Microsoft 365 governance voor MKB — pragmatisch, niet perfectionistisch
M365 is het grootste stuk SaaS in de meeste MKB's. Deze gids loopt de governance-lagen af: identity, licentie, MFA, Conditional Access, data, retention — met wat écht moet en wat pas later.
Microsoft 365 raakt bij een typisch MKB alles — e-mail, bestanden, agenda, Teams, SharePoint. Goede governance is geen optie maar een voorwaarde. Gelukkig is er een MKB-werkbare subset.
Wat moét je hebben?
- MFA op alle accounts. Zie MFA uitrollen.
- Bedrijfs-eigenaarschap van devices. Intune-basic opent toegang-mogelijkheden. Zie Intune basics.
- Licenties matchen met rollen. Geen E3 voor stagiairs, geen E1 voor sales. Zie licentiebeheer.
- Global Admin discipline. 2-3 mensen, dedicated admin-accounts. Zie PAM-artikel.
- Conditional Access voor kritieke apps. Zie Conditional Access uitleg.
Wat is nice-to-have?
- PIM (just-in-time admin) — overweeg bij > 30 medewerkers.
- DLP (Data Loss Prevention) — na bekend patroon van lek-risico.
- Retention policies — wanneer iemand zegt "het mag nooit weg" of "het moet juist weg" op tenant-niveau.
- Sensitivity labels — als klanten eisen dat documenten geklassificeerd zijn.
Identity als bron van waarheid
Entra ID is de ene-plek waar je bij klaar wilt zijn. Users hier komen overal terecht, security-groups koppelen rollen aan licenties en apps, Conditional Access werkt erbovenop. Integreer security-groups met je toegangsbeheer-tool.
SharePoint en Teams: aparte verhalen
SharePoint-permissies raken de inhoud van bestanden, niet meer alleen "wie kan inloggen". Zie SharePoint permissies. Teams-gast access heeft eigen regels — zie Teams externe gasten.
Verder: guest access, mailbox-delegatie, OneDrive sharing policy, retention policies, M365 admin-rollen uitgelegd.