Azure Files’ta Kimlik Duvarı Kalktı: Entra-Only Dönemi
Geçen ay, İstanbul’daki bir finans müşterisinde tam da şu soruyu masaya koyduk: “Dosya paylaşımını buluta taşıyoruz ama kimlik tarafında niye hâlâ eski dünyanın yükünü çekiyoruz?” İşin aslı şu ki, Azure Files tarafında Entra-Only identities tam da bu sıkıntıya dokunuyor. Yanı sadece depolama değil, kimlik katmanını da bulut-native hâle getiriyor. Benim hoşuma giden kısım bu öldü; çünkü çoğu projede teknik darboğaz diye görünen şey aslında dümdüz güvenlik ve işletme karmaşası çıkıyor.
Bu duyuruyu ilk okuduğumda aklıma 2019’da Ankara’da yürüttüğümüz bir hibrit geçiş geldi. O zamanlar SMB share erişimi için AD bağımlılığı yüzünden epey uğraşmıştık. VPN, domain join, sync, izin yönetimi… Hani zincir gibi uzuyordu. Şimdi bakınca, Microsoft’un burada yaptığı şey bayağı net: “kimliği de sadeleştir, erişimi de sadeleştir.” Kağıt üstünde güzel dürüyor; pratikte işe gerçekten iş görüyor.
Neyi değiştiriyor bu model?
Azure Files SMB erişimini yıllardır kullananlar bilir; dosya paylaşımı tarafı sağlamdır ama kimlik doğrulama kısmı bazen işin tadını kaçırırdı. Bilhassa on-prem Active Directory’ye bağımlı — en azından ben öyle düşünüyorum — yapı kurduğunuzda, her şey biraz daha ağır ilerliyor. Birden fazla site varsa işler iyice karışıyor. Şimdi Entra-Only ile kullanıcıyı doğrudan Entra ID" data-glossary-term="Microsoft Entra ID">Microsoft Entra ID üzerinden doğrulayıp SMB share’e eriştirebiliyorsunuz.
Kısa bir not düşeyim buraya.
Bu ne demek? AD DS kurayım mı, sync mi yapayım, managed domain controller mı açayım gibi soruların önemli bir kısmı ortadan kalkıyor. Açık konuşayım: küçük ekipler için bu (söylemesi ayıp) rahatlık büyük nimet değil belki ama baya iş görüyor. Büyük kurumsal yapılarda işe konu sadece rahatlık değil; uyumluluk, denetim izi ve operasyonel maliyet de ciddi biçimde etkileniyor.
Ben AZ-104 ve AZ-500 çalışmalarında hep şunu gördüm: mimariyi basitleştirmek çoğu zaman güvenliği zayıflatmaz, tam tersine güçlendirir. Çünkü karmaşıklık arttıkça yanlış yapılandırma ihtimali de artıyor. Azure Files’ta kimliği doğrudan Entra’ya bağlamak bana göre doğru yönde atılmış bir adım.
Kimlik katmanı ne kadar sadeleşirse, saldırı yüzeyi o kadar küçülür. Dosya paylaşımı tarafında en büyük kazanım bence performans değil; operasyonel yükün azalması.
Zero Trust açısından neden önemli?
Gel gelelim asıl kritik noktaya: Zero Trust. Bu modelde “ağ içindeysen güvenilirsin” mantığı yok. Her erişim isteği yeniden değerlendirilir. Hani ne farkı var diyorsunuz, değil mi? Azure Files Entra-Only yaklaşımı da buna bayağı uyuyor çünkü kullanıcıyı cihazla birlikte değerlendirip modern kimlik sinyallerini kullanabiliyor.
Bunu Türkiye’deki şirketler açısından düşününce tablo daha da netleşiyor. Birçok kurum hâlâ hibrit düzeni taşıyor (belki yanılıyorum ama) ama artık herkes aynı hızda ilerlemiyor; bazı departmanlar cloud-only’a geçmişken bazıları on-prem’den kopamıyor. Böyle ortamlarda yeni nesil dosya erişimi için tek bir kalıp dayatmak yerine geçiş dönemi desteği sunmak çok değerli oluyor.
Bir dakika — bununla bitmedi.
Kurumsal müşterilerimde gördüğüm kadarıyla Türkiye’de benimseme biraz temkinli oluyor… haklı olarak da öyle aslında. İnsanlar önce “Bu çalışacak mı?” diye bakıyor, sonra “Peki denetçi ne diyecek?” sorusuna geliyor. İşte burada native Entra auth avantaj sağlıyor; çünkü hem merkezî yönetim veriyor hem de klasik AD bağımlılığını azaltıyor.
AD’sız mimarı neden cazip?
Bunun cevabı basit: daha az bileşen demek daha az arıza noktası demek. Bu konuyla ilgili MSVC’de SPGO Neyi Değiştiriyor: PGO’nun Pratik … yazımıza da göz atmanızı tavsiye ederim.
Size bir şey söyleyeyim, Managed domain controller işletmek istemeyen ekipler için bu bayağı iyi haber. Daha fazla bilgi için MSVC Build Tools Preview Mayıs 2026: Derleyicid… yazımıza bakabilirsiniz.
Bir de VPN meselesi var tabiî. Uzaktan çalışan kullanıcıları sırf file share açacak diye iç ağa sokmak artık eski usül kalıyor; hatta bazen gereksiz yere işi uzatıyor. Şimdi kullanıcı Entra joined client ile geliyor ve işini hallediyor.
AVD ve FSLogix tarafında gördüğüm etki
Açık konuşayım, ben bu yeniliğin en çok AVD senaryolarında parlayacağını düşünüyorum. Çünkü profile management işi hep hassas olmuştur; FSLogix profilleri düzgün çalışsın istersiniz ama kimlik altyapısı sizi yorar durur. Burada built-in B2B desteği de ayrı güzel bir detay olmuş.
2024’ün sonlarında İzmir’de bir üretim firmasının VDI dönüşümünde benzer bir sorun yaşamıştık: dış ortaklar için ayrı hesap açma işi büyüdükçe büyüdü. Sonunda operasyon ekibi nefes alamaz hâle geldi. Eğer o zaman bugünkü yapı elimizde olsaydı iş çok daha temiz ilerlerdi sanırım… hatta eminim ciddi zaman kazanırdık. Bu konuyla ilgili files konusundaki yazımız yazımıza da göz atmanızı tavsiye ederim.
Garip gelecek ama, B2B ile partnerlerin kendi kimliğiyle gelmesi kulağa küçük detay gibi geliyor ama enterprise dünyasında küçük detay dediğiniz şey genelde bütçenin yarısıdır! Duplicate account üretmemek sadece temizlik değil; lisanslama, lifecycle management ve denetim açısından da ciddi rahatlık sağlar. T-SQL Regex Artık Büyük Veride de Rahat: CU5 De… yazımızda bu konuya da değinmiştik.
| Konu | Klasik Hibrit Model | Entra-Only Yaklaşımı |
|---|---|---|
| Kimlik kaynağı | AD DS / Sync / Domain Controller | Microsoft Entra ID |
| Operasyon yükü | Daha yüksek | Daha düşük |
| Zerotrust uyumu | Kısmi | Daha güçlü |
| Erişim modeli | Ağ merkezli | Kimlik merkezli |
| Maliyet baskısı | Sürekli bakım var | Daha öngörülebilir olabilir |
Maliyet ve işletme tarafı: asıl kazanç burada saklı
Maliyet deyince insanlar hemen storage GB fiyatına bakıyor. Asıl para çoğu zaman görünmeyen yerde gidiyor: bakım saatleri, sync hataları, domain sorunları, destek talepleri… E peki, sonuç ne öldü? Bir bankacılık projesinde bunu çok net gördüm; dosya servisi ucuz görünüyordu ama önü çevreleyen altyapı pahalıydı.
Küçük startup’larda bu özellik neredeyse direkt faydaya dönüşür çünkü ayrı AD altyapısı kurmadan ilerlemek mümkün olur. Enterprise tarafta işe geçiş planı biraz daha dikkat ister; özellikle legacy uygulamalarınız SMB üzerinde sert kodlanmışsa bir anda koparmak doğru olmaz.
Ayrıca TL bazında düşündüğünüzde döviz dalgalanması yüzünden “bugün uygun” görünen yönetim maliyeti yarın can sıkabiliyor (hani o klasik durum). Bu yüzden ben müşterilere hep şunu söylüyorum: yalnızca servis bedeline değil, toplam sahip olma maliyetine bakın. Bazen ucuz görünen mimarı uzun vadede hayal kırıklığı yaratıyor (yanlış duymadınız)
Küçük ekip mi büyük kurum mu?
- Küçük ekipteyseniz: hızlı kurulum ve az operasyon öncelik olsun.
- Büyük kurumdaysanız: geçiş döneminde hibrit destek şart olabilir.
- Dış ortak sayınız fazlaysa B2B senaryosunu muhtemelen test edin.
- Lisanslama ve cihaz uyumluluğunu baştan kontrol edin.
- Pilot ortamda NTFS izinlerini tek tek doğrulayın.
.
Sahada nerede takılır? İşte orası önemli…Bu servisi ilk denediğimde karşılaştığım hata oldukça basitti ama can sıkıcıydı: istemci cihazda gerekli Kerberos/kimlik akışı doğru oturmamıştı ve erişim sürekli reddediliyordu., çözümü şu öldü:, cihazın Entra join durumunu kontrol ettik, Intune politikalarını gözden geçirdik ve ilgili oturum belirteçlerini yeniledik.” Bu tarz sorunlar yeni teknolojilerde normaldir; özellikle preview’dan GA’ya geçen özelliklerde ilk birkaç gün insanın sabrı sınanır.”
İşte tam da bu noktada devreye giriyor.
“,
Neyse uzatmayayım — sahada en çok dikkat edilmesi gereken yerlerden biri NTFS izinleri ile portal yönetiminin birlikte nasıl çalıştığıdır.
Bir şeyi bulutta yapmak kolaydır… doğru yetki modelini oturtmak işe biraz emek ister.
Ben bunu her zaman Excel’de şema çizer gibi anlatıyorum:
önce kullanıcı grubu,
sonra kaynak grubu,
sonra klasör seviyesi izin,
en son test.” Bu konuyla ilgili LLM Cold Start Derdi: Blob Stream ile Hız Kazanmak yazımıza da göz atmanızı tavsiye ederim.
”
Neleri test etmelisiniz?Pilot kullanıcı oluşturun ve gerçek cihazla deneyin.Aynı klasöre hem iç hem dış kullanıcıyla erişim testi yapın.
“Tavsiyem ne olurdu?Eğer bugün sıfırdan tasarım yapıyorsanız ben açık ara cloud-native kimliği tercih ederim.
Bilhassa yeni nesil AVD veya ortak çalışma alanlarında bunun getirisi fazla.
Ama legacy uygulamalarınız bolca hard-coded ACL kullanıyorsa acele etmeyin;
önce en riskli paylaşımları seçip göç edin.”
”
“
Bence bu doğru yönde atılmış bir adım ama hâlâ eksik olan şey şu:
bazı kurumların politika setleri çok eski olduğu için teknoloji hazır olsa bile süreç hazır olmuyor.
Yanı mesele sadece ürün değil;
organizasyonel alışkanlıklar da değişmeli.”
”
“
# Pilot yaklaşımı için basit kontrol listesi
1) Entra Join durumunu doğrula
2) Intune uyumluluğunu kontrol et
3) Azure Files share permissions haritasını çıkar
4) Küçük bir pilot grup tanımla
5) Loglama ve izleme ayarlarını aç
6) Sonra kademeli yaygınlaştır
"”
Sıkça Sorulan Sorular
Azure Files Entra-Only identity ne demek?
Aslında Azure Files SMB erişimini Microsoft Entra ID üzerinden yönetmeyi sağlayan modern bir kimlik yaklaşımı. Yanı kullanıcıların on-prem Active Directory’ye olan bağımlılığını ciddi ölçüde azaltıyor.
Active Directory olmadan çalışıyor mu?
Evet, hani zaten temel hedef de bu.
Ama açıkçası bazı eski senaryolarda geçiş için biraz planlama gerekebiliyor.
AVD ile kullanmak mantıklı mı?
Eh, Bence kesinlikle! En çok da de FSLogix profil yönetimi olan ortamlarda tecrübeme göre gerçekten işe yarıyor.
MacOS desteği var mı?
Aslında, Evet, mesela şu an sınırlı bir preview kapsamında Platform SSO ile modern MacOS istemcileri destekleniyor.
Kaynaklar ve İleri Okuma
Azure Files Kimlik Doğrulama Genel Bakış
Microsoft Entra Dokümantasyonu
Açık konuşayım, Azure IaaS’te Savunma Katmanları: Güvenlik Nasıl Oturuyor?
20+ yıl deneyimli Azure Solutions Architect. Microsoft sertifikalı bulut mimari ve DevOps danışmanı. Azure, yapay zekâ ve bulut teknolojileri üzerine Türkçe teknik içerikler üretiyor.
İlgili Yazılar
Bu içerik işinize yaradı mı?
Benzer içerikleri kaçırmamak için beni sosyal medyada takip edin.
Yorum gönder