🏢 1. Tenant Tipleri (Tenant Types)

Bir Entra ortamı oluştururken karşınıza çıkan 3 ana Tenant tipi vardır:

• Workforce Tenant: Bildiğimiz klasik Microsoft 365 / Azure AD yapısıdır. Personel (employee) yönetimi içindir. Bunu kurabilmek için ücretli bir aboneliğiniz (Paid License) olması gerekir.
• B2C Tenant (Business-to-Consumer): Dış müşteriler için kullanılır. Kullanıcıların sizin uygulamanıza Facebook, Google gibi Social Account'lar ile login olmasını (Single Sign-On) sağlayan yapıdır.
• Governed Workforce Tenant: Daha sıkı "Governance" (Yönetişim) ve uyumluluk gerektiren ortamlar için yeni nesil Tenant tipidir.

💳 2. Lisans Kategorileri ve Özellikleri (Features by License)

🟢 1. Entra ID Free

En temel seviyedir. Genellikle sadece "Admin" hesapları oluşturmak veya Azure ortamına giriş yapmak için kullanılır.

• Neler Var?: Basic User oluşturma, Basic Single Sign-On (SSO) ve çok kısıtlı Basic MFA. Ayrıca Verified ID'nin ücretsiz versiyonu gelir.
• Kısıtlamalar: Grup tabanlı lisans atama (Group-based licensing) yapılamaz. Guest Account (Misafir hesap) özellikleri sınırlıdır.

🔵 2. Entra ID for Microsoft 365 (E3 & Business Premium)

Microsoft 365 Business Premium veya E3 paketleriyle gelen versiyondur.

• Artıları: Uygulamalar için MFA desteği gelir. Free versiyonun bir tık üstüdür ancak asıl güvenlik özellikleri burada yoktur.

🟠 3. Entra ID Premium P1 (En Kritik Katman)

E5 lisansına doğru geçerken veya standalone P1 alırken gelen, bir sistemcinin olmazsa olmazıdır.

• Advanced Group Management: Gruplara "Expiration Date" (Son kullanma tarihi) verme ve dinamik gruplar.
• Guest Accounts: Dışarıdan Guest user davet etme ve yönetme.
• Conditional Access (Koşullu Erişim): P1'in en büyük silahıdır. Sadece Username/Password yetmez, ekstra "Signals" (Sinyaller) arar.
  • Senaryo: "User Browser üzerinden, Non-compliant (şirket dışı) bir cihazdan geliyorsa MFA sor, eğer Compliant cihazdan geliyorsa doğrudan içeri al."
  • Security Control: Token Protection (Session Token çalınmasını engelleme) ve Sign-in Frequency kısıtlamaları bu lisansla yapılır.

🔴 4. Entra ID Premium P2 (Zero Trust Zirvesi)

E5 paketine dahil olan ve işin içine "Risk ve Yapay Zeka" katan katmandır. P1'in üzerine inşa edilir.

• Identity Protection: Sistem arka planda Machine Learning (ML) kullanarak kullanıcının hareketlerini analiz eder.
  • User Risk: Kullanıcının kimlik bilgilerinin dark web'de satılıp satılmadığını veya olağandışı bir durum olup olmadığını ölçer (High/Medium/Low).
  • Sign-in Risk: Kullanıcı aynı anda hem İstanbul'dan hem de Çin'den login (Impossible Travel) olmaya çalışıyorsa bunu yakalar.
  • Aksiyon: Eğer "User Risk = High" ise, otomatik olarak şifre değişimine (Password Reset) zorla veya doğrudan "Block Access" yap. (Not: Microsoft, Identity Protection menüsünü yakında tamamen Conditional Access içine entegre edecektir).

🟣 5. Entra Suite (Add-on / Ekstra Eklenti)

Kullanıcı başına ekstra ~$12'lık bir pakettir. P2'nin de üzerine çıkar ve devasa "Governance ve Secure Access" toolları getirir:

• Entitlement Management: Resource'lar (Shared Folder, SharePoint, Groups) için "Access Package" (Erişim Paketleri) oluşturur. User'lar portaldan "Şu klasöre 3 günlük erişim istiyorum" diye request açar.
• Access Reviews: Düzenli olarak "Bu kullanıcının hala bu Admin rolüne veya klasöre ihtiyacı var mı?" kontrolünü yapar.
• PIM (Privileged Identity Management): Kalıcı (Permanent) Admin rolü vermek yerine, JIT (Just-In-Time) mantığıyla "Sadece 2 saatliğine Global Admin ol" demenizi sağlar. Zero Trust için kritiktir.
• Lifecycle Workflows: Onboarding/Offboarding otomasyonları (Yeni işe girenin grubunu ayarla, işten çıkanın lisansını iptal et vb.)
• Global Secure Access: Microsoft'un yeni nesil bulut tabanlı VPN ve Proxy çözümüdür (Internet Access & Private Access).

💡 Azure Architect Mülakat Notu

"Müşteriye neden P2 satmalıyım?" sorusunun en net cevabı: "Eğer sadece kural yazmak (Şu IP'den gelen giremesin) istiyorsan P1 (Conditional Access) yeter. Ancak sistemin kendi kendine şüpheli hareketleri algılayıp (Machine Learning ile Impossible Travel, Leaked Credentials vb.) riske göre anlık aksiyon almasını (Identity Protection) istiyorsan P2 şarttır."