SHAREPOINT YETKİ MİMARİSİ
Bir kurumda yüzlerce SharePoint sitesi olduğunda, "İK'nın maaş klasörünü kim görebilir?" sorusunun cevabını bulmak ne kadar sürer? İyi tasarlanmış bir yetki mimarisinde dakikalar; tasarlanmamış olanda ise asla net cevaplanamayabilir. SharePoint'te yetkilendirme bir teknik mesele değil — organizasyonun nasıl çalıştığını yansıtan bir karar.
Yetkilendirmenin tek satırlık özeti şudur: yanlış kişi yanlış belgeyi görmesin, doğru kişi bekleme listesinde kalmasın. İkisi arasındaki denge SharePoint'te grup tasarımı, kalıtım yönetimi ve dış paylaşım politikalarıyla kurulur.
Üç Seviyeli Erişim
SharePoint'te izinler üç ana seviyede tanımlanır:
- Site seviyesi: Bir Microsoft 365 grubuna veya Teams ekibine bağlı sitenin üyelik yapısı. En üst katman.
- Kütüphane/liste seviyesi: Sitenin içindeki belirli bir doküman kütüphanesi veya liste için özel izinler. Site iznine ek olarak özel kısıtlama getirir.
- Öğe seviyesi: Tek bir doküman veya liste öğesine özel izin. Çok özel durumlar dışında kaçınılması gereken seviye.
Pratikte iyi sonuç veren prensip: izinleri olabildiğince site seviyesinde yönetmek, kütüphane düzeyinde sadece hassas alanlar için kalıtımı kırmak, öğe seviyesine ise yalnızca olağanüstü durumlarda inmek. Yetki ne kadar derine giderse bakım maliyeti o kadar artar.
Üç Rol, Üç Grup
Karmaşık permission level listesi yerine basit üç rol çoğu kurumsal senaryoda yeterli oluyor:
- Owners (Sahipler): Site ayarlarını değiştirebilir, izin verebilir, kütüphane yapısını düzenleyebilir.
- Members (Üyeler): Belge ekleyebilir, düzenleyebilir, yorum yapabilir. Site yapısına dokunamaz.
- Visitors (Ziyaretçiler): Sadece okuma yetkisi. Görüntüleme ve indirme yapar, değiştiremez.
Bu üç gruba kullanıcılar tek tek değil, Entra ID üzerinden gruplar halinde eklenir. "İnsan Kaynakları Departmanı" Entra grubu, "İK Sitesi Members" rolüne atandığında departmana yeni katılan biri için ekstra atama yapmaya gerek kalmaz; Entra üyeliği SharePoint iznini otomatik taşır.
Kalıtım: Kırma ile Kazanılan ve Kaybedilen
Site izinleri kütüphanelere ve klasörlere otomatik kalıtım yoluyla geçer. Kalıtım kırılırsa o alt kapsam bağımsız hale gelir. Bu güçlü bir özellik ama dikkatsiz kullanımda kabusa dönüşür.
Kalıtım kırma için iki sağlam senaryo var: hassas belge klasörü (maaş tabloları, sözleşmeler) ve dış paydaş erişimi gereken kütüphane. Bunların dışında kalıtım kırmak yerine ayrı bir site açmak çoğu zaman daha kalıcı.

Kalıtım kırılmış kapsamlar zamanla "kim neye erişiyor" sorusunun cevaplanmasını zorlaştırır. Güncel özellikler ve seçenekler Microsoft'un SharePoint destek sayfasında listelenir. Bir yıl sonra İK departmanından ayrılan bir çalışanın "Maaş 2024" klasöründe hâlâ izni olabilir ve bunu kimse fark etmeyebilir. Bu yüzden kalıtım kırılan kapsamların listesini ayrı bir kontrol panelinde takip etmek gerekir.
Dış Paydaş Erişimi
Tedarikçilerle, danışmanlarla, müşterilerle belge paylaşmak modern iş hayatının normalidir. SharePoint'te bunu üç farklı yolla yapabilirsiniz:
- "Anyone with the link" — bağlantı sahibi herkes erişebilir, en açık seçenek
- "People in your organization" — sadece kurum içinden
- "Specific people" — belirli e-posta adreslerine ad-hoc paylaşım
Kurumsal güvenlik açısından "Anyone with the link" çoğu zaman kapatılır. Dış paydaşlar Entra ID Guest hesabı olarak davet edilip belirli sitelere üye yapılır. Bu yöntem hem audit log hem de yetki devir kontrolü açısından çok daha sağlam.
Paylaşılan Kanal vs Ayrı Site
Teams'te paylaşılan kanal (shared channel) gelişiyle birlikte, kanal düzeyinde dış paydaşa açma seçeneği geldi. Bu, eskiden ayrı bir site kurmak gerektiren senaryoları basitleştirdi. Müşteri projelerinde her müşteri için ayrı site açmak yerine ana proje sitesinin bir kanalını müşteriyle paylaşmak yeterli olabilir.
Yine de hassas departman verisi içeren senaryolarda ayrı site tercih edilir. Paylaşım yanlışlıkla yapıldığında etkisini sınırlamak, ayrı site disiplininde çok daha kolay.
Audit ve Erişim İncelemesi
Yetki mimarisinin yaşaması için periyodik gözden geçirme şart. Microsoft Purview ve Microsoft 365 admin panelinden erişim incelemesi (access review) düzenli aralıklarla başlatılabilir.
Çeyrekte bir kez kütüphane sahiplerinden "Bu kütüphaneye erişimi olan kullanıcı listesi doğru mu?" onayı istemek, hesabı kapatılmamış eski çalışanların izinlerinin temizlenmesini sağlar. Bu küçük disiplin SharePoint'in açık kalmış kapı sayısını çarpıcı biçimde düşürür.
Yaygın Hatalar
Sahada en sık karşılaşılan yetki yönetimi hataları:
- Kullanıcıları tek tek SharePoint grubuna eklemek (Entra grubu kullanmak yerine)
- Her klasör için kalıtım kırıp özel izin vermek
- Yöneticilere "Full Control" yerine "Site Owners" yetkisi vermek yerine her şeye Owner yapmak
- Dış paydaşlara "Anyone with link" ile paylaşmak ve linki gönderince unutmak
- Eski çalışanların hesabı kapatıldığında SharePoint izinlerinin temizlenmemesi
Bu hataların ortak özelliği: kısa vadede hızlı bir çözüm gibi görünür, uzun vadede yönetilemez bir karmaşaya dönüşür. SharePoint yetki tasarımının başında biraz daha fazla zaman ayırmak, sonraki yıllarda saatlerce süren temizlik işlerinden kurtarır. Kurumsal seviyede sistemli bir yaklaşım için SharePoint eğitim programı izin mimarisi, dış paylaşım ve audit pratiğini tek bir akışta ele alır.
Sıkça Sorulan Sorular
SharePoint'te izinleri kullanıcı bazında mı grup bazında mı vermek doğru?
Grup bazında vermek neredeyse her zaman doğru. Kullanıcı bazlı atamalar başta hızlı görünür ama personel değişikliklerinde tek tek temizlemek gerekir. Entra ID gruplarına izin vererek departmana yeni katılan biri için ek işlem yapmaya gerek kalmaz; üyelik otomatik geçer.
Kalıtım kırmak ne zaman doğru ne zaman yanlış?
Hassas belge kütüphanesi veya dış paydaş erişimi için kalıtım kırmak doğru karar olabilir. Bunun dışında izin farklılaşması gereken her durumda ayrı site açmak daha kalıcı. Çok sayıda klasörde kalıtım kırılırsa altı ay sonra kim neye erişiyor sorusu cevaplanmaz hale geliyor.
Dış paydaşa belge paylaşmanın en güvenli yolu nedir?
Entra ID Guest hesabı oluşturup belirli site veya kütüphaneye üye yapmak. Bu yöntem audit log üretir, yetki devri kontrollüdür ve dış paydaş ayrıldığında erişimi tek noktadan kesilir. 'Anyone with the link' paylaşımı izlenebilirlik açısından çok daha riskli.
SharePoint Owners ile Members arasındaki kritik fark nedir?
Members belge ekleyip düzenleyebilir, yorum yapabilir; site yapısına dokunamaz. Owners ise site ayarlarını değiştirebilir, izin verebilir, kütüphane oluşturabilir. Owner sayısını sınırlı tutmak yetki suistimali riskini azaltır; ideal olarak site başına iki-üç owner yeterli.
Hassas veri için ayrı site mi yoksa kalıtım kırılmış kütüphane mi?
Ayrı site genelde daha güvenli. Kalıtım kırma yanlışlıkla geri açılabilir ya da yeni Owner farkında olmadan değiştirebilir. Ayrı sitede izin sınırı net görünür, audit log temizdir ve yanlışlıkla paylaşım riski minimum kalır. Sadece izin farkı çok dar ve geçici ise kalıtım kırma tercih edilebilir.
Erişim incelemesi ne sıklıkta yapılmalı?
Çeyrek bazında ana siteler için, yıllık olarak ise az kullanılan siteler için. Microsoft 365 admin panelindeki Access Reviews özelliği site sahiplerine otomatik onay e-postası gönderiyor. Onaylanmayan üyelikler periyot sonunda kaldırılabiliyor. Bu disiplin eski çalışanların açık kalmış erişimlerini sistematik temizliyor.
Teams paylaşılan kanal ne zaman ayrı siteden daha mantıklı?
Müşteri projesi gibi geçici dış paydaş erişimi ve düşük hassasiyetli içerik için paylaşılan kanal pratik. Müşteri başına ayrı site açmaktan çok daha az bakım gerektirir. Departman verisi, finansal bilgi veya kişisel veri içeren senaryolarda ayrı site hâlâ daha güvenli tercih.



