Microsoft İstanbulbir microsoft iş ortağı projesi
Tüm yazılarMicrosoft Security

Microsoft Purview DLP Politikası Nasıl Yazılır? (2026 Rehber)

·~11 dk okuma
Microsoft Purview Data Loss Prevention koruma kanalları — Exchange, SharePoint, OneDrive, Teams, uç nokta ve inline web trafiği (Microsoft Learn resmi diyagramı)

Özet (TL;DR): Microsoft Purview Data Loss Prevention (DLP) politikası yazma süreci üç temel halkadan oluşur: bir cümlelik niyet bildirimi tasarlamak, Microsoft Purview portalında politikayı oluşturup simülasyon modunda çalıştırmak ve son olarak pilot grup üzerinde politika ipuçlarıyla test ettikten sonra üretime almak. Bu rehber HIPAA, PII ve kredi kartı senaryoları üzerinden Exchange, SharePoint, OneDrive, Teams, uç nokta cihazlar ve Microsoft Fabric kapsamında çalışan bir DLP politikasını sıfırdan nasıl yazacağınızı, doğrulayacağınızı ve güvenli biçimde üretime alacağınızı anlatır.

Ön Gereksinimler: Lisans, Rol ve Planlama

DLP politikası oluşturmadan önce üç şeyin hazır olması gerekir: doğru lisans, doğru yönetici rolü ve net bir politika niyeti. Bu üçü olmadan portala girip + Create policy tıklamak, çoğunlukla aylar sonra geri dönüp düzeltilmesi gereken yanlış yapılandırmalara neden olur.

Lisans Gereksinimleri

Temel SharePoint, OneDrive ve Exchange DLP kapsamı için Office 365 / Microsoft 365 E3 ya da yukarı planlar yeterlidir. Ancak gerçek hayatta ihtiyaç duyacağınız ileri yetenekler için Microsoft 365 E5 veya Microsoft 365 E5 Compliance standalone lisansı önerilir:

  • Microsoft Teams sohbet ve kanal mesajlarında DLP: E5 lisansı gerektirir. E3 yalnızca SharePoint/OneDrive üzerinden paylaşılan dosyaları kapsar, sohbet metnini kapsamaz.
  • Uç nokta DLP (Endpoint DLP): E5 veya E5 Compliance gerektirir. Windows 10/11 ve son üç macOS sürümünü kapsar.
  • Microsoft Fabric ve Power BI workspace kapsamı: Hem Microsoft 365 E5/E5 Compliance hem de Power BI Premium (kapasite veya Premium Per User) gerektirir.
  • Yönetim birimleri (Administrative Units): Microsoft Entra ID P1 veya P2 + Microsoft Purview lisansı gerektirir.
  • Outlook for Microsoft 365 gelişmiş politika ipuçları (oversharing dialog, gelişmiş sınıflandırıcılar): Microsoft 365 E5 veya Microsoft Purview Suite gerektirir.

Detaylı lisans matrisi için Microsoft'un Microsoft Purview hizmet açıklaması referans alınmalıdır.

Gerekli Roller

DLP politikası oluşturmak ve dağıtmak için kullanıcının aşağıdaki rol gruplarından birinde olması gerekir:

  • Compliance Administrator
  • Compliance Data Administrator
  • Information Protection
  • Information Protection Admin
  • Security Administrator

Daha ince taneli yetkilendirme için DLP Compliance Management, Information Protection Analyst ve Information Protection Investigator rolleri tek tek atanabilir. Yönetim birimi kısıtlı yönetici (administrative unit restricted admin) ile tam yetkili yönetici arasındaki farkı önceden anlamak, ileride alarmların yanlış kişilere düşmesini engeller. Microsoft Security tarafında Microsoft 365 Entra ID ile rol yönetimini bu aşamada düzgün yapın.

1. Adım: Politika Niyet Bildirimini Yazın

Microsoft Purview ekibinin önerdiği yöntem, politika oluşturma sihirbazına girmeden önce tek cümlelik bir niyet bildirimi yazmaktır. Bu cümle hem politikanın iş gerekçesini netleştirir hem de tüm yapılandırma kararlarına rehberlik eder.

Niyet bildirimi şu beş soruya yanıt vermelidir:

  1. Neyi izlemek istiyorum? (örn. HIPAA sağlık verisi, kredi kartı numarası, KVKK PII)
  2. Yönetim kapsamı (admin scoping) ne olacak? (Full directory mı, belirli yönetim birimleri mi?)
  3. Nerede izlemek istiyorum? (Exchange e-posta, SharePoint, OneDrive, Teams, uç nokta cihazlar, Fabric, Defender for Cloud Apps...)
  4. Politika hangi koşullarda eşleşecek? (Hassas bilgi türü, hassasiyet etiketi, dış paylaşım, vb.)
  5. Eşleşince ne yapılacak? (Audit only, Block with override, Block, Quarantine...)

Microsoft'un kullandığı örnek niyet bildirimi şudur:

"ABD merkezli bir kurum olarak, OneDrive ve SharePoint'te depolanan ve HIPAA kapsamına giren sağlık bilgisi içeren Office dosyalarını tespit etmek; bu bilgilerin Teams sohbet ve kanal mesajlarında paylaşılmasına engel olmak; tüm kullanıcıları yetkisiz üçüncü taraflarla paylaşmaktan alıkoymak istiyoruz."

Bu cümle, sihirbazda yapacağınız her tıklamayı önceden belirler. Bildirimi paydaşlarınızla (güvenlik, hukuk, IT operasyon, iş birimi sahibi) gözden geçirin ve onaylatın.

2. Adım: Microsoft Purview Portalında Politikayı Oluşturun

Niyet bildirimi onaylandıktan sonra Microsoft Purview portalına giriş yapın ve aşağıdaki sırayı izleyin.

Sihirbazı Açın

  1. Sol menüden Data loss prevention > Policies'a gidin.
  2. Üst kısımdan + Create policy'ye tıklayın.
  3. Politika kapsamını seçin: Enterprise applications & devices (Microsoft 365 + uç nokta) ya da Inline web traffic (Edge for Business + ağ).

Şablonu Seçin

Microsoft, hazır şablonlarla başlamayı önerir. Yaygın seçenekler:

  • Financial > PCI Data Security Standard (PCI DSS): Kredi kartı numarası tespiti için yerleşik şablon.
  • Privacy > U.S. Personally Identifiable Information (PII) Data Enhanced: ABD PII için kapsamlı şablon.
  • Medical and health > U.S. Health Insurance Act (HIPAA) Enhanced: SSN, DEA numarası, ICD-9/ICD-10 kombinasyonu.
  • Custom > Custom policy: Türkiye'ye özgü KVKK senaryosu, T.C. kimlik numarası, IBAN vb. için sıfırdan yapılandırma.

KVKK ve T.C. kimlik numarası gibi yerel veri tipleri için Custom policy tercih edip, Türkiye T.C. Kimlik Numarası hassas bilgi türünü ekleyerek özelleştirilmiş bir politika tasarlayın.

Politika Adı ve Yönetim Birimi

  1. Anlamlı bir politika adı verin: "KVKK PII - SharePoint OneDrive Dış Paylaşım Engelleme" gibi. Politika adı, ileride yapılan değişikliklerle birlikte alert ve aktivite kayıtlarında gözükür.
  2. Açıklama alanına niyet bildiriminizi yapıştırın.
  3. Admin units sayfasında, kuruluşun tamamına uygulanacaksa Full directory'yi seçin. Bölge veya iştirak bazlı yönetim için yönetim birimini belirleyin.

Konumları (Locations) Belirleyin

Politikanın uygulanacağı konumları seçin. Yaygın kombinasyonlar:

  • SharePoint sites + OneDrive accounts: dosya tabanlı veri sızıntısı için temel ikili.
  • Exchange email: gelen ve giden e-postada hassas bilgi taraması.
  • Teams chat and channel messages: sohbet ve kanallarda metin içi veri sızıntısı (E5 gerektirir).
  • Devices: Endpoint DLP ile yerel dosya kopyalama, USB'ye yazma, yazdırma, panoya kopyalama denetimi.
  • Fabric and Power BI workspaces: Power BI raporlarındaki hassas verinin yayılmasının önlenmesi.
  • Instances (Microsoft Defender for Cloud Apps): Microsoft dışı SaaS uygulamalarındaki içeriklere DLP genişletmek için.

Her konum için Edit bağlantısına tıklayarak dahil/hariç tutulacak siteleri, dağıtım gruplarını veya kullanıcıları rafine edin. Örneğin İK ve Hukuk OneDrive hesaplarını kapsam dışı bırakmak yaygın bir uygulamadır.

Politika Kuralını (Rule) Tasarlayın

Sihirbazda Create or customize advanced DLP rules seçeneğini seçip + Create rule'a tıklayın. Bir kural üç temel bölümden oluşur: Conditions (koşullar), Exceptions/NOT groups (istisnalar) ve Actions (eylemler).

Koşullara örnek olarak:

  • Content contains > Sensitive info types > Credit Card Number (eşik: 1 örnek, güven düzeyi: high)
  • Content contains > Sensitivity labels > Highly Confidential
  • Content is shared from Microsoft 365 > with people outside my organization

Boolean mantıkla bu koşullar AND/OR/NOT operatörleri kullanılarak gruplandırılır. Microsoft, eski Exceptions alanını nested NOT gruplarıyla değiştirmiştir; örneğin "Finance grubundan gönderilenler hariç" kuralını NOT grubu içinde tanımlarsınız.

Actions tarafında politika niyetine göre seçim yapın:

  • Restrict access or encrypt the content in Microsoft 365 locations: SharePoint/OneDrive/Teams dosyalarına dış erişimi engeller.
  • Audit or restrict activities on devices: Uç nokta cihazlarda kopyalama, yazdırma, USB transferi vb. denetler.
  • Block everyone and move file to quarantine location: SharePoint/OneDrive'da hassas dosyayı karantinaya alır.
  • Restrict third-party apps: Defender for Cloud Apps üzerinden Microsoft dışı SaaS'da paylaşımı engeller.
  • Restrict browser and network activities: Edge for Business üzerinden yetkisiz yönetilmeyen AI uygulamalarına yüklemeyi engeller.

Bildirim ve uyarı tarafında User notifications bölümünden politika ipucu (policy tip) metnini açın ve Incident reports bölümünden "Send an alert to admins when a rule match occurs" anahtarını On'a alın.

3. Adım: Simülasyon Modunda Çalıştırın

Microsoft'un en kritik tavsiyesi şudur: Politikayı asla doğrudan Turn it on olarak yayına almayın. Sihirbazın son adımında Policy mode sayfasında üç seçenek vardır:

  1. Run the policy in simulation mode: Hiçbir eylem uygulanmaz, sadece etkinlikler denetlenir. Yöneticiler Activity explorer'da neyin engelleneceğini görür.
  2. Run the policy in simulation mode and show policy tips while in simulation mode: Kullanıcılar politika ipucu görür ama eylem uygulanmaz; pilot grup için ideal.
  3. Turn it on right away: Tam üretim modu; tüm konumlarda eylemler uygulanır.
  4. Keep it off: Politika oluşturulur ama hiç çalışmaz.

Önerilen yol: politikayı simülasyon modunda başlatın, en az 7-14 gün veri toplayın, Activity explorer'da hangi etkinliklerin politika eşleşmesi tetiklediğini analiz edin. Yanlış pozitiflere göre kuralı revize edin. Sonra pilot kullanıcı grubu için simulation mode + policy tips moduna alın ve geri bildirim toplayın. Tüm yanlış pozitifler temizlendikten sonra üretim eylemini açın.

Politikayı Turn it on right away ile yayınladığınızda Microsoft, eylemlerin yaklaşık 1 saat içinde tüm konumlara yayıldığını belirtir. Microsoft 365 tenant'ı içindeki Exchange, SharePoint, OneDrive ve Teams için merkezi politika deposundan otomatik senkronizasyon yapılır.

4. Adım: Politikayı Test Edin ve Doğrulayın

Politikayı test etmenin pratik yolu, kasıtlı olarak bir politika eşleşmesi tetiklemek ve sonucu Activity explorer'da görmektir.

Endpoint DLP Politikası Testi

  1. Endpoint DLP onboard edilmiş bir Windows 10 / Windows 11 cihazda test dosyası oluşturun (örn. test-pii.docx).
  2. Dosyaya yeterli sayıda hassas bilgi koyun (örn. 5 SSN'lik fake veri).
  3. Dosyayı USB'ye kopyalamayı, başka bir buluta yüklemeyi veya yazdırmayı deneyin.
  4. Politika simülasyon modunda ise eylem geçer ancak kayıt düşer; Block with override moduna alındıysa block uyarısı görürsünüz.
  5. Microsoft Purview portalında Activity explorer'ı açın, son etkinlikler arasında DLP rule matched ve CopyToRemovableMedia gibi event'leri bulun.

SharePoint ve OneDrive Testi

SharePoint sitesinde kredi kartı içeren bir dosya yükleyip kuruluş dışında bir kullanıcıyla paylaşmayı deneyin. Politika doğru yapılandırıldıysa erişim engellenir; politika ipucu mesajı dış paylaşımı engellendiğinin farkındalığını yaratır.

Alert ve Telemetriyi İzleyin

  • DLP Alerts dashboard (Microsoft Purview portalı): son 30 gün uyarıları.
  • Microsoft Defender portal > Incidents & alerts: bulut, kimlik ve endpoint uyarılarıyla birlikte 6 ay saklanır.
  • Activity explorer: DLPRuleMatch event'leri yanına eşleşen kullanıcı eylemlerini (CopyToClipboard, CloudEgress, EmailSent vb.) gösterir.
  • PowerShell raporları: Get-DlpDetailReport, Get-DlpDetectionsReport, Get-MailDetailDlpPolicyReport cmdlet'leri Security & Compliance veya Exchange Online PowerShell'de çalışır.

Yaygın Hatalar ve Tuning İpuçları

Sahada en sık karşılaştığımız hatalar ve düzeltme yolları:

  • Çok fazla yanlış pozitif: Eşik (instance count) çok düşük seçilmiş. Örneğin 1 kredi kartı numarası eşiği, ekibin meşru muhasebe e-postalarını engelleyebilir. Eşiği 5-10'a çıkarın, güven düzeyini (confidence level) medium yerine high'a alın.
  • Politika Teams'de çalışmıyor: Teams DLP, E5 lisansı ve Microsoft Communications DLP servisinin tenant düzeyinde etkin olmasını gerektirir.
  • Endpoint DLP cihazlarda etkin değil: Cihaz, Microsoft Purview compliance portalında onboard edilmemiş olabilir. Settings > Device onboarding'i kontrol edin.
  • Uyarılar yanlış kişiye gidiyor: Incident reports bölümündeki alıcı listesini düzenleyin; yönetim birimi kısıtlı yönetici sadece kendi biriminin uyarılarını görür.
  • Politika 1 saatten uzun sürede etkili olmuyor: Çoğu durumda politika senkronizasyonu 1 saat içinde tamamlanır; SharePoint için tüm site koleksiyonlarına yayılma daha uzun sürebilir.
  • Stop processing more rules simülasyonda çalışmıyor: Bu özellik simülasyon modunda devre dışıdır; üretim moduna alındıktan sonra etkili olur.
  • Outlook desktop'ta politika ipucu görünmüyor: Karmaşık koşullu kurallarda Word/Excel/PowerPoint/Outlook desktop yalnızca Content contains sensitive information koşullu kurallar için politika ipucu gösterir.

İleri Senaryolar: AI, Fabric ve Edge for Business

2026 itibarıyla Microsoft Purview DLP, geleneksel Microsoft 365 kapsamının ötesine taşınmıştır:

  • Unmanaged AI uygulamalarına karşı koruma: ChatGPT, Google Gemini, DeepSeek gibi yönetilmeyen üretken AI uygulamalarına hassas veri yapıştırılmasını engelleyen yeni Inline web traffic politikaları, Edge for Business ve ağ tabanlı veri güvenliği üzerinden çalışır.
  • Microsoft 365 Copilot (önizleme): Copilot prompt ve yanıtlarında hassas verinin denetimi.
  • Microsoft Fabric ve Power BI: Microsoft Fabric workspace ve Power BI raporlarındaki hassas verinin engellenmesi.
  • On-premises file shares: Microsoft Purview Information Protection scanner ile şirket içi dosya sunucularında DLP uygulanması.
  • Microsoft Security Copilot entegrasyonu: DLP uyarılarının doğal dil özetleri, kök neden analizi ve hızlı yanıt önerileri.

Bu yetenekler kurumlarınızı hem klasik veri sızıntısı senaryolarına hem de üretken AI çağının özgün risklerine karşı korumanın temelidir.

Sıkça Sorulan Sorular (SSS)

Microsoft Purview DLP politikası kaç dakikada üretime alınır?

Politika oluşturulduktan ve Turn it on right away seçeneği ile açıldıktan sonra Microsoft, eylemlerin tüm konumlara yaklaşık 1 saat içinde yayıldığını belirtir. Exchange ve Teams için senkronizasyon genellikle daha hızlıdır; SharePoint büyük site koleksiyonlarında biraz daha uzun sürebilir. Politikayı doğrudan üretime almak yerine en az 7-14 gün simülasyon modunda çalıştırmak, üretim açılışında sürpriz iş kesintilerini önler.

KVKK uyumu için Microsoft 365'te DLP politikası nasıl yazılır?

KVKK için hazır şablon bulunmaz; Custom policy ile başlayın. Custom rule içinde Content contains > Sensitive info types alanına Türkiye T.C. Kimlik Numarası, IBAN, Türk Telefon Numarası ve sağlık bilgisi gibi yerel sensitive information type'ları ekleyin. Eşik (instance count) ve güven düzeyini iş akışınıza göre belirleyin. Eylem olarak Restrict access or encrypt the content in Microsoft 365 locations veya Block only people outside your organization tercih edin. Politika ipucunda KVKK aydınlatma metnine atıfta bulunarak farkındalık yaratın.

DLP simülasyon modu (simulation mode) tam olarak ne yapar?

Simülasyon modunda politika kuralları değerlendirilir ve eşleşmeler Activity explorer ile DLP overview'da görünür; ancak hiçbir block, encrypt veya quarantine eylemi uygulanmaz. Kullanıcılar engellenmediğini fark etmeden çalışmaya devam eder. Bu mod, politika tasarımını gerçek üretim verisi üzerinde test etmek ve yanlış pozitif oranını ölçmek için tasarlanmıştır. İlave olarak simulation mode with policy tips seçildiğinde pilot kullanıcılar uyarı metni görür ama yine de eylem uygulanmaz.

Microsoft Teams sohbetinde DLP çalışıyor mu? Hangi lisans gerekir?

Evet, Microsoft Teams sohbet ve kanal mesajları (özel kanal mesajları dahil) için DLP desteklenir. Ancak bunun için Microsoft 365 E5, Office 365 E5, Microsoft 365 E5 Compliance veya Microsoft 365 E5 Information Protection and Governance lisanslarından biri gerekir. Microsoft 365 E3 yalnızca Teams üzerinden paylaşılan SharePoint/OneDrive dosyalarını kapsar, sohbet metnini kapsamaz. Ayrıca tenant düzeyinde Microsoft Communications DLP servisinin etkin olması gerekir.

DLP politikası bir kez yazıldıktan sonra yeniden adlandırılabilir mi?

Önizleme aşamasında DLP politika ve kural adlarını yeniden adlandırma desteği eklenmiştir. Yeniden adlandırma sonrası Activity explorer, alert ve audit kayıtlarındaki mevcut kayıtlar eski adı korur; yalnızca yeni kayıtlar yeni adı yansıtır. Bu, raporlama tutarlılığı için önemlidir; çok agresif yeniden adlandırma, geçmiş incident analizini zorlaştırabilir. Mümkünse politika adlandırma standardınızı en başta net belirleyin.

Endpoint DLP, macOS cihazlarda da çalışıyor mu?

Evet. Microsoft Purview Endpoint DLP, Windows 10 ve Windows 11'in yanı sıra son üç macOS sürümünü destekler. Cihazlar Microsoft Purview compliance portalında onboard edilir; sonrasında dosya kopyalama, yazdırma, USB transferi, panoya kopyalama, network paylaşımına yazma ve yetkisiz tarayıcıya yükleme gibi etkinlikler izlenebilir veya engellenebilir. macOS desteği için Microsoft Defender for Endpoint dağıtımı önerilir.

DLP uyarıları Microsoft Defender XDR'da nasıl görünür?

2026 itibarıyla tüm DLP uyarıları Microsoft Defender portal (security.microsoft.com) içindeki Incidents & alerts kuyruğuna otomatik olarak akıtılır ve endpoint, kimlik, e-posta ve bulut uyarılarıyla aynı incident altında korelasyon kurar. Burada uyarılar 6 ay saklanır; Microsoft Purview DLP Alerts dashboard'unda ise yalnızca 30 gün görüntülenir. Microsoft Defender XDR korelasyonu sayesinde SOC ekibiniz, örneğin "hassas dosya paylaşımı + şüpheli e-posta yönlendirme + kimlik avı tıklaması" senaryolarını tek bir saldırı zinciri olarak izleyebilir.

Sonuç: Disiplinli Bir DLP Politikası Süreci

İyi bir Microsoft Purview DLP politikası, tek bir sihirbaz oturumunda yazılan değil; net bir iş niyeti üzerine kurulan, simülasyon modunda dürüstçe test edilen ve pilot gruptan üretime kademeli geçişle olgunlaşan bir politikadır. Niyet bildirimi, doğru lisans ve rol, doğru konum kapsamı ve doğru eylem seçimi bir araya geldiğinde DLP, kullanıcı verimliliğini bozmadan hassas verinin kuruluş dışına çıkmasını gerçek anlamda engeller.

2026'da DLP, klasik Microsoft 365 kapsamının çok ötesine geçti: Microsoft Fabric, Power BI, Microsoft 365 Copilot, Edge for Business inline trafik ve yönetilmeyen üretken AI uygulamaları artık aynı politika motorunun parçası. Bu nedenle DLP'yi izole bir compliance projesi olarak değil; Microsoft Security ve Copilot ve AI çözümleri portföyünüzle entegre, kuruluşunuzun veri yönetişim stratejisinin sürekli işleyen bir parçası olarak konumlandırın.

Microsoft İstanbul — Xen Bilişim ekibi olarak, kurumunuzun Microsoft Purview DLP yolculuğunda lisans planlamasından politika tasarımına, simülasyon modu analizinden pilot grup koçluğuna ve üretim kademeli geçişine kadar uçtan uca destek sağlıyoruz. KVKK uyumu, Endpoint DLP dağıtımı, Teams ve Microsoft Fabric kapsamı için İletişim sayfamızdan bize ulaşın.

İlgili yazılar

Power Automate marka gradyan görseli — bulut akışı ve onay otomasyonu (Microsoft resmi Power Platform kaynağı)
Microsoft 365

Power Automate ile Onay Akışı Nasıl Kurulur? (2026 Rehber)

Power Automate ile onay akışı nasıl kurulur? İzin talebi senaryosuyla SharePoint tetikleyici, Onay başlat ve bekle eylemi, koşul dalları, beş onay türü, sıralı/

30 Mayıs 2026Yazıyı oku
Azure Bastion mimarisi: TLS üzerinden Azure portal ve native client, NSG korumalı AzureBastionSubnet ve Private IP üzerinden RDP/SSH ile hedef VM'lere erişim — Microsoft Learn resmi diyagramı
Microsoft Azure

Azure VM RDP Bağlanamıyor Hatası Çözümü (2026)

Azure sanal makinenize RDP ile bağlanamıyorsanız çoğu zaman NSG kuralı, public IP eksikliği veya Uzak Masaüstü servisi sorunu vardır. IP flow verify, Bastion, J

26 Mayıs 2026Yazıyı oku
Microsoft Entra Global Secure Access mimari diyagramı — Internet Access ve Private Access'in kimlikleri, uç noktaları ve uzak ağları Microsoft 365, internet ve özel kaynaklara bağlaması (Microsoft Learn resmi diyagramı)
Microsoft Security

Microsoft Entra Global Secure Access Nedir? SSE Rehberi (2026)

Microsoft Entra Global Secure Access, İnternet Erişimi ve Özel Erişim'i tek çatıda birleştiren SSE çözümüdür. Sıfır Güven ilkeleriyle VPN'i kaldırır, kimlik tab

24 Mayıs 2026Yazıyı oku

Microsoft yolculuğunuzu
birlikte planlayalım

Mevcut altyapınızı ücretsiz değerlendirelim, doğru lisansı önerelim ve geçiş planınızı çıkaralım — aramayı uzmanlarımız 24 saat içinde yapar.

Ücretsiz Danışmanlık0850 259 59 49
WhatsApp