Welke data is niet standaard beschermd in Microsoft 365, Azure DevOps en Entra ID?

March 20, 2025

De stand van dataveiligheid in Microsoft-omgevingen

Veel bedrijven die werken met Microsoft 365, Azure DevOps en Entra ID (voorheen Azure AD) gaan ervan uit dat hun gegevens automatisch volledig beschermd zijn. Deze aanname kan helaas grote gevolgen hebben. De waarheid is dat Microsoft slechts een basisniveau van bescherming biedt, terwijl jouw organisatie zelf verantwoordelijk blijft voor het beveiligen van veel kritieke data.

Als je dagelijks werkt met Microsoft-diensten, is het belangrijk te weten dat er een gedeelde verantwoordelijkheid bestaat. Microsoft zorgt voor de infrastructuur en basisbescherming, maar jij bent verantwoordelijk voor het beveiligen van je data, het instellen van de juiste toegangsrechten, en het beheren van back-ups. Dit is geen klein detail – het is het verschil tussen goed beschermde gegevens en een potentieel datalek.

In de praktijk zien we dat organisaties vaak pas ontdekken welke gegevens niet standaard beschermd zijn na een incident. Dan is het natuurlijk al te laat. Laten we daarom eens duidelijk op een rij zetten waar de standaard Microsoft beveiligingsmaatregelen ophouden en waar jouw verantwoordelijkheid begint.

Microsoft 365: Welke gegevens blijven onbeschermd zonder extra instellingen?

Microsoft 365 is de ruggengraat van veel organisaties, maar bevat verschillende databronnen die niet automatisch adequaat beschermd zijn. Hier zijn de belangrijkste aandachtspunten die je niet over het hoofd mag zien:

E-mail wordt standaard slechts voor beperkte tijd bewaard (meestal 30 dagen in de Verwijderde items map). Als een medewerker belangrijke e-mails permanent verwijdert of als een kwaadwillende toegang krijgt tot het account, kun je deze gegevens voorgoed kwijt zijn. Zonder aanvullend retentiebeleid verdwijnt veel waardevolle communicatie en bedrijfsinformatie na deze periode.

Bij OneDrive en SharePoint bestanden zie je vaak een wildgroei aan machtigingen. Bestanden die gedeeld worden via links kunnen toegankelijk zijn voor iedereen met de link – soms zelfs voor mensen buiten je organisatie. Microsoft biedt wel tools om dit te monitoren, maar standaard staat deze controle niet aan. Zonder actief beheer kunnen gevoelige documenten dus makkelijk in verkeerde handen vallen.

Teams gesprekken en chats worden niet automatisch gearchiveerd voor langere termijn. Overweeg je het belang hiervan: belangrijke beslissingen, projectupdates en kennisdeling die plaatsvinden in Teams kunnen verloren gaan als je geen aanvullende archivering instelt. Ook hier is extra aandacht nodig om compliance en kennisbehoud te garanderen.

Beveiligingshiaten in Azure DevOps die extra aandacht vereisen

Voor organisaties die Azure DevOps gebruiken, zijn er specifieke beveiligingsuitdagingen waar je op moet letten. Deze uitdagingen worden vaak over het hoofd gezien, maar kunnen grote impact hebben op de veiligheid van je ontwikkelprocessen en code.

Codebronnen in Azure DevOps hebben niet altijd de juiste toegangscontroles. Standaard kunnen nieuwe projectleden vaak direct bij alle code komen, zonder dat er fijnmazige permissies zijn ingesteld. Dit betekent dat interne of externe developers mogelijk toegang hebben tot gevoelige code die ze niet nodig hebben voor hun werk. Het instellen van branch policies en repository-specifieke toegangscontroles vraagt extra configuratie.

Een ander vaak voorkomend probleem zijn buildscripts en pipeline definities die hardcoded credentials bevatten. Deze worden niet automatisch gescand of beschermd door Azure DevOps. Als deze credentials uitlekken, kunnen kwaadwillenden toegang krijgen tot je databases, API’s en andere systemen. Zorg dat je secrets management implementeert via Azure Key Vault of een vergelijkbare oplossing.

Testdata en artefacten zijn een ander vaak vergeten aspect. Deze bevatten vaak productiegegevens die niet standaard versleuteld worden opgeslagen. Zonder extra maatregelen kun je hier onbedoeld gevoelige klant- of bedrijfsgegevens lekken, wat zowel compliance-problemen als beveiligingsrisico’s oplevert.

Entra ID (voorheen Azure AD): De verborgen beveiligingsrisico’s

Entra ID vormt het fundament van je identiteitsbeheer in Microsoft-omgevingen, maar bevat verschillende aspecten die standaard niet voldoende beschermd zijn. Dit is extra zorgwekkend omdat identiteitsbeheer de sleutel is tot al je clouddiensten.

Een van de meest voorkomende risico’s is het ontbreken van Multi-Factor Authenticatie (MFA) voor alle accounts. Microsoft maakt MFA niet standaard verplicht, terwijl dit een van de meest effectieve beveiligingsmaatregelen is tegen accountkaping. Uit onderzoek blijkt dat MFA meer dan 99% van de automatische aanvallen kan blokkeren, maar toch gebruiken veel organisaties het niet consequent.

Ongebruikte maar actieve accounts vormen een ander belangrijk risico. Standaard worden inactieve accounts niet automatisch gedetecteerd of uitgeschakeld in Entra ID. Dit betekent dat accounts van ex-medewerkers, tijdelijke projecten of testgebruikers vaak actief blijven en een potentiële toegangspoort vormen voor aanvallers.

Service principals en app-registraties hebben vaak geheimen of certificaten zonder rotatieschema. In tegenstelling tot gebruikersaccounts, waar je wachtwoordbeleid kunt afdwingen, hebben service principals geen ingebouwd mechanisme om regelmatige vernieuwing van credentials af te dwingen. Dit betekent dat API-sleutels en applicatiegeheimen vaak jarenlang onveranderd blijven, wat het risico op misbruik vergroot.

Wat zijn de potentiële gevolgen van onbeschermde data binnen Microsoft-services?

De impact van onbeveiligde data in je Microsoft-omgeving kan verstrekkend zijn. Laten we eens kijken naar wat er kan gebeuren als je deze beveiligingsaspecten niet goed regelt:

Voor AVG-compliance ben je verplicht om persoonsgegevens adequaat te beschermen. Als deze gegevens onbeschermd blijven in je Microsoft 365-omgeving en er gebeurt een datalek, dan riskeer je boetes tot 20 miljoen euro of 4% van je wereldwijde jaaromzet. In 2023 zagen we al verschillende gevallen waarbij organisaties boetes kregen omdat ze hun cloudgegevens onvoldoende hadden beveiligd.

Naast financiële gevolgen is er ook het risico op reputatieschade en operationele verstoring. Stelt je voor: een kwaadwillende krijgt toegang tot onbeschermde bestanden in SharePoint met klantgegevens, of wist Teams-gesprekken met belangrijke projectinformatie. De gemiddelde downtime na een ransomware-aanval is 16 dagen – ruim twee werkweken waarin je bedrijf niet of nauwelijks kan functioneren.

Bovendien vereisen nieuwe wetgevingen zoals NIS2 en DORA dat organisaties in bepaalde sectoren kunnen aantonen dat ze hun digitale systemen goed beschermen én kunnen herstellen na een incident. Zonder aanvullende maatregelen voor je Microsoft-omgeving voldoe je niet aan deze eisen, wat juridische consequenties kan hebben.

Hoe kunt u uw Microsoft-omgeving optimaal beveiligen?

Nu je weet waar de beveiligingslacunes zitten, is het tijd voor actie. Hier zijn praktische stappen die je kunt nemen om je Microsoft-omgeving beter te beschermen:

Begin met het implementeren van Zero Trust-principes in je hele Microsoft-omgeving. Dit betekent: vertrouw niets en niemand automatisch, controleer altijd, en beperk toegang tot alleen wat nodig is. Activeer conditionele toegang in Entra ID, waarbij toegang wordt beperkt op basis van locatie, apparaat-gezondheid en risiconiveau. Verplicht MFA voor alle gebruikers – zonder uitzondering.

Voor Microsoft 365 is het belangrijk om dataclassificatie en -labeling in te stellen. Hiermee kun je automatisch gevoelige informatie identificeren en extra beschermen. Configureer daarnaast langere retentieperiodes voor e-mail en Teams-gesprekken dan de standaard, en overweeg een aanvullende back-upoplossing voor kritieke data.

In Azure DevOps moet je meer aandacht besteden aan code- en pipelinebeveiliging. Implementeer branch protection, code reviews, en gebruik Azure Key Vault voor het beheren van secrets. Scan regelmatig je repositories op hardcoded credentials en zorg dat testdata geanonimiseerd of versleuteld wordt.

Tot slot is het belangrijk om regelmatige beveiligingsaudits uit te voeren en medewerkers te trainen in veilig gebruik van Microsoft-diensten. Technische oplossingen werken alleen als je mensen ook weten hoe ze ermee moeten omgaan.

E-Storage’s integrale beveiligingsaanpak voor Microsoft-omgevingen

Met de toenemende complexiteit van Microsoft-omgevingen en steeds strengere regelgeving, is het begrijpelijk als je door de bomen het bos niet meer ziet. Dit is waar onze expertise van pas komt.

Bij e-storage helpen we organisaties al 25 jaar met het beveiligen en herstellen van kritieke data. We beginnen altijd met een uitgebreide assessment van je huidige Microsoft-omgeving, waarbij we precies in kaart brengen welke data onbeschermd is en waar de grootste risico’s liggen.

Op basis van deze analyse implementeren we gerichte beveiligingsmaatregelen die passen bij jouw organisatie. We zorgen niet alleen voor technische oplossingen zoals about geavanceerde cyber recovery services en about complete data recovery strategieën, maar helpen je ook met het opstellen van beleid en het trainen van medewerkers.

 

Ga naar het overzicht

Meer artikelen lezen?

europese cloud soevereiniteit
Artikel Nieuws

De Toekomst van Digitale Soevereiniteit in Europa

Divers team professionals werkt samen aan digitale herstelstrategie in moderne vergaderruimte met serversystemen en databeveiligingstechnologie op schermen.
Artikel Nieuws

Hoe implementeer je een cyber recovery proces binnen je organisatie?

Diverse professionals collaborating at a glass table with cloud storage data on laptop in bright, modern office with blue data-security themed partitions.
Artikel Cyberweerbaarheid

Hoe vaak moet ik mijn cloud back-upstrategie evalueren en aanpassen?

Group 2824
ZOEKT U EEN OPLOSSING?

Welke uitdaging heeft uw bedrijf? Wij denken met u mee!

Neem contact op