Hoe stel je Microsoft 365 veilig in met multi-factor authenticatie

Door /

Hoe stel je Microsoft 365 veilig in met multi-factor authenticatie

Multi-factor authenticatie (MFA) is een van de meest effectieve en snelste stappen om je Microsoft 365-omgeving beter te beveiligen. Of het nu gaat om Exchange Online-e-mail, bestanden in SharePoint en OneDrive of samenwerking in Teams: MFA voorkomt dat gestolen wachtwoorden direct toegang geven tot bedrijfsdata.

In dit artikel leggen we praktisch uit hoe je MFA in Microsoft 365 activeert en beheert, welke keuzes er zijn (Security Defaults vs Conditional Access), waar je op moet letten met Exchange Online en legacy clients, en welke licentieoverwegingen belangrijk zijn voor je licentiebeheer.

Waarom MFA voor Microsoft 365 onmisbaar is

MFA voegt een tweede verificatiefactor toe naast je wachtwoord, zoals de Microsoft Authenticator-app, sms, telefoontje of hardware keys. Dat verkleint de kans op accountovername drastisch.

Services als Exchange Online, Teams, SharePoint en OneDrive zijn direct beschermd wanneer het account van een gebruiker extra authenticatie vereist. Zeker beheerdersaccounts en accounts met toegang tot gevoelige documenten moeten altijd MFA hebben.

Basisopties: Security Defaults of per-user MFA

Microsoft biedt meerdere manieren om MFA te verplichten. Voor kleine organisaties is Security Defaults een snelle en gratis optie. Voor fijnmaziger beheer gebruik je Conditional Access (vereist Azure AD Premium P1).

Security Defaults

Security Defaults is eenvoudig in te schakelen via de Azure AD-portal en dwingt MFA af voor alle gebruikers in bepaalde scenario’s (bv. voor admin-accounts). Het is ideaal als je geen geavanceerde policies nodig hebt.

Per-user MFA (oude manier)

Per-user MFA kun je inschakelen in het Microsoft 365-beheercentrum of Azure AD, maar dit is minder flexibel dan Conditional Access. Gebruik dit alleen als tijdelijke oplossing of voor zeer kleine omgevingen.

Conditional Access: flexibel en aanbevolen voor organisaties

Conditional Access maakt beleid mogelijk op basis van gebruiker, groep, applicatie, locatie en apparaatstatus. Dit biedt de beste balans tussen veiligheid en gebruiksgemak.

Praktische stappen om een basis Conditional Access-policy te maken

  1. Ga naar Azure Active Directory > Security > Conditional Access.
  2. Maak een nieuwe policy en kies ‘All users’ of specifieke groepen (begin met admins en hoge-privilege accounts).
  3. Selecteer de cloud apps (bijv. Office 365, Exchange Online, SharePoint, Teams).
  4. Stel voorwaarden in (bijv. blokkeer legacy authentication, restricties op landen of IP‑ranges).
  5. Voeg control ‘Require multi-factor authentication’ toe en test de policy eerst met een pilotgroep.
  6. Schakel de policy stapsgewijs in voor meer gebruikers.

Legacy authenticatie en Exchange Online

Veel aanvallen gebruiken legacy/basic authentication-protocollen omdat die geen moderne MFA ondersteunen. Exchange Online is een vaak doelwit door oude mobiele e-mailclients of apps die basic auth gebruiken.

Wat je moet doen voor Exchange Online

  • Controleer sign-in logs in Azure AD en identificeer apps die legacy authenticatie gebruiken.
  • Schakel Basic Auth voor Exchange Online uit. Dit kan via het Exchange admin center of via PowerShell-authentication settings.
  • Moedig gebruikers aan moderne authenticatie te gebruiken (Outlook moderne client, Teams app, OneDrive sync client).
  • Gebruik Conditional Access policies om legacy auth automatisch te blokkeren.

MFA-methodes en gebruikservaring

Kies methodes die veilig én gebruiksvriendelijk zijn. De Microsoft Authenticator-app (push) is makkelijke en veilige keuze. Voor extra veiligheid kun je FIDO2-hardware tokens of Windows Hello for Business overwegen.

Aanbevolen MFA-methodes

  • Microsoft Authenticator (push + time-based codes)
  • FIDO2 hardware keys (bijvoorbeeld YubiKey) voor phishingbestendigheid
  • Windows Hello for Business voor managed Windows-werkplekken

Licentiebeheer: wat heb je nodig?

Sommige geavanceerde MFA-features, zoals Conditional Access en geavanceerde risico-based policies, vereisen Azure AD Premium-licenties (P1 of P2). Microsoft 365 Business Premium en Enterprise-licenties bevatten vaak relevante Azure AD-functies, maar controleer je licentiebeheer altijd vooraf.

Security Defaults en basis-MFA zijn gratis beschikbaar, maar willen jullie fijnmazige policies en risicogebaseerde acties gebruiken, dan is een Azure AD Premium P1-licentie aan te raden.

Gebruikersadoptie en support

MFA invoeren kan wrijving geven. Goede communicatie en duidelijke instructies verlagen de ondersteuninglast en verhogen adoptie.

Praktische adoptietips

  • Start met beheerders en een pilotgroep voordat je breder uitrolt.
  • Maak stap-voor-stap handleidingen voor het installeren van de Authenticator-app en het registreren van herstelmethodes.
  • Implementeer self-service password reset (SSPR) met MFA-verificatie om helpdeskverzoeken te verminderen.

Back‑ups en ‘break-glass’ accounts

Zorg voor een of twee beveiligde break-glass accounts zonder MFA restricties voor noodgevallen, maar bewaar deze accounts off-line en monitor ze intensief. Documenteer procedures voor herstel als MFA problemen veroorzaken.

Monitoring en logging

Gebruik Azure AD sign-in logs, Identity Protection en Microsoft 365-rapportages om afwijkende aanmeldingen en mislukte MFA-pogingen te ontdekken. Stel waarschuwingen in voor verdachte activiteiten.

Impact op Teams, SharePoint en OneDrive

MFA beschermt de toegang tot Teams-chats, SharePoint-sites en OneDrive-bestanden. Houd rekening met apps en integraties (zoals third-party connectors) die mogelijk nieuw inloggedrag vereisen.

Controleer apps en toestemmingen

  • Inventariseer applicaties met toegang tot Microsoft 365-data via Enterprise Applications in Azure AD.
  • Beperk API- en service-accounts en zet waar mogelijk managed identities of service principals in met beperkte machtigingen.

Checklist: stap-voor-stap implementatie van MFA

  1. Controleer je licenties in het licentiebeheer en bepaal of je Conditional Access nodig hebt.
  2. Activeer Security Defaults of bouw een Conditional Access-policy (begin met admins).
  3. Blokkeer legacy/basic authentication (Exchange Online eerst controleren).
  4. Rol MFA gefaseerd uit en gebruik pilotgroepen.
  5. Train gebruikers en stel SSPR in.
  6. Monitor sign-ins en verfijn policies op basis van logging en feedback.

Praktische tip: zet een korte testweek op met één pilotgroep (bijvoorbeeld IT en een businessunit) en meet hoeveel supportverzoeken je krijgt. Pas je communicatie en instructies aan op basis van die feedback voordat je de rest van de organisatie dwingt om MFA te gebruiken.

Scroll naar boven