MFA uitrollen in M365: van 50% naar 100% in twee weken

MFA is de goedkoopste security-upgrade die je kunt doen — en de meest onderschatte. Hier het uitrol-plan dat weerstand minimaliseert en compleetheid maximaliseert.

Als je één security-ding moet kiezen voor dit jaar: MFA voor iedereen. 99% van wachtwoord-gebaseerde aanvallen wordt geblokkeerd door MFA. De uitrol is de tricky bit.

Week 1: voorbereiding

• Decide: Microsoft Authenticator app (gratis, best) of YubiKey (€30/stuk, sterkst). Voor MKB is Authenticator standaard, YubiKey voor privileged accounts.
• Stel Security Defaults of een Conditional Access policy in die MFA afdwingt voor alle users.
• Communiceer: 1 all-hands van 15 min waarin je uitlegt waarom, wanneer, hoe.

Week 2: uitrol

• Dag 1-3: self-enrollment open. Mensen registreren hun app via aka.ms/mfasetup.
• Dag 4: IT helpt bij struikelaars. Vaak ouder-mensen die geen smartphone willen gebruiken — overweeg SMS of een bedrijfs-FIDO-key als alternatief.
• Dag 7: enforcement gaat live. Iedereen die nog niet heeft geregistreerd wordt bij eerste login gedwongen.

Privileged accounts: extra stap

Global Admins krijgen hardware-token of number-matching MFA. Geen SMS (SIM-swap risk). Zie PAM-artikel.

De ex-medewerker-uitdaging

Bij offboarding: registraties worden gewist. Anders blijft een ex-medewerker's telefoon "geldig" bij een heractivatie of phishing-incident.

Zie ook: M365-pillar, Conditional Access.