Dev / CodingAI-generated

Mijn Microsoft 365-tenant doorgelicht: wat ik vond en hoe ik het oploste

Mijn Microsoft 365-tenant doorgelicht: wat ik vond en hoe ik het oploste

Microsoft 365 is voor veel kleine bedrijven en ZZP'ers de werkplek geworden. E-mail, Teams, SharePoint, OneDrive — allemaal in één abonnement. Maar de standaardinstellingen zijn niet optimaal beveiligd. Microsoft kiest voor een balans tussen gebruiksgemak en veiligheid, en die balans valt standaard te ver naar gebruiksgemak.

Ik auditeerde mijn eigen tenant. Dit is wat ik vond, wat ik oploste, en hoe je hetzelfde doet.

Waarom een audit?

Ik gebruik M365 zakelijk voor e-mail, documentopslag en Teams. Ik beheer de tenant zelf — geen IT-afdeling, geen MSP. De beveiligingsinstellingen zijn dus mijn verantwoordelijkheid.

De aanleiding was Microsoft Secure Score: een getal dat aangeeft hoe goed je tenant is beveiligd ten opzichte van wat mogelijk is. Mijn score was niet slecht, maar ook niet goed. Genoeg reden om er doorheen te gaan.

Wat ik controleerde

Multi-factor authenticatie

MFA houdt accountovername tegen. Microsoft biedt drie varianten:

  • Security defaults — simpelste optie: MFA verplicht voor alle gebruikers, legacy authenticatie geblokkeerd. Goed voor kleine tenants zonder complexe behoeften.
  • Conditional Access — granulaire regels per locatie, platform, app. Vereist Entra ID P1 of hoger.
  • Per-user MFA — verouderd model, afgeraden door Microsoft.

In mijn tenant stond MFA niet consistent ingeschakeld. Security defaults waren uitgeschakeld vanwege een handmatige Conditional Access-policy, maar die policy dekte niet alle scenario's. Er zat een gat.

Ik heb een Conditional Access-policy gemaakt die MFA verplicht stelt voor alle gebruikers, alle apps, alle platforms — met uitzondering van bekende vertrouwde locaties.

Legacy authenticatie

SMTP AUTH, IMAP en POP3 ondersteunen geen MFA. Een aanvaller met een wachtwoord kan via die protocollen inloggen zonder dat MFA iets tegenhoudt.

In mijn tenant stonden ze aan — standaard. Ik gebruik ze niet. Geblokkeerd via Conditional Access.

E-mailauthenticatie: SPF, DKIM en DMARC

Zonder correcte SPF, DKIM en DMARC-records kan iedereen e-mail versturen die eruitziet alsof hij van jouw domein komt. Phishing, CEO-fraude — dat is waar het begint.

SPF stond correct. DKIM was niet actief: de sleutelrotatie was nooit doorgevoerd in DNS. DMARC ontbrak.

Na de audit: DKIM geactiveerd via het Defender-portaal, DMARC aangemaakt met p=none om eerst te monitoren. Later verscherpt naar p=quarantine. Hier heb ik eerder een aparte post over geschreven.

Externe toegang en gastaccounts

Standaard kan iedere gebruiker in de tenant gasten uitnodigen, niet alleen admins. In een kleine tenant is dat onnodig ruim. Ik heb gastuitnodigingen beperkt tot admins via Entra ID External Collaboration Settings.

Admin accounts

Een adminaccount dat je dagelijks voor e-mail gebruikt is een risico. Als het gecompromitteerd wordt, heeft de aanvaller meteen de hoogste rechten in de tenant.

Ik had één account dat beide rollen vervulde. Ik heb een apart adminaccount aangemaakt en de Global Administrator-rol van mijn dagelijkse account verwijderd.

Audit logging

M365 logt beheeractiviteiten en gebruikersacties in de Unified Audit Log. In nieuwe tenants staat dat standaard aan, in oudere niet altijd — controleer het.

Bij mij stond het aan. Maar de retentieperiode was 90 dagen. Voor een serieuze audit wil je minimaal 180 dagen, bij voorkeur een jaar. Dat vereist een E3-licentie of hoger, of exporteren naar externe opslag.

Microsoft Secure Score

Na deze wijzigingen ging mijn score van 42% naar 71%. Dat is geen perfecte score — sommige aanbevelingen zijn niet relevant voor een kleine tenant, andere vereisen licenties die ik niet heb. Maar een paar uur werk leverde een meetbaar beter resultaat op.

Stappenplan

  1. Check je Secure Score via security.microsoft.com → Secure Score
  2. Activeer MFA via Conditional Access of Security defaults
  3. Blokkeer legacy authenticatie via Conditional Access
  4. Controleer DKIM en DMARC via Defender-portaal → Email & collaboration → Policies & rules → DKIM
  5. Beperk gastuitnodigingen via Entra ID → External Identities → External collaboration settings
  6. Maak een dedicated adminaccount en verwijder Global Admin van je dagelijkse account
  7. Controleer het Unified Audit Log via het Compliance-portaal

Het kost een middag. Het is het waard.

Waarom dit relevant is voor kleine tenants

Grote bedrijven hebben security-teams. Kleine tenants niet. Maar phishing, business email compromise en accountovername richten zich op iedereen die een M365-tenant heeft en de standaardinstellingen nooit heeft aangeraakt.

De standaardinstellingen zijn een beginpunt, geen eindpunt.