 3 grup oluşur:

  • {Site Name} Owners (Full Control) — site yöneticileri. İzin ekler, silinir, ayarları değiştirir. Sınır 2-3 kişi olmalı.
  • {Site Name} Members (Edit) — günlük kullanıcılar. Dosya ekler, düzenler, siler. Kendi yüklediği klasörde tam yetki.
  • {Site Name} Visitors (Read) — sadece okuma. İndirme + yazdırma olabilir (DLP ile kapatılabilir).

İzin Atama — Doğru Yöntem

Best practice: bireysel kullanıcıya izin verme, gruplara ver. Yeni çalışan grubun üyesi olur, gruptaki tüm sitelere otomatik erişim sağlar. Çıkanı gruptan çıkarınca tüm erişim biter.

  1. Site → ⚙️ Site permissionsAdvanced permissions settings.
  2. Grup seç (örn "Marketing Members").
  3. New → Add Users → AD security group veya M365 group seç.
  4. Email bildirimi (opsiyonel) → Share.

Custom Permission Level Oluşturma

Standart Edit/Read yetmiyorsa custom yapı:

  • Site Settings → Permission LevelsAdd a Permission Level.
  • Örnek: "View Only — No Download". Read + View Items + View Pages işaretle. Open Items yok (indirme engelli).
  • İlgili gruba bu seviyeyi ata.

External Sharing — Dış Kullanıcı İzni

External sharing 3 ayar kombinasyonu:

1. Tenant düzeyinde (SharePoint Admin Center)

  • Anyone: Link bilen herkes (en açık)
  • New and existing guests: Davet edilen (önerilen)
  • Existing guests only: Daha önce davet edilmiş
  • Only people in your organization: Sadece şirket (en sıkı)

2. Site düzeyinde

Tenant ayarından daha sıkı olamaz, daha gevşek olabilir. Hassas siteler için "Only your org" şart.

3. Document/Folder düzeyinde

Dosya/klasör başına paylaşım kararı. "Share" butonu ile link oluşturulur.

⚠ KVKK uyarısı: KVKK kapsamında kişisel veri içeren bir SharePoint dosyasını "Anyone with the link" ile paylaşmak açık ihlaldir. Hassas siteler için "Only people in your organization" şart. DLP politikası ile TC kimlik / kredi kartı tespit edildiğinde otomatik paylaşım engellenebilir.

Group/Site Tipi Karşılaştırma

TipKullanımİzin yapısı
Team site (Microsoft 365 Group ile)Departman / proje ekibiOwner/Member, Teams kanalına bağlı
Communication siteŞirket portali, intranet, duyurularOwners + Members + Visitors
Hub siteBirden fazla siteyi gruplayan anaHub permissions otomatik dağılır

İzin Audit ve İnceleme

Site izin denetimi

  • Site Settings → Site permissions: her grup ve üyelerini görüntüle
  • Sağ tık Check permissions: belirli kullanıcının hangi izinlere sahip olduğunu sorgula
  • Access Requests: kim izin istediyse listeler

Genel SharePoint audit (admin)

  • purview.microsoft.comAudit
  • "SharePoint sharing" filtreleri ile son 90 gün external paylaşım aktivitesi
  • "Shared file or folder" eylemi: kim, ne zaman, neye external link verdi

PowerShell ile İzin Toplu İşlem

Connect-PnPOnline -Url "https://sirketiniz.sharepoint.com/sites/Marketing" -Interactive
# Site üyelerini listele
Get-PnPGroupMember -Identity "Marketing Members"
# Yeni üye ekle
Add-PnPGroupMember -LoginName "ali@sirketiniz.com" -Identity "Marketing Members"
# Üyeyi çıkar
Remove-PnPGroupMember -LoginName "ali@sirketiniz.com" -Identity "Marketing Members" -Force

Yaygın Hata 5 + Çözüm

Hata 1: "Access denied" — Site Owner olduğunu düşünüyor ama erişim yok

Site izinleri "broken inheritance" sorunundan kaynaklı. Parent site izninden ayrılmış, kendi izin yapısı kurulmuş ama yöneticiyi eklemeyi unutmuş. Çözüm: SharePoint Admin Center → site'a girip kendi hesabını Owner ekle.

Hata 2: External user paylaşımdan sonra erişemiyor

External sharing tenant düzeyinde "Existing guests only" olabilir, kişi henüz guest olmamış. Çözüm: tenant ayarını "New and existing guests"'e geçir veya kullanıcıyı Entra ID\'ye manuel guest olarak ekle.

Hata 3: "Anyone with the link" çalışmıyor

Tenant düzeyinde "Anyone" devre dışı olabilir. SharePoint Admin → Sharing → Anyone seç (KVKK riski tartılarak).

Hata 4: Kullanıcı dosyayı görebiliyor ama indiremiyor

"View Only" custom permission veya DLP "block download" politikası uygulanıyor. Beklenen davranış.

Hata 5: Çalışan ayrıldı ama hâlâ izinleri görünüyor

Hesap unutuldu (Block sign-in yapıldı ama delete edilmedi). Çözüm: Active users → Delete user → 30 gün içinde permanently remove. SharePoint kayıtlarında "deleted user" olarak görünür.

📁 SharePoint İzin Yapılandırma + Audit Mevcut SharePoint sitelerinin izin denetimi + KVKK uyumlu yeniden yapılandırma + external sharing politikaları + DLP entegrasyonu. CSP partner desteği. SharePoint Audit →

İlgili Rehberler