010 52 49 133 info@process2it.nl

Hoe stel je MFA in binnen Microsoft 365

Multi-factor authenticatie (MFA) voegt een tweede controle toe bij het inloggen. Naast een wachtwoord bevestigt de gebruiker zijn aanmelding met bijvoorbeeld een app-melding of een code. Dit verkleint de kans op misbruik van accounts aanzienlijk.

 

Microsoft breekt Windows 10 → 11 upgrade actie voor MKB

1. Voorwaarden en rollen

  • Een Microsoft 365 tenant met Microsoft Entra ID (voorheen Azure AD).
  • Beheerdersrol: Global Administrator of Security Administrator om beleid te wijzigen.
  • Elke gebruiker heeft toegang tot een tweede factor, bij voorkeur de Microsoft Authenticator app op een smartphone.

2. Aanpak kiezen: Security defaults of Conditional Access

Er zijn twee betrouwbare manieren om MFA in te schakelen:

  • Security defaults: snelle basisbeveiliging voor alle gebruikers. Aan of uit. Past bij kleine omgevingen.
  • Conditional Access: beleid op maat. Past bij organisaties die uitzonderingen of gefaseerde uitrol nodig hebben.

3. MFA inschakelen met Security defaults

  1. Ga naar entra.microsoft.com en meld je aan met een beheerdersaccount.
  2. Open Microsoft Entra ID en ga naar Properties.
  3. Kies Manage security defaults.
  4. Zet Enable security defaults op Yes en sla op.

Gevolg: alle gebruikers moeten zich registreren voor MFA bij een volgende aanmelding. Deze methode is eenvoudig en betrouwbaar als je geen uitzonderingen nodig hebt.

4. MFA afdwingen met Conditional Access

Gebruik Conditional Access als je selectief MFA wilt toepassen of uitzonderingen nodig hebt.

  1. Ga naar entra.microsoft.com en meld je aan met een beheerdersaccount.
  2. Open Microsoft Entra ID en ga naar Protection en daarna Conditional Access.
  3. Kies Policies en klik op New policy.
  4. Geef het beleid een duidelijke naam, bijvoorbeeld Require MFA for all users.
  5. Onder Users selecteer je de doelgroep. Begin desnoods met een pilotgroep. Sluit noodaccounts uit.
  6. Onder Cloud apps kies je de gewenste apps of All cloud apps.
  7. Onder Grant selecteer je Grant access en vink je Require multifactor authentication aan.
  8. Zet Enable policy op On en sla op.

Gevolg: gebruikers binnen de doelgroep moeten MFA voltooien volgens het ingestelde beleid.

5. Registratie door de gebruiker

Nadat MFA is ingeschakeld via Security defaults of Conditional Access, doorloopt de gebruiker eenmalig de registratie.

  1. De gebruiker meldt zich aan met e-mailadres en wachtwoord.
  2. Het scherm Meer informatie vereist verschijnt.
  3. Kies de voorkeursmethode. Aanbevolen is de Microsoft Authenticator app.
  4. Installeer de Microsoft Authenticator app op de smartphone en kies Werk of schoolaccount.
  5. Scan de QR-code die in de browser wordt getoond en bevestig de koppelingsmelding.
  6. Test de pushmelding of voer de gegenereerde code in om de registratie af te ronden.
  7. Voeg een tweede methode toe als reserve, bijvoorbeeld een sms of telefoonnummer.

6. Aanbevelingen en best practices

  • Gebruik de Authenticator app in plaats van sms. App-meldingen zijn veiliger en robuuster.
  • Beperk of blokkeer legacy authenticatie. Oude protocollen omzeilen vaak MFA.
  • Registreer ten minste twee verificatiemethoden per gebruiker voor noodgevallen.
  • Sluit nood- of break-glass-accounts uit van beleid en beveilig ze met sterke wachtwoorden en monitoring.
  • Communiceer vooraf naar gebruikers wat er verandert en waarom MFA nodig is.
  • Controleer regelmatig de voortgang in de Entra Admin Center rapportages en verbeter waar nodig.

7. Veelvoorkomende vragen en oplossingen

Wat als een gebruiker geen smartphone heeft

Kies dan voor sms of een telefonische oproep als tweede factor. Houd er rekening mee dat dit minder veilig is dan een app.

Wat als de telefoon kwijt is of vervangen wordt

Laat de gebruiker een alternatieve methode gebruiken en registreer daarna de nieuwe telefoon. Beheerders kunnen registraties resetten via het gebruikersprofiel.

Werkt MFA ook voor oudere mailapps

Oude clients die geen moderne verificatie ondersteunen werken mogelijk niet met MFA. Gebruik een moderne client of overweeg een tijdelijk app-wachtwoord als overgang, mits beleid dit toestaat.

Kun je MFA verplichten voor iedereen

Ja. Met Security defaults of een Conditional Access beleid kun je MFA afdwingen voor alle gebruikers, behalve expliciet uitgesloten accounts.

8. Samenvatting

MFA is een kernmaatregel voor een veilige Microsoft 365 omgeving. Kies voor Security defaults als je snel en breed wilt beveiligen. Kies voor Conditional Access als je beleid op maat nodig hebt. Laat gebruikers de Authenticator app registreren, voeg een reservemethode toe en monitor de status. Met deze aanpak verhoog je de beveiliging aanzienlijk zonder het inlogproces onnodig te belasten.