Zero trust implementeren in Microsoft 365: stap voor stap
Microsoft 365 Business Premium bevat alle bouwstenen voor zero trust. Stap-voor-stap implementatiegids van conditionele toegang tot endpoint protection.
Microsoft heeft zijn productstrategie volledig gericht op zero trust. Microsoft 365 Business Premium bevat alle bouwstenen die een MKB-bedrijf nodig heeft om een solide zero trust-architectuur te implementeren, zonder aanvullende tools of leveranciers. Dit artikel beschrijft de implementatie stap voor stap.
Vereiste licentie
De implementatie die in dit artikel wordt beschreven, vereist Microsoft 365 Business Premium. Die licentie bevat Microsoft Entra ID P1, Microsoft Intune, Microsoft Defender for Business, en Microsoft Defender for Office 365 Plan 1. Dat zijn de vier bouwstenen voor zero trust op identiteit, apparaat, endpoint en e-mail.
Als je nu Business Standard hebt, is de upgrade naar Business Premium de eerste stap.
Stap 1: Activeer en configureer MFA
Begin met de basis. Ga naar het Microsoft 365 Beheercentrum, navigeer naar Gebruikers, selecteer alle gebruikers en activeer MFA. Zorg dat alle gebruikers, inclusief de globale beheerder, MFA hebben geconfigureerd voor ze verder kunnen.
Stel de Microsoft Authenticator-app in als primaire MFA-methode. Die is veiliger dan SMS-codes en gebruiksvriendelijker dan hardwaretokens.
Maak één noodtoegangsaccount aan dat buiten de MFA-vereiste valt. Dit is een 'break glass'-account dat toegankelijk blijft als MFA-problemen optreden. Sla de credentials op een beveiligde, offline locatie op.
Stap 2: Stel basisbeleidsregels in via Security Defaults of Conditionele Toegang
Microsoft biedt twee niveaus van beveiligingsbeleid.
Security Defaults zijn een set van basisinstellingen die Microsoft automatisch toepast als ze worden ingeschakeld. Ze vereisen MFA voor alle gebruikers, blokkeren legacy-authenticatieprotocollen en vereisen MFA voor beheerderachtige taken. Security Defaults zijn een goede eerste stap maar bieden minder controle dan Conditionele Toegang.
Conditionele Toegang geeft meer granulariteit. Je kunt toegang afhankelijk maken van apparaatcompliance, aanmeldrisico, netwerklokatie en meer. Voor serieuze zero trust-implementatie is Conditionele Toegang de gewenste aanpak. Security Defaults moet worden uitgeschakeld als je Conditionele Toegang gebruikt.
Aanbevolen beleidsregels als startpunt:
Vereist MFA voor alle gebruikers bij alle cloud-apps. Blokkeer toegang van niet-compliante apparaten tot gevoelige data. Blokkeer toegang als het aanmeldrisico hoog is. Blokkeer legacy-authenticatieprotocollen voor alle gebruikers.
Stap 3: Beheer apparaten via Intune
Microsoft Intune is de Mobile Device Management-oplossing die apparaten beheert en compliancestatus bewaakt. Activeer Intune via het Microsoft Endpoint Manager-portaal op endpoint.microsoft.com.
Stel een Intune-inschrijvingsprocedure in voor alle Windows-apparaten. Bij inschrijving wordt het apparaat beheerd door Intune en worden de compliancevereisten gecontroleerd.
Stel minimale compliancevereisten in voor apparaten: Windows 10 of hoger, BitLocker ingeschakeld, antivirusdefinities up-to-date, geen jailbreak of root voor mobiele apparaten.
Koppel de compliancevereisten aan je Conditionele Toegangsbeleidsregels: apparaten die niet compliant zijn, krijgen geen toegang tot bedrijfsmiddelen.
Stap 4: Activeer en configureer Microsoft Defender for Business
Microsoft Defender for Business is de enterprise-grade endpoint protection die is inbegrepen in Business Premium. Het biedt meer dan traditionele antivirussoftware: het detecteert verdacht gedrag, geeft inzicht in aanvalspaden en automatiseert respons op bedreigingen.
Activeer Defender for Business via het Microsoft 365 Defender-portaal op security.microsoft.com. Onboard alle apparaten die beheerd worden via Intune. Dat gaat automatisch als de integratie is ingesteld.
Stel aanbevolen beveiligingsbeleidsregels in via de vereenvoudigde configuratie in het portaal. Die configuratie is speciaal ontworpen voor kleinere organisaties zonder dedicated beveiligingsteam.
Stap 5: Beveilig e-mail via Defender for Office 365
E-mail blijft de meest gebruikte aanvalsvector. Defender for Office 365 voegt twee kritieke lagen toe bovenop de standaard Exchange Online Protection.
Safe Attachments analyseert e-mailbijlagen in een beveiligde sandbox voor ze worden afgeleverd. Bijlagen met malware worden geblokkeerd of in quarantaine geplaatst.
Safe Links controleert URLs in e-mails op het moment dat de gebruiker er op klikt, niet alleen bij ontvangst. Dat beschermt ook tegen aanvallen waarbij een URL na aflevering pas kwaadaardig wordt.
Activeer beide functies via het Microsoft 365 Defender-portaal onder E-mail en samenwerking.
Stap 6: Stel Privileged Identity Management in voor beheerders
Beheerderachtige accounts zijn het meest waardevolle doelwit voor aanvallers. Privileged Identity Management, beschikbaar in Microsoft Entra ID P2, implementeert just-in-time beheerderstoegang: beheerders hebben standaard geen beheerdersrol maar kunnen die tijdelijk activeren als ze hem nodig hebben.
Als Business Premium niet beschikbaar is als P2-upgrade, is het alternatief: maak voor elke beheerder twee accounts. Een regulier account voor dagelijks gebruik en een aparte beheerdersaccount zonder mailbox die uitsluitend voor beheertaken wordt gebruikt.
Stap 7: Monitoring en alertering
Zonder monitoring weet je niet wat er in je omgeving gebeurt. Het Defender-portaal biedt basismonitoring van identiteiten, apparaten en e-mail. Stel in ieder geval alerts in voor:
Ongebruikelijke aanmeldactiviteit, zoals aanmeldingen vanuit onbekende locaties of buiten kantooruren.
Meerdere mislukte aanmeldpogingen op een account.
Nieuwe beheerderaccounts die zijn aangemaakt.
Apparaten die niet meer compliant zijn.
Praktijkscenario: IT-bedrijf implementeert Zero Trust in M365 in 8 weken
Een IT-dienstverlener met 35 medewerkers had na een intern beveiligingsaudit de opdracht alle externe toegang te beveiligen zonder VPN. Gekozen aanpak: Microsoft Zero Trust via Entra ID en Intune.
Implementatie in 8 weken:
| Week | Activiteit | Tijdsinvestering |
|---|---|---|
| 1-2 | MFA activeren voor alle 35 gebruikers | 16 uur |
| 2-3 | Conditional Access policies inrichten | 24 uur |
| 3-4 | Intune MDM uitrollen voor laptops en mobiel | 32 uur |
| 5-6 | Named Locations en sign-in risk policies | 16 uur |
| 7-8 | Microsoft Defender XDR koppelen | 20 uur |
Totale implementatietijd: 108 uur. Kosten extern: €0 (intern uitgevoerd). Extra licentiekosten: €0 (al M365 Business Premium). Resultaat: VPN afgeschaft, alle medewerkers kunnen veilig werken vanaf elke locatie.
Zero Trust checklist Microsoft 365
| Maatregel | Status | Stap |
|---|---|---|
| MFA voor alle gebruikers | Verplicht | Entra ID > Security > MFA |
| Conditional Access: compliant device vereist | Sterk aanbevolen | Entra ID > CA > Device compliance |
| Intune enrollment alle apparaten | Sterk aanbevolen | Intune > Enrollment restrictions |
| Microsoft Defender for Endpoint actief | Sterk aanbevolen | Security center > Onboarding |
| Sign-in risk policy (hoog risico = blokkeer) | Aanbevolen | Entra ID > Identity Protection |
| Privileged Identity Management | Aanbevolen | Entra ID > PIM |
| DMARC/DKIM/SPF op domein | Verplicht | DNS-beheer |
Licentievergelijking: welke Zero Trust-functies per M365-plan
| Zero Trust-maatregel | Business Basic | Business Standard | Business Premium | E3 | E5 |
|---|---|---|---|---|---|
| MFA (via Security Defaults) | Ja | Ja | Ja | Ja | Ja |
| Conditionele Toegang (volledige CA) | Nee | Nee | Ja | Ja | Ja |
| Intune (apparaatbeheer) | Nee | Nee | Ja | Ja | Ja |
| Defender for Business | Nee | Nee | Ja | Defender Plan 1 | Defender Plan 2 |
| Entra ID P1 (groepsbeleid, SSPR) | Nee | Nee | Ja | Ja | Ja |
| Entra ID P2 (PIM, Identity Protection) | Nee | Nee | Nee | Nee | Ja |
| Microsoft Sentinel (SIEM) | Nee | Nee | Nee | Add-on | Add-on |
| Information Protection (labeling) | Nee | Nee | Ja | Ja | Ja |
Conclusie: Business Premium bevat alle essentiële Zero Trust-bouwstenen voor het MKB. E3/E5 zijn voor enterprise-functies die de meeste MKB-bedrijven niet nodig hebben.
Zero Trust checklist Microsoft 365
| Maatregel | Vereiste licentie | Status na implementatie | Prioriteit |
|---|---|---|---|
| MFA voor alle gebruikers | Alle plannen | Geblokkeerd zonder MFA | Kritiek |
| Security Defaults of Conditionele Toegang | BP/E3/E5 | Ongeautoriseerde locaties geblokkeerd | Kritiek |
| Intune: apparaatcompliance vereisen | BP/E3 | Alleen conforme devices | Hoog |
| Defender for Business activeren | BP | Malware en phishing gedetecteerd | Hoog |
| DMARC, SPF, DKIM configureren | Alle plannen (DNS) | E-mail spoofing geblokkeerd | Hoog |
| Privileged Identity Management | E5 of Entra P2 add-on | Admin-rechten Just-in-Time | Middel |
| Microsoft Sentinel (monitoring) | Add-on | Realtime beveiligingsalerts | Middel |
| Information Protection labels | BP/E3 | Gevoelige data gemarkeerd en beveiligd | Middel |
Kosten Zero Trust implementatie voor 50 medewerkers
| Configuratie | Licenties/maand | Implementatiekosten (eenmalig) | Tijdsduur |
|---|---|---|---|
| Basis (Business Basic + Security Defaults) | €280 (50 × €5,60) | €0-€500 (intern) | 1-2 weken |
| Aanbevolen (Business Premium) | €1.095 (50 × €21,90) | €2.000-€6.000 (partner) | 4-8 weken |
| Geavanceerd (Premium + Entra P2 add-on) | €1.385 (50 × €27,70) | €4.000-€12.000 (partner) | 8-16 weken |
| Enterprise (E3 + Sentinel) | €3.000+ | €10.000-€30.000 | 12-24 weken |
Veelgestelde vragen
Moet ik Security Defaults uitschakelen voor Conditionele Toegang?
Ja. Security Defaults en Conditionele Toegang kunnen niet tegelijk actief zijn. Schakel Security Defaults uit als je Conditionele Toegangsbeleidsregels aanmaakt. Zorg dat je de beleidsregels klaar hebt voor je Security Defaults uitschakelt.
Hoe onboard ik bestaande apparaten in Intune?
Via een automatische inschrijving via Azure AD Join voor nieuwe apparaten. Voor bestaande apparaten kun je een handmatige inschrijving uitvoeren of Windows Autopilot gebruiken voor geautomatiseerde inschrijving bij herinstallatie.
Wat doe ik met BYOD-apparaten van medewerkers?
Overweeg Mobile Application Management in plaats van volledige apparaatregistratie. MAM beheert alleen de zakelijke apps en data op het apparaat, niet het volledige apparaat. Dat is minder ingrijpend voor medewerkers en toch beveiligd.
*Zie ook: Zero trust uitgelegd en Microsoft 365 beveiligen.*
.
.