Security baseline Microsoft 365 en Azure: waar het in de praktijk misgaat

Er zijn twee soorten organisaties. De ene denkt dat ze “wel goed zitten” qua security. De andere weet dat dat meestal niet zo is.

Deze blog is niet geschreven voor mensen die een vinkje willen zetten. Dit is voor organisaties die snappen dat één verkeerd ingestelde tenant genoeg is om alles kwijt te raken.

Laten we eerlijk zijn: de meeste omgevingen die wij tegenkomen zijn niet slecht beveiligd omdat mensen het niet willen, maar omdat ze denken dat ze er al zijn.

Dat is precies waar het misgaat.

Een security baseline is geen uitgebreide enterprise-strategie. Het is de ondergrens. Het punt waar je zegt: alles hieronder is gewoon onveilig.

Bij Cloud Agent zien we dit als de minimale set aan maatregelen voor iedereen die werkt met Microsoft 365, Azure en alles daaromheen. Niet complex, niet overdreven — gewoon wat er moet staan.

En nee, dat is in de praktijk bijna nooit het geval.

Wachtwoorden zijn daar een goed voorbeeld van. Iedereen heeft er een mening over, maar weinig organisaties hebben het echt goed ingericht. Sterke wachtwoorden alleen zijn niet genoeg. Als je geen goede vorm van Multi-Factor Authentication gebruikt, ben je eigenlijk nog steeds afhankelijk van één factor. En ja, SMS is technisch MFA, maar ook meteen de zwakste variant die je kunt kiezen.

Wat je wil, is richting passwordless. Niet omdat het “mooi” is, maar omdat het simpelweg veiliger én gebruiksvriendelijker is.

Dan heb je nog legacy authentication. Dit is zo’n klassieker die overal nog ergens verstopt zit. Oude protocollen, geen MFA, puur username en password. Perfect voor aanvallers. Microsoft heeft het grotendeels uitgefaseerd, maar in veel omgevingen zien we nog uitzonderingen “omdat het anders niet werkt”.

Prima, maar dan moet je wel precies weten waar je risico zit. En dat weten de meeste organisaties niet.

MFA zelf is geen discussie meer. Als dat niet overal aanstaat, heb je gewoon een probleem. Punt. De enige nuance zit in hoe je uitzonderingen regelt, niet óf je het doet.

Wat ook structureel onderschat wordt: updates. Niet spannend, wel cruciaal. Elk apparaat dat niet up-to-date is, is een ingang. Of het nou een laptop is, een VM of een server. Patchmanagement moet geen losse actie zijn, maar een standaard proces dat gewoon altijd draait.

En dan BYOD. Iedereen gebruikt zijn eigen telefoon. Iedereen heeft Teams, Outlook of OneDrive op zijn privédevice. Daar zit meteen het risico. Je data zit op een device waar je geen controle over hebt.

De meeste organisaties lossen dit verkeerd op. Of ze blokkeren alles, of ze doen helemaal niets.

De juiste aanpak zit ertussenin. App Protection Policies via Intune. Daarmee bescherm je de data, niet het device. Encryptie, PIN, selectief wissen van bedrijfsdata — zonder dat je iemands privételefoon hoeft over te nemen.

Dat is het verschil tussen controle willen hebben en daadwerkelijk risico’s beperken.

Tot slot: alleen policies neerzetten is niet genoeg. Je moet ook zien wat er gebeurt. Aanvallen zijn geen uitzondering meer, ze zijn standaard. Zonder monitoring en detectie zie je ze simpelweg niet aankomen.

Daar komt tooling zoals Microsoft Defender binnen. Niet als “extra”, maar als onderdeel van je baseline.

Wat wij in de praktijk zien? Organisaties die denken dat ze goed zitten, maar waar:

• MFA niet overal aanstaat

• Legacy auth nog actief is

• Devices maanden achterlopen met updates

• Bedrijfsdata op onbeveiligde privédevices staat

• Monitoring beperkt of afwezig is

En dat zijn geen uitzonderingen. Dat is de norm.

Wil je weten waar jouw organisatie echt staat? Dan moet je daar eerlijk naar durven kijken.

Wij doen dat dagelijks. Geen theoretisch verhaal, maar gewoon in jouw tenant laten zien waar het goed gaat en waar het misgaat.

Dat gesprek is vaak confronterend. Maar wel nodig.