Geçen ay bir holding CIO’sunun masasında üç saat geçirdik. “Microsoft Purview alıyoruz, ne yapacağız” diye sordu. Cevap karmaşıktı çünkü Purview tek bir ürün değil — yedi farklı modülün şemsiyesi. Hangi modülü kuracağınız, KVKK kapsamınız, çalışan sayısı ve veri tipinize göre değişiyor.
Bu yazıda Purview’i “reklam dilinden” temizleyip sahada baktığım haliyle anlatıyorum. Hangi modüller var, hangisi lisansla geliyor, hangisi ek alır, KVKK kapsamı için minimumda ne lazım, hangi sıra ile kurarsınız, en sık atlanan üç şey nedir.
Purview adında iki farklı şey var
Bu konuda kafa karışıklığı yaratan ilk şey: Microsoft adını birleştirdi ama altında iki tarihsel ürün var.
- Microsoft Purview (eski adıyla Microsoft 365 Compliance): M365 verisi (Exchange, SharePoint, Teams, OneDrive) için DLP, sensitivity labels, retention, eDiscovery, insider risk yönetir.
- Microsoft Purview Data Map (eski adıyla Azure Purview): Azure ve hibrit veri kaynaklarını (SQL, Synapse, Snowflake, on-prem dosya sistemleri) kataloglayıp lineage çıkartır.
İki ürün artık aynı portal altında ama lisans, kurulum ve kullanım senaryoları farklı. Çoğu Türk müşteri “Purview alıyoruz” derken birinciyi kasteder; ikincisi data engineering ekibinin ihtiyacıdır.
Modül modül: Hangi parça ne işe yarar?
1. Data Loss Prevention (DLP)
E-posta, dosya paylaşımı, Teams sohbeti içinde hassas veri (TC kimlik, IBAN, kredi kartı, müşteri kayıtları) tespit eder; politikaya göre uyarır, engeller veya raporlar. KVKK çerçevesinde en sık ilk kurulan modül.
Türkiye senaryosu: “TC kimlik numaralı bir Excel dosyası harici bir e-posta ekine takılırsa kullanıcı uyarılsın, log tutulsun, gönderim için IT onayı istensin.”
2. Sensitivity Labels
Belgelere ve e-postalara hassasiyet etiketi yapıştırır. Etiket dolaşımda kalır — dosya başka bir kuruma gitse bile etiket kaybolmaz, açıldığında izin kontrolü yapılır.
Tipik kategoriler: Public, Internal, Confidential, Highly Confidential. KVKK içerikleri için “Confidential — Personal Data” gibi alt kategoriler.
3. Insider Risk Management
Kullanıcı davranışlarını analiz eder. “İstifa sürecindeki bir çalışan son 30 günde olağandışı miktarda dosya indirdi” gibi anomalileri yakalar. Türkiye’de finans sektöründe yaygın; KOBİ’lerde nadir.
4. eDiscovery (Premium)
Hukuki dava veya iç soruşturma sürecinde organizasyon genelinde içerik araması ve toplama yapar. “Şu tarih aralığında bu beş kişi arasındaki tüm yazışmaları topla” tarzı taleplere cevap verir. Premium sürüm dosyaları işleyip sunabilir hale getirir.
5. Communication Compliance
Teams, Yammer ve e-postalarda taciz, politika ihlali, düzenleyici uyumsuzluk içeren mesajları otomatik tespit eder. Çağrı merkezi ve finans firmaları için önemli.
6. Records Management
Belgeleri saklama politikalarına göre yönetir. “Sözleşme imzalandığı tarihten itibaren 10 yıl saklanmalı” gibi kuralları sistemleştirir. KVKK’nın “saklama süresi sona erince silinmeli” şartı için elzem.
7. Data Catalog (Purview Data Map)
Azure SQL, Synapse, Cosmos DB, Snowflake, on-prem SQL Server gibi kaynakları tarar; metadata çıkarır; lineage çizer. “Bu rapor hangi tablodan, hangi kolondan, hangi pipeline’dan beslendi” sorusuna cevap verir. Data engineering ekibinin ürünü.
Lisans labirenti: Neyle ne geliyor?
Purview’in en kafa karıştırıcı yanı lisans tarafı. Sahada kullandığımız kısa rehber:
| Modül | Hangi lisansla? |
|---|---|
| DLP (basic) | M365 E3 / Business Premium |
| DLP (Teams chat + endpoint) | M365 E5 + add-on |
| Sensitivity Labels (manual) | M365 E3 |
| Sensitivity Labels (auto) | M365 E5 / E5 Compliance |
| Insider Risk Management | M365 E5 / E5 Compliance |
| eDiscovery (Standard) | M365 E3 |
| eDiscovery (Premium) | M365 E5 / E5 Compliance |
| Data Catalog | Tüketim bazlı (capacity unit) |
Pratik öneri: M365 E5 lisansı Türkiye’deki bir orta ölçekli şirket için kullanıcı başına aylık ~75-90 USD bandında. KVKK uyumlu bir compliance setup için E5 yatırımı pek çok kuruluşta karşılığını veriyor. Eğer bütçe izin vermiyorsa E3 + E5 Compliance Add-on ile aynı modüllere erişebilirsiniz, daha hesaplı çıkar.
KVKK için minimum kurulum
KVKK denetimine hazırlık yapan bir Türk firması için minimum Purview kurulumu şöyle:
- Sensitivity Labels (en az 4 seviye): Public, Internal, Confidential, Restricted-Personal Data.
- DLP politikaları: En az TC kimlik, IBAN, kredi kartı, sağlık verisi tespit edip dış paylaşımı engelleyen politikalar.
- Records Management: Müşteri verilerinin saklama sürelerini sistemleştiren retention politikaları.
- Audit log retention: 1 yıl üstü (E5 ile 10 yıla kadar uzatılabilir).
- eDiscovery Standard: Veri sahibi haklarına yanıt verirken (silme, erişim talebi) içerik araması.
Bu beş öğe E5 + E5 Compliance kombinasyonu ile karşılanır. Daha agresif kontrol isterseniz Insider Risk Management ekleyin.
Kurulum: 90 günlük plan
Tek seferde her şeyi açmak felakettir. Sahada işe yarayan aşamalı plan:
Hafta 1-2: Discovery
Content Explorer açın. Mevcut M365 ortamınızda hangi tip hassas veri nerede dağılmış görün. Tipik bulgu: “3.400 dosyada TC kimlik var, çoğu OneDrive’da, yarısı 5 yıldan eski” gibi bir tablo. Bu raporu üst yönetime sunun, alarm zilini çaldırın.
Hafta 3-4: Sensitivity Labels Yayını
Önce sadece görsel etiketleme. Politika değil, eğitim. Kullanıcılar Outlook ve Word’de etiket seçmeyi öğrensin. Mandatory yapmayın. İlk hafta görmezden gelirler, üçüncü hafta alışırlar.
Hafta 5-7: DLP Pasif Mod
Politikaları “Test Mode” veya “Notify Only” olarak çalıştırın. Engelleme yok, sadece raporlama. Hangi politikanın ne kadar yanlış pozitif ürettiğini görün.
Hafta 8-10: DLP Aktif
İnce ayar sonrası gerçek engelleme moduna geçin. İlk hafta destek talepleri patlar; hazırlıklı olun.
Hafta 11-12: Records Management + Audit
Saklama politikalarını yayına alın. Audit log retention’ı uzun süreye çekin. Compliance Manager skoru takibe başlayın.
En sık üç hata
1. Tüm DLP politikalarını birden “engelle” moduna alıp bütün kurumun e-posta sistemini durdurmak
Sahada en sık gördüğümüz felaket. “Test mode” aşamasını atlamayın. En azından 2 hafta pasif çalıştırın, false positive raporları okuyun, ayar yapın, ondan sonra engelleyin.
2. Sensitivity Label sayısını şişirip kullanıcıyı yormak
4-5 üst seviye etiket yeter. “Confidential — HR — KVKK — Customer” gibi alt alta 18 etiket koyarsanız kullanıcı seçim yapamaz, hep “Public”i seçer, anlam kalmaz.
3. Audit log retention’ı varsayılan 90 günde bırakmak
KVKK denetiminde 2 yıl önceki bir veri ihlalini araştırmanız gerekirse log yoksa elinizde kanıt olmaz. E5 lisansınız varsa retention’ı 1-3 yıla çekin.
Power BI ile Purview Skoru Görselleştirme
Compliance Manager içinde otomatik skorlama var ama üst yönetime gösterilecek board panel için Power BI tarafına KQL ile veri çekiyoruz:
// Last 30 day DLP rule matches by user
DLPEvents
| where TimeGenerated > ago(30d)
| summarize Hits = count() by User, RuleName
| top 20 by Hits desc
Bu sorgu Audit Log Search üzerinden Power BI veya Sentinel’e besleniyor. Aylık compliance toplantılarında “hangi kuralın hangi departmanı en çok etkilediği” gözle görülür hale geliyor.
Sık Sorulan Sorular
Purview kullanmak için Microsoft 365 mi, Azure mi gerekiyor?
İkisi farklı kullanım için. M365 Compliance modülleri (DLP, labels, eDiscovery) için M365 E3/E5 lisansı; Azure Purview Data Map için Azure subscription + capacity unit faturalandırması.
KVKK denetimi için Purview yeterli mi?
Teknik kontroller için büyük oranda evet. Ama KVKK aynı zamanda VERBİS kaydı, açık rıza yönetimi, ihlal bildirimi süreçleri gibi prosedürel gereksinimleri de kapsar. Purview teknik tarafı çözer, prosedürel tarafı veri sorumlusu yöneticisi yönetir.
On-prem dosya sunucularımdaki KVKK verilerini de tarayabilir miyim?
Evet, Purview Data Map için Self-Hosted Integration Runtime kurarak on-prem SQL Server, file share ve diğer kaynakları tarayabilirsiniz. M365 tarafı bulut odaklı; on-prem mailbox/file için ek araçlar gerekir.
Insider Risk Management çalışan gizliliğini ihlal eder mi?
Doğru ayarlanırsa hayır. Pseudonymization açık çalışır — yöneticiler kullanıcı adı görmez, alarm geldiğinde onay süreci sonunda kimlik açılır. KVKK ve İK politikalarınıza göre yapılandırın.
Purview kurulumunu kendi başıma yapabilir miyim?
İlk kurulum (etiketler + temel DLP) IT yöneticileri tarafından yapılabilir. Insider Risk, eDiscovery Premium ve Records Management daha karmaşık; deneyimli bir partner ile yapmanız faydalı.
Sonuç
Microsoft Purview KVKK uyumu için en kapsamlı tek-platform çözümlerinden biri. Ama “alıp aktif et”le hızlı bir kazanım gelmez; aşamalı, eğitimli, ölçümlü bir yayılım gerektirir. Doğru kurulumda 90 gün sonra kurum genelinde veri akışı ve ihlal görünürlüğü gözle görülür şekilde artar.
Purview yol haritası çıkarmak veya mevcut kurulumunuzu denetlemek isterseniz CloudSpark olarak 1 günlük bir compliance assessment sunuyoruz. İletişim sayfasından bize ulaşabilirsiniz.
