Microsoft İstanbulbir microsoft iş ortağı projesi
Tüm yazılarMicrosoft Security

Microsoft Entra Global Secure Access Nedir? SSE Rehberi (2026)

·~10 dk okuma
Microsoft Entra Global Secure Access mimari diyagramı — Internet Access ve Private Access'in kimlikleri, uç noktaları ve uzak ağları Microsoft 365, internet ve özel kaynaklara bağlaması (Microsoft Learn resmi diyagramı)

Özet (TL;DR): Microsoft Entra Global Secure Access, Microsoft'un Güvenlik Hizmeti Sınırı (Security Service Edge — SSE) çözümüdür ve iki ürünü tek çatı altında birleştirir: Microsoft Entra Internet Access (kimlik tabanlı Güvenli Web Ağ Geçidi) ve Microsoft Entra Private Access (VPN'siz Sıfır Güven Ağ Erişimi / ZTNA). Sıfır Güven ilkeleriyle (açıkça doğrula, en az ayrıcalık, ihlali varsay) kurulan çözüm, ağ trafiğini Microsoft'un 70 bölge ve 190'dan fazla ağ kenar noktasına yayılan küresel ağı üzerinden yönlendirir. Koşullu Erişim ile derin entegrasyon sayesinde internet, SaaS ve özel kurumsal kaynaklara erişim; kullanıcı, cihaz, konum ve risk bağlamına göre tek panelden yönetilir. Internet Access ve Private Access bugün genel kullanıma (GA) açıktır; Microsoft Entra Suite lisansına dahildir ya da bağımsız olarak satın alınabilir.

Microsoft Entra Global Secure Access Nedir?

Çalışma biçimi değişti. Kullanıcılar artık yalnızca ofiste değil, neredeyse her yerden çalışıyor; uygulamalar ve veriler buluta taşınıyor. Bu yeni gerçeklik, kimlik farkındalığı olan, buluttan teslim edilen bir ağ güvenlik sınırı gerektiriyor. Bu güvenlik kategorisinin adı Security Service Edge (SSE), yani Güvenlik Hizmeti Sınırı.

Microsoft Entra Global Secure Access, Microsoft'un SSE çözümüdür ve şemsiye bir terimdir. Altında iki ürün yer alır: Microsoft Entra Internet Access ve Microsoft Entra Private Access. Microsoft Entra yönetim merkezindeki birleşik Global Secure Access bölümü, her iki ürünün tüm ayarlarının yönetildiği tek noktadır. Çözüm, SaaS güvenliğine odaklanan bulut erişim güvenlik aracısı (CASB) Microsoft Defender for Cloud Apps ile birlikte; ağ, kimlik ve uç nokta erişim kontrollerini tek bir mimaride birleştirir.

Global Secure Access, Sıfır Güven (Zero Trust) ilkeleri üzerine kuruludur: en az ayrıcalık kullan, açıkça doğrula, ihlali varsay. Bu sayede internetteki, SaaS dünyasındaki veya şirket içindeki bir kaynağa erişim, basit bir ağ konumuna güvenmek yerine kimlik ve bağlam temelinde sürekli değerlendirilir.

SSE ve SASE: Ağ Güvenliğinde Yeni Kategori

Geleneksel kurumsal güvenlik, "içerisi güvenli, dışarısı tehlikeli" varsayımına dayalı bir çevre güvenliği (perimeter security) modeliydi. Kullanıcılar VPN ile şirket ağına bağlanır, bir kez içeri girdikten sonra çoğu kaynağa geniş erişim kazanırdı. Uzaktan çalışma ve bulut uygulamalarının yaygınlaşmasıyla bu model çöktü; ağın kenarı artık her kullanıcının cihazı oldu.

SSE; Güvenli Web Ağ Geçidi (SWG), CASB ve Sıfır Güven Ağ Erişimi (ZTNA) gibi yetenekleri buluttan tek bir hizmet olarak sunan kategoridir. SSE'yi yazılım tanımlı geniş alan ağı (SD-WAN) ile birleştirdiğinizde, sektörün SASE (Secure Access Service Edge) dediği mimari ortaya çıkar. Global Secure Access, Microsoft'un bu mimarideki güvenlik bileşenini temsil eder.

Global Secure Access yetenekleri, Microsoft'un 70 bölge ve 190'dan fazla ağ kenar noktasına yayılan, dünyanın en büyük özel ağlarından biri üzerinden teslim edilir. Bu yaygın altyapı sayesinde kullanıcılar ve cihazlar, herkese açık ve özel kaynaklara en yakın bulunma noktası (Point of Presence) üzerinden hızlı ve güvenli bağlanır.

Üç Trafik Yönlendirme Profili

Global Secure Access'in kalbinde trafik yönlendirme profilleri (traffic forwarding profiles) bulunur. Bir profil, hangi tür ağ trafiğinin Microsoft'un SSE altyapısına tünelleneceğini belirler. Kiracınızda (tenant) bu profilleri ayrı ayrı açıp kapatarak kademeli bir benimseme yolu izleyebilirsiniz:

  • Microsoft 365 erişim profili: Exchange Online, SharePoint, Teams gibi Microsoft 365 hizmetlerine giden trafiği, Microsoft Entra Internet Access for Microsoft services üzerinden doğrudan ve optimize edilmiş şekilde yönlendirir.
  • İnternet erişim profili: Genel internet ve SaaS uygulamalarına giden trafiği, kimlik tabanlı Güvenli Web Ağ Geçidi (Internet Access) üzerinden geçirir.
  • Özel erişim profili: Şirket içi ve bulut özel uygulamalarına giden trafiği, ZTNA çözümü olan Private Access üzerinden tünelleyerek VPN ihtiyacını ortadan kaldırır.

Profiller son kullanıcı cihazındaki Global Secure Access istemcisi aracılığıyla ya da bir şube konumundaki uzak ağ (remote network) bağlantısı üzerinden devreye alınır. Bu modülerlik, kurumların önce Microsoft 365 trafiğini güvenceye alıp ardından internet ve özel uygulama profillerine geçmesine olanak tanır.

Microsoft Entra Internet Access (İnternet ve SaaS Koruması)

Microsoft Entra Internet Access, internet ve SaaS uygulamalarına erişimi kimlik tabanlı Güvenli Web Ağ Geçidi (SWG) ile korur; tehditleri, güvenli olmayan içeriği ve kötü amaçlı trafiği engeller. Öne çıkan yetenekleri:

  • Web içerik filtreleme: İnternet hedeflerini web içerik kategorilerine ve/veya FQDN alan adlarına göre düzenler.
  • TLS denetimi: Şifreli trafiği açıp güvenlik politikalarını uygular, ardından yeniden şifreler.
  • Tehdit istihbaratı: Bilinen kötü amaçlı hedeflere erişimi Microsoft tehdit istihbaratıyla engeller.
  • Veri Kaybı Önleme (DLP): Ağ katmanında hassas veri sızıntısını denetler.
  • Bağlam farkındalıklı güvenlik: Kullanıcı, cihaz, konum, risk ve uyumluluk durumu bağlamını Koşullu Erişim ile birleştirerek ağ politikalarını uygular.
  • Evrensel Koşullu Erişim: Microsoft Entra ID ile federasyonu olmayan internet hedeflerine bile Koşullu Erişim oturum kontrolleri uygulanabilir.
  • Ayrıntılı trafik günlükleri ve panolar: Kullanıcılar, cihazlar ve uç noktalar arasındaki ilişki haritaları, kiracılar arası erişim ve en çok kullanılan ağ hedefleri görselleştirilir.

2026 itibarıyla Internet Access, üretken yapay zekânın kurumsal yaygınlaşmasına yanıt veren iki kritik yetenek de sunuyor: Gölge YZ keşfi (Shadow AI discovery) ile çalışanların onaylanmamış YZ uygulamalarına trafiği görünür kılınır; ajanlar için ağ kontrolleri ise (Microsoft Agent 365 lisansı gerektirir) YZ ajanlarının ağ trafiğini denetleyip komut enjeksiyonu (prompt injection) tabanlı saldırıları engeller.

Microsoft Entra Private Access (VPN'siz ZTNA)

Microsoft Entra Private Access, kullanıcılarınıza ister ofiste ister uzaktan olsun, özel ve kurumsal kaynaklara güvenli erişim sağlar. Microsoft Entra uygulama proxy'sinin (application proxy) yeteneklerini temel alıp her özel kaynağa, porta ve protokole genişletir. Uzaktaki kullanıcılar; hibrit ve çoklu bulut ortamlarındaki, özel ağlardaki ve veri merkezlerindeki uygulamalara, herhangi bir cihaz ve ağdan, geleneksel VPN'e ihtiyaç duymadan bağlanır.

Klasik VPN, kullanıcıyı tüm ağa açan geniş bir tünel kurar. Private Access ise uygulama bazlı uyarlanabilir erişim sunarak Koşullu Erişim politikalarına dayalı, çok daha ayrıntılı bir güvenlik modeli getirir. Temel özellikleri:

  • Hızlı Erişim (Quick Access): Korumak istediğiniz IP adresi aralıklarına ve FQDN'lere, eski VPN olmadan Sıfır Güven temelli erişim.
  • Uygulama bazlı erişim: TCP ve UDP uygulamaları için tek tek yetkilendirme.
  • Eski uygulama kimlik doğrulamasının modernleştirilmesi: Derin Koşullu Erişim entegrasyonu.
  • Özel DNS ve DNS sonekleri: Şirket içi ad çözümlemesi.
  • Tüm özel uygulamalarda tek oturum açma (SSO): Kerberos SSO desteği.
  • Uygulama keşfi (App Discovery): Kullanılan özel uygulamaların otomatik tespiti.
  • Özel ağ bağlayıcısı çoklu bulut desteği (Önizleme): Farklı bulut sağlayıcılarındaki kaynaklara erişim.

Private Access, mevcut Microsoft kimlik altyapısıyla kusursuz çalışır; bu nedenle Microsoft Entra ID üzerinde Sıfır Güven yolculuğuna başlamış kurumlar için VPN'i emekliye ayırmanın en doğal yoludur. Ürünün ayrıntıları için Microsoft Learn Private Access belgesi referans alınabilir.

Microsoft Entra Internet Access for Microsoft Services

Üçüncü bir yetenek olan Internet Access for Microsoft services, Microsoft Entra ID kapasitelerini desteklenen Microsoft hizmetlerine doğrudan bağlantı ile güçlendirir; güvenliği, performansı ve dayanıklılığı artırır. Bu yetenek ayrı bir SSE lisansı gerektirmez — Microsoft Entra ID P1 veya P2 lisansına dahildir. Sağladıkları:

  • Uyumlu Ağ denetimi (Compliant Network check): Microsoft Entra ID ile entegre uygulamalarda, Koşullu Erişim için ağ uyumluluğunu basitçe zorunlu kılar.
  • Evrensel Kiracı Kısıtlamaları (Universal Tenant Restrictions): Yetkisiz yabancı kiracılara veya kişisel hesaplara veri sızdırma riskini azaltır.
  • Kaynak IP geri yükleme (Source IP restoration): Microsoft Entra ID oturum açma günlüklerinde gerçek kaynak IP'yi koruyarak tehdit algılamalarının doğruluğunu artırır.
  • Microsoft 365 zenginleştirilmiş günlükleri: Microsoft trafiği için ayrıntılı ağ günlükleri ve politikaya dayalı içgörüler.

İstemci ve Mimari: VPN'den Farkı

Global Secure Access istemcisi, son kullanıcı cihazındaki ağ trafiği üzerinde kontrol sağlar ve belirli trafik profillerini Internet Access ile Private Access'e yönlendirir. Bu yönlendirme, kaynak erişimi için Sürekli Erişim Değerlendirmesi (CAE), cihaz uyumluluğu veya çok faktörlü kimlik doğrulama gibi ek kontrollerin uygulanmasına olanak tanır.

Birçok SSE çözümü trafiği bir VPN bağlantısı gibi yakalarken, Global Secure Access istemcisi hafif filtre sürücüsü (lightweight filter / LWF driver) kullanır. Bu fark sayesinde istemci, diğer SSE çözümleriyle (örneğin Palo Alto Prisma Access veya Cisco Secure Access) yan yana çalışabilir; trafik, yapılandırdığınız profillere göre paylaştırılır. İstemci bugün Windows, macOS, Android ve iOS için mevcuttur. Windows istemcisi, Microsoft Entra'ya katılmış veya hibrit katılmış cihazlarda en yaygın senaryodur.

Şube konumları için istemci kurmaya gerek olmadan, uzak ağ (remote network) bağlantısı ile tüm bir konumun trafiği Microsoft'un SSE altyapısına yönlendirilebilir. Bu da hem mobil çalışanları hem de fiziksel ofisleri aynı politika çerçevesi altında toplar.

Lisanslama ve Önkoşullar

Microsoft Entra Internet Access, Internet Access for Microsoft services ve Private Access bugün genel kullanıma (GA) açıktır. Lisans çerçevesi şu şekildedir:

  • Internet Access ve Private Access, Microsoft Entra Suite lisansına dahildir veya bağımsız (standalone) olarak satın alınabilir.
  • Internet Access for Microsoft services, Microsoft Entra ID P1 veya P2 lisansına dahildir.
  • Private Access ve Internet Access'i kullanmak için kullanıcıların ayrıca Microsoft Entra ID P1 veya P2 lisansı olmalıdır.
  • Çoğu Global Secure Access hizmeti, kullanıcı başına (per-user) lisans modeliyle çalışır.
  • Uzak ağ (şube bağlantısı) özelliğini etkinleştirmek için Microsoft Entra ID P1 ve Internet Access lisanslarından toplam en az 50 lisans gereklidir.

Yönetimsel önkoşul olarak, Global Secure Access özellikleriyle çalışan yöneticilerin Global Secure Access Administrator rolüne sahip olması gerekir. En az ayrıcalık ilkesini korumak için bu rolün, Privileged Identity Management (PIM) ile tam zamanında (just-in-time) atanması önerilir. Güncel fiyat ve plan ayrıntıları için Microsoft Entra Planları ve Fiyatlandırma sayfası esas alınmalıdır.

2026 Trendi: Agentic AI Çağında Ağ Görünürlüğü

2026, kurumsal yapay zekânın "ajan" (agent) çağına geçtiği yıl oldu. Microsoft'un Frontier vizyonu ve Agent 365'in genel kullanıma açılmasıyla birlikte, kurumlarda otonom YZ ajanlarının sayısı hızla artıyor. Bu durum, geleneksel kimlik ve uç nokta güvenliğinin ötesinde ağ katmanında ajan görünürlüğü ihtiyacını doğurdu.

Global Secure Access bu boşluğu iki yetenekle dolduruyor. Gölge YZ keşfi, çalışanların kurumsal onaydan geçmemiş üretken YZ servislerine yönelttiği trafiği ortaya çıkararak güvenlik ekiplerine erken uyarı sağlıyor. Ajanlar için ağ kontrolleri ise Microsoft Agent 365 lisansıyla, Copilot Studio ajanlarının ve uç nokta cihazlarında çalışan ajanların trafiğini ağ katmanında denetliyor; onaylanmayan hedeflere bağlantıyı kısıtlıyor ve kötü amaçlı komut tabanlı saldırıları engelliyor. Üretken YZ projeleri yürüten kurumlar için bu, Copilot ve YZ çözümlerinin güvenli ölçeklendirilmesinin temel taşı haline geldi. Bulut iş yüklerini de kapsayan daha geniş bir güvenlik duruşu için Microsoft Defender for Cloud ile birlikte değerlendirmek doğru bir yaklaşımdır.

Sıkça Sorulan Sorular (SSS)

Global Secure Access VPN'in yerini alır mı?

Evet. Microsoft Entra Private Access, özel ve şirket içi uygulamalara erişim için geleneksel VPN'in modern, kimlik merkezli bir alternatifidir (ZTNA). Kullanıcılar Global Secure Access istemcisi yüklü cihazlardan, VPN'e ihtiyaç duymadan kaynaklara erişir. Klasik VPN'in tüm ağı açan geniş tünelinin aksine, Private Access uygulama bazlı ve Koşullu Erişim politikalarına dayalı çok daha ayrıntılı bir erişim sunar.

Internet Access ile Private Access arasındaki fark nedir?

Microsoft Entra Internet Access, kullanıcıların internet ve SaaS uygulamalarına giden trafiğini kimlik tabanlı Güvenli Web Ağ Geçidi ile korur (web filtreleme, TLS denetimi, tehdit istihbaratı, DLP). Microsoft Entra Private Access ise kullanıcıların özel, kurumsal kaynaklara (şirket içi sunucular, dahili uygulamalar) Sıfır Güven temelinde, VPN'siz erişmesini sağlar. İkisi birlikte Microsoft'un SSE çözümünü, yani Global Secure Access'i oluşturur.

Global Secure Access için hangi lisans gerekli?

Internet Access ve Private Access, Microsoft Entra Suite lisansına dahildir veya bağımsız olarak satın alınabilir. Ek olarak, bu ürünleri kullanan kullanıcıların Microsoft Entra ID P1 ya da P2 lisansı olmalıdır. Internet Access for Microsoft services yeteneği ise ayrı SSE lisansı gerektirmeden Entra ID P1/P2 ile gelir. Çoğu hizmet kullanıcı başına lisanslanır; ajanlar için ağ kontrolleri ise ayrıca Microsoft Agent 365 lisansı ister.

Global Secure Access istemcisi başka SSE/VPN ürünleriyle birlikte çalışır mı?

Evet. Global Secure Access istemcisi, bir VPN bağlantısı yerine hafif filtre sürücüsü (LWF) kullanarak trafiği yakalar. Bu mimari sayesinde Palo Alto Prisma Access veya Cisco Secure Access gibi diğer SSE çözümleriyle yan yana çalışabilir. Trafik, yapılandırdığınız trafik yönlendirme profillerine göre Microsoft ile diğer çözüm arasında paylaştırılır; bu da kademeli geçiş senaryolarını mümkün kılar.

Global Secure Access Türkiye'den kullanılabilir mi?

Evet. Global Secure Access yetenekleri, Microsoft'un 70 bölge ve 190'dan fazla ağ kenar noktasına yayılan küresel ağı üzerinden teslim edilir. Kullanıcılar ve cihazlar kendilerine en yakın bulunma noktasına (Point of Presence) bağlanır; bu da Türkiye'deki kullanıcılar için düşük gecikme ve yüksek performans anlamına gelir. Güncel bulunma noktaları listesi Microsoft Learn'in points of presence belgesinden takip edilebilir.

Hangi cihaz ve platformlar destekleniyor?

Global Secure Access istemcisi Windows, macOS, Android ve iOS için mevcuttur. Windows tarafında Microsoft Entra'ya katılmış veya hibrit katılmış cihazlar tipik senaryodur. Ayrıca istemci kurmadan, şube konumlarının tüm trafiğini uzak ağ (remote network) bağlantısı üzerinden yönlendirmek de mümkündür; böylece mobil çalışanlar ve fiziksel ofisler aynı politika çatısı altında toplanır.

Sonuç: Kimlik Merkezli Ağ Güvenliğine Geçiş

Microsoft Entra Global Secure Access, internet, SaaS ve özel uygulama erişimini tek bir Sıfır Güven çatısında birleştirerek dağınık ağ güvenlik araçlarını sadeleştirir. Internet Access kimlik tabanlı Güvenli Web Ağ Geçidi sunarken, Private Access VPN'i emekliye ayıran bir ZTNA çözümü getirir; Internet Access for Microsoft services ise Microsoft 365 trafiğini doğrudan ve güvenli biçimde optimize eder. Koşullu Erişim ile derin entegrasyon, tüm bu erişimi kullanıcı–cihaz–risk bağlamına göre tek panelden yönetilebilir kılar.

Türkiye'deki kurumlar için pratik öneri: Önce Microsoft 365 erişim profilini etkinleştirip Uyumlu Ağ denetimi ve Kaynak IP geri yükleme gibi hızlı kazanımları elde edin; ardından Private Access ile en kritik şirket içi uygulamalarda VPN'i değiştirin; son aşamada İnternet erişim profilini açarak web filtreleme, DLP ve gölge YZ görünürlüğünü devreye alın. Bu kademeli yol, hem riski hem de değişim sürtünmesini düşük tutar.

Microsoft İstanbul — Xen Bilişim ekibi olarak, kurumunuzun Microsoft Entra Global Secure Access benimseme yolculuğunda lisans seçiminden trafik profili tasarımına, VPN'den ZTNA'ya geçişten Koşullu Erişim politikalarının kurgulanmasına kadar uçtan uca destek sağlıyoruz. İletişim sayfamızdan bize ulaşın.

İlgili yazılar

Power Automate marka gradyan görseli — bulut akışı ve onay otomasyonu (Microsoft resmi Power Platform kaynağı)
Microsoft 365

Power Automate ile Onay Akışı Nasıl Kurulur? (2026 Rehber)

Power Automate ile onay akışı nasıl kurulur? İzin talebi senaryosuyla SharePoint tetikleyici, Onay başlat ve bekle eylemi, koşul dalları, beş onay türü, sıralı/

30 Mayıs 2026Yazıyı oku
Azure Bastion mimarisi: TLS üzerinden Azure portal ve native client, NSG korumalı AzureBastionSubnet ve Private IP üzerinden RDP/SSH ile hedef VM'lere erişim — Microsoft Learn resmi diyagramı
Microsoft Azure

Azure VM RDP Bağlanamıyor Hatası Çözümü (2026)

Azure sanal makinenize RDP ile bağlanamıyorsanız çoğu zaman NSG kuralı, public IP eksikliği veya Uzak Masaüstü servisi sorunu vardır. IP flow verify, Bastion, J

26 Mayıs 2026Yazıyı oku
Microsoft 365 e-posta akışı ve Exchange Online posta işleme diyagramı — gönderim ve filtreleme katmanları (Microsoft Learn resmi diyagramı)
Exchange Online

Exchange Online Dış Alıcı Gönderim Sınırı (TERRL) Çözümü 2026

Exchange Online'da '550 5.7.233' (dış alıcı oran sınırı / TERRL) hatası mı alıyorsunuz? Bu sınır nedir, hangi belirtilerle ortaya çıkar, kök nedeni nasıl bulunu

22 Mayıs 2026Yazıyı oku

Microsoft yolculuğunuzu
birlikte planlayalım

Mevcut altyapınızı ücretsiz değerlendirelim, doğru lisansı önerelim ve geçiş planınızı çıkaralım — aramayı uzmanlarımız 24 saat içinde yapar.

Ücretsiz Danışmanlık0850 259 59 49
WhatsApp