Eh, Açık konuşayım: Yıllardır Azure Files’ı kurumsal müşterilere anlatırken aynı yere tosluyorduk. “Tamam abi, depolama güzel de Active Directory entegrasyonu için yine DC kuracağız, yine Entra Connect ile sync edeceğiz, yine VPN…” Peki cloud-native tarafı nerede kaldı? İşte tam bu noktada Microsoft sessiz sedasız bir şey yaptı — Azure Files SMB için Entra-Only identities artık genel kullanıma açıldı (GA).
Yanı? AD yok. Hybrid sync yok. Managed domain controller yok. Sadece Entra ID ve SMB paylaşımı var. Bak şimdi, bu bana 2018’de Azure AD Join ilk çıktığında hissettiklerimi hatırlattı; biraz tarihe tanıklık ediyormuş gıbı öldüm açıkçası.
Önce Bağlamı Oturtalım: Bu Niye Önemli?
Bakın şimdi, Azure Files SMB tarafında kimlik doğrulama hep aynı döngüye giriyordu: ya on-prem AD DS’ınız olacak, Entra Connect ile sync edip Kerberos üzerinden gideceksiniz ya da Azure AD DS (managed domain) kuracaksınız. İki seçeneğin ortak noktası şuydu: bir yerde bir Active Directory koşmak zorundaydınız. Garip değil mi? 2026’dayız ama dosya paylaşımı için hâlâ NTLM kökenli bir yükü sırtımızda taşıyorduk.
Geçen ay bir sigorta firmasında migration projesinde bunu birebir yaşadık. Müşterinin 1200 kullanıcısı vardı, hepsi Entra-joined cihazlarda çalışıyor, FSLogix profilleri için Azure Files istiyorlar; sadece authentication için iki VM ayağa kaldırmak gerekiyordu (sırf DC olsun diye), aylık 380-420 dolar ekstra maliyet çıkıyordu. Üstüne bu VM’lerin patch’i, izlenmesi, (söylemesi ayıp) yedeği derken iş uzuyordu (ciddiyim). Lafı gevelemeyeyim, bildiğiniz baş ağrısı.
Şimdi bu yapı ortadan kalkıyor. Entra ID üzerinden doğrudan Kerberos ticket alıp Azure Files SMB share’e bağlanıyorsunuz. Arada hiçbir şey yok. Evet.
“Cloud-native bir mimaride en büyük teknik borç, on-prem AD’ye bağımlılıktır. Entra-Only identities, bu borcu kapatan ilk gerçek adım.” — Bunu bir AZ-305 hazırlık oturumunda söylemiştim, hâlâ arkasındayım.
Mimarının Eski ve Yeni Hâli
Size bir şey söyleyeyim, Karşılaştırmayı somut yapalım; bence böyle daha iyi oturuyor kafaya:
| Bileşen | Eski Yapı (AD DS / Azure AD DS) | Yeni Yapı (Entra-Only) |
|---|---|---|
| Domain Controller | Gerekli (2 VM önerilir) | Yok |
| Entra Connect | Genelde gerekli | Yok |
| VPN / ExpressRoute | Authentication için sık sık gerek | Gerekmiyor |
| Aylık temel maliyet (yaklaşık) | ~$350-500 (sadece DC’ler) | $0 (sadece storage) |
| Kurulum süresi | 2-5 gün | 30-60 dakika |
| Patching yükü | Aylık DC bakımı | Yok |
Yanı, Bu tabloya bakıp da “vay arkadaş” demiyorsanız ya çok deneyimlisiniz ya da hiç AD ile uğraşmadınız demektir. Bizim gıbı 20 yılını AD trust’larıyla, FSMO rolleriyle, replication hatalarıyla geçirmiş insanlar için bu durum… rahatlama gıbı bir şey.
Teknik Olarak Ne Değişiyor?
İşte, size bir şey söyleyeyim, Işin altında Microsoft Entra Kerberos var. Yanı Kerberos protokolü ölmedi; sadece KDC (Key Distribution Center) rolünü artık on-prem DC yerine Entra ID üstleniyor. Client tarafında Entra-joined Windows cihaz Entra ID’den Kerberos ticket alıyor ve bu ticket ile storage account’a bağlanıyor. NTFS permission’ları işe share üzerinde tutuluyor.
Çok konuştum, örnekle göstereyim.
Hızlı Bir Aktivasyon Örneği
Bunu PowerShell ile açmak bayağı düz ilerliyor; geçen ay bir POC’ta kullandığım komutlar bunlar, direkt transkriptten aldım: Bu konuyla ilgili azure ile ilgili önceki yazımız yazımıza da göz atmanızı tavsiye ederim.
# Storage account üzerinde Entra Kerberos'u aç
Set-AzStorageAccount `
-ResourceGroupName "rg-files-prod" `
-Name "stfilesprod001" `
-EnableAzureActiveDirectoryKerberosForFile $true `
-ActiveDirectoryDomainName "contoso.onmicrosoft.com" `
-ActiveDirectoryDomainGuid (New-Guid).Guid
# RBAC rolünü ata (Storage File Data SMB Share Contributor)
New-AzRoleAssignment `
-SignInName "askin@contoso.com" `
-RoleDefinitionName "Storage File Data SMB Share Contributor" `
-Scope "/subscriptions/xxx/resourceGroups/rg-files-prod/.../fileServices/default/shares/profiles"
Bundan sonra client tarafında basit bir net use Z: \\stfilesprod001.file.core.windows.net\profiles yetiyor. SSO çalışıyor, kullanıcı parola sormuyor. İlk gördüğümde ben de “bu kadar mı?” dedim açıkçası. Bu konuyla ilgili Kubernetes v1.36 Server-Side Sharded Watch: Saha Notları yazımıza da göz atmanızı tavsiye ederim.
Peki Ya Bir Tuzak Var Mı?
Evet var; unutmadan söyleyeyim — eski yapıda NTFS izinlerini set etmek için bir VM’i domain’e join edip mount edip icacls ile uğraşıyorduk. Yeni yapıda portal üzerinden NTFS permission yönetimi, yanı grafiksel ACL yönetimi geliyor. Bu önemli çünkü Entra-only senaryoda domain-joined bir aracı VM her zaman elinizin altında olmayabiliyor. Daha fazla bilgi için Model Router Eval’leri: Sahada Doğru Modeli Bulmak yazımıza bakabilirsiniz.
Ama dürüst olayım: ilk denediğimde grup atamalarında biraz tuhaf davranışlar gördüm. Nested Entra grupları bazen permission resolution’da gecikiyor; token cache refresh olana kadar 15-20 dakika beklediğim öldü. Buna dikkat edin derim.
Kimin Işine Yarar, Kimlerin Yaramaz?
Türkiye’deki şirketlere bakınca tablo biraz değişiyor aslında. Şu gözlem bende netleşti: Entra-only senaryosu herkese uygun değil; abartmaya gerek yok.
Işe Yarar Senaryolar
- SAP Sapphire benzeri modern AVD + FSLogix profilleri: Profil disk’leri için Entra-only Azure Files bayağı iş görüyor.
- Tamamen cloud-native startup’lar: Hiç on-prem AD’si olmayan, sıfırdan Microsoft 365 ile başlayan firmalar direkt buradan gitsinler; AD’yi hayatlarına sokmasınlar. (bence en önemlisi)
- B2B partner erişimi: Dış paydaşlara FSLogix profili paylaşmak mümkün oluyor; mükerrer hesap açmadan kendi kimlikleriyle gelebiliyorlar.
- Dışarıdan çalışan ekipler: VPN’siz, sadece internet üzerinden Entra-joined laptop ile şirket dosyalarına erişim sağlanabiliyor.
Işe Yaramaz ya da Erken Sayılacak Senaryolar
- Köklü.NET / VB6 / legacy uygulamaları olan kurumsal yapılar: Hâlâ service account ile fileshare’e bağlanan muhasebe uygulamanız varsa Entra-only çalışmaz; service principal authentication SMB tarafında henüz first-class değil.
- Banka ve sigorta gıbı on-prem ağırlıklı kurumlar: Bir süre daha hibrit kalacaklar gıbı duruyor ama güzel haber şu ki coexistence destekleniyor; paralel ilerleyebilirsiniz.
- Linux client yoğun ortamlar:Dikkat edin burada işler biraz eksik kalıyor; MacOS limited preview olarak geldi ama Linux SMB istemcileri için tam destek yok gıbı duruyor. — bunu es geçmeyin
Türkiye Perspektifi: Kurumsal Müşterilerde Manzara Nasıl?
Kendi müşteri tecrübelerimde şunu net gördüm: Türkiye’de bu teknolojinin benimsenmesi biraz farklı olacak (bu konuda ikircikliyim). Çünkü bizde hâlâ “AD olmadan kurum olmaz” düşüncesi çok yaygın (yanlış duymadınız). Geçen sene büyük bir holdingin BT direktörüne Entra-only mimarı önerdiğimde bana “Ya bir gün internete çıkamazsak?” diye sordu. Haklı sayılır aslında; bizim tarafta altyapı sorunları pek nadir değil (bizzat test ettim)
Bence Türkiye’de pratik yaklaşım şu olmalı: >Yeni iş yüklerini Entra-only başlatın, mevcut hibrit yapıyı zorla taşımayın.. Yanı SAP Sapphire 2026: Azure Tarafında Yeni Dönem Başlıyor]] yazısında bahsettiğim gıbı kademeli modernizasyon genelde daha az can yakıyor.
Bir de TL bazında hesaplayınca tablo daha netleşiyor: Sadece authentication için iki adet B2ms DC VM’i koşturmanın aylık maliyeti bugünkü kurla yaklaşık 14-16 bin TL ediyor. Yıllığa vurunca 180-190 bin TL civarı çıkıyor. Orta ölçekli firma için bu küçük para değil; bildiğiniz ufak bir mühendisin maaşı demek.] [Entra-only ile bu kalem direkt sıfırlanıyor.
Pardon, burada akış biraz dağıldı ama rakamın etkisi gerçekten büyük.
Bir dakika — bununla bitmedi.
Sıkça Sorulan Sorular
Entra-Only identities için Active Directory’yi tamamen kaldırmam gerekiyor mu?
Aslında, Hayır, kaldırmak zorunda değilsiniz. Aslında co-existence destekleniyor — yanı mevcut AD-bağımlı share’leriniz çalışmaya devam ederken yeni share’lerinizi Entra-only olarak oluşturabiliyorsunuz. Bence bu kademeli geçiş yapmak isteyenler için oldukça ideal bir seçenek.
Hangı Windows sürümleri destekleniyor?
Tuhaf ama, Windows 10 21H2 ve üzeri, Windows 11’in pek çok sürümleri, Windows Server 2019/2022/2025 destekleniyor. Bir şart var tabii: cihazların Entra-joined veya Entra-hybrid-joined olması gerekiyor. Workgroup cihazlardan erişim maalesef mümkün değil.
MFA ile birlikte kullanabilir mıyım?
Evet, kullanabilirsiniz. Conditional Access policy’leri üzerinden Azure Files erişimine MFA zorunlu hâle getirebiliyorsunuz. Bilhassa hassas FSLogix profilleri veya finansal verilerin olduğu share’ler için bu gerçekten kritik bir güvenlik katmanı — açıkçası bu tür ortamlarda neredeyse kesinlikle tavsiye ederim.
Maliyet açısından AD DS’e göre ne kadar kazanç sağlıyor?
Tecrübeme göre en büyük kazanım, sadece authentication için ayakta tuttuğunuz domain controller VM’lerinin maliyetinin ortadan kalkması. Tipik bir yapıda, hani 2 adet B2ms VM hesabıyla konuşursak, aylık 300-500 USD arası bir tasarruf sağlanıyor. Bunun yanı sıra DC patching, monitoring ve backup gıbı operasyonel yükler de bir hayli azalıyor.
Peki neden?
Mevcut on-prem dosya sunucularımdan nasıl taşınabilirim?
Şunu söyleyeyim, Birkaç yol var aslında. Mesela Azure File Sync ile başlayıp daha sonra Entra-only’ye geçebilirsiniz, ya da AzCopy/Robocopy ile doğrudan migration yapabilirsiniz. Yalnız şunu söyleyeyim: NTFS izinlerinin doğru aktarılması için icacls kullanımı ve grup mapping’i (yanı AD grupları → Entra grupları eşlemesi) önceden iyice planlamanızı tavsiye ederim.
Kaynaklar ve İleri Okuma
Microsoft Azure Blog: Azure Files Entra-Only identities GA Duyurusu
Microsoft Learn: Enable Microsoft Entra Kerberos authentication for Azure Files
Daha açık söyleyeyim, size bir şey söyleyeyim, Microsoft Learn: Assign share-level permissions to a Microsoft Entra identity
FSLogix Container Types. AVD Best Practices
20+ yıl deneyimli Azure Solutions Architect. Microsoft sertifikalı bulut mimari ve DevOps danışmanı. Azure, yapay zekâ ve bulut teknolojileri üzerine Türkçe teknik içerikler üretiyor.
İlgili Yazılar
Bu içerik işinize yaradı mı?
Benzer içerikleri kaçırmamak için beni sosyal medyada takip edin.
