Uw Microsoft 365 configureren voor meer beveiligingConfigure your Microsoft 365 tenant for increased security

Belangrijk

Het verbeterde Microsoft 365-beveiligingscentrum is nu beschikbaar.The improved Microsoft 365 security center is now available. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365-beveiligingscentrum.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ontdek wat er nieuw is.Learn what's new.

Van toepassing opApplies to

In dit onderwerp vindt u de aanbevolen configuratie voor instellingen voor tenants die van invloed zijn op de beveiliging van uw Microsoft 365 omgeving.This topic walks you through recommended configuration for tenant-wide settings that affect the security of your Microsoft 365 environment. Uw beveiligingsbehoeften vereisen mogelijk meer of minder beveiliging.Your security needs might require more or less security. Gebruik deze aanbevelingen als uitgangspunt.Use these recommendations as a starting point.

Veilige Office 365 controlerenCheck Office 365 Secure Score

Office 365 Secure Score analyseert de beveiliging van uw organisatie op basis van uw normale activiteiten en beveiligingsinstellingen en wijst een score toe.Office 365 Secure Score analyzes your organization's security based on your regular activities and security settings and assigns a score. Begin met het noteren van uw huidige score.Begin by taking note of your current score. Als u bepaalde instellingen voor tenants aanpast, wordt de score hoger.Adjusting some tenant-wide settings will increase your score. Het doel is niet om de maximale score te bereiken, maar om rekening te houden met de mogelijkheden om uw omgeving te beschermen die de productiviteit van uw gebruikers niet negatief beïnvloeden.The goal is not to achieve the max score, but to be aware of opportunities to protect your environment that do not negatively affect productivity for your users. Zie Microsoft Secure Score.See Microsoft Secure Score.

Beleid voor bedreigingsbeheer afstemmen in Microsoft 365 Defender-portalTune threat management policies in the Microsoft 365 Defender portal

De Microsoft 365 Defender-portal bevat mogelijkheden die uw omgeving beschermen.The Microsoft 365 Defender portal includes capabilities that protect your environment. Het bevat ook rapporten en dashboards die u kunt gebruiken om te controleren en actie te ondernemen.It also includes reports and dashboards you can use to monitor and take action. Sommige gebieden zijn standaardbeleidsconfiguraties.Some areas come with default policy configurations. Sommige gebieden bevatten geen standaardbeleid of regels.Some areas do not include default policies or rules. Ga naar dit beleid onder bedreigingsbeheer om de instellingen voor bedreigingsbeheer af te stemmen voor een veiligere omgeving.Visit these policies under threat management to tune threat management settings for a more secure environment.



GebiedArea Bevat een standaardbeleidIncludes a default policy AanbevelingRecommendation
Anti-phishingAnti-phishing JaYes
Anti-Malware EngineAnti-Malware Engine JaYes Het standaardbeleid bewerken:Edit the default policy:
  • Selecteer Het algemene bijlagefilter inschakelenSelect Enable the common attachments filter

U kunt ook aangepaste malwarefilterbeleidsregels maken en deze toepassen op opgegeven gebruikers, groepen of domeinen in uw organisatie.You can also create custom malware filter policies and apply them to specified users, groups, or domains in your organization.

Meer informatie:More information:

Safe Bijlagen in Microsoft Defender voor Office 365Safe Attachments in Microsoft Defender for Office 365 NeeNo Klik op de hoofdpagina Safe bijlagen op Algemene instellingen en schakel deze instelling in:On the main page for Safe Attachments, click Global settings and turn on this setting:
  • Defender voor Office 365 inschakelen voor SharePoint, OneDrive en Microsoft TeamsTurn on Defender for Office 365 for SharePoint, OneDrive, and Microsoft Teams

Maak een Safe bijlagenbeleid met deze instellingen:Create a Safe Attachments policy with these settings:

  • Blokkeren: Selecteer Blokkeren als de onbekende malwarerespons.Block: Select Block as the unknown malware response.
  • Omleiding inschakelen: Schakel dit selectievakje in en voer een e-mailadres in, zoals een beheerder of quarantaineaccount.Enable redirect: Check this box and enter an email address, such as an admin or quarantine account.
  • Pas de bovenstaande selectie toe als er malware wordt gescand op bijlagen of als er een fout optreedt: Selectievakje.Apply the above selection if malware scanning for attachments times out or error occurs: Check this box.
  • *Toegepast op: Het domein van de geadresseerde is uw domein > selecteren.*Applied to: The recipient domain is > select your domain.

Meer informatie: Safe bijlagen voor SharePoint, OneDrive en Microsoft Teams en Het beleid Safe Bijlagen instellenMore information: Safe Attachments for SharePoint, OneDrive, and Microsoft Teams and Set up Safe Attachments policies

Safe Koppelingen in Microsoft Defender voor Office 365Safe Links in Microsoft Defender for Office 365 JaYes Klik op de hoofdpagina voor Safe op Algemene instellingen:On the main page for Safe Links, click Global settings:
  • Gebruik Safe Koppelingen in: Office 365 toepassingen: Controleer of deze instelling is ingeschakeld.Use Safe Links in: Office 365 applications: Verify this setting is turned on.
  • Houd niet bij wanneer gebruikers op koppelingen Safe: Schakel deze instelling uit om klikken van gebruikers bij te houden.Do not track when users click Safe Links: Turn this setting off to track user clicks.

Maak een Safe koppelingenbeleid met deze instellingen:Create a Safe Links policy with these settings:

  • Selecteer de actie voor onbekende potentieel schadelijke URL's in berichten: Controleer of deze instelling is aan.Select the action for unknown potentially malicious URLs in messages: Verify this setting is On.
  • Selecteer de actie voor onbekende of potentieel schadelijke URL's binnen Microsoft Teams: Controleer of deze instelling is aan.Select the action for unknown or potentially malicious URLs within Microsoft Teams: Verify this setting is On.
  • Realtime URL-scan toepassen op verdachte koppelingen en koppelingen die naar bestanden wijzen: Schakel dit selectievakje in.Apply real-time URL scanning for suspicious links and links that point to files: Check this box.
  • Wacht totdat URL-scannen is voltooid voordat u het bericht bezorgt: Selectievakje.Wait for URL scanning to complete before delivering the message: Check this box.
  • Koppelingen Safe toepassen op e-mailberichten die binnen de organisatie zijn verzonden: Schakel dit selectievakje inApply Safe Links to email messages sent within the organization: Check this box
  • Gebruikers mogen niet doorklikken naar de oorspronkelijke URL: Selectievakje.Do not allow users to click through to original URL: Check this box.
  • Toegepast op: Het domein van de geadresseerde is uw domein > selecteren.Applied To: The recipient domain is > select your domain.

Meer informatie: Beleidsregels Safe koppelingen instellen.More information: Set up Safe Links policies.

Antispam (e-mailfiltering)Anti-Spam (Mail filtering) JaYes Waar moet u op letten: Te veel spam: Kies de aangepaste instellingen en bewerk het standaardbeleid voor spamfilters.What to watch for: Too much spam — Choose the Custom settings and edit the Default spam filter policy. Meer informatie: Microsoft 365 Bescherming tegen ongewenste e-mail.More information: Microsoft 365 Email Anti-Spam Protection.
E-mailverificatieEmail Authentication JaYes Voor e-mailverificatie wordt een DNS (Domain Name System) gebruikt om controleerbare informatie toe te voegen aan e-mailberichten over de afzender van een e-mailbericht.Email authentication uses a Domain Name System (DNS) to add verifiable information to email messages about the sender of an email. Microsoft 365 e-mailverificatie instellen voor het standaarddomein (onmicrosoft.com), maar Microsoft 365 beheerders kunnen ook e-mailverificatie gebruiken voor aangepaste domeinen.Microsoft 365 sets up email authentication for its default domain (onmicrosoft.com), but Microsoft 365 admins can also use email authentication for custom domains. Er worden drie verificatiemethoden gebruikt:Three authentication methods are used:

Notitie

Voor niet-standaardimplementaties van SPF, hybride implementaties en probleemoplossing: Hoe Microsoft 365 Sender Policy Framework (SPF)gebruikt om spoofing te voorkomen.For non-standard deployments of SPF, hybrid deployments, and troubleshooting: How Microsoft 365 uses Sender Policy Framework (SPF) to prevent spoofing.

Dashboards en rapporten weergeven in de Microsoft 365 Defender-portalView dashboards and reports in the Microsoft 365 Defender portal

Ga naar deze rapporten en dashboards voor meer informatie over de status van uw omgeving.Visit these reports and dashboards to learn more about the health of your environment. De gegevens in deze rapporten worden uitgebreid naarmate uw organisatie gebruikmaakt van Office 365 services.The data in these reports will become richer as your organization uses Office 365 services. Wees op dit moment vertrouwd met wat u kunt controleren en actie kunt ondernemen.For now, be familiar with what you can monitor and take action on. Zie Rapporten in de portal Microsoft 365 Defender voor meer informatie.For more information, see Reports in the Microsoft 365 Defender portal.



DashboardDashboard OmschrijvingDescription
Dashboard BedreigingsbeheerThreat management dashboard Gebruik dit dashboard in de sectie Bedreigingsbeheer van de Microsoft 365 Defender-portal om bedreigingen te zien die al zijn afgehandeld en als handig hulpmiddel voor het rapporteren aan zakelijke besluitvormers over wat de mogelijkheden voor bedreigingsonderzoek en -reactie al hebben gedaan om uw bedrijf te beveiligen.In the Threat management section of the Microsoft 365 Defender portal, use this dashboard to see threats that have already been handled, and as a handy tool for reporting out to business decision makers on what threat investigation and response capabilities have already done to secure your business.
Bedreigingsverkenner (of realtime detecties)Threat Explorer (or real-time detections) Dit is ook in de sectie Bedreigingsbeheer van de Microsoft 365 Defender-portal.This is also in the Threat management section of the Microsoft 365 Defender portal. Als u een aanval op uw tenant onderzoekt of ondervindt, gebruikt u Explorer (of realtime detecties) om bedreigingen te analyseren.If you are investigating or experiencing an attack against your tenant, use Explorer (or real-time detections) to analyze threats. Explorer (en het realtimedetectierapport) toont het aantal aanvallen in de tijd en u kunt deze gegevens analyseren op bedreigingsfamilies, infrastructuur voor aanvallers en meer.Explorer (and the real-time detections report) shows you the volume of attacks over time, and you can analyze this data by threat families, attacker infrastructure, and more. U kunt ook verdachte e-mailberichten markeren voor de lijst Incidenten.You can also mark any suspicious email for the Incidents list.
Rapporten : DashboardReports — Dashboard In de sectie Rapporten van Microsoft 365 Defender-portal bekijkt u auditrapporten voor uw SharePoint Online en Exchange Online organisaties.In the Reports section of Microsoft 365 Defender portal, view audit reports for your SharePoint Online and Exchange Online organizations. U hebt ook toegang tot Azure Active Directory (Azure AD) gebruikersmeldrapporten, gebruikersactiviteitsrapporten en het Azure AD-auditlogboek op de pagina Rapporten weergeven.You can also access Azure Active Directory (Azure AD) user sign-in reports, user activity reports, and the Azure AD audit log from the View reports page.

Microsoft 365 Defender portal Dashboard

Extra instellingen Exchange Online tenants configurerenConfigure additional Exchange Online tenant-wide settings

Hier zijn een paar extra instellingen die worden aanbevolen.Here are a couple of additional settings that are recommended.



GebiedArea Bevat een standaardbeleidIncludes a default policy AanbevelingRecommendation
E-Flow (regels voor e-mailstroom, ook wel transportregels genoemd)Mail Flow (mail flow rules, also known as transport rules) NeeNo Voeg een e-mailstroomregel toe om u te beschermen tegen ransomware door uitvoerbare bestandstypen te blokkeren en Office bestandstypen die macro's bevatten.Add a mail flow rule to help protect against ransomware by blocking executable file types and Office file types that contain macros. Zie E-mailstroomregels gebruiken om berichtbijlagen inExchange Online.For more information, see Use mail flow rules to inspect message attachments in Exchange Online.

Bekijk deze aanvullende onderwerpen:See these additional topics:

Maak een e-mailstroomregel om te voorkomen dat e-mail automatisch wordt doorgestuurd naar externe domeinen.Create a mail flow rule to prevent auto-forwarding of email to external domains. Zie Mitigating Client External Forwarding Ruleswith Secure Score (Regels voor extern doorsturen van client met secure score) voor meer informatie.For more information, see Mitigating Client External Forwarding Rules with Secure Score.

Meer informatie: E-mailstroomregels (transportregels) in Exchange OnlineMore information: Mail flow rules (transport rules) in Exchange Online

Moderne verificatie inschakelenEnable modern authentication NeeNo Moderne verificatie is een vereiste voor het gebruik van meervoudige verificatie (MFA).Modern authentication is a prerequisite for using multi-factor authentication (MFA). MFA wordt aanbevolen voor het beveiligen van toegang tot cloudbronnen, waaronder e-mail.MFA is recommended for securing access to cloud resources, including email.

Zie deze onderwerpen:See these topics:

Moderne verificatie is standaard ingeschakeld voor Office 2016-clients, SharePoint Online en OneDrive voor Bedrijven.Modern authentication is enabled by default for Office 2016 clients, SharePoint Online, and OneDrive for Business.

Meer informatie: Hoe moderne verificatie werkt voor Office 2013 en Office 2016-clientappsMore information: How modern authentication works for Office 2013 and Office 2016 client apps

Beleid voor delen voor tenants configureren in SharePoint beheercentrumConfigure tenant-wide sharing policies in SharePoint admin center

Microsoft-aanbevelingen voor het configureren SharePoint teamsites op een hoger beveiligingsniveau, te beginnen met basislijnbeveiliging.Microsoft recommendations for configuring SharePoint team sites at increasing levels of protection, starting with baseline protection. Zie Beleidsaanbevelingen voor het beveiligen van SharePoint sites en bestanden voor meer informatie.For more information, see Policy recommendations for securing SharePoint sites and files.

SharePoint teamsites die zijn geconfigureerd op basislijnniveau, kunnen bestanden delen met externe gebruikers via anonieme toegangskoppelingen.SharePoint team sites configured at the baseline level allow sharing files with external users by using anonymous access links. Deze methode wordt aanbevolen in plaats van bestanden per e-mail te verzenden.This approach is recommended instead of sending files in email.

Als u de doelstellingen voor basislijnbeveiliging wilt ondersteunen, configureert u beleid voor delen in de tenant, zoals hier wordt aanbevolen.To support the goals for baseline protection, configure tenant-wide sharing policies as recommended here. Instellingen voor delen voor afzonderlijke sites kunnen beperkender zijn dan dit beleid voor de hele tenant, maar niet meer permissief.Sharing settings for individual sites can be more restrictive than this tenant-wide policy, but not more permissive.



GebiedArea Bevat een standaardbeleidIncludes a default policy AanbevelingRecommendation
Delen (SharePoint Online en OneDrive voor Bedrijven)Sharing (SharePoint Online and OneDrive for Business) JaYes Extern delen is standaard ingeschakeld.External sharing is enabled by default. Deze instellingen worden aanbevolen:These settings are recommended:
  • Delen toestaan voor geverifieerde externe gebruikers en het gebruik van anonieme toegangskoppelingen (standaardinstelling).Allow sharing to authenticated external users and using anonymous access links (default setting).
  • Anonieme toegangskoppelingen verlopen in deze vele dagen.Anonymous access links expire in this many days. Voer desgewenst een getal in, zoals 30 dagen.Enter a number, if desired, such as 30 days.
  • Standaardkoppelingstype: selecteer Intern (alleen personen in de organisatie).Default link type — select Internal (people in the organization only). Gebruikers die via anonieme koppelingen willen delen, moeten deze optie kiezen in het menu Delen.Users who wish to share using anonymous links must choose this option from the sharing menu.

Meer informatie: Overzicht van extern delenMore information: External sharing overview

SharePoint beheercentrum en OneDrive voor Bedrijven beheercentrum bevatten dezelfde instellingen.SharePoint admin center and OneDrive for Business admin center include the same settings. De instellingen in een van beide beheercentrums zijn op beide van toepassing.The settings in either admin center apply to both.

Instellingen configureren in Azure Active DirectoryConfigure settings in Azure Active Directory

Zorg ervoor dat u deze twee gebieden in Azure Active Directory om de installatie van tenants voor veiligere omgevingen te voltooien.Be sure to visit these two areas in Azure Active Directory to complete tenant-wide setup for more secure environments.

Benoemde locaties configureren (onder voorwaardelijke toegang)Configure named locations (under conditional access)

Als uw organisatie kantoren met beveiligde netwerktoegang bevat, voegt u het vertrouwde IP-adresbereik toe aan Azure Active Directory benoemde locaties.If your organization includes offices with secure network access, add the trusted IP address ranges to Azure Active Directory as named locations. Met deze functie kunt u het aantal gerapporteerde fout-positieven voor aanmeldingsrisicogebeurtenissen verminderen.This feature helps reduce the number of reported false positives for sign-in risk events.

Zie: Benoemde locaties in Azure Active DirectorySee: Named locations in Azure Active Directory

Apps blokkeren die geen ondersteuning bieden voor moderne verificatieBlock apps that don't support modern authentication

Voor meervoudige verificatie zijn apps vereist die moderne verificatie ondersteunen.Multi-factor authentication requires apps that support modern authentication. Apps die geen moderne verificatie ondersteunen, kunnen niet worden geblokkeerd met behulp van regels voor voorwaardelijke toegang.Apps that do not support modern authentication cannot be blocked by using conditional access rules.

Voor veilige omgevingen moet u verificatie uitschakelen voor apps die geen ondersteuning bieden voor moderne verificatie.For secure environments, be sure to disable authentication for apps that do not support modern authentication. U kunt dit doen in Azure Active Directory met een besturingselement dat binnenkort beschikbaar is.You can do this in Azure Active Directory with a control that is coming soon.

Gebruik ondertussen een van de volgende methoden om dit te doen voor SharePoint Online en OneDrive voor Bedrijven:In the meantime, use one of the following methods to accomplish this for SharePoint Online and OneDrive for Business:

  • Gebruik PowerShell, zie Apps blokkeren die geen moderne verificatie (ADAL) gebruiken.Use PowerShell, see Block apps that do not use modern authentication (ADAL).

  • Configureer dit in SharePoint beheercentrum op de pagina 'Apparaattoegang': 'Toegang beheren vanuit apps die geen moderne verificatie gebruiken'.Configure this in the SharePoint admin center on the "device access' page — "Control access from apps that don't use modern authentication." Kies Blokkeren.Choose Block.

Aan de slag met Cloud App Security of Office 365 Cloud App SecurityGet started with Cloud App Security or Office 365 Cloud App Security

Gebruik Office 365 Cloud App Security om risico's te evalueren, om verdachte activiteiten te waarschuwen en om automatisch actie te ondernemen.Use Office 365 Cloud App Security to evaluate risk, to alert on suspicious activity, and to automatically take action. Vereist Office 365 E5-abonnement.Requires Office 365 E5 plan.

Of gebruik Microsoft Cloud App Security om meer zichtbaarheid te krijgen, zelfs nadat toegang is verleend, uitgebreide besturingselementen en verbeterde beveiliging voor al uw cloudtoepassingen, inclusief Office 365.Or, use Microsoft Cloud App Security to obtain deeper visibility even after access is granted, comprehensive controls, and improved protection for all your cloud applications, including Office 365.

Omdat deze oplossing het EMS E5-abonnement aanbeveelt, raden we u aan om te beginnen met Cloud App Security, zodat u deze kunt gebruiken met andere SaaS-toepassingen in uw omgeving.Because this solution recommends the EMS E5 plan, we recommend you start with Cloud App Security so you can use this with other SaaS applications in your environment. Begin met standaardbeleid en -instellingen.Start with default policies and settings.

Meer informatie:More information:

Cloud App Security-dashboard

Aanvullende bronnenAdditional resources

Deze artikelen en handleidingen bevatten aanvullende beschrijvende informatie voor het beveiligen van uw Microsoft 365 omgeving:These articles and guides provide additional prescriptive information for securing your Microsoft 365 environment: