Maili spam kutusunda.
Bir DNS sonra, gelen kutusunda.

Ana ayrım iki yere bakar: bir, mevcut çalışma kültürünüz ne kullanmaya alışık; iki, hangi uygulamalara ne kadar derinlikte ihtiyacınız var. Excel’in formül ekosistemine, Word’ün uzun döküman düzenine, Outlook’un kural yapısına bağlı olan finans, hukuk, mühendislik kuruluşları için M365 çoğunlukla doğru cevap. Buna karşılık, gerçek zamanlı işbirliği gerektiren ajanslar, eğitim kurumları ve dağıtık ekipler için Workspace daha akıcı. Karar verirken lisans maliyeti, hangi cihaz parkına sahip olduğunuz, OneDrive vs Drive kotaları ve üçüncü parti entegrasyonlarınız da işin içine girer — bu yüzden 30 dakikalık keşif çağrısında üç senaryoyu birden fiyat ve kapasite ile yan yana koyup karşılaştırmalı sunarız.

Hayır — ve bu cevabı veriş şeklimiz teknik garantiye dayalıdır. Tipik bir göç şu sırayla işler: önce mevcut sunucudan tam bir envanter çıkarırız (mail sayısı, klasör ağacı, ekler, takvim, kişiler). Sonra IMAP, EWS ya da PST üzerinden yeni tenanta önce büyük bir baz kopya çekeriz; göç günlerinde her gece artımlı delta alırız. Cuma akşamı MX kayıtlarını çevirmeden önce son bir delta daha çekilir — böylece pazartesi sabahı kullanıcı eski sistemde olan her mail’i yeni sistemde de bulur. Tüm süreç boyunca eski sunucu okuma modunda 14-30 gün daha çalışır; bir şey eksik gibi görünürse oradan tekrar getiririz.

Doğru hazırlanırsa pratik olarak hayır. MX kaydı için 24-48 saat propagation süresi vardır; ama biz cutover’dan 7 gün önce TTL’i 300 saniyeye düşürürüz, böylece tüm dünyadaki çözücüler kaydı 5 dakika içinde yenilemeye başlar. Cutover gecesi MX değişimini yaptıktan sonra eski sunucu hâlâ ayakta tutulur ve oraya gelen mailler otomatik olarak yeni tenanta forward edilir. Sonuç: kullanıcı tarafında "saat 03:00’dan beri mail gelmiyor" gibi bir durum yaşanmaz — sadece bazı maillerin teslim yolu birkaç saat boyunca eski sunucudan geçer, oradan da yeni sisteme aktarılır.

Doğru yapılandırılan MFA günde tek bir onay anlamına gelir; her oturum açılışında telefonu çıkarmak değil. Conditional Access politikası ile kurumsal ağdan, tanınan cihazdan, düşük riskli IP’den geliş yapan çalışan MFA istemini geçmez. Sadece yeni cihaz, yeni şehir, uzun süre boşta kalma gibi risk sinyalleri olduğunda telefonu ister. Sonuç: çoğu çalışan günde sadece sabah bir kez Authenticator’dan onaylar, gerisi şeffaf akar. Bir saldırgan parolayı sızdırıp giriş denerse ise telefon her seferinde sorulur — sahip değilse içeri girmez.

İlk yıl ayda bir, sonrasında iki ayda bir kampanya — verimli aralık budur. Her kampanyada hedef kitlenin yaklaşık 1/3’ünü farklı bir senaryoyla sınarız (kargo, banka, şirket-içi taklit, fatura, paylaşılan dosya). Tıklayan her kullanıcıya o saniye 12 dakikalık mikro eğitim atanır; bir sonraki simülasyonda tekrar hedef kitleye dahil edilir. Bildiren kullanıcıların skoru artar, bildirilen mail SOC’a düşer. 6 ay sonra ortalama tıklama oranı %18’den %4’ün altına iner. Bunu sadece "eğitim videosu seyrettirmek" ile başaramazsınız — gerçek zamanlı simülasyon şart.

İK’dan ayrılma bildirimini aldığımız anda. Süreç şöyle işler: tek tıkla hesap devre dışı bırakılır (tüm cihazlardan oturumu kapatır), mail kutusu 30 gün arşivde saklanır, dosyalarına yöneticisinin erişimi açılır, sonra silinir. Bu süreçte ihtiyaç duyulan delegasyon, otomatik yanıt mesajı, mail yönlendirme ve aktif lisansın geri kazanımı eşzamanlı yapılır. Kritik nokta: kapatmadan önce mailbox’ı PST/JSON formatında dışa aktarırız ve şirketin arşivine koyarız; "altı ay sonra o kişinin müşteriyle yaptığı yazışmayı bulun" denilince hâlâ erişebiliriz.

Evet — ancak uyum, "platformun kendisi uyumludur" beyanıyla başlayıp sizin doğru ayarları yapmanızla biter. Microsoft ve Google AB veri merkezleri ve KVKK için bireysel veri işleyici sözleşmeleri (DPA) sunar. Bizim katkımız üç başlıkta: bir, AB residency seçimi ve veri ikamet politikalarının doğru ayarlanması; iki, kullanıcı, mailbox, OneDrive/Drive üzerinde DLP politikaları ile TCKN, IBAN, kredi kartı verisinin hareketinin loglanması; üç, açık rıza, retention, silme talepleri ve veri ihlal bildirim mekanizmaları için doküman seti. Auditör geldiğinde "hangi politika, hangi kullanıcıya, ne zaman uygulandı" sorularına saniyeler içinde cevap çıkarabiliriz.

Üç katmanlı bir yapı düşünün. Bir, platform lisansı: M365 Business Standard ya da Workspace Business Standard yaklaşık 12-14 USD / kullanıcı / ay. İki, ek güvenlik katmanı (Defender for Office, Mimecast, KnowBe4 gibi) 3-7 USD / kullanıcı / ay arası, ihtiyaca göre. Üç, bizim yönetim hizmetimiz: 50 kullanıcıya kadar sabit aylık ücret, üzerinde kullanıcı başına marjinal artış. Tipik 30 kişilik bir ekip için toplam aylık fatura, kıymetli bir mühendisin tek günlük maaşının altında kalır — ama karşılığında MFA yönetimi, DMARC izleme, phishing simülasyonu, MDM ve 7/24 destek dahildir.