Hoe stel je Microsoft 365 veilig in met multi-factor authenticatie

Door /

Multi-factor authenticatie (MFA) is één van de belangrijkste stappen om je Microsoft 365-omgeving echt veilig te maken. Of je nu Exchange Online gebruikt voor e-mail, Teams voor samenwerking of SharePoint en OneDrive voor documentbeheer: MFA voorkomt dat een gestolen wachtwoord direct toegang geeft tot je bedrijfsdata.

In dit artikel leggen we helder uit hoe je MFA goed inricht binnen Microsoft 365, welke instellingen je niet mag overslaan en wat dat betekent voor Exchange Online, Teams, SharePoint, licentiebeheer en de gebruikerservaring.

Waarom MFA onmisbaar is voor Microsoft 365

Wachtwoorden worden regelmatig gelekt of geraden. MFA voegt een extra laag toe — meestal iets dat de gebruiker heeft (telefoon, security key) naast iets dat hij weet (wachtwoord).

Voor services als Exchange Online en Teams levert MFA directe bescherming tegen ongeautoriseerde mailbox-toegang en accountkapingen. Zeker bij admin-accounts is MFA verplicht als je security serieus neemt.

Welke authenticatiemethoden kun je kiezen?

Microsoft biedt meerdere methoden; kies die passen bij je organisatie qua veiligheid en gebruiksgemak.

  • Microsoft Authenticator (push-notificatie) — veilig en gebruiksvriendelijk.
  • FIDO2 / hardware security keys — phishingbestendig en ideaal voor sleutelgebruikers.
  • Windows Hello for Business — geschikt voor beheerde Windows-apparaten.
  • TOTP (OATH) apps — werkt zonder mobiele data of sms.
  • SMS/telefonische codes — beter dan niets, maar minder veilig en af te raden waar mogelijk.

Stappenplan voor veilige MFA-implementatie

  1. Start met de admins: schakel MFA direct in voor globale beheerders en kritieke accounts.

  2. Activeer Security Defaults of Conditional Access als basisbescherming. Security Defaults is gratis en voorkomt veel basisaanvallen.

  3. Plan een gefaseerde uitrol: kies een pilotgroep (IT, power users) en test impact op Exchange Online, Teams en mobiele apps.

  4. Verplicht moderne authenticatie. Schakel legacy (Basic) authentication uit voor Exchange Online en andere services.

  5. Maak beleid voor fallback en break-glass accounts (minimaal 2 admins zonder MFA of met fysieke sleutel veilig opgeborgen).

  6. Implementeer sterke methoden (Authenticator, FIDO2) en communiceer helder naar eindgebruikers over registratie en support.

Conditional Access: de slimme manier om MFA te forceren

Conditional Access (Azure AD Premium P1) geeft je flexibiliteit: MFA alleen wanneer nodig, op basis van risico, locatie of apparaatstatus.

Praktische Conditional Access tips

  • Vereis MFA voor alle aanmeldingen buiten het bedrijfsnetwerk of voor toegang tot gevoelige apps zoals Exchange Online en SharePoint.
  • Combineer MFA met device compliance (Intune) zodat alleen beheerde apparaten toegang krijgen tot Teams en OneDrive.
  • Sta continu toegang toe voor trusted locations of break-glass accounts om lockouts te voorkomen.

Exchange Online en legacy authenticatie

Veel aanvallen misbruiken legacy protocollen (IMAP, SMTP AUTH, POP). Deze gebruiken geen moderne token-based authenticatie en omzeilen MFA.

  • Schakel Basic Authentication uit in Exchange Online waar mogelijk.
  • Controleer welke clients nog oudere protocollen gebruiken en migreer naar Outlook met moderne authenticatie.
  • Gebruik Conditional Access om toegang op basis van protocol te blokkeren.

Teams, SharePoint en OneDrive: waar let je op?

MFA werkt op Azure AD-niveau, dus wanneer correct ingericht beschermt het automatisch Teams, SharePoint en OneDrive.

  • Beperk externe sharing van SharePoint/OneDrive: vereis MFA voor externe gasten of gebruik guest access policies.
  • Voor Teams: zorg dat guest accounts MFA moeten gebruiken en monitor externe meeting join-activiteiten.
  • Zorg dat mobiele toegang à la OneDrive for Business alleen mogelijk is vanaf beheerde en compliant apparaten.

Licentiebeheer: wat heb je nodig?

Security Defaults en basis-MFA zijn beschikbaar op gratis Azure AD-niveau. Voor geavanceerde controles heb je Azure AD Premium nodig.

  • Azure AD Free: Security Defaults en per-user MFA registratie.
  • Azure AD Premium P1 (of Microsoft 365 Business Premium): nodig voor Conditional Access en device compliance-integratie.
  • Azure AD Premium P2: extra identity protection en risk-based policies.

Bij allesoverhosting.nl adviseren we altijd te kijken naar de totale behoefte: Business Premium dekt vaak al een groot deel van wat MKB nodig heeft.

Uitrol, training en support voor gebruikers

Een goede uitrol voorkomt supportdruk en frustratie. Communiceer tijdig en duidelijk over stappen en verwachte veranderingen.

  • Stuur korte handleidingen voor registratie van Microsoft Authenticator.
  • Bied support voor gebruikers die geen smartphone hebben (security keys of TOTP-oplossingen).
  • Plan trainingsmomenten en maak een FAQ met veelvoorkomende fouten en oplossingen.

Monitoring en onderhoud

Na uitrol is monitoring cruciaal. Houd sign-ins, risicogegevens en auditlogs in de gaten en reageer op verdachte activiteit.

  • Gebruik Azure AD sign-in logs om mislukte aanmeldingen en verdachte locaties te herkennen.
  • Review Conditional Access en pas policies aan op basis van incidenten en gebruikspatronen.
  • Controleer regelmatig op legacy authenticator-usage en schakel ongebruikte protocollen uit.

Veelgemaakte fouten en hoe je ze voorkomt

  • Alleen per-user MFA aanzetten zonder beleidscontrole — voorkomt inconsistentie; gebruik Conditional Access waar mogelijk.
  • Geen break-glass account regelen — altijd minstens één betrouwbare recovery-optie inrichten.
  • Gebruikers dwingen SMS als enige methode — bied modernere, phishingbestendige opties aan zoals FIDO2 of Authenticator-push.

Laatste praktische check die je direct kunt uitvoeren

Controleer vandaag nog of er nog legacy authentication-requests binnenkomen: ga naar Azure AD > Sign-ins en filter op “Legacy Authentication”. Als je requests ziet, identificeer de gebruiker/app en plan migratie of blokkade. Dat voorkomt veel onnodige risico’s voor Exchange Online, Teams, SharePoint en OneDrive.

Scroll naar boven