Geschreven door Erwin van den Berg, Co-Owner / IT Consultant.

Erwin van den Berg heeft meer dan 15 jaar ervaring in IT-consultancy, met een focus op het strategisch afstemmen van technische oplossingen op zakelijke doelen.

In dit artikel deelt Erwin inzichten over veelvoorkomende beveiligingsfouten bij Microsoft 365 en hoe deze te vermijden, vanuit een strategisch perspectief.

Afkadering: Erwin biedt een informatieve kijk op het onderwerp, zonder specifieke beveiligingsclaims te maken.

Snelle samenvatting

Het artikel behandelt veelvoorkomende fouten bij de beveiliging van Microsoft 365 en biedt strategieën om deze te vermijden.

  • Legacy protocollen zoals POP3 en IMAP kunnen MFA omzeilen, waardoor ongeautoriseerde toegang mogelijk blijft.
  • Ongecontroleerde 'App Consent' instellingen kunnen leiden tot permanente API-toegang zonder wachtwoord.
  • Conditional Access policies moeten MFA afdwingen op basis van risicofactoren zoals locatie en apparaatstatus.
  • Privileged Identity Management (PIM) voorkomt permanente toewijzing van beheerrollen door 'just-in-time' toegang te bieden.
  • Unified Audit Log (UAL) moet centraal worden geconfigureerd voor consistente monitoring van activiteiten.
  • Strikte Conditional Access kan de productiviteit verlagen maar biedt betere beveiliging door het aanvalsoppervlak te verkleinen.

Veelvoorkomende fouten bij Microsoft 365-beveiliging

Legacy protocollen zoals POP3 en IMAP blijven soms actief terwijl MFA al als beveiligingslaag is ingericht. Dat creëert een scheve situatie: aan de voorkant lijkt de toegang strakker geregeld, maar via deze oudere protocollen kan die controle alsnog worden omzeild. In de praktijk ondermijnt dat de implementatie van Microsoft 365-beveiliging juist op het punt waar teams vaak denken dat de basis al staat.

De fout zit niet alleen in het laten bestaan van verouderde toegangsroutes, maar in de volgorde waarin beveiligingsmaatregelen worden ingevoerd. Als MFA zichtbaar aanwezig is, ontstaat snel het beeld dat mailboxen afdoende beschermd zijn. Tegelijk blijft een alternatieve route openstaan, waardoor aanvallers via credential stuffing ongeautoriseerde toegang tot mailboxen kunnen krijgen. Dat maakt de beveiliging niet alleen minder effectief, maar ook lastiger te beoordelen, omdat de zwakke plek buiten de meest zichtbare instellingen blijft.

Een vergelijkbare verstoring ontstaat bij ongecontroleerde 'App Consent' instellingen. Daar verschuift het risico van aanmeldgegevens naar permissies: gebruikers kunnen permissies verlenen aan malafide OAuth-applicaties, waarna permanente API-toegang tot bedrijfsdata ontstaat zonder wachtwoord. De verstoring is daarmee minder direct zichtbaar dan een mislukte aanmelding of een geblokkeerde sessie. Toegang blijft bestaan, terwijl de controle in de dagelijkse beheerpraktijk juist versnipperd raakt tussen gebruikersgedrag, permissies en wat de IT-afdeling denkt te hebben afgeschermd.

Deze fouten hebben hetzelfde patroon: een beveiligingsimplementatie oogt compleet, maar laat op een minder opvallend punt toch een structurele opening bestaan. Daardoor neemt de kwetsbaarheid toe zonder dat dit meteen zichtbaar is in het normale gebruik van Microsoft 365. Voor organisaties die fouten willen vermijden, zit de frictie dus vaak niet in ontbrekende maatregelen op papier, maar in onderdelen die naast elkaar bestaan en elkaars werking ondergraven, zoals actieve legacy protocollen en ongecontroleerde 'App Consent' instellingen.

Checklist voor het vermijden van implementatiefouten

Beveiligingsinstellingen blijven vaak te algemeen of onvolledig ingericht, waardoor toegang, beheerrechten en activiteitenregistratie niet aansluiten op hoe Microsoft 365 in de praktijk wordt gebruikt.

  • Controleer of Conditional Access policies MFA afdwingen op basis van risicofactoren. Het aandachtspunt zit niet alleen in het activeren van MFA, maar in de koppeling met factoren zoals locatie en apparaatstatus. Zonder die koppeling blijft het beleid grofmazig: dezelfde toegangseis geldt dan overal, ongeacht de context. In de dagelijkse werking ontstaat daardoor een gat tussen beleid en gebruik, omdat toegang niet wordt beoordeeld op de omstandigheden waarin een aanmelding plaatsvindt.
  • Beoordeel of Conditional Access past binnen de beschikbare Microsoft 365-licenties. In omgevingen met beperkte licenties ontbreken geavanceerde beveiligingsmogelijkheden zoals Conditional Access en PIM. Dat maakt de implementatie niet alleen smaller, maar verandert ook de uitvoerbaarheid van het beveiligingsplan. Een checklist zonder deze controle leidt snel tot maatregelen die op papier zijn opgenomen maar in de tenant niet beschikbaar zijn, met een grotere kans op ongeautoriseerde toegang als operationeel gevolg.
  • Neem Privileged Identity Management op voor beheerrollen. PIM verschuift beheerrechten van permanente toewijzing naar just-in-time toegang. Dat verandert hoe beheerwerk wordt uitgevoerd: rechten worden pas actief rond het moment dat een beheerhandeling nodig is. Als beheerrollen permanent toegewezen blijven, blijft verhoogde toegang langer aanwezig dan nodig is. Die keuze werkt direct door in de dagelijkse beheerpraktijk, omdat accounts met doorlopende beheerrechten een blijvend zwaarder risicoprofiel houden.
  • Controleer of beheerrollen niet impliciet permanent blijven bestaan naast PIM. Een veelvoorkomende implementatiefout is dat PIM wel wordt opgenomen in het ontwerp, maar dat bestaande roltoewijzingen ongemoeid blijven. Dan ontstaat een dubbele situatie: just-in-time toegang is ingericht, terwijl permanente rechten in de achtergrond actief blijven. Operationeel levert dat onduidelijk eigenaarschap op, omdat het verschil tussen tijdelijk en blijvend beheerrecht vervaagt.
  • Verifieer of Unified Audit Log centraal is geconfigureerd voor alle Microsoft 365-services. UAL is bedoeld om gebruikers- en beheerdersactiviteiten centraal vast te leggen over alle M365-services. Zodra die centrale registratie ontbreekt of maar gedeeltelijk is ingericht, valt monitoring uiteen in losse sporen. Dat vertraagt het terugzoeken van handelingen, maakt controles minder consistent en beperkt het zicht op wat gebruikers en beheerders daadwerkelijk hebben gedaan.
  • Controleer de samenhang tussen toegang, beheer en logging. Deze drie onderdelen werken niet los van elkaar. Conditional Access bepaalt onder welke omstandigheden toegang wordt afgedwongen, PIM beperkt wanneer beheerrechten actief zijn, en Unified Audit Log legt vast welke gebruikers- en beheerdersactiviteiten plaatsvinden. Als één van deze onderdelen ontbreekt of slechts gedeeltelijk is meegenomen, ontstaat geen sluitende inrichting maar een reeks losse maatregelen met beperkte activiteitenmonitoring als concreet gevolg.

Waarom zijn deze maatregelen cruciaal?

Zonder Conditional Access blijft MFA een losse instelling die niet gericht wordt afgedwongen op basis van locatie en apparaatstatus. Daardoor ontstaat er verschil tussen accounts, situaties en toegangsmomenten: de maatregel bestaat wel, maar werkt niet als een consistente toegangsvoorwaarde. Juist daar zit de waarde van deze controle binnen Microsoft 365-beveiliging. Conditional Access koppelt MFA aan risicofactoren, zodat de toegang niet alleen afhangt van het bestaan van MFA, maar van de context waarin iemand probeert in te loggen. Voor een IT-afdeling maakt dat het verschil tussen een verzameling losse beveiligingsinstellingen en een afdwingbaar toegangsbeleid dat beter aansluit op dagelijks gebruik.

Permanente beheerrechten houden verhoogde toegang voortdurend beschikbaar, ook op momenten dat die niet nodig is. Privileged Identity Management verschuift dat model naar 'just-in-time' toegang tot beheerrollen. De maatregel verandert daarmee niet alleen wie rechten heeft, maar vooral wanneer die rechten actief zijn. In de praktijk beperkt dat de periode waarin beheerrechten openstaan, wat direct invloed heeft op de blootstelling van kritieke beheertaken. Voor organisaties die Microsoft 365 implementeren betekent dit minder afhankelijkheid van blijvend toegekende rollen en minder druk op handmatige controle van wie op elk moment uitgebreide rechten heeft.

Zonder een centraal vastgelegde audittrail raken gebruikers- en beheerdersactiviteiten verspreid over verschillende Microsoft 365-services. Unified Audit Log brengt die registratie samen in één configuratie voor centrale vastlegging. Dat is geen administratief detail, maar een operationele voorwaarde om terug te kunnen zien wat er is gebeurd, door wie en binnen welke dienst. Zodra activiteiten niet centraal worden vastgelegd, wordt het lastiger om afwijkingen te reconstrueren of om na te gaan of een wijziging uit regulier beheer kwam of niet. De maatregel ondersteunt daarmee niet alleen monitoring van verdachte activiteiten, maar ook het terugvinden van de handelingen die aan een incident of ongewenste wijziging voorafgingen.

De samenhang tussen deze drie maatregelen zit in de manier waarop ze verschillende fasen van toegang en activiteit afdekken. Conditional Access bepaalt onder welke omstandigheden toegang wordt toegestaan en MFA wordt afgedwongen. Privileged Identity Management beperkt vervolgens wanneer beheerrechten daadwerkelijk actief zijn. Unified Audit Log legt daarna de gebruikers- en beheerdersactiviteiten over Microsoft 365-services centraal vast. Als één van die onderdelen ontbreekt, ontstaat een zichtbaar gat in de keten: toegang wordt minder contextgestuurd, beheerrechten blijven langer beschikbaar of activiteiten zijn achteraf minder goed te reconstrueren in een centrale auditregistratie.

Veelvoorkomende fouten bij de implementatie

Legacy protocollen zoals POP3 en IMAP die actief blijven tijdens de implementatie, laten een route open waarbij MFA wordt omzeild en mailboxen via credential stuffing toegankelijk worden. Dat is geen theoretisch detail in de inrichting, maar een directe breuk tussen het beoogde beveiligingsniveau en het werkelijke gedrag van de omgeving. Aan de voorkant lijkt MFA dan aanwezig, terwijl dezelfde tenant via oudere aanmeldroutes toch ongeautoriseerde toegang kan toelaten. Voor een IT-afdeling ontstaat daardoor extra controlewerk: de configuratie oogt afgerond, maar de bescherming geldt niet overal waar gebruikers zich aanmelden.

Een vergelijkbare fout zit in ongecontroleerde 'App Consent' instellingen. Daar begint het niet met een wachtwoordlek, maar met permissies die gebruikers zelf verlenen aan een malafide OAuth-applicatie. Zodra die toestemming is gegeven, ontstaat permanente API-toegang tot bedrijfsdata zonder wachtwoord. De operationele schade zit juist in dat stille karakter: toegang loopt door zonder dat een klassiek aanmeldmoment opnieuw plaatsvindt. In de praktijk verschuift het risico daarmee van accountbeveiliging naar toestemmingsbeheer, terwijl teams vaak vooral naar accounts en MFA kijken.

Ook het toewijzen van de 'Global Administrator' rol aan meer dan de aanbevolen 2 tot 4 personen voor dagelijks gebruik is een terugkerende implementatiefout. Die keuze ontstaat vaak uit gemak tijdens de uitrol: meerdere beheerders krijgen brede rechten om vertraging te voorkomen. Daardoor vervaagt de scheiding tussen dagelijks beheer en de zwaarste bevoegdheden binnen Microsoft 365. Het gevolg is niet alleen een groter aanvalsoppervlak, maar ook meer onduidelijkheid over wie welke wijziging kan doorvoeren. In een implementatiefase, waarin instellingen snel veranderen en verantwoordelijkheden nog niet altijd scherp zijn, vergroot dat de kans dat ingrijpende rechten onderdeel worden van normaal dagelijks gebruik.

Deze fouten versterken elkaar ook. Een omgeving kan MFA zichtbaar hebben ingeschakeld, maar tegelijk legacy protocollen open laten staan, gebruikers vrij 'App Consent' laten geven en te veel Global Administrators actief houden. Dan ontstaat een situatie waarin beveiliging op papier aanwezig is, terwijl uitzonderingen, brede rechten en alternatieve toegangspaden de feitelijke controle uithollen. Voor de organisatie betekent dat extra herstelwerk, meer onzekerheid over toegangsrechten en een grotere kans dat bedrijfsdata bereikbaar blijft via paden die buiten het dagelijkse beheer vallen.

Praktisch voorbeeld van een succesvolle implementatie

Toegang bleef in dit voorbeeld niet afhankelijk van vaste roltoewijzingen of losse aanmeldkeuzes, maar van drie expliciet ingerichte onderdelen binnen Microsoft 365. Een organisatie richtte Conditional Access zo in dat MFA werd afgedwongen op basis van risicofactoren zoals locatie en apparaatstatus. Daardoor verschoof de controle van een algemene instelling naar een situatiegebonden beoordeling: niet iedere aanmelding werd op dezelfde manier behandeld, maar wel volgens dezelfde beleidslogica. Dat voorkomt een implementatie waarin MFA wel aanwezig is, maar niet consequent wordt afgedwongen op de momenten waarop het risico hoger ligt.

Voor beheerrollen lag de nadruk niet op permanente rechten, maar op Privileged Identity Management. In de praktijk verandert dat de dagelijkse werkwijze van beheerders merkbaar. Toegang tot beheerrollen staat dan niet voortdurend open, maar wordt just-in-time beschikbaar gemaakt. Daarmee verdwijnt een veelvoorkomend patroon waarbij brede rechten blijven bestaan omdat ze ooit nodig waren en daarna niet meer zijn teruggedraaid. In een implementatieproject werkt dit ook organisatorisch door: rollen worden niet alleen toegewezen, maar opnieuw bekeken op het moment dat toegang echt nodig is. Dat beperkt de ruimte voor onduidelijk eigenaarschap rond beheerrechten en houdt het verschil scherp tussen regulier werk en handelingen met verhoogde rechten.

De derde stap zat in de configuratie van de Unified Audit Log voor het centraal vastleggen van gebruikers- en beheerdersactiviteiten over alle Microsoft 365-services. Zonder zo’n centrale registratie raakt informatie versnipperd over verschillende onderdelen, waardoor controles achteraf meer handmatig werk vragen en afwijkingen later zichtbaar worden. In dit voorbeeld werd monitoring daardoor geen losse verzameling controles, maar een doorlopende lijn in dezelfde omgeving. Dat maakt het eenvoudiger om terug te zien welke activiteit heeft plaatsgevonden, door wie, en binnen welk deel van Microsoft 365.

De samenhang tussen deze drie keuzes bepaalt waarom dit als een geslaagde implementatie geldt. Conditional Access stuurt de toegang op basis van context, PIM voorkomt dat beheerrechten permanent blijven staan, en de Unified Audit Log legt vast wat gebruikers en beheerders vervolgens doen. Daardoor ontstaat geen beveiligingsinrichting die alleen op papier compleet lijkt, maar een opzet waarin toegang, beheer en monitoring op elkaar aansluiten. Zodra een van die onderdelen ontbreekt, verschuift het werk terug naar losse controles, blijvende rechten of onvolledige zichtbaarheid in activiteiten over Microsoft 365-services.

Factoren die de beveiligingsbeslissingen beïnvloeden

Strikte Conditional Access kan de dagelijkse toegang merkbaar vertragen zodra MFA bij elke login wordt afgedwongen, terwijl soepelere instellingen meer gebruiksgemak geven maar het aanvalsoppervlak minder verkleinen. Die afweging raakt niet alleen de beveiliging, maar ook het werkritme van gebruikers en de druk op de IT-afdeling wanneer extra verificatiestappen als hinderlijk worden ervaren.

BeslissingsfactorWat de afweging inhoudtOperationeel effect
Gebruikersgemak versus beveiliging met Conditional AccessStrikte Conditional Access, zoals MFA bij elke login, legt de nadruk op beperking van het aanvalsoppervlak. Minder strikte toepassing houdt de toegang laagdrempeliger voor gebruikers.Bij een strikte inrichting neemt de beveiliging toe, maar de productiviteit kan dalen doordat gebruikers vaker extra stappen doorlopen. Bij een soepelere inrichting blijft het gebruik eenvoudiger, terwijl de beveiligingswinst beperkter uitvalt.
Kosten versus functionaliteit bij E3 en E5De overstap van E3 naar E5 voegt meer beveiligingsfunctionaliteit toe, waaronder PIM en Risk-based CA, maar verhoogt de operationele kosten. Binnen die keuze draait het niet alleen om licentieprijs, maar om de vraag hoeveel automatisering en controle nodig zijn.Met E5 ontstaat meer ruimte voor geavanceerde beveiligingsmaatregelen en automatisering. Bij een beperktere licentiekeuze blijven die mogelijkheden kleiner, waardoor organisaties meer begrensd zijn in hoe ver ze beveiliging binnen Microsoft 365 kunnen doorvoeren tegen dezelfde beheerinspanning.

Veelgestelde vragen en bezwaren

Security Defaults uitschakelen zonder vervangende Conditional Access policies laat een gat achter in de inrichting van Microsoft 365-beveiliging. Dat bezwaar komt vaak terug in vragen over wat nu precies het verschil is tussen beide en waar het misgaat als de overstap half wordt uitgevoerd.

  • Waarom legacy protocollen uitschakelen?
    Legacy protocollen zoals POP3 en IMAP vormen een terugkerend bezwaar omdat ze soms nog in gebruik zijn. Het probleem zit in de beveiligingsroute: deze protocollen kunnen MFA omzeilen. Daardoor ontstaat een situatie waarin een organisatie MFA wel heeft ingericht, maar toch ongeautoriseerde toegang mogelijk blijft via een oudere aanmeldmethode. In de praktijk geeft dat een vertekend beeld van de werkelijke bescherming, omdat de moderne beveiligingslaag niet overal hetzelfde afdwingt.
  • Wat gaat er mis als Security Defaults worden uitgezet zonder Conditional Access?
    Dan verdwijnt een bestaande basisbeveiliging zonder dat daar een vervangende set policies tegenover staat. Dat is geen kleine configuratiewijziging maar een directe verzwakking van de inrichting. Het gevolg is niet alleen minder controle, maar ook meer kans dat toegangspatronen ontstaan die niet meer door de bedoelde beveiligingsvoorwaarden worden afgevangen. Juist deze tussenfase zorgt voor fouten: de oude standaard staat uit, terwijl de nieuwe logica nog niet actief is.
  • Wat biedt Conditional Access ten opzichte van Security Defaults?
    Conditional Access wordt gebruikt om beveiligingsmaatregelen zoals MFA via policies af te dwingen. Daarmee verschuift de inrichting van een algemene standaard naar gerichte voorwaarden. Security Defaults biedt een vaste basis, terwijl Conditional Access werkt met expliciete policies. Voor organisaties die meer controle nodig hebben over hoe beveiligingsmaatregelen worden toegepast, ligt het verschil dus in de mate van sturing. Dat voordeel verdwijnt direct als Conditional Access alleen gedeeltelijk wordt ingericht of als policies ontbreken op het moment dat Security Defaults al is uitgeschakeld.
  • Is Security Defaults dan onvoldoende?
    Niet per se, maar het bezwaar ontstaat meestal zodra de organisatie meer wil dan een standaardbasis. Dan komt Conditional Access in beeld als alternatief met meer beleidsmatige controle. De fout zit niet in Security Defaults zelf, maar in de aanname dat uitschakelen automatisch een verbetering is. Zonder vervangende Conditional Access policies ontstaat juist minder bescherming dan daarvoor, en dat maakt de overgang kwetsbaar.

Afsluitende overwegingen voor Microsoft 365-beveiliging

Legacy protocollen die actief blijven, laten een route open waarin MFA wordt omzeild en mailboxen via credential stuffing toch bereikbaar blijven. Dat maakt een beveiligingsimplementatie direct inconsistent: aan de voorkant lijkt extra verificatie aanwezig, maar een ouder toegangspad blijft buiten die controle vallen. In de praktijk verschuift het risico dan niet alleen naar ongeautoriseerde toegang, maar ook naar herstelwerk, verstoring van mailboxgebruik en extra interne afstemming zodra accounts onderzocht of hersteld moeten worden. Die combinatie raakt zowel de dagelijkse operatie als de kostenkant, omdat tijd, capaciteit en continuïteit onder druk komen te staan door een fout die in de basis uit een open gebleven protocolpad ontstaat.

Conditional Access policies vormen in dat geheel geen losse instelling, maar het punt waar beveiligingsregels daadwerkelijk worden afgedwongen op basis van risicofactoren zoals locatie en apparaatstatus. Zonder die laag blijft MFA minder gericht en minder consistent toegepast. Dan ontstaat een bekend spanningsveld in de uitvoering: beveiliging is wel ingericht als uitgangspunt, maar niet op een manier die aansluit op de omstandigheden van de aanmelding. Daardoor wordt de werking van Microsoft 365-beveiliging afhankelijk van aannames in plaats van afdwingbare voorwaarden, terwijl juist die voorwaarden bepalen of toegang onder verhoogd risico wordt beperkt of toegestaan.

De samenhang tussen beide onderdelen wordt pas echt zichtbaar tijdens gebruik. Als legacy protocollen niet zijn uitgeschakeld en Conditional Access policies tegelijk ontbreken of niet voldoende worden ingezet, valt de beveiliging uiteen in losse maatregelen die elkaar niet afdekken. Dan blijft er een situatie over waarin moderne toegangscontrole aan één kant wordt ingericht, terwijl een ouder protocol aan de andere kant MFA kan omzeilen. Dat is geen theoretische onvolledigheid maar een operationele grens: mailboxtoegang blijft mogelijk via een pad dat buiten de bedoelde controle valt, met ongeautoriseerde toegang tot mailboxen via credential stuffing als concrete failure mode.

Bronnen