Let op: beveiliging van Microsoft 365 moet je zelf regelen

Microsoft 365, iedereen werkt veilig! Maar is dat ook zo? 

Dat doet Microsoft namelijk niet voor je. Alhoewel we de indruk hebben dat veel mensen wel die indruk hebben. We weten inmiddels allemaal hoe Microsoft 365 de afgelopen jaren samenwerking en het zoeken van contact met collega’s of klanten gemakkelijk heeft gemaakt.

Toch zien wij in de praktijk steeds vaker dat organisaties moeite hebben om controle te houden over wat er allemaal in Microsoft 365 gebeurt.

In de praktijk zie je daarom vaak:

• Een wildgroei aan teams en kanalen.
• Bestanden en gegevens worden op meerdere plekken gedeeld.
• De uitnodigingen met zowel collega’s als externe contacten vliegen je om de oren.
• Iedereen koppelt alles aan elkaar, want dat gaat eigenlijk heel intuïtief.

De punten hierboven zijn maar een paar voorbeelden van uitdagingen waar je als organisatie tegen aan kan lopen. Maar wat kun je eraan doen zonder dat je je medewerkers helemaal beperkt? En hoe houd je controle over de veiligheid van zowel je medewerkers als je bestanden.

Maar we zijn toch veilig bij Microsoft?

Binnen Microsoft 365 en dus ook Microsoft Teams bestaan veel beveiligingsinstellingen die ervoor zorgen dat je medewerkers (en dus ook jij) met een gerust hart gebruik kunnen maken van Microsoft 365 en Teams. Wat Microsoft eigenlijk zegt is: wij geven je de tools maar je bent zelf verantwoordelijk er op een juiste manier mee om te gaan. Wat die juiste manier is, is natuurlijk voor iedere organisatie, gebruiker of team anders.

Wat we in veel organisaties zien is dat er veel aandacht wordt besteed aan het beveiligen van e-mail. Daar komt immers namelijk spam, malware en phishing binnen. Vaak denkt men al snel dat als dit goed is geregeld 95% van de aanvallen worden afgeslagen. Helaas is dit in de praktijk niet zo. Er zijn tal van andere risico’s, hieronder een aantal voorbeelden:

• Het delen van informatie met externen, vaak gebeurt dit onwetend met anonieme links. Er is dus geen enkele validatie wie dit opent. Iedereen met een link kan bij de informatie.
• Het handmatig toepassen van multi-factor authenticatie op gebruikers -en admin account. Hierdoor worden sommige accounts vergeten, welke dus geen MFA hebben.
• Het toestaan van bepaalde PowerPlatform handelingen. Regelmatig worden deze zogenaamde “flows” door kwaadwillenden gebruikt om informatie door te sluizen.
• Een wildgroei aan groepen, teams en bestanden. Niemand heeft meer controle op datastromen en dataclassificaties.
• App-integraties met externe partijen of applicaties die vrije toegang hebben tot je data. Vaak kunnen medewerkers deze toegang zelf verlenen zonder tussenkomst van de IT-afdeling.

Al met al kan deze lijst oplopen tot tientallen risico’s. De vrijheid van alle oplossingen binnen Microsoft 365 is direct ook een risico!

Maar hoe beveilig ik mijn Microsoft 365 omgeving dan?

Gelukkig biedt Microsoft tal van tools en oplossingen om deze risico’s te verkleinen of weg te nemen. Denk hierbij onder andere aan:

• Het is mogelijk om het aanmaken van Teams en kanalen te beperken. Zo kun je op basis van groepslidmaatschap bepalen wie wel en wie niet groepen en Teams kunnen aanmaken.
• Door middel van Azure Conditional Access kan bijvoorbeeld MFA worden afgedwongen voor alle admin account of voor alle gebruikers binnen een organisatie.
• Toegang tot Microsoft 365 apps kan worden beperkt door gebruik te maken van zogenaamde licentiegroepen.
• Toegang tot cloud-apps kan worden beperkt op basis van voorwaarden. Denk hierbij bijvoorbeeld aan MFA voor toegang tot PowerBI of het compliant zijn van het apparaat.
• Je kan ervoor zorgen dat Teams altijd vanuit een template worden aangemaakt. Dit houdt in dat een Team altijd een bepaalde basisinrichting heeft.
• Door de te werken met Data Loss Prevention is het mogelijk dat bepaalde gevoelige informatie (denk onder andere aan persoonsgegevens) niet zomaar kunnen worden gedeeld of gechat.
• Het koppelen van externe (non-Microsoft 365) apps kan worden beperkt. Teams heeft integratiemogelijkheden met allerlei externe apps die maar wat graag toegang willen tot de tenant, accounts en bestanden.
• Externe cloud-opslag, gebruikers kunnen individueel externe cloudopslaglocatie, zoals bijvoorbeeld Dropbox, koppelen aan Teams. Dit is eenvoudig met een paar commando’s te beveiligen.
• Er zijn verder tal van best-practices m.b.t. vergadermogelijkheden en voor het delen met externen.
• Beperk het gebruik van anonieme links naar bestanden. Heb je dit toch nodig, laat ze dan na een periode automatisch verlopen om te voorkomen dat toegang niet oneindig blijft bestaan.
• Het gebruik van Advanced Threat Protection zorgt ervoor dat inhoud van e-mail, bestanden en de links die zich hierin bevinden eerst in een sandbox worden gevalideerd voordat de gebruiker ze opent.

Zo zie je dat er al veel maatregelen op te sommen zijn om de beveiliging van Microsoft 365 te verbeteren. En dan hebben we het nog niet gehad over het Compliance en Security center binnen Microsoft 365, laat staan de Threat Analytics. Daar kun je allerlei alert policies aanmaken, zodat je op de hoogte wordt gebracht van bijvoorbeeld afwijkend gedrag zoals inlogpogingen uit verre landen of het toekennen van rechten op bepaalde accounts, het verwijderen van bestanden etcetera.

Kortom, te veel om op te noemen!