Microsoft İstanbulbir microsoft iş ortağı projesi
Tüm yazılarMicrosoft Security

Microsoft Entra PIM Nasıl Yapılandırılır? Ayrıcalıklı Erişim (2026)

·~7 dk okuma
Microsoft Entra yönetim merkezinde Privileged Identity Management (PIM) Hızlı Başlangıç ekranı — Microsoft resmi belgelerinden

Özet (TL;DR): Microsoft Entra Privileged Identity Management (PIM), yönetici rollerini kalıcı olarak vermek yerine kullanıcıları role uygun (eligible) hale getirip, ihtiyaç anında süre sınırlı olarak etkinleştirmelerini sağlayan bir Entra ID Governance hizmetidir. Yapılandırma dört adımdan oluşur: PIM'e erişim, kullanıcıyı role uygun atama, rol ayarlarını (etkinleştirme süresi, MFA, onay, gerekçe) belirleme ve kullanıcı tarafından rolün etkinleştirilmesi. Mayıs 2026 itibarıyla PIM, rol etkinleştirme anında Koşullu Erişim politikalarını (kimlik doğrulama bağlamı) zorunlu kılabiliyor — böylece sıfır güven (Zero Trust) ilkesi ayrıcalıklı erişimin tam merkezine yerleşiyor. PIM için Microsoft Entra ID P2 veya Microsoft Entra ID Governance lisansı gereklidir.

PIM Neden Önemli? Kalıcı Yönetici Hesaplarının Riski

Bir kurumda Global Yönetici (Global Administrator) rolü kalıcı olarak atanmış 15 hesap varsa, saldırgan açısından 15 ayrı giriş kapısı demektir. Bu hesaplardan herhangi biri ele geçirilirse, tüm dizin tehlikeye girer. Oysa o yöneticilerin büyük çoğunluğu rolü günde yalnızca birkaç dakika kullanır.

Microsoft Entra Privileged Identity Management (PIM) tam bu sorunu çözer: yöneticiler role kalıcı olarak sahip olmak yerine role uygun (eligible) olur. Ayrıcalığa ihtiyaç duyduklarında rolü etkinleştirir, MFA ile kimliklerini doğrular, gerekirse gerekçe yazar veya onay alır; iş bitince yetki otomatik olarak sona erer. Bu yaklaşım tam zamanında erişim (just-in-time / JIT) ve en az ayrıcalık (least privilege) ilkelerini somutlaştırır.

PIM yalnızca Microsoft Entra rollerini değil; Azure kaynak rollerini ve PIM for Groups üzerinden grup üyeliklerini de yönetebilir. Kimlik ve erişim katmanını uçtan uca güvenceye almak istiyorsanız PIM, Microsoft güvenlik çözümleri portföyünün en kritik bileşenlerinden biridir.

Ön Gereksinimler: Lisans ve Yetki

  • Lisans: PIM kullanımı lisans gerektirir. PIM özelliklerini kullanacak kullanıcılar için Microsoft Entra ID P2 ya da Microsoft Entra ID Governance lisansı atanmış olmalıdır.
  • Yönetim yetkisi: Microsoft Entra rolleri için atama yapmak ve rol ayarlarını değiştirmek üzere en az Privileged Role Administrator (Ayrıcalıklı Rol Yöneticisi) veya Global Administrator rolüne sahip olmanız gerekir.
  • Acil erişim hesabı: Yapılandırmaya başlamadan önce, kalıcı ve etkin Global Administrator yetkisine sahip en az bir acil erişim (break-glass) hesabı oluşturun. Bu, onay/aktifleştirme yapılandırması yanlış kurulduğunda kiracıdan tamamen kilitlenmeyi önler.

Adım 1 — PIM'e Erişim ve Rol Listesini Açma

  1. Microsoft Entra yönetim merkezine (entra.microsoft.com) en az Privileged Role Administrator yetkisiyle oturum açın.
  2. Sol menüden ID Governance > Privileged Identity Management yolunu izleyin.
  3. Microsoft Entra roles (Microsoft Entra rolleri) seçeneğine gidin ve Roles (Roller) sekmesini açın. Burada kiracıdaki yerleşik ve özel tüm roller listelenir.

PIM ilk kez açıldığında sol gezinti menüsünde Tasks (Görevler), Manage (Yönet) ve Activity (Etkinlik) başlıkları belirir. Yönetici buradan Microsoft Entra rolleri, Azure kaynak rolleri veya PIM for Groups arasında geçiş yapar.

Adım 2 — Kullanıcıyı Role Uygun (Eligible) Atama

PIM'in kalbi, kullanıcıyı role kalıcı (active) değil, uygun (eligible) olarak atamaktır. Adımlar:

  1. Roller listesinde Add assignments (Atama ekle) düğmesine tıklayın.
  2. Select a role ile atamak istediğiniz rolü (örneğin Exchange Administrator), ardından atanacak kullanıcıyı, grubu veya aracı (agent) kimliğini seçin ve Next deyin.
  3. Membership settings bölmesinde Assignment type olarak Eligible (Uygun) seçin. Eligible atamada kullanıcı rolü kullanmadan önce bir eylem (MFA, gerekçe, onay) gerçekleştirmek zorundadır; Active atamada ise hiçbir eylem gerekmeden yetkiye sahiptir.
  4. Süre seçeneğini belirleyin: Permanent eligible (kalıcı uygun) ya da başlangıç/bitiş tarihli time-bound eligible (süre sınırlı uygun). Proje/danışman gibi geçici görevlerde tarih sınırı önerilir.
  5. Assign ile atamayı oluşturun.

Önemli kural: Bir rol ataması beş dakikadan kısa süreyle yapılamaz ve atandıktan sonra ilk beş dakika içinde kaldırılamaz. Ayrıca son etkin Global Administrator atamasının yanlışlıkla silinmesi, kiracıdan kilitlenmeyi önlemek için sistem tarafından engellenir.

Adım 3 — Rol Ayarlarını (PIM Politikası) Yapılandırma

Her rolün kendi ayarları (PIM policy) vardır ve o role yapılan tüm atamalar bu ayarlara tabidir. Ayarlara ulaşmak için ilgili rolü açın ve Role settings > Edit deyin. Yapılandırabileceğiniz başlıca seçenekler:

  • Activation maximum duration (Etkinleştirme azami süresi): Etkinleştirilen rolün ne kadar süre etkin kalacağı — 1 ile 24 saat arası.
  • On activation, require multifactor authentication: Rol etkinleştirilirken MFA zorunlu kılınır. Ayrıcalıklı erişim için bu ayar daima açık olmalıdır.
  • Require justification on activation: Kullanıcı, rolü neden etkinleştirdiğine dair iş gerekçesi girmek zorunda kalır (denetim izi için değerli).
  • Require ticket information on activation: Destek bileti numarası istenir (yalnızca bilgi amaçlı, sistemle eşleştirme yapılmaz).
  • Require approval to activate: Etkinleştirme için onay zorunlu kılınır. En az bir, tercihen iki onaylayıcı seçin. Onaylayıcının herhangi bir role sahip olması gerekmez.
  • Assignment duration: Uygun ve etkin atamaların kalıcı mı yoksa süre sınırlı mı olabileceğini belirler.

Kritik uyarı: Tüm Privileged Role Administrator/Global Administrator hesapları yalnızca eligible ise, etkinleştirme için onay zorunluysa ve hiçbir onaylayıcı tanımlanmamışsa kiracıdan tamamen kilitlenirsiniz. Bu yüzden acil erişim hesapları ve belirli onaylayıcılar mutlaka önceden yapılandırılmalıdır.

Adım 4 — Koşullu Erişim Zorunluluğu (Mayıs 2026 Yeniliği)

Mayıs 2026'da duyurulan önemli bir geliştirmeyle PIM, rol etkinleştirme anında Microsoft Entra Koşullu Erişim (Conditional Access) politikalarını zorunlu kılabiliyor. Böylece yönetici, yalnızca statik rol uygunluğuna güvenmek yerine, kullanıcı rolü gerçekten etkinleştirdiği anda ek doğrulama ve güvenlik kontrolleri uygulayabilir.

Bu, On activation, require Microsoft Entra Conditional Access authentication context (Etkinleştirmede kimlik doğrulama bağlamı iste) ayarıyla yapılır:

  1. Önce bir kimlik doğrulama bağlamı (authentication context) oluşturun ve bu bağlama yönelik bir Koşullu Erişim politikası tanımlayın. Politikanın kapsamı tüm kullanıcıları veya role uygun kullanıcıları içermelidir — politikayı doğrudan dizin rolüyle kapsamlamayın, çünkü etkinleştirme anında kullanıcının henüz rolü yoktur.
  2. PIM rol ayarlarında ilgili kimlik doğrulama bağlamını seçin.
  3. Her etkinleştirmede yeniden kimlik doğrulama istemek için, Koşullu Erişim politikasında Session controls > Sign-in frequency değerini Every time olarak ayarlayın.

Bu sayede örneğin yalnızca Intune uyumlu cihazdan, yalnızca kimlik doğrulama gücü (Authentication Strengths) ile parolasız oturum açarak veya kullanım koşullarını kabul ederek rol etkinleştirilmesini zorunlu kılabilirsiniz. Koşullu Erişim politikası yapılandırmasına aşina değilseniz, Koşullu Erişim politikası nasıl yapılandırılır rehberimiz iyi bir başlangıçtır.

Yedek koruma: PIM ayarında kimlik doğrulama bağlamı seçili ama kiracıda o bağlamı hedefleyen hiçbir Koşullu Erişim politikası yoksa, sistem yapılandırma hatasına karşı koruma olarak etkinleştirmede otomatik MFA ister. Ancak bu yedek mekanizma; politikanın kapalı, rapor modunda veya kullanıcının hariç tutulmuş olduğu durumlarda devreye girmez.

Kullanıcı Tarafı: Rolü Etkinleştirme

Yapılandırma tamamlandıktan sonra son kullanıcı (uygun atanan yönetici) rolü şöyle kullanır:

  1. Entra yönetim merkezinde PIM > My roles (Rollerim) bölümüne gider.
  2. Etkinleştirmek istediği uygun rolün yanındaki Activate (Etkinleştir) düğmesine tıklar.
  3. MFA istenir (ayar açıksa), süre seçilir ve gerekçe yazılır.
  4. Onay gerekiyorsa istek beklemeye alınır; onaylayıcı PIM üzerinden onaylayınca rol etkin olur. Onay gerekmiyorsa kullanıcı rolü hemen kullanmaya başlar.

Etkin süre dolduğunda yetki otomatik sona erer — kullanıcının elle bir şey yapmasına gerek yoktur. Yeniden ayrıcalık gerektiğinde süreç baştan tekrarlanır.

Erişim İncelemeleri ve Denetim

PIM yalnızca erişim vermez, sürekli denetler. Access reviews (Erişim incelemeleri) ile rol atamalarının hâlâ gerekli olup olmadığını periyodik olarak gözden geçirebilir; My audit history ve denetim günlükleri üzerinden tüm etkinleştirme, onay ve atama olaylarını dışa aktararak iç veya dış denetimlere kanıt sunabilirsiniz. Ayrıcalıklı bir rol her etkinleştirildiğinde PIM, ilgili yöneticilere e-posta bildirimi gönderir.

Yaygın Hatalar ve Önleyici Kontroller

  • Onaylayıcısız onay zorunluluğu: Onayı zorunlu kılıp onaylayıcı tanımlamamak kilitlenmeye yol açar. Daima en az iki onaylayıcı ve bir acil erişim hesabı tanımlayın.
  • Politikayı role kapsamlamak: Koşullu Erişim politikasını doğrudan dizin rolüyle kapsamlarsanız etkinleştirme anında politika uygulanmaz. Kimlik doğrulama bağlamını kullanın.
  • Tek Global Administrator: Son etkin Global Administrator atamasını silmeye çalışmak sistemce engellenir; yine de en az bir kalıcı acil erişim hesabı şarttır.
  • Etkinleştirme sonrası kayma: Rol etkinleştirildikten sonra kullanıcı uyumsuz bir cihazdan oturum açıp yetkiyi kullanabilir. Bunu önlemek için biri kimlik doğrulama bağlamını, diğeri dizin rolünü hedefleyen iki Koşullu Erişim politikası kurun.

Sıkça Sorulan Sorular (SSS)

Microsoft Entra PIM için hangi lisans gerekir?

PIM kullanımı lisans gerektirir. PIM özelliklerini kullanan kullanıcılara Microsoft Entra ID P2 veya Microsoft Entra ID Governance lisansı atanmış olmalıdır. Yalnızca uygun (eligible) atanan ve rolü etkinleştiren kullanıcılar lisanslanmalıdır.

"Eligible" ile "Active" atama arasındaki fark nedir?

Active atamada kullanıcı hiçbir eylem yapmadan rol yetkisine sahiptir. Eligible atamada ise kullanıcı role uygundur ama yetkiyi kullanmadan önce rolü etkinleştirmek (MFA, gerekçe, gerekirse onay) zorundadır. PIM'in tam zamanında erişim avantajı eligible atamadan gelir.

Rol etkinleştirme süresi en fazla ne kadar olabilir?

Etkinleştirme azami süresi (Activation maximum duration) rol ayarlarından 1 ile 24 saat arasında belirlenir. Süre dolduğunda yetki otomatik olarak sona erer ve kullanıcının rolü yeniden etkinleştirmesi gerekir.

PIM ile her rol etkinleştirmede yeniden MFA istenebilir mi?

Evet. Mayıs 2026'dan itibaren, kimlik doğrulama bağlamı (authentication context) ile bir Koşullu Erişim politikası tanımlayıp Sign-in frequency değerini Every time yaparsanız, kullanıcının aktif oturumu olsa bile her etkinleştirmede yeniden kimlik doğrulaması istenir. Yeniden doğrulamadan sonra 10 dakikalık bir pencere içinde başka uygun roller ek doğrulama olmadan etkinleştirilebilir.

PIM yalnızca Microsoft Entra rolleri için mi çalışır?

Hayır. PIM; Microsoft Entra rollerinin yanı sıra Azure kaynak rollerini (abonelik, kaynak grubu, kaynak düzeyinde) ve PIM for Groups üzerinden grup üyeliği/sahipliğini de tam zamanında yönetebilir. Bu da PIM'i Azure ortamları için de güçlü bir yönetişim aracı yapar.

PIM yapılandırırken kiracıdan kilitlenme riski var mı?

Evet, yanlış yapılandırmada vardır: tüm yöneticiler eligible iken onayın zorunlu olması ve onaylayıcı tanımlanmaması en yaygın senaryodur. Bunu önlemek için kalıcı etkin yetkiye sahip bir acil erişim (break-glass) hesabı ve en az iki onaylayıcı tanımlayın.

Sonuç: Ayrıcalıklı Erişimi Sürekli Yönetilen Bir Sürece Dönüştürün

Microsoft Entra PIM, kalıcı yönetici hesaplarının yarattığı geniş saldırı yüzeyini, tam zamanında ve denetlenebilir bir erişim modeline dönüştürür. Doğru kurgulandığında her ayrıcalıklı işlem; MFA ile doğrulanmış, gerekçelendirilmiş, gerekirse onaylanmış ve süresi otomatik dolan bir olaya dönüşür.

Mayıs 2026'da gelen Koşullu Erişim zorunluluğu, bu modeli sıfır güven mimarisinin merkezine taşıyor: artık "kim role uygun" sorusu kadar "rolü hangi koşullarda etkinleştirebilir" sorusu da yönetilebilir. PIM'i acil erişim hesapları, onay akışları ve erişim incelemeleriyle birlikte konumlandırdığınızda, kurumsal kimlik güvenliğiniz hem daha sıkı hem de denetime hazır hale gelir.

Microsoft İstanbul — Xen Bilişim ekibi olarak, kurumunuzun Microsoft Entra PIM yapılandırması, Koşullu Erişim politikaları ve sıfır güven kimlik mimarisi yolculuğunda uçtan uca danışmanlık ve uygulama desteği sağlıyoruz. Ayrıcalıklı erişiminizi güvence altına almak için İletişim sayfamızdan bize ulaşın.

Kaynaklar

İlgili yazılar

Microsoft Agent 365 — kurumsal AI ajan kontrol düzlemi, Microsoft Security resmi blog duyuru görseli (1 Mayıs 2026 GA)
Microsoft Ai

Microsoft Agent 365 Nedir? AI Ajanları İçin Kontrol Düzlemi (2026)

Microsoft, 1 Mayıs 2026'da Agent 365'i genel kullanıma açtı: kurumdaki tüm AI ajanlarını tek yerden gözlemlemek, yönetmek ve güvenceye almak için bir kontrol dü

16 Haziran 2026Yazıyı oku
Modern kimlik doğrulama ve dijital anahtar kavramı — Microsoft Security blog resmi görseli
Exchange Online

Outlook Sürekli Şifre Soruyor Sorununun Çözümü (2026)

Outlook her açılışta veya sürekli parola mı soruyor? 'Parola Gerekli' uyarısı, kayıtlı kimlik bilgisi temizliği, Güven Merkezi ayarı, modern kimlik doğrulamayı

14 Haziran 2026Yazıyı oku
Microsoft Scout duyuru görseli — Build 2026'da yayınlanan resmi lansman görseli (microsoft.com/microsoft-365/blog kaynak)
Microsoft 365

Microsoft Scout Nedir? Copilot'tan Farkı, M365 Yöneticileri İçin Anlamı ve Kurumsal Yönetişim (2026)

Microsoft 2 Haziran 2026'da Build konferansında Scout'u duyurdu — Windows ve macOS için otonom çalışan, Microsoft 365 verisi üzerinde eylem yapan bir masaüstü A

14 Haziran 2026Yazıyı oku

Microsoft yolculuğunuzu
birlikte planlayalım

Mevcut altyapınızı ücretsiz değerlendirelim, doğru lisansı önerelim ve geçiş planınızı çıkaralım — aramayı uzmanlarımız 24 saat içinde yapar.

Ücretsiz Danışmanlık0850 259 59 49
WhatsApp