Nieuwsbrief
Home Nieuws Dreigingen Voor MKB Tools & Reviews Over ons Nieuwsbrief
MKB

Microsoft 365 veilig instellen voor MKB — de complete checklist

Meer dan 60% van de MKB-bedrijven gebruikt Microsoft 365, maar de meeste hebben de beveiliging nooit goed ingesteld. Dit is de checklist die je nu moet doorlopen.

Redactie CybersecurityNieuws.nl
12 april 2025 · 9 min lezen
Microsoft 365 beveiliging instellen MKB

Microsoft 365 (vroeger Office 365) is het meest gebruikte cloudplatform bij Nederlands MKB. E-mail, Teams, SharePoint, OneDrive — het zit allemaal in één abonnement. Maar de standaardinstellingen zijn niet veilig genoeg voor zakelijk gebruik.

Uit onze analyses van beveiligingsincidenten blijkt dat meer dan 70% van de compromissen bij MKB-bedrijven begint via Microsoft 365 — vaak via gestolen inloggegevens of slecht geconfigureerde e-mailinstellingen.

Dit is de checklist die ik elke klant geef.

Stap 1 — Multi-Factor Authenticatie voor alle gebruikers (VERPLICHT)

Dit is de allerbelangrijkste instelling. Met MFA actief zijn gestolen wachtwoorden voor aanvallers onbruikbaar.

Hoe in te stellen:

  1. Ga naar admin.microsoft.com
  2. Gebruikers → Actieve gebruikers → Multi-factor verificatie
  3. Selecteer alle gebruikers → Inschakelen

Aanbevolen authenticator: Microsoft Authenticator of een hardware-sleutel (YubiKey). SMS is de zwakste vorm van MFA — gebruik het alleen als tijdelijke fallback.

Let op: Sluit de directeur/eigenaar niet uit. Juist leidinggevenden zijn het meest aangevallen vanwege de CEO-fraude-aanvallen.

Stap 2 — Conditional Access inschakelen

Conditional Access betekent: “Sta alleen in als aan deze voorwaarden is voldaan.”

Minimale basisregels voor MKB (Microsoft 365 Business Premium vereist):

Regel 1: Blokkeer aanmelding vanuit hoog-risico landen
→ Gebruikers → Conditional Access → Nieuw beleid
→ Locaties → Uitsluiten: Nederland, België, Duitsland
→ Alle andere locaties: Blokkeren

Regel 2: Vereis MFA voor alle apps
→ Gebruikers: Alle gebruikers
→ Cloud-apps: Alle apps
→ Verlenen: MFA vereisen

Stap 3 — E-mailbeveiliging (DMARC/DKIM/SPF)

Zonder deze instellingen kan iedereen e-mails versturen die eruitzien alsof ze van jou komen — ideaal voor phishing op jouw klanten.

SPF instellen (bij je DNS-provider/TransIP):

Type: TXT
Naam: @
Waarde: v=spf1 include:spf.protection.outlook.com -all

DKIM inschakelen:

  1. Microsoft 365 admin → Beveiliging → E-mail en samenwerking → DKIM
  2. Selecteer je domein → Inschakelen

DMARC instellen:

Type: TXT
Naam: _dmarc
Waarde: v=DMARC1; p=quarantine; rua=mailto:dmarc@jouwdomein.nl; pct=100

Start met p=quarantine (e-mails die niet kloppen gaan naar spam), en na 2-4 weken stap je over naar p=reject.

Stap 4 — Anti-phishing en Safe Links inschakelen

Microsoft Defender for Office 365 (inbegrepen in Business Premium):

  1. Ga naar security.microsoft.com
  2. E-mail & samenwerking → Beleid & regels → Bedreigingsbeleid
  3. Schakel in:
    • Anti-phishing — beschermt tegen impersonation-aanvallen
    • Safe Links — scant URLs in e-mails voordat je erop klikt
    • Safe Attachments — opent bijlagen in een sandbox voor jou

Stap 5 — Controleer aanmeldingsactiviteit regelmatig

  1. admin.microsoft.com → Rapporten → Gebruik
  2. Azure Active Directory → Aanmeldingslogboeken

Waar je op moet letten:

  • Aanmeldingen vanuit onbekende landen
  • Aanmeldingen buiten werktijden (bijv. 3 uur ‘s nachts)
  • Meerdere mislukte aanmeldingspogingen gevolgd door succes
  • Aanmeldingen vanuit meerdere locaties tegelijk (impossible travel)

Tip: Stel een waarschuwing in bij verdachte activiteit: Azure AD → Beveiliging → Risicobeheer → Gebruikersrisico beleid

Stap 6 — OneDrive en SharePoint versiebeheer

Als ransomware je bestanden versleutelt, kun je via versiebeheer terug naar een eerdere versie.

  1. SharePoint admin center → Sites → actieve sites
  2. Selecteer site → Instellingen → Versiebeheer
  3. Stel in op minimaal 500 versies

Voor OneDrive:

  1. OneDrive-instellingen → Bestanden terugzetten
  2. Schakel Bestanden terugzetten in (tot 30 dagen)

Stap 7 — Externe toegang beperken

Standaard kan iedereen met een Microsoft-account worden uitgenodigd in je Teams en SharePoint. Dit is een beveiligingsrisico.

Microsoft 365 admin center → Instellingen → Organisatie-instellingen → 
Microsoft Teams → Externe toegang: Alleen bepaalde domeinen toestaan

Stap 8 — Meld je aan bij Microsoft Secure Score

Microsoft geeft je een gratis beveiligingsscore met concrete verbeterpunten:

  1. security.microsoft.com
  2. Secure Score (linkermenu)
  3. Verbeteracties → implementeer de aanbevolen acties

Een score van 60+ is een goede basis voor MKB. De meeste organisaties starten op 30-40.

Checklist samenvatting

StapActiePrioriteit
1MFA voor alle gebruikers🔴 Kritiek
2Conditional Access🔴 Kritiek
3DMARC/DKIM/SPF🟠 Hoog
4Safe Links & Attachments🟠 Hoog
5Aanmeldingsmonitoring🟡 Medium
6Versiebeheer OneDrive🟡 Medium
7Externe toegang beperken🟡 Medium
8Secure Score optimaliseren🟢 Laag

Hulp nodig?

Als je geen eigen IT-afdeling hebt, kan Fortivox je helpen met het instellen en controleren van je Microsoft 365-beveiliging. Wij bieden een basis security-beoordeling aan voor MKB — inclusief rapport en concreet actieplan.

Meer informatie over de MKB security-check →

Tags: #microsoft 365 #mkb #beveiliging #mfa #email #checklist