Welke Microsoft 365 beveiligingsinstellingen moet ik als eerste activeren?

Begin met Multi-Factor Authenticatie (MFA) voor alle gebruikers — dit voorkomt 99,9% van de accountcompromitteringen. Activeer daarna Security Defaults, zet Audit Logging aan en configureer Safe Links en Safe Attachments. Deze vier instellingen bieden de grootste bescherming met de minste moeite en zijn binnen een dag te implementeren.

Wat is de Microsoft Secure Score en hoe verbeter ik die?

De Microsoft Secure Score is een percentage dat aangeeft hoe goed jouw Microsoft 365-omgeving beveiligd is. De gemiddelde MKB-organisatie scoort 30-40%. Je vindt je score op security.microsoft.com. Microsoft toont per aanbeveling hoeveel punten het oplevert. Door de 15 essentiële instellingen uit dit artikel te implementeren, kun je richting 70-80% gaan. Monitor je score maandelijks en pak de hoogst scorende aanbevelingen als eerste aan.

Heb ik Microsoft 365 Business Premium nodig voor goede beveiliging?

Voor de basisinstellingen zoals MFA, Security Defaults, Audit Logging en anti-phishing policies is Microsoft 365 Business Basic of Standard voldoende. Voor geavanceerde bescherming zoals Conditional Access, Defender for Business, Intune device compliance en uitgebreide DLP-policies heb je Business Premium nodig. Voor de meeste MKB-bedrijven met meer dan 10 medewerkers is Business Premium de betere keuze vanwege de aanzienlijk sterkere beveiligingsopties.

Wat is het verschil tussen Security Defaults en Conditional Access?

Security Defaults is een vooraf geconfigureerde bundel basisinstellingen die Microsoft aanbeveelt voor elke organisatie, waaronder MFA voor alle gebruikers en blokkering van legacy authenticatie. Conditional Access biedt meer flexibiliteit: je kunt zelf regels opstellen op basis van locatie, apparaat, risicosignaal en gebruikersgroep. Conditional Access vervangt Security Defaults — als je Conditional Access activeert, worden Security Defaults automatisch uitgeschakeld. Begin met Security Defaults en stap over naar Conditional Access zodra je specifiekere regels nodig hebt.

Hoe bescherm ik mijn MKB tegen phishing-aanvallen via Microsoft 365?

Activeer drie lagen van bescherming: (1) Safe Links controleert URL-bestemmingen op het moment van klikken, niet alleen bij ontvangst. (2) Safe Attachments scant bijlagen in een sandbox-omgeving voordat ze worden afgeleverd. (3) Anti-Phishing Policies met impersonation protection detecteren e-mails die zich voordoen als directieleden of leveranciers. Combineer dit met MFA zodat gestolen wachtwoorden niet direct leiden tot account compromise.

Wat is Zero Trust en hoe pas ik dat toe in Microsoft 365?

Zero Trust is het beveiligingsprincipe dat je nooit automatisch vertrouwt, maar altijd verifieert. In Microsoft 365 implementeer je dit door: (1) Expliciet verifiaren via MFA en Conditional Access, (2) Minimale rechten toekennen via App Permissions en External Sharing-beleid, en (3) Uitgaan van een inbraak door continu te monitoren met Audit Logging, Alert Policies en Defender for Business. Het is geen product maar een stapsgewijze aanpak die je opbouwt met de 15 instellingen uit dit artikel.

Microsoft 365 Beveiliging: 15 Instellingen [2026]

§01 Artikel

De meeste MKB-bedrijven gebruiken Microsoft 365 dagelijks voor e-mail, documenten en samenwerking. Maar vraag een ondernemer welke beveiligingsinstellingen actief zijn, en je krijgt een lege blik. Uit onderzoek van Microsoft blijkt dat meer dan 60% van de MKB-bedrijven minder dan 30% van de beschikbare beveiligingsfuncties benut. Dat is alsof je een alarmsysteem koopt, maar vergeet de sensoren te activeren.

Het goede nieuws: Microsoft 365 bevat in de meeste licenties al uitgebreide beveiligingstools. Je hoeft ze alleen aan te zetten.

Waarom Microsoft 365 Beveiliging Nu Prioriteit Moet Zijn

Cybercriminelen richten zich steeds vaker op het MKB. De reden is simpel: grotere bedrijven investeren fors in beveiliging, terwijl kleinere organisaties vaak denken dat ze "te klein zijn om interessant te zijn." Niets is minder waar. Volgens het CBS werd in 2025 een op de vijf Nederlandse MKB-bedrijven slachtoffer van een cyberincident. De gemiddelde schade per incident: meer dan 50.000 euro.

Microsoft 365 is daarbij een populair doelwit. Met miljoenen zakelijke gebruikers wereldwijd is het een aantrekkelijke ingang voor aanvallers. Een gecompromitteerd e-mailaccount geeft toegang tot documenten, contacten, financiele gegevens en bedrijfskritische systemen. De combinatie van waardevolle data en ontoereikende beveiliging maakt MKB-bedrijven het ideale doelwit.

Je Microsoft Secure Score: Het Startpunt

Voordat je begint met instellingen aanpassen, wil je weten waar je staat. Microsoft biedt hiervoor de Secure Score — een percentage dat aangeeft hoe goed jouw organisatie beveiligd is ten opzichte van het maximum. Volgens de officiële Microsoft Learn-documentatie meet Secure Score je security posture over identities, apps en devices, en update het scorebord in real-time op basis van voltooide acties.

Zo vind je je Secure Score:

Ga naar security.microsoft.com
Navigeer naar Secure Score in het linkermenu
Bekijk je huidige score en de aanbevolen verbeteracties

De gemiddelde MKB-organisatie scoort rond de 30-40%. Na het implementeren van de 15 instellingen uit dit artikel kun je richting 70-80% gaan. Microsoft geeft per aanbeveling aan hoeveel punten het oplevert, zodat je kunt prioriteren op impact.

De 15 Essentiële Beveiligingsinstellingen

1. Multi-Factor Authenticatie (MFA)

Impact: Hoog | Moeilijkheid: Laag

MFA is de belangrijkste beveiligingsmaatregel die je kunt nemen. In haar veelgeciteerde post op de Microsoft Security Blog stelt Senior Product Marketing Manager Security Melanie Maynes dat "MFA can block over 99.9 percent of account compromise attacks." Deze claim wordt ook genoemd in de CISA Zero Trust Maturity Model v2 als kern-indicator voor de Identity-pijler (van traditional "password-based" naar advanced "MFA als default"). Wil je MFA stap voor stap instellen? Lees onze complete gids voor twee-factor-authenticatie. Toch heeft nog altijd een groot deel van de MKB-bedrijven MFA niet voor alle gebruikers ingeschakeld.

Activeren: Ga naar Entra ID (voorheen Azure AD) → Security → MFA → Per-user MFA. Schakel MFA in voor alle gebruikers. Kies voor de Microsoft Authenticator-app als primaire methode — SMS-verificatie is kwetsbaarder voor SIM-swapping.

2. Security Defaults

Impact: Hoog | Moeilijkheid: Laag

Security Defaults is een bundel basisinstellingen die Microsoft aanbeveelt voor elke organisatie. Het omvat onder meer: MFA voor alle gebruikers, blokkering van legacy authenticatie en extra verificatie bij risicovolle aanmeldingen.

Activeren: Entra ID → Properties → Manage Security Defaults → Enable. Let op: als je Conditional Access gebruikt (instelling #3), worden Security Defaults automatisch uitgeschakeld — dat is normaal.

3. Conditional Access Policies

Impact: Hoog | Moeilijkheid: Gemiddeld

Conditional Access gaat verder dan Security Defaults. Microsoft positioneert Conditional Access in de officiële Entra ID-documentatie expliciet als "Zero Trust policy engine" — een if-then-systeem dat signalen combineert (gebruiker, locatie, apparaat, risico-score) voordat toegang wordt verleend. Hiermee stel je regels in zoals: "Blokkeer aanmeldingen vanuit landen waar we geen medewerkers hebben" of "Vereis MFA wanneer iemand inlogt vanaf een onbekend apparaat."

Aanbevolen basisbeleid:

Blokkeer legacy authenticatie (verouderde protocollen die MFA omzeilen)
Vereis MFA voor alle gebruikers bij elke aanmelding
Blokkeer aanmeldingen vanuit niet-toegestane landen
Vereis compliant apparaten voor toegang tot bedrijfsdata

Conditional Access vereist minimaal een Microsoft 365 Business Premium licentie.

4. Safe Links (Defender for Office 365)

Impact: Hoog | Moeilijkheid: Laag

Safe Links controleert URL's in e-mails en Office-documenten op het moment dat een gebruiker erop klikt — niet alleen bij ontvangst. Dit is cruciaal omdat aanvallers vaak links plaatsen die pas na verzending schadelijk worden gemaakt. In de officiële Microsoft Learn-documentatie voor Defender for Office 365 wordt dit "time-of-click verification" genoemd en werkt het zowel in inbound e-mail als in Teams en ondersteunde Office 365-apps.

Activeren: Microsoft 365 Defender → Policies & rules → Threat policies → Safe Links → Create policy. Schakel in voor alle gebruikers en alle Office-applicaties.

5. Safe Attachments

Impact: Hoog | Moeilijkheid: Laag

Safe Attachments opent bijlagen in een beveiligde sandbox-omgeving voordat ze bij de gebruiker worden afgeleverd. Verdachte bijlagen worden geblokkeerd of gemarkeerd. Microsoft noemt dit proces in de Safe Attachments-documentatie "detonation" — de bijlage wordt in een virtual environment geopend nadat de standaard anti-malware-scan al heeft plaatsgevonden, zodat zero-day malware en ransomware-payloads alsnog worden onderschept.

Activeren: Microsoft 365 Defender → Threat policies → Safe Attachments → Create policy. Kies "Dynamic Delivery" als actie — gebruikers ontvangen de e-mail direct, terwijl de bijlage op de achtergrond wordt gecontroleerd.

6. Anti-Phishing Policies

Impact: Hoog | Moeilijkheid: Gemiddeld

De standaard anti-phishingbeleid van Microsoft 365 is redelijk, maar je kunt het aanzienlijk versterken. Vooral de impersonation protection is waardevol: het detecteert e-mails die zich voordoen als je directie of belangrijke leveranciers.

Configureer:

Voeg de namen en e-mailadressen van directieleden toe aan de impersonation protection
Schakel mailbox intelligence in (leert het normale communicatiepatroon)
Zet de actie op "Quarantine" bij gedetecteerde impersonation
Activeer de first contact safety tip

7. Data Loss Prevention (DLP) Policies

Impact: Gemiddeld | Moeilijkheid: Gemiddeld

DLP voorkomt dat gevoelige informatie per ongeluk de organisatie verlaat. Denk aan BSN-nummers, creditcardgegevens, financiele rapportages of klantdata die via e-mail of OneDrive worden gedeeld met externen.

Basisbeleid instellen:

Ga naar Microsoft Purview Compliance Center → Data Loss Prevention
Maak een beleid aan op basis van Nederlandse regelgeving (AVG/GDPR-template)
Stel acties in: waarschuw de gebruiker, blokkeer het delen, of vereis goedkeuring van een manager

Begin met een "audit only" modus om te zien wat er dagelijks aan gevoelige data wordt verstuurd, voordat je actief gaat blokkeren.

8. Information Protection Labels (Sensitivity Labels)

Impact: Gemiddeld | Moeilijkheid: Gemiddeld

Met sensitivity labels classificeren medewerkers documenten en e-mails naar gevoeligheidsniveau: Openbaar, Intern, Vertrouwelijk of Strikt Vertrouwelijk. Aan elk label koppel je beschermingsregels — zoals encryptie, watermerk of beperking van delen.

Implementatie:

Start met vier labels: Openbaar, Intern, Vertrouwelijk, Strikt Vertrouwelijk
Maak "Intern" het standaardlabel voor nieuwe documenten
Koppel encryptie aan het label "Vertrouwelijk" en hoger
Train medewerkers in het correct labelen van documenten

9. Audit Logging

Impact: Gemiddeld | Moeilijkheid: Laag

Audit logging registreert wie wat doet in je Microsoft 365-omgeving: inlogpogingen, bestandstoegang, wijzigingen in instellingen en meer. Bij een beveiligingsincident is dit je belangrijkste bron van informatie.

Activeren: Microsoft Purview Compliance Center → Audit → Start recording. Standaard worden logs 90 dagen bewaard (180 dagen met E5). Controleer regelmatig of audit logging actief is — het wordt soms per ongeluk uitgeschakeld.

10. Device Compliance Policies

Impact: Gemiddeld | Moeilijkheid: Gemiddeld

Met device compliance bepaal je aan welke eisen een apparaat moet voldoen om toegang te krijgen tot bedrijfsdata: up-to-date besturingssysteem, actieve antivirusprotectie, schermvergrendeling ingeschakeld en encryptie actief.

Configureer via Microsoft Intune:

Vereis Windows 10/11 met actuele beveiligingsupdates
Vereis actieve antivirusprotectie en firewall
Vereis schermvergrendeling met PIN of biometrie
Koppel aan Conditional Access: geen compliant apparaat = geen toegang

11. App Permission Management

Impact: Gemiddeld | Moeilijkheid: Laag

Medewerkers koppelen regelmatig externe apps aan hun Microsoft 365-account — denk aan projectmanagementtools, CRM-systemen of AI-tools. Elke app die je goedkeurt krijgt toegang tot bedrijfsdata. Zonder beleid kan iedereen elke app autoriseren.

Aanscherpen:

Entra ID → Enterprise Applications → User settings
Zet "Users can consent to apps" op "No" of beperk tot apps met lage impact
Stel een goedkeuringsworkflow in voor app-verzoeken
Controleer maandelijks welke apps zijn gekoppeld en verwijder ongebruikte apps

Impact: Gemiddeld | Moeilijkheid: Laag

Standaard staat SharePoint en OneDrive toe dat gebruikers bestanden delen met iedereen — inclusief anonieme links die door iedereen met de URL zijn te openen. Dat is een groot risico.

Aanbevolen instellingen:

SharePoint Admin Center → Sharing → Beperk extern delen tot "Bestaande gasten" of "Nieuwe en bestaande gasten"
Schakel anonieme links uit
Stel een vervaldatum in voor deellinks (maximaal 30 dagen)
Vereis dat gasten zich verifiaren voor toegang tot gedeelde bestanden

13. Password Policies

Impact: Gemiddeld | Moeilijkheid: Laag

Microsoft adviseert inmiddels geen verplichte wachtwoordrotatie meer — dat leidt tot zwakkere wachtwoorden. Deze koers is in lijn met NIST Special Publication 800-63B, de Amerikaanse federale standaard voor authenticatie: geen gedwongen periodieke wachtwoordwijziging (tenzij compromissuggestie), geen verplichte karaktercomplexiteit, wél verplichte blocklist-check tegen bekende gelekte wachtwoorden. Focus in plaats daarvan op:

Minimale wachtwoordlengte van 14 tekens
Blokkeer veelgebruikte en gelekte wachtwoorden (Azure AD Password Protection)
Combineer met MFA als primaire verdediging
Overweeg wachtwoordloos inloggen via Windows Hello of FIDO2-sleutels

14. Alert Policies

Impact: Gemiddeld | Moeilijkheid: Laag

Alert policies sturen notificaties wanneer verdachte activiteiten worden gedetecteerd. Microsoft 365 heeft standaardalerts, maar je kunt eigen alerts toevoegen voor specifieke scenario's.

Aanbevolen aangepaste alerts:

Massale bestandsdownloads door een enkele gebruiker
Aanmeldingen vanuit ongebruikelijke locaties
Wijzigingen in beheerdersrollen
Doorstuurregels op mailboxen (veelgebruikt bij account compromise)
Verhoogd aantal mislukte aanmeldpogingen

Configureer via Microsoft 365 Defender → Policies → Alert Policies.

15. Defender for Business

Impact: Hoog | Moeilijkheid: Gemiddeld

Defender for Business is de endpoint-beveiligingsoplossing van Microsoft, specifiek ontworpen voor het MKB. Het beschermt laptops, desktops en mobiele apparaten tegen malware, ransomware en geavanceerde aanvallen.

Wat je krijgt:

Next-generation antivirus met AI-detectie
Endpoint Detection and Response (EDR) voor geavanceerde dreigingen
Automatische aanvalsonderbrekingen
Vulnerability management — inzicht in kwetsbaarheden op apparaten
Geintegreerd in het Microsoft 365 Defender-portaal

Defender for Business is inbegrepen bij Microsoft 365 Business Premium. Voor Business Basic of Standard is het een add-on.

Zero Trust in Microsoft 365

De 15 instellingen hierboven vormen samen de basis van een Zero Trust-architectuur: het principe dat je nooit automatisch vertrouwt, maar altijd verifieert. Wil je dieper in dit model duiken? Lees ons artikel over het Zero Trust security model uitgelegd voor MKB. In de praktijk betekent dit:

Verifieer expliciet: Elke toegangspoging wordt gecontroleerd op identiteit, locatie, apparaatstatus en risicosignalen (MFA, Conditional Access)
Gebruik minimale rechten: Geef gebruikers alleen toegang tot wat ze nodig hebben (App Permissions, External Sharing)
Ga uit van een inbraak: Monitor continu en reageer snel (Audit Logging, Alert Policies, Defender for Business)

Zero Trust is geen product dat je koopt, maar een aanpak die je stap voor stap implementeert. De 15 instellingen in dit artikel zijn de eerste en belangrijkste stappen.

Compliance Center: De Basis

Voor NL-organisaties die met persoonsgegevens van derden werken, is aanvullende bron-verificatie relevant. SURF en het SLM Microsoft Rijk van het Ministerie van Justitie en Veiligheid publiceren periodieke DPIA-rapporten op OneDrive, SharePoint, Teams en (recent) Microsoft 365 Copilot — inclusief expliciete risico-classificaties. Een goede baseline om je configuratie tegen af te zetten is de CIS Microsoft 365 Foundations Benchmark, die 129 prescriptieve controls beschrijft over Exchange Online, SharePoint, OneDrive, Teams en Entra ID. Voor NL-MKB specifiek: de acht basismaatregelen van NCSC-NL zijn de minimale lat, waarbij MFA, logging en toegangsbeheer direct via Microsoft 365 zijn in te richten.

Naast beveiliging biedt Microsoft 365 ook compliancetools via het Microsoft Purview Compliance Center. Voor MKB-bedrijven zijn de volgende functies het meest relevant:

Compliance Manager: Geeft een compliance score vergelijkbaar met Secure Score, maar dan voor regelgeving (AVG, NIS2, ISO 27001). Het toont specifieke acties die je moet nemen.
Data Retention Policies: Stel in hoe lang e-mails en documenten bewaard moeten blijven — belangrijk voor de AVG-bewaartermijnen.
eDiscovery: Doorzoek alle Microsoft 365-data bij een juridisch verzoek of intern onderzoek.
Communication Compliance: Monitor communicatie op beleidsovertredingen (optioneel, maar waardevol bij gevoelige sectoren).

Implementatievolgorde: Waar Begin Je?

Alle 15 instellingen tegelijk doorvoeren is niet realistisch. Volg deze prioritering:

Week 1 — Direct doen (hoge impact, lage moeite):

MFA inschakelen voor alle gebruikers
Security Defaults activeren
Audit Logging aanzetten
Safe Links en Safe Attachments configureren

Week 2-3 — Basisbeleid opzetten: 5. Anti-Phishing policies versterken 6. External Sharing beleid aanscherpen 7. Password policies updaten 8. Alert Policies configureren 9. App Permission management instellen

Week 4-6 — Geavanceerde bescherming: 10. Conditional Access Policies (vervangt Security Defaults) 11. Device Compliance Policies via Intune 12. DLP Policies (start in audit modus) 13. Sensitivity Labels uitrollen 14. Defender for Business activeren

Doorlopend: 15. Secure Score monitoren en verbeteren

Veelgemaakte fouten bij Microsoft 365-beveiliging

Na het beveiligen van tientallen MKB-omgevingen zien we steeds dezelfde fouten:

MFA alleen voor admins: Aanvallers richten zich juist op gewone gebruikers — zij zijn makkelijker te phishen
Te brede SharePoint-machtigingen: Als iedereen overal bij kan, kan een gecompromitteerd account bij alles
Geen monitoring: Beveiligingsinstellingen zonder monitoring is als een alarminstallatie zonder meldkamer
Eenmalige configuratie: Beveiliging is geen project maar een proces — evalueer maandelijks je Secure Score
Legacy apps actief laten: Oudere e-mailprotocollen (POP3, IMAP met basic auth) omzeilen MFA volledig

Wil je een breder beveiligingsoverzicht? Bekijk onze cybersecurity basismaatregelen checklist voor MKB voor maatregelen die verder gaan dan alleen Microsoft 365.

Wat Als Je Hulp Nodig Hebt?

Niet elk MKB-bedrijf heeft een IT-afdeling die dit kan implementeren. De instellingen in dit artikel zijn zo beschreven dat een technisch onderlegde medewerker de basis kan activeren. Voor Conditional Access, DLP en Intune is specialistische kennis vaak gewenst.

Wil je je Microsoft 365-omgeving professioneel laten beveiligen? Bekijk onze Microsoft 365 implementatie- en beveiligingsdiensten of vraag een gratis beveiligingsgesprek aan. We beoordelen je huidige Secure Score en stellen een prioriteitenlijst op.

Heb je daarnaast bredere zorgen over de digitale veiligheid van je organisatie? Onze web security specialisten helpen je met een complete beveiligingsstrategie die verder gaat dan alleen Microsoft 365.

Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.

§01 Artikel

Het goede nieuws: Microsoft 365 bevat in de meeste licenties al uitgebreide beveiligingstools. Je hoeft ze alleen aan te zetten.

Waarom Microsoft 365 Beveiliging Nu Prioriteit Moet Zijn

Je Microsoft Secure Score: Het Startpunt

Zo vind je je Secure Score:

Ga naar security.microsoft.com
Navigeer naar Secure Score in het linkermenu
Bekijk je huidige score en de aanbevolen verbeteracties

De 15 Essentiële Beveiligingsinstellingen

1. Multi-Factor Authenticatie (MFA)

Impact: Hoog | Moeilijkheid: Laag

2. Security Defaults

Impact: Hoog | Moeilijkheid: Laag

3. Conditional Access Policies

Impact: Hoog | Moeilijkheid: Gemiddeld

Aanbevolen basisbeleid:

Blokkeer legacy authenticatie (verouderde protocollen die MFA omzeilen)
Vereis MFA voor alle gebruikers bij elke aanmelding
Blokkeer aanmeldingen vanuit niet-toegestane landen
Vereis compliant apparaten voor toegang tot bedrijfsdata

Conditional Access vereist minimaal een Microsoft 365 Business Premium licentie.

4. Safe Links (Defender for Office 365)

Impact: Hoog | Moeilijkheid: Laag

Activeren: Microsoft 365 Defender → Policies & rules → Threat policies → Safe Links → Create policy. Schakel in voor alle gebruikers en alle Office-applicaties.

5. Safe Attachments

Impact: Hoog | Moeilijkheid: Laag

6. Anti-Phishing Policies

Impact: Hoog | Moeilijkheid: Gemiddeld

Configureer:

Voeg de namen en e-mailadressen van directieleden toe aan de impersonation protection
Schakel mailbox intelligence in (leert het normale communicatiepatroon)
Zet de actie op "Quarantine" bij gedetecteerde impersonation
Activeer de first contact safety tip

7. Data Loss Prevention (DLP) Policies

Impact: Gemiddeld | Moeilijkheid: Gemiddeld

Basisbeleid instellen:

Ga naar Microsoft Purview Compliance Center → Data Loss Prevention
Maak een beleid aan op basis van Nederlandse regelgeving (AVG/GDPR-template)
Stel acties in: waarschuw de gebruiker, blokkeer het delen, of vereis goedkeuring van een manager

Begin met een "audit only" modus om te zien wat er dagelijks aan gevoelige data wordt verstuurd, voordat je actief gaat blokkeren.

8. Information Protection Labels (Sensitivity Labels)

Impact: Gemiddeld | Moeilijkheid: Gemiddeld

Implementatie:

Start met vier labels: Openbaar, Intern, Vertrouwelijk, Strikt Vertrouwelijk
Maak "Intern" het standaardlabel voor nieuwe documenten
Koppel encryptie aan het label "Vertrouwelijk" en hoger
Train medewerkers in het correct labelen van documenten

9. Audit Logging

Impact: Gemiddeld | Moeilijkheid: Laag

10. Device Compliance Policies

Impact: Gemiddeld | Moeilijkheid: Gemiddeld

Configureer via Microsoft Intune:

Vereis Windows 10/11 met actuele beveiligingsupdates
Vereis actieve antivirusprotectie en firewall
Vereis schermvergrendeling met PIN of biometrie
Koppel aan Conditional Access: geen compliant apparaat = geen toegang

11. App Permission Management

Impact: Gemiddeld | Moeilijkheid: Laag

Aanscherpen:

Entra ID → Enterprise Applications → User settings
Zet "Users can consent to apps" op "No" of beperk tot apps met lage impact
Stel een goedkeuringsworkflow in voor app-verzoeken
Controleer maandelijks welke apps zijn gekoppeld en verwijder ongebruikte apps

Impact: Gemiddeld | Moeilijkheid: Laag

Standaard staat SharePoint en OneDrive toe dat gebruikers bestanden delen met iedereen — inclusief anonieme links die door iedereen met de URL zijn te openen. Dat is een groot risico.

Aanbevolen instellingen:

SharePoint Admin Center → Sharing → Beperk extern delen tot "Bestaande gasten" of "Nieuwe en bestaande gasten"
Schakel anonieme links uit
Stel een vervaldatum in voor deellinks (maximaal 30 dagen)
Vereis dat gasten zich verifiaren voor toegang tot gedeelde bestanden

13. Password Policies

Impact: Gemiddeld | Moeilijkheid: Laag

Minimale wachtwoordlengte van 14 tekens
Blokkeer veelgebruikte en gelekte wachtwoorden (Azure AD Password Protection)
Combineer met MFA als primaire verdediging
Overweeg wachtwoordloos inloggen via Windows Hello of FIDO2-sleutels

14. Alert Policies

Impact: Gemiddeld | Moeilijkheid: Laag

Alert policies sturen notificaties wanneer verdachte activiteiten worden gedetecteerd. Microsoft 365 heeft standaardalerts, maar je kunt eigen alerts toevoegen voor specifieke scenario's.

Aanbevolen aangepaste alerts:

Massale bestandsdownloads door een enkele gebruiker
Aanmeldingen vanuit ongebruikelijke locaties
Wijzigingen in beheerdersrollen
Doorstuurregels op mailboxen (veelgebruikt bij account compromise)
Verhoogd aantal mislukte aanmeldpogingen

Configureer via Microsoft 365 Defender → Policies → Alert Policies.

15. Defender for Business

Impact: Hoog | Moeilijkheid: Gemiddeld

Wat je krijgt:

Next-generation antivirus met AI-detectie
Endpoint Detection and Response (EDR) voor geavanceerde dreigingen
Automatische aanvalsonderbrekingen
Vulnerability management — inzicht in kwetsbaarheden op apparaten
Geintegreerd in het Microsoft 365 Defender-portaal

Defender for Business is inbegrepen bij Microsoft 365 Business Premium. Voor Business Basic of Standard is het een add-on.

Zero Trust in Microsoft 365

Verifieer expliciet: Elke toegangspoging wordt gecontroleerd op identiteit, locatie, apparaatstatus en risicosignalen (MFA, Conditional Access)
Gebruik minimale rechten: Geef gebruikers alleen toegang tot wat ze nodig hebben (App Permissions, External Sharing)
Ga uit van een inbraak: Monitor continu en reageer snel (Audit Logging, Alert Policies, Defender for Business)

Zero Trust is geen product dat je koopt, maar een aanpak die je stap voor stap implementeert. De 15 instellingen in dit artikel zijn de eerste en belangrijkste stappen.

Compliance Center: De Basis

Naast beveiliging biedt Microsoft 365 ook compliancetools via het Microsoft Purview Compliance Center. Voor MKB-bedrijven zijn de volgende functies het meest relevant:

Compliance Manager: Geeft een compliance score vergelijkbaar met Secure Score, maar dan voor regelgeving (AVG, NIS2, ISO 27001). Het toont specifieke acties die je moet nemen.
Data Retention Policies: Stel in hoe lang e-mails en documenten bewaard moeten blijven — belangrijk voor de AVG-bewaartermijnen.
eDiscovery: Doorzoek alle Microsoft 365-data bij een juridisch verzoek of intern onderzoek.
Communication Compliance: Monitor communicatie op beleidsovertredingen (optioneel, maar waardevol bij gevoelige sectoren).

Implementatievolgorde: Waar Begin Je?

Alle 15 instellingen tegelijk doorvoeren is niet realistisch. Volg deze prioritering:

Week 1 — Direct doen (hoge impact, lage moeite):

MFA inschakelen voor alle gebruikers
Security Defaults activeren
Audit Logging aanzetten
Safe Links en Safe Attachments configureren

Doorlopend: 15. Secure Score monitoren en verbeteren

Veelgemaakte fouten bij Microsoft 365-beveiliging

Na het beveiligen van tientallen MKB-omgevingen zien we steeds dezelfde fouten:

MFA alleen voor admins: Aanvallers richten zich juist op gewone gebruikers — zij zijn makkelijker te phishen
Te brede SharePoint-machtigingen: Als iedereen overal bij kan, kan een gecompromitteerd account bij alles
Geen monitoring: Beveiligingsinstellingen zonder monitoring is als een alarminstallatie zonder meldkamer
Eenmalige configuratie: Beveiliging is geen project maar een proces — evalueer maandelijks je Secure Score
Legacy apps actief laten: Oudere e-mailprotocollen (POP3, IMAP met basic auth) omzeilen MFA volledig

Wil je een breder beveiligingsoverzicht? Bekijk onze cybersecurity basismaatregelen checklist voor MKB voor maatregelen die verder gaan dan alleen Microsoft 365.

Wat Als Je Hulp Nodig Hebt?

Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.

Microsoft 365 Beveiliging: Essentiële Instellingen

Benieuwd hoe dit werkt bij jou?

Microsoft 365 Beveiliging: Essentiële Instellingen

Benieuwd hoe dit werkt bij jou?