Microsoft Intune ile BYOD Cihaz Yönetimi: Çalışan Telefonlarını KVKK Uyumlu Korumak
18.05.2026
10:45
Xen Bilişim
Geçen ay bir muhasebe firmasının BT sorumlusu telefonla aradı: "Bir çalışanımız işten ayrıldı, kendi iPhone'undan şirket e-postalarını alıyordu, hatta müşteri dosyalarını OneDrive'dan indirmiş. Telefonu artık bizde değil, ne yapacağız?" Cevabımız basit ama acıydı: "Hiçbir şey yapamazsınız. Cihazınız değildi." 20 yılı aşkın BT danışmanlığı tecrübemizde bu sahneyi yüzlerce kez yaşadık. Çözüm ortada: Microsoft Intune. Bu yazıda BYOD (Bring Your Own Device) politikalarını KVKK uyumlu, çalışan dostu ve pratik şekilde nasıl uygulayacağınızı anlatıyoruz.
Microsoft Intune Nedir?
Microsoft Intune, Microsoft'un bulut tabanlı Unified Endpoint Management (uç nokta yönetimi) platformudur. Tek bir konsoldan şirketinizdeki tüm Windows bilgisayarları, Mac'leri, iPhone'ları, Android telefonları ve hatta Linux sunucuları yönetebilir; güvenlik politikalarını uzaktan uygulayabilirsiniz. İki ana modda çalışır:
MDM (Mobile Device Management): Tüm cihaz şirkete kaydedilir, kurumsal cihazlar için uygundur
MAM (Mobile Application Management): Sadece iş uygulamaları yönetilir, çalışanın kişisel verilerine dokunulmaz — BYOD için kritik
BYOD KOBİ'ler İçin Neden Sorun?
Türkiye'deki KOBİ'lerin büyük çoğunluğu çalışanlarına kurumsal telefon sağlamıyor. Bunun yerine kişisel cihazlardan Outlook, Teams ve OneDrive erişimi veriliyor. Sonuçlar dört başlık altında toplanıyor:
Veri ihlali riski: Çalışanın telefonu kaybolur, çalınır ya da satılır — şirket verisi onunla gider
İşten ayrılma kaosu: Mail ve dosya silinemeyince eski çalışan müşteri listesini rakibe taşır
KVKK uyumsuzluğu: KVKK Madde 12 "uygun güvenlik tedbiri" istiyor — kontrolsüz BYOD bu maddeyi ihlal eder
Phishing katlanır: Kişisel telefonda Microsoft Defender yoksa, sahte mail bağlantısı tıklandığında savunma sıfırdır
Intune ile BYOD: 4 Temel Senaryo
1. Şahsi iPhone'da Outlook Güvenliği (MAM)
Çalışan kendi iPhone'unda Outlook uygulamasını açtığında Intune ona şu kuralları uygular:
E-postadaki ek dosya şirket dışı uygulamalarla açılamaz
Çalışan ayrılınca Outlook ve Teams verisi uzaktan silinir — kişisel fotoğraflara dokunulmaz
2. Şirket Laptopunda Disk Şifreleme (BitLocker)
Intune, Windows 11 laptoplarda BitLocker'ı otomatik açar ve kurtarma anahtarını Azure'a güvenli şekilde yedekler. Kaybolan laptopun verisi okunamaz hâle gelir.
3. Conditional Access ile Sıfır Güven
"Sadece şirket cihazından ve Türkiye'den giriş yapılsın" politikası tek kuralla uygulanır. Yabancı IP'den ya da kayıtsız cihazdan gelen istek otomatik bloke edilir.
4. Phishing Koruması (Defender for Endpoint)
Intune ile birlikte gelen Defender for Endpoint, çalışanın telefonunda zararlı bağlantıları gerçek zamanlı engeller. Türkiye'de sahte kargo, banka ve operatör mail kampanyaları 2026 ilk çeyrekte rekor seviyeye ulaştı (USOM bildirimleri).
Intune Maliyeti Nedir?
Lisans
Aylık (kullanıcı başı)
Intune Dahil mi?
Microsoft 365 Business Premium
~$22
Evet
Microsoft 365 E3 / E5
$36 / $57
Evet
Intune Plan 1 (standalone)
$8
Evet (sadece Intune)
Microsoft 365 Business Basic
$6
Hayır
Pratik öneri: 1-300 kullanıcılı KOBİ için Business Premium en iyi seçim. Defender for Business, Intune, Azure Information Protection ve Conditional Access tek pakette geliyor.
Uygulamaya Geçiş: 5 Adımlı Yol Haritası
Tenant hazırlığı (1-2 gün): Microsoft 365 Business Premium / E3 lisansları aktif edilir, Entra ID üzerinde cihaz kayıt politikası açılır
MAM politikaları yazılır (3-5 gün): Outlook, Teams, OneDrive için kopyala-yapıştır kuralları, PIN ve jailbreak engeli tanımlanır
Pilot grup (1 hafta): BT ekibi ve 3-5 gönüllü kullanıcı kendi telefonlarına Intune Company Portal uygulamasını yükler, deneyimi raporlar
Conditional Access (2 gün): Türkiye dışı erişim engeli, MFA zorunluluğu ve cihaz uyum şartı uygulanır
Kuruluş geneli açılır (1-2 hafta): SSS dokümanı paylaşılır, helpdesk hazır olur
Tipik bir 50 kişilik KOBİ için tüm süreç 2-3 hafta sürer.
Çalışan İtirazları ve Cevapları
"Şirket benim telefonumu kontrol mü edecek?" — Hayır. MAM modunda Intune sadece iş uygulamalarını görür. WhatsApp mesajlarınıza, fotoğraflarınıza ya da kişisel mail hesabınıza erişim yoktur.
"Telefonumu sildirebilirler mi?" — Hayır. "Selective Wipe" sadece Outlook, Teams ve OneDrive iş verisini siler. iPhone fabrika ayarlarına dönmez.
"Pil ömrümü etkiler mi?" — Çok az. Intune Company Portal arka planda yalnızca politika güncellemesi çeker, sürekli izleme yapmaz.
KVKK Uyum Yaklaşımı
KVKK Madde 12 ve 16, kişisel veriyi işleyen veri sorumlularına "uygun teknik ve idari tedbir" zorunluluğu getirir. Intune ile sağladığınız belgeli kontroller:
Varlık envanteri: Hangi cihazda hangi şirket uygulamasının çalıştığını raporlayabilirsiniz
Erişim kontrolü: Conditional Access ile "kim, ne zaman, hangi cihazdan, nereden" erişebileceği belirlidir
Veri imhası: Çalışan ayrılınca "Selective Wipe" raporu KVKK ihlali soruşturmasında kanıt olur
Şifreleme zorunluluğu: BitLocker (Windows) ve cihaz şifreleme (iOS/Android) politika ile zorunlu kılınabilir
Sık Sorulan Sorular
Apple ekosistemi destekleniyor mu?
Evet, Intune iOS 15+ ve macOS 12+ için tam destek sağlar. Apple Business Manager entegrasyonu ile DEP/VPP otomatik dağıtım çalışır.
Mevcut bir MDM'den (örn. MaaS360, MobileIron) geçiş yapabilir miyiz?
Evet. Eski MDM'den çıkış ve Intune'a kayıt cihaz başına 1-2 saat sürer. Kullanıcı deneyimi minimal etkilenir.
Mac bilgisayarları yönetebilir miyiz?
Evet. Intune ile Mac cihazlara şifre politikası, FileVault şifreleme ve sertifika dağıtımı yapılabilir.
Intune ile Android Enterprise farkı nedir?
Android Enterprise, Google'ın kurumsal Android çerçevesidir. Intune bu çerçeveyi kullanır ve üzerine kurumsal politika katmanı ekler. İkisi birbirini tamamlar.
BYOD politikası imzalatmak yeterli değil mi?
Hayır. Yazılı politika niyeti gösterir; KVKK ve denetim "uygulanmış teknik tedbir" arar. Intune o tedbiri sağlayan kanıtlanabilir kontroldür.
Sonuç: Geç Kalmayın
KOBİ'lerin BYOD yönetimini ertelemesinin iki sonucu var: ya bir veri ihlali yaşayıp KVKK cezası alıyorlar ya da çalışan kaybında müşteri listesi rakibe gidiyor. Microsoft Intune, doğru yapılandırıldığında bu iki riski de ortadan kaldırır — üstelik çoğu KOBİ'nin zaten satın aldığı Microsoft 365 Business Premium lisansının içindedir.
Xen Bilişim olarak 20 yılı aşkın saha tecrübemizle KOBİ ve kurum tenantlarında Intune kurulumu, MAM politikası tasarımı, Conditional Access yapılandırması ve çalışan eğitimi sağlıyoruz. Şirketinizin BYOD risklerini değerlendirmek ve Intune yol haritası çıkarmak için bizimle iletişime geçin.
Bu Yazıyı Paylaş
Bu yazıyı paylaşın
Başlık, özet ve hashtagler panoya kopyalanır, paylaş penceresi açılır — yapıştırın (Cmd/Ctrl+V) ve gönderin.
Geçen ay bir muhasebe firmasının BT sorumlusu telefonla aradı: "Bir çalışanımız işten ayrıldı, kendi iPhone'undan şirket e-postalarını alıyordu, hatta müşteri dosyalarını OneDrive'dan indirmiş. Telefonu artık bizde değil, ne yapacağız?" Cevabımız basit ama acıydı: "Hiçbir şey yapamazsınız. Cihazınız değildi." 20 yılı aşkın BT danışmanlığı tecrübemizde bu sahneyi yüzlerce kez yaşadık. Çözüm ortada: Microsoft Intune. Bu yazıda BYOD (Bring Your Own Device) politikalarını KVKK uyumlu, çalışan dostu ve pratik şekilde nasıl uygulayacağınızı anlatıyoruz.
Microsoft Intune Nedir?
Microsoft Intune, Microsoft'un bulut tabanlı Unified Endpoint Management (uç nokta yönetimi) platformudur. Tek bir konsoldan şirketinizdeki tüm Windows bilgisayarları, Mac'leri, iPhone'ları, Android telefonları ve hatta Linux sunucuları yönetebilir; güvenlik politikalarını uzaktan uygulayabilirsiniz. İki ana modda çalışır:
MDM (Mobile Device Management): Tüm cihaz şirkete kaydedilir, kurumsal cihazlar için uygundur
MAM (Mobile Application Management): Sadece iş uygulamaları yönetilir, çalışanın kişisel verilerine dokunulmaz — BYOD için kritik
BYOD KOBİ'ler İçin Neden Sorun?
Türkiye'deki KOBİ'lerin büyük çoğunluğu çalışanlarına kurumsal telefon sağlamıyor. Bunun yerine kişisel cihazlardan Outlook, Teams ve OneDrive erişimi veriliyor. Sonuçlar dört başlık altında toplanıyor:
Veri ihlali riski: Çalışanın telefonu kaybolur, çalınır ya da satılır — şirket verisi onunla gider
İşten ayrılma kaosu: Mail ve dosya silinemeyince eski çalışan müşteri listesini rakibe taşır
KVKK uyumsuzluğu: KVKK Madde 12 "uygun güvenlik tedbiri" istiyor — kontrolsüz BYOD bu maddeyi ihlal eder
Phishing katlanır: Kişisel telefonda Microsoft Defender yoksa, sahte mail bağlantısı tıklandığında savunma sıfırdır
Intune ile BYOD: 4 Temel Senaryo
1. Şahsi iPhone'da Outlook Güvenliği (MAM)
Çalışan kendi iPhone'unda Outlook uygulamasını açtığında Intune ona şu kuralları uygular:
E-postadaki ek dosya şirket dışı uygulamalarla açılamaz
Çalışan ayrılınca Outlook ve Teams verisi uzaktan silinir — kişisel fotoğraflara dokunulmaz
2. Şirket Laptopunda Disk Şifreleme (BitLocker)
Intune, Windows 11 laptoplarda BitLocker'ı otomatik açar ve kurtarma anahtarını Azure'a güvenli şekilde yedekler. Kaybolan laptopun verisi okunamaz hâle gelir.
3. Conditional Access ile Sıfır Güven
"Sadece şirket cihazından ve Türkiye'den giriş yapılsın" politikası tek kuralla uygulanır. Yabancı IP'den ya da kayıtsız cihazdan gelen istek otomatik bloke edilir.
4. Phishing Koruması (Defender for Endpoint)
Intune ile birlikte gelen Defender for Endpoint, çalışanın telefonunda zararlı bağlantıları gerçek zamanlı engeller. Türkiye'de sahte kargo, banka ve operatör mail kampanyaları 2026 ilk çeyrekte rekor seviyeye ulaştı (USOM bildirimleri).
Intune Maliyeti Nedir?
Lisans
Aylık (kullanıcı başı)
Intune Dahil mi?
Microsoft 365 Business Premium
~$22
Evet
Microsoft 365 E3 / E5
$36 / $57
Evet
Intune Plan 1 (standalone)
$8
Evet (sadece Intune)
Microsoft 365 Business Basic
$6
Hayır
Pratik öneri: 1-300 kullanıcılı KOBİ için Business Premium en iyi seçim. Defender for Business, Intune, Azure Information Protection ve Conditional Access tek pakette geliyor.
Uygulamaya Geçiş: 5 Adımlı Yol Haritası
Tenant hazırlığı (1-2 gün): Microsoft 365 Business Premium / E3 lisansları aktif edilir, Entra ID üzerinde cihaz kayıt politikası açılır
MAM politikaları yazılır (3-5 gün): Outlook, Teams, OneDrive için kopyala-yapıştır kuralları, PIN ve jailbreak engeli tanımlanır
Pilot grup (1 hafta): BT ekibi ve 3-5 gönüllü kullanıcı kendi telefonlarına Intune Company Portal uygulamasını yükler, deneyimi raporlar
Conditional Access (2 gün): Türkiye dışı erişim engeli, MFA zorunluluğu ve cihaz uyum şartı uygulanır
Kuruluş geneli açılır (1-2 hafta): SSS dokümanı paylaşılır, helpdesk hazır olur
Tipik bir 50 kişilik KOBİ için tüm süreç 2-3 hafta sürer.
Çalışan İtirazları ve Cevapları
"Şirket benim telefonumu kontrol mü edecek?" — Hayır. MAM modunda Intune sadece iş uygulamalarını görür. WhatsApp mesajlarınıza, fotoğraflarınıza ya da kişisel mail hesabınıza erişim yoktur.
"Telefonumu sildirebilirler mi?" — Hayır. "Selective Wipe" sadece Outlook, Teams ve OneDrive iş verisini siler. iPhone fabrika ayarlarına dönmez.
"Pil ömrümü etkiler mi?" — Çok az. Intune Company Portal arka planda yalnızca politika güncellemesi çeker, sürekli izleme yapmaz.
KVKK Uyum Yaklaşımı
KVKK Madde 12 ve 16, kişisel veriyi işleyen veri sorumlularına "uygun teknik ve idari tedbir" zorunluluğu getirir. Intune ile sağladığınız belgeli kontroller:
Varlık envanteri: Hangi cihazda hangi şirket uygulamasının çalıştığını raporlayabilirsiniz
Erişim kontrolü: Conditional Access ile "kim, ne zaman, hangi cihazdan, nereden" erişebileceği belirlidir
Veri imhası: Çalışan ayrılınca "Selective Wipe" raporu KVKK ihlali soruşturmasında kanıt olur
Şifreleme zorunluluğu: BitLocker (Windows) ve cihaz şifreleme (iOS/Android) politika ile zorunlu kılınabilir
Sık Sorulan Sorular
Apple ekosistemi destekleniyor mu?
Evet, Intune iOS 15+ ve macOS 12+ için tam destek sağlar. Apple Business Manager entegrasyonu ile DEP/VPP otomatik dağıtım çalışır.
Mevcut bir MDM'den (örn. MaaS360, MobileIron) geçiş yapabilir miyiz?
Evet. Eski MDM'den çıkış ve Intune'a kayıt cihaz başına 1-2 saat sürer. Kullanıcı deneyimi minimal etkilenir.
Mac bilgisayarları yönetebilir miyiz?
Evet. Intune ile Mac cihazlara şifre politikası, FileVault şifreleme ve sertifika dağıtımı yapılabilir.
Intune ile Android Enterprise farkı nedir?
Android Enterprise, Google'ın kurumsal Android çerçevesidir. Intune bu çerçeveyi kullanır ve üzerine kurumsal politika katmanı ekler. İkisi birbirini tamamlar.
BYOD politikası imzalatmak yeterli değil mi?
Hayır. Yazılı politika niyeti gösterir; KVKK ve denetim "uygulanmış teknik tedbir" arar. Intune o tedbiri sağlayan kanıtlanabilir kontroldür.
Sonuç: Geç Kalmayın
KOBİ'lerin BYOD yönetimini ertelemesinin iki sonucu var: ya bir veri ihlali yaşayıp KVKK cezası alıyorlar ya da çalışan kaybında müşteri listesi rakibe gidiyor. Microsoft Intune, doğru yapılandırıldığında bu iki riski de ortadan kaldırır — üstelik çoğu KOBİ'nin zaten satın aldığı Microsoft 365 Business Premium lisansının içindedir.
Xen Bilişim olarak 20 yılı aşkın saha tecrübemizle KOBİ ve kurum tenantlarında Intune kurulumu, MAM politikası tasarımı, Conditional Access yapılandırması ve çalışan eğitimi sağlıyoruz. Şirketinizin BYOD risklerini değerlendirmek ve Intune yol haritası çıkarmak için bizimle iletişime geçin.
Telefon : 0850 259 5949
