Microsoft 365 Beveiliging: Essentiële Instellingen

De meeste MKB-bedrijven gebruiken Microsoft 365 dagelijks voor e-mail, documenten en samenwerking. Maar vraag een ondernemer welke beveiligingsinstellingen actief zijn, en je krijgt een lege blik. Uit onderzoek van Microsoft blijkt dat meer dan 60% van de MKB-bedrijven minder dan 30% van de beschikbare beveiligingsfuncties benut. Dat is alsof je een alarmsysteem koopt, maar vergeet de sensoren te activeren.

Het goede nieuws: Microsoft 365 bevat in de meeste licenties al uitgebreide beveiligingstools. Je hoeft ze alleen aan te zetten. In dit artikel behandelen we de 15 essentiële instellingen die elk MKB-bedrijf direct moet activeren — van de absolute basis tot geavanceerde bescherming.

Waarom Microsoft 365 Beveiliging Nu Prioriteit Moet Zijn#

Cybercriminelen richten zich steeds vaker op het MKB. De reden is simpel: grotere bedrijven investeren fors in beveiliging, terwijl kleinere organisaties vaak denken dat ze "te klein zijn om interessant te zijn." Niets is minder waar. Volgens het CBS werd in 2025 een op de vijf Nederlandse MKB-bedrijven slachtoffer van een cyberincident. De gemiddelde schade per incident: meer dan 50.000 euro.

Microsoft 365 is daarbij een populair doelwit. Met miljoenen zakelijke gebruikers wereldwijd is het een aantrekkelijke ingang voor aanvallers. Een gecompromitteerd e-mailaccount geeft toegang tot documenten, contacten, financiele gegevens en bedrijfskritische systemen. De combinatie van waardevolle data en ontoereikende beveiliging maakt MKB-bedrijven het ideale doelwit.

Je Microsoft Secure Score: Het Startpunt#

Voordat je begint met instellingen aanpassen, wil je weten waar je staat. Microsoft biedt hiervoor de Secure Score — een percentage dat aangeeft hoe goed jouw organisatie beveiligd is ten opzichte van het maximum.

Zo vind je je Secure Score:

1. Ga naar security.microsoft.com
2. Navigeer naar Secure Score in het linkermenu
3. Bekijk je huidige score en de aanbevolen verbeteracties

De gemiddelde MKB-organisatie scoort rond de 30-40%. Na het implementeren van de 15 instellingen uit dit artikel kun je richting 70-80% gaan. Microsoft geeft per aanbeveling aan hoeveel punten het oplevert, zodat je kunt prioriteren op impact.

De 15 Essentiële Beveiligingsinstellingen#

1. Multi-Factor Authenticatie (MFA)#

Impact: Hoog | Moeilijkheid: Laag

MFA is de belangrijkste beveiligingsmaatregel die je kunt nemen. Microsoft meldt dat MFA 99,9% van de accountcompromitteringen voorkomt. Wil je MFA stap voor stap instellen? Lees onze complete gids voor twee-factor-authenticatie. Toch heeft nog altijd een groot deel van de MKB-bedrijven MFA niet voor alle gebruikers ingeschakeld.

Activeren: Ga naar Entra ID (voorheen Azure AD) → Security → MFA → Per-user MFA. Schakel MFA in voor alle gebruikers. Kies voor de Microsoft Authenticator-app als primaire methode — SMS-verificatie is kwetsbaarder voor SIM-swapping.

2. Security Defaults#

Impact: Hoog | Moeilijkheid: Laag

Security Defaults is een bundel basisinstellingen die Microsoft aanbeveelt voor elke organisatie. Het omvat onder meer: MFA voor alle gebruikers, blokkering van legacy authenticatie en extra verificatie bij risicovolle aanmeldingen.

Activeren: Entra ID → Properties → Manage Security Defaults → Enable. Let op: als je Conditional Access gebruikt (instelling #3), worden Security Defaults automatisch uitgeschakeld — dat is normaal.

3. Conditional Access Policies#

Impact: Hoog | Moeilijkheid: Gemiddeld

Conditional Access gaat verder dan Security Defaults. Hiermee stel je regels in zoals: "Blokkeer aanmeldingen vanuit landen waar we geen medewerkers hebben" of "Vereis MFA wanneer iemand inlogt vanaf een onbekend apparaat."

Aanbevolen basisbeleid:

• Blokkeer legacy authenticatie (verouderde protocollen die MFA omzeilen)
• Vereis MFA voor alle gebruikers bij elke aanmelding
• Blokkeer aanmeldingen vanuit niet-toegestane landen
• Vereis compliant apparaten voor toegang tot bedrijfsdata

Conditional Access vereist minimaal een Microsoft 365 Business Premium licentie.

4. Safe Links (Defender for Office 365)#

Impact: Hoog | Moeilijkheid: Laag

Safe Links controleert URL's in e-mails en Office-documenten op het moment dat een gebruiker erop klikt — niet alleen bij ontvangst. Dit is cruciaal omdat aanvallers vaak links plaatsen die pas na verzending schadelijk worden gemaakt.

Activeren: Microsoft 365 Defender → Policies & rules → Threat policies → Safe Links → Create policy. Schakel in voor alle gebruikers en alle Office-applicaties.

5. Safe Attachments#

Impact: Hoog | Moeilijkheid: Laag

Safe Attachments opent bijlagen in een beveiligde sandbox-omgeving voordat ze bij de gebruiker worden afgeleverd. Verdachte bijlagen worden geblokkeerd of gemarkeerd.

Activeren: Microsoft 365 Defender → Threat policies → Safe Attachments → Create policy. Kies "Dynamic Delivery" als actie — gebruikers ontvangen de e-mail direct, terwijl de bijlage op de achtergrond wordt gecontroleerd.

6. Anti-Phishing Policies#

Impact: Hoog | Moeilijkheid: Gemiddeld

De standaard anti-phishingbeleid van Microsoft 365 is redelijk, maar je kunt het aanzienlijk versterken. Vooral de impersonation protection is waardevol: het detecteert e-mails die zich voordoen als je directie of belangrijke leveranciers.

Configureer:

• Voeg de namen en e-mailadressen van directieleden toe aan de impersonation protection
• Schakel mailbox intelligence in (leert het normale communicatiepatroon)
• Zet de actie op "Quarantine" bij gedetecteerde impersonation
• Activeer de first contact safety tip

7. Data Loss Prevention (DLP) Policies#

Impact: Gemiddeld | Moeilijkheid: Gemiddeld

DLP voorkomt dat gevoelige informatie per ongeluk de organisatie verlaat. Denk aan BSN-nummers, creditcardgegevens, financiele rapportages of klantdata die via e-mail of OneDrive worden gedeeld met externen.

Basisbeleid instellen:

1. Ga naar Microsoft Purview Compliance Center → Data Loss Prevention
2. Maak een beleid aan op basis van Nederlandse regelgeving (AVG/GDPR-template)
3. Stel acties in: waarschuw de gebruiker, blokkeer het delen, of vereis goedkeuring van een manager

Begin met een "audit only" modus om te zien wat er dagelijks aan gevoelige data wordt verstuurd, voordat je actief gaat blokkeren.

8. Information Protection Labels (Sensitivity Labels)#

Impact: Gemiddeld | Moeilijkheid: Gemiddeld

Met sensitivity labels classificeren medewerkers documenten en e-mails naar gevoeligheidsniveau: Openbaar, Intern, Vertrouwelijk of Strikt Vertrouwelijk. Aan elk label koppel je beschermingsregels — zoals encryptie, watermerk of beperking van delen.

Implementatie:

• Start met vier labels: Openbaar, Intern, Vertrouwelijk, Strikt Vertrouwelijk
• Maak "Intern" het standaardlabel voor nieuwe documenten
• Koppel encryptie aan het label "Vertrouwelijk" en hoger
• Train medewerkers in het correct labelen van documenten

9. Audit Logging#

Impact: Gemiddeld | Moeilijkheid: Laag

Audit logging registreert wie wat doet in je Microsoft 365-omgeving: inlogpogingen, bestandstoegang, wijzigingen in instellingen en meer. Bij een beveiligingsincident is dit je belangrijkste bron van informatie.

Activeren: Microsoft Purview Compliance Center → Audit → Start recording. Standaard worden logs 90 dagen bewaard (180 dagen met E5). Controleer regelmatig of audit logging actief is — het wordt soms per ongeluk uitgeschakeld.

10. Device Compliance Policies#

Impact: Gemiddeld | Moeilijkheid: Gemiddeld

Met device compliance bepaal je aan welke eisen een apparaat moet voldoen om toegang te krijgen tot bedrijfsdata: up-to-date besturingssysteem, actieve antivirusprotectie, schermvergrendeling ingeschakeld en encryptie actief.

Configureer via Microsoft Intune:

• Vereis Windows 10/11 met actuele beveiligingsupdates
• Vereis actieve antivirusprotectie en firewall
• Vereis schermvergrendeling met PIN of biometrie
• Koppel aan Conditional Access: geen compliant apparaat = geen toegang

11. App Permission Management#

Impact: Gemiddeld | Moeilijkheid: Laag

Medewerkers koppelen regelmatig externe apps aan hun Microsoft 365-account — denk aan projectmanagementtools, CRM-systemen of AI-tools. Elke app die je goedkeurt krijgt toegang tot bedrijfsdata. Zonder beleid kan iedereen elke app autoriseren.

Aanscherpen:

• Entra ID → Enterprise Applications → User settings
• Zet "Users can consent to apps" op "No" of beperk tot apps met lage impact
• Stel een goedkeuringsworkflow in voor app-verzoeken
• Controleer maandelijks welke apps zijn gekoppeld en verwijder ongebruikte apps

12. External Sharing Beleid#

Impact: Gemiddeld | Moeilijkheid: Laag

Standaard staat SharePoint en OneDrive toe dat gebruikers bestanden delen met iedereen — inclusief anonieme links die door iedereen met de URL zijn te openen. Dat is een groot risico.

Aanbevolen instellingen:

• SharePoint Admin Center → Sharing → Beperk extern delen tot "Bestaande gasten" of "Nieuwe en bestaande gasten"
• Schakel anonieme links uit
• Stel een vervaldatum in voor deellinks (maximaal 30 dagen)
• Vereis dat gasten zich verifiaren voor toegang tot gedeelde bestanden

13. Password Policies#

Impact: Gemiddeld | Moeilijkheid: Laag

Microsoft adviseert inmiddels geen verplichte wachtwoordrotatie meer — dat leidt tot zwakkere wachtwoorden. Focus in plaats daarvan op:

• Minimale wachtwoordlengte van 14 tekens
• Blokkeer veelgebruikte en gelekte wachtwoorden (Azure AD Password Protection)
• Combineer met MFA als primaire verdediging
• Overweeg wachtwoordloos inloggen via Windows Hello of FIDO2-sleutels

14. Alert Policies#

Impact: Gemiddeld | Moeilijkheid: Laag

Alert policies sturen notificaties wanneer verdachte activiteiten worden gedetecteerd. Microsoft 365 heeft standaardalerts, maar je kunt eigen alerts toevoegen voor specifieke scenario's.

Aanbevolen aangepaste alerts:

• Massale bestandsdownloads door een enkele gebruiker
• Aanmeldingen vanuit ongebruikelijke locaties
• Wijzigingen in beheerdersrollen
• Doorstuurregels op mailboxen (veelgebruikt bij account compromise)
• Verhoogd aantal mislukte aanmeldpogingen

Configureer via Microsoft 365 Defender → Policies → Alert Policies.

15. Defender for Business#

Impact: Hoog | Moeilijkheid: Gemiddeld

Defender for Business is de endpoint-beveiligingsoplossing van Microsoft, specifiek ontworpen voor het MKB. Het beschermt laptops, desktops en mobiele apparaten tegen malware, ransomware en geavanceerde aanvallen.

Wat je krijgt:

• Next-generation antivirus met AI-detectie
• Endpoint Detection and Response (EDR) voor geavanceerde dreigingen
• Automatische aanvalsonderbrekingen
• Vulnerability management — inzicht in kwetsbaarheden op apparaten
• Geintegreerd in het Microsoft 365 Defender-portaal

Defender for Business is inbegrepen bij Microsoft 365 Business Premium. Voor Business Basic of Standard is het een add-on.

Zero Trust in Microsoft 365#

De 15 instellingen hierboven vormen samen de basis van een Zero Trust-architectuur: het principe dat je nooit automatisch vertrouwt, maar altijd verifieert. Wil je dieper in dit model duiken? Lees ons artikel over het Zero Trust security model uitgelegd voor MKB. In de praktijk betekent dit:

• Verifieer expliciet: Elke toegangspoging wordt gecontroleerd op identiteit, locatie, apparaatstatus en risicosignalen (MFA, Conditional Access)
• Gebruik minimale rechten: Geef gebruikers alleen toegang tot wat ze nodig hebben (App Permissions, External Sharing)
• Ga uit van een inbraak: Monitor continu en reageer snel (Audit Logging, Alert Policies, Defender for Business)

Zero Trust is geen product dat je koopt, maar een aanpak die je stap voor stap implementeert. De 15 instellingen in dit artikel zijn de eerste en belangrijkste stappen.

Compliance Center: De Basis#

Naast beveiliging biedt Microsoft 365 ook compliancetools via het Microsoft Purview Compliance Center. Voor MKB-bedrijven zijn de volgende functies het meest relevant:

• Compliance Manager: Geeft een compliance score vergelijkbaar met Secure Score, maar dan voor regelgeving (AVG, NIS2, ISO 27001). Het toont specifieke acties die je moet nemen.
• Data Retention Policies: Stel in hoe lang e-mails en documenten bewaard moeten blijven — belangrijk voor de AVG-bewaartermijnen.
• eDiscovery: Doorzoek alle Microsoft 365-data bij een juridisch verzoek of intern onderzoek.
• Communication Compliance: Monitor communicatie op beleidsovertredingen (optioneel, maar waardevol bij gevoelige sectoren).

Implementatievolgorde: Waar Begin Je?#

Alle 15 instellingen tegelijk doorvoeren is niet realistisch. Volg deze prioritering:

Week 1 — Direct doen (hoge impact, lage moeite):

1. MFA inschakelen voor alle gebruikers
2. Security Defaults activeren
3. Audit Logging aanzetten
4. Safe Links en Safe Attachments configureren

Week 2-3 — Basisbeleid opzetten: 5. Anti-Phishing policies versterken 6. External Sharing beleid aanscherpen 7. Password policies updaten 8. Alert Policies configureren 9. App Permission management instellen

Week 4-6 — Geavanceerde bescherming: 10. Conditional Access Policies (vervangt Security Defaults) 11. Device Compliance Policies via Intune 12. DLP Policies (start in audit modus) 13. Sensitivity Labels uitrollen 14. Defender for Business activeren

Doorlopend: 15. Secure Score monitoren en verbeteren

Veelgemaakte Fouten bij Microsoft 365 Beveiliging#

Na het beveiligen van tientallen MKB-omgevingen zien we steeds dezelfde fouten:

• MFA alleen voor admins: Aanvallers richten zich juist op gewone gebruikers — zij zijn makkelijker te phishen
• Te brede SharePoint-machtigingen: Als iedereen overal bij kan, kan een gecompromitteerd account bij alles
• Geen monitoring: Beveiligingsinstellingen zonder monitoring is als een alarminstallatie zonder meldkamer
• Eenmalige configuratie: Beveiliging is geen project maar een proces — evalueer maandelijks je Secure Score
• Legacy apps actief laten: Oudere e-mailprotocollen (POP3, IMAP met basic auth) omzeilen MFA volledig

Wil je een breder beveiligingsoverzicht? Bekijk onze cybersecurity basismaatregelen checklist voor MKB voor maatregelen die verder gaan dan alleen Microsoft 365.

Wat Als Je Hulp Nodig Hebt?#

Niet elk MKB-bedrijf heeft een IT-afdeling die dit kan implementeren. De instellingen in dit artikel zijn zo beschreven dat een technisch onderlegde medewerker de basis kan activeren. Voor Conditional Access, DLP en Intune is specialistische kennis vaak gewenst.

Wil je je Microsoft 365-omgeving professioneel laten beveiligen? Bekijk onze Microsoft 365 implementatie- en beveiligingsdiensten of vraag een gratis beveiligingsgesprek aan. We beoordelen je huidige Secure Score en stellen een prioriteitenlijst op.

Heb je daarnaast bredere zorgen over de Beveiliging & Compliance van je organisatie? Onze web security specialisten helpen je met een complete beveiligingsstrategie die verder gaat dan alleen Microsoft Cloud & Licenties.