Checklist de securizare a tenantului Microsoft 365: controale practice pentru companii B2B

Bogdan Agiu, O365 L2 Engineer

Microsoft 365 nu mai înseamnă doar email, Word, Excel și Teams. Pentru multe companii, a devenit stratul principal de identitate, colaborare, document management, comunicare internă și control operațional.

Asta transformă tenantul Microsoft 365 într-unul dintre cele mai importante active IT ale companiei, dar și într-una dintre cele mai atractive ținte pentru atacatori.

Problema este că multe medii Microsoft 365 încă rulează cu setări gândite pentru onboarding rapid, nu pentru securitate matură. Exemplele apar frecvent: conturi Global Admin permanente, MFA activat doar parțial, autentificare legacy încă permisă, partajare externă prea permisivă, acces guest neverificat și vizibilitate slabă în audit logs.

Pentru o companie foarte mică, cu expunere redusă la date sensibile, setările default pot părea suficiente o perioadă. Dar pentru companiile B2B din România care gestionează date despre clienți, contracte, documente financiare, proprietate intelectuală, informații personale sau procese operaționale critice, securitatea Microsoft 365nu mai este opțională.

În plus, pentru organizațiile care intră în sfera cerințelor NIS2, securitatea cibernetică devine o obligație de guvernanță și management al riscului, nu doar o problemă tehnică. Directiva NIS2 stabilește un cadru european pentru securitatea rețelelor și sistemelor informatice, iar în România cadrul a fost transpus prin OUG nr. 155/2024, aprobată prin Legea nr. 124/2025.

Acest checklist de securizare a tenantului Microsoft 365 explică principalele controale pe care orice organizație ar trebui să le revizuiască.

Vezi Pachetele de Securitate Microsoft 365 ale Optimizor și obține o hartă clară de prioritizare pentru securizarea mediului tău Microsoft 365.

Ce înseamnă securizarea tenantului Microsoft 365?

Securizarea tenantului Microsoft 365 este procesul prin care reduci riscurile inutile din mediul Microsoft cloud prin întărirea controalelor de identitate, acces, colaborare, email security, device compliance, data protection și monitorizare.

În practică, hardening-ul înseamnă trecerea de la setări default permisive la un model de securitate bazat pe principiile Zero Trust:

• verifici fiecare autentificare;
• limitezi privilegiile administrative;
• blochezi metodele vechi de autentificare;
• restricționezi accesul de pe dispozitive nesigure;
• protejezi datele sensibile;
• monitorizezi continuu comportamentele riscante.

Microsoft recomandă folosirea politicilor Conditional Access pentru blocarea autentificării legacy și pornirea acestor politici în report-only mode, astfel încât administratorii să poată evalua impactul înainte de activare.

Recomandare practică:

Tratează securizarea tenantului Microsoft 365 ca pe o disciplină continuă, nu ca pe un proiect unic de configurare. Începe prin reducerea setărilor riscante, apoi revizuiește periodic identitatea, accesul, colaborarea, protecția datelor și monitorizarea.

Cine are nevoie de securizarea tenantului Microsoft 365?

Securizarea tenantului Microsoft 365 este importantă în special pentru organizațiile care:

• au peste 50-100 de utilizatori;
• folosesc intens Teams, SharePoint, OneDrive și Exchange Online;
• colaborează extern cu clienți, furnizori sau parteneri;
• gestionează date financiare, juridice, HR, comerciale sau despre clienți;
• activează în industrii reglementate;
• folosesc modele de lucru remote sau hybrid;
• au Microsoft 365 Business Premium, E3, E5 sau licențe cu componente de securitate;
• nu au o echipă internă dedicată de cybersecurity și au nevoie de suport prin servicii IT gestionate.

Pentru companiile din România și UE, hardening-ul Microsoft 365 contribuie la o postură de securitate mai ușor de apărat în zona de protecție a datelor, riscuri de furnizor, continuitate operațională și reziliență cibernetică.

Checklist practic pentru securizarea tenantului Microsoft 365

1. Securizează mai întâi identitatea cu Microsoft Entra ID

Identitatea este fundația securității în Microsoft 365. Dacă un atacator compromite un cont de utilizator – mai ales un cont de administrator – poate obține acces la email, conversații Teams, fișiere SharePoint, date OneDrive, aplicații de business și informații sensibile despre clienți.

Începe cu aceste controale:

Control	Acțiune recomandată
MFA	Activează MFA pentru toți utilizatorii, nu doar pentru administratori
Conturi admin	Elimină rolurile Global Admin permanente unde este posibil
Acces privilegiat	Folosește Microsoft Entra Privileged Identity Management pentru roluri eligibile și limitate în timp
Autentificare legacy	Blochează protocoalele vechi de autentificare
Conditional Access	Aplică politici bazate pe risc, locație, dispozitiv și context
Conturi break-glass	Păstrează 1–2 conturi de urgență, securizate și monitorizate
App consent	Limitează consimțământul utilizatorilor pentru aplicații neverificate
Guest access	Revizuiește periodic utilizatorii externi

Microsoft Entra Privileged Identity Management permite activarea rolurilor privilegiate doar atunci când este nevoie și pentru o perioadă limitată, reducând riscul asociat privilegiilor permanente.

Recomandare practică:

Începe securizarea cu identitatea, deoarece conturile compromise sunt adesea cea mai rapidă cale către email, Teams, SharePoint, OneDrive și date de business. Activează MFA, redu rolurile admin permanente, folosește PIM acolo unde este disponibil și revizuiește periodic accesul guest și aplicațiile conectate.

Quick check pentru prima zi:

PowerShell

Get-MgAuditLogSignIn -All |
Where-Object { $_.ClientAppUsed -notin @(‘Browser’, ‘Mobile Apps and Desktop clients’) } |
Select-Object CreatedDateTime, UserDisplayName, ClientAppUsed, OriginalRequestId

2. Blochează autentificarea legacy

Autentificarea legacy este una dintre cele mai periculoase slăbiciuni din mediile Microsoft 365, deoarece poate ocoli controale moderne de securitate, inclusiv MFA, în anumite scenarii.

Autentificarea legacy include protocoale și clienți vechi precum POP, IMAP, SMTP AUTH și versiuni vechi de Office care nu suportă modern authentication.

Proces recomandat:

• verifică sign-in logs pentru utilizare legacy authentication;
• identifică service accounts, scanere, aplicații sau dispozitive care depind încă de protocoale vechi;
• migrează serviciile critice către modern authentication;
• creează o politică Conditional Access în report-only mode;
• validează impactul;
• aplică blocarea.

Recomandare practică:

Blochează autentificarea legacy după ce ai analizat sign-in logs și ai identificat aplicațiile, dispozitivele sau conturile de serviciu care încă depind de protocoale vechi. Astfel reduci riscul de account takeover fără să blochezi procese critice de business.

3. Activează MFA pentru toți utilizatorii

MFA nu ar trebui tratat ca o funcție opțională sau ca o măsură rezervată doar directorilor și administratorilor.

Atacatorii caută de obicei cel mai slab cont care le oferă acces la informații utile. Un cont „obișnuit” compromis poate expune emailuri, conversații Teams, fișiere, facturi, contracte, credentiale sau date interne.

Microsoft afirmă că MFA poate bloca peste 99,2% dintre atacurile de compromitere a conturilor, ceea ce îl face unul dintre cele mai importante controale de securitate de bază.

Acțiuni recomandate:

• activează MFA pentru toți utilizatorii;
• prioritizează metode de autentificare rezistente la phishing acolo unde este posibil;
• evită MFA bazat doar pe SMS pentru rolurile cu risc ridicat;
• impune MFA pentru portalurile administrative;
• monitorizează MFA fatigue și prompturile repetate;
• documentează excepțiile și revizuiește-le regulat.

Sugestia inginerului Optimizor:

Pentru companiile B2B, rollout-ul MFA trebuie planificat cu comunicare internă, pregătirea dispozitivelor și suport pentru utilizatori. Un rollout slab planificat poate genera rezistență; unul bine planificat devine rapid parte normală din modul de lucru.

4. Folosește Conditional Access fără să blochezi business-ul

Conditional Access este unul dintre cele mai puternice instrumente de securitate din Microsoft 365, dar trebuie implementat cu atenție.

Politicile bune de Conditional Access răspund la întrebări precum:

• Cine încearcă să se autentifice?
• De unde?
• De pe ce dispozitiv?
• Către ce aplicație?
• În ce condiții de risc?
• Cu ce nivel de autentificare?

Microsoft include în documentația Conditional Access politici pentru MFA, blocarea autentificării legacy, acces de pe dispozitive conforme și acces bazat pe risc, în funcție de licențiere.

Politică	Scop
Require MFA for all users	Reduce riscul de compromitere a conturilor
Require MFA for admins	Protejează accesul privilegiat
Block legacy authentication	Elimină metodele vechi de acces
Require compliant devices for sensitive apps	Reduce expunerea de pe dispozitive nesigure
Block high-risk sign-ins	Reduce impactul compromiterii identității
Restrict access by country, unde este relevant	Reduce expunerea inutilă

Recomandare practică:

Implementează politicile Conditional Access în report-only mode înainte de activare. Începe cu politici cu impact mare: MFA, blocarea autentificării legacy, protecția portalurilor administrative și restricționarea accesului de pe dispozitive nesigure sau riscante.

5. Întărește securitatea emailului

Emailul rămâne unul dintre principalele puncte de intrare pentru phishing, malware, business email compromise și furt de credentiale. De aceea, hardening-ul Microsoft 365 ar trebui tratat ca parte a unei inițiative mai largi de întărire a securității.

Mediile Microsoft 365 ar trebui să folosească protecțiile Microsoft Defender for Office 365 acolo unde licențierea permite.

Microsoft recomandă folosirea politicilor presetate Standard și Strict în Defender for Office 365 pentru aplicarea controalelor de securitate recomandate, inclusiv anti-phishing, impersonation protection, Safe Links și Safe Attachments.

Controale recomandate:

• activează preset security policies în Defender for Office 365;
• configurează Safe Links și Safe Attachments;
• protejează executivii și echipele financiare împotriva impersonation attacks;
• configurează SPF, DKIM și DMARC;
• monitorizează raportările de phishing;
• instruiește utilizatorii să raporteze emailuri suspecte;
• verifică mailbox forwarding rules;
• dezactivează external auto-forwarding unde nu este necesar.

Recomandare practică:

Activează protecțiile Microsoft Defender for Office 365 și configurează autentificarea emailului înainte să te bazezi doar pe trainingul utilizatorilor. Safe Links, Safe Attachments, politicile anti-phishing și impersonation protection reduc riscul de phishing, malware și business email compromise.

6. Controlează partajarea externă în SharePoint, OneDrive și Teams

Colaborarea este unul dintre cele mai mari avantaje Microsoft 365, dar partajarea necontrolată poate expune date sensibile – mai ales atunci când permisiunile SharePoint, accesul în intranet și regulile de external sharing nu sunt guvernate clar.

O problemă frecventă este permiterea linkurilor de tip „Anyone with the link” în mod implicit. Este convenabil, dar poate crea expunere necontrolată, mai ales când utilizatorii partajează fișiere cu clienți, furnizori, consultanți sau adrese personale.

Pentru companiile care depind de comunicare internă și colaborare pe documente, Pachetele Intranet SharePoint pot ajuta la structurarea drepturilor de acces și a fluxurilor de colaborare într-un mod mai sigur.

Acțiuni recomandate:

• dezactivează anonymous sharing dacă nu există un caz de business clar;
• restricționează partajarea externă în funcție de sensibilitatea site-ului;
• solicită autentificare pentru utilizatorii externi;
• aplică date de expirare pentru linkurile externe;
• revizuiește periodic utilizatorii guest;
• monitorizează fișierele partajate extern;
• folosește sensitivity labels pentru date confidențiale.

Microsoft Entra access reviews pot fi folosite pentru a gestiona accesul utilizatorilor externi și pentru a confirma periodic dacă aceștia mai au nevoie de acces.

7. Protejează datele sensibile cu Microsoft Purview

Securitatea nu înseamnă doar să ții atacatorii în afara organizației. Înseamnă și să controlezi ce se întâmplă cu datele sensibile după ce acestea există în Microsoft 365.

Microsoft Purview permite clasificarea, protejarea și monitorizarea datelor prin sensitivity labels, DLP policies, retention policies și audit capabilities.

Acțiuni Recomandate:

Control	Scop
Sensitivity labels	Clasifică documente și emailuri
DLP policies	Detectează și protejează informații sensibile
Auto-labeling	Reduce dependența de acțiuni manuale ale utilizatorilor
Retention policies	Gestionează ciclul de viață al datelor
Restricted sharing	Previne distribuirea necontrolată a documentelor confidențiale

Microsoft menționează că un nivel de bază pentru data security în Purview include sensitivity labels, politici DLP și audit logging.

Pentru companiile din România și UE, acest lucru este relevant pentru documente care conțin date personale, informații financiare, contracte, fișiere HR, date despre clienți, IBAN-uri, documente de identitate sau informații comerciale sensibile.

8. Impune conformitatea dispozitivelor cu Intune și Defender for Endpoint

O strategie bună de identity security este slăbită dacă utilizatorii pot accesa datele companiei de pe dispozitive neadministrate, neactualizate sau compromise.

Pentru companiile cu remote work, hybrid work sau scenarii bring-your-own-device, device compliance trebuie să facă parte din modelul de acces Microsoft 365.

Acțiuni recomandate:

• înrolează dispozitivele corporate în Microsoft Intune;
• definește compliance policies;
• solicită criptare și secure boot unde este relevant;
• blochează accesul la aplicații sensibile de pe dispozitive non-compliant;
• onboard-ează endpointurile în Microsoft Defender for Endpoint;
• monitorizează device risk signals;
• separă datele personale de cele corporate pe dispozitive mobile.

Impact de business:

Device compliance reduce riscul de expunere a datelor de pe laptopuri pierdute, dispozitive personale neadministrate, sisteme de operare neactualizate și endpointuri compromise.

9. Activează audit logging, alerting și revizuiri periodice

Nu poți proteja ceea ce nu vezi.

Multe tenanturi Microsoft 365 au unele controale de securitate active, dar nu au monitorizare eficientă. Asta creează o zonă periculoasă: atacurile pot avea loc, dar nimeni nu observă până când datele au fost accesate, redirecționate, șterse sau exfiltrate.

Microsoft Purview auditing oferă un unified audit log care captează activități ale utilizatorilor și administratorilor în mai multe servicii Microsoft.

Activități recomandate de monitorizare:

• revizuiește risky users și risky sign-ins;
• monitorizează activările de roluri administrative;
• setează alerte pentru mailbox forwarding rules;
• alertează la descărcări masive de fișiere;
• monitorizează creșteri bruște în external sharing;
• verifică tentativele MFA eșuate;
• revizuiește trimestrial accesul guest;
• monitorizează modificările în Conditional Access;
• exportă și păstrează logurile conform cerințelor de business și conformitate.

Frecvență	Activitate
Săptămânal	Risky users, risky sign-ins, phishing alerts
Lunar	Roluri admin, mailbox rules, external sharing
Trimestrial	Guest users, Conditional Access policies, privileged access
Anual	Evaluare completă de securitate a tenantului Microsoft 365

Recomandare practică

Activează audit logging și creează alerte pentru acțiuni cu risc ridicat, cum ar fi modificările de roluri admin, autentificările suspecte, regulile de forwarding, descărcările masive de fișiere și creșterile în external sharing. Revizuiește aceste semnale regulat pentru ca securitatea Microsoft 365 să devină proactivă, nu reactivă.

Greșeli frecvente în securizarea Microsoft 365

Greșeala 1: „Avem MFA” – dar doar pentru o parte dintre utilizatori

MFA activat parțial lasă breșe. Atacatorii nu au nevoie de cel mai bine protejat cont. Au nevoie de un singur cont care funcționează.

Greșeala 2: Global Admin permanent

Privilegiile permanente cresc impactul unei compromiteri. Folosește roluri eligibile și activare limitată în timp unde este posibil.

Greșeala 3: Ignorarea service accounts

Conturile de serviciu, scanerele, scripturile și aplicațiile vechi depind adesea de configurații slabe. Revizuiește-le înainte de aplicarea politicilor majore.

Greșeala 4: Conditional Access prea agresiv

Controalele care blochează fluxurile de business vor fi ocolite, dezactivate sau contestate. Testează mai întâi în report-only mode.

Greșeala 5: Lipsa unui proces recurent de revizuire

Securitatea Microsoft 365 nu este „set and forget”. Tenantul se schimbă constant: utilizatori, dispozitive, guest access, aplicații și procese de business.

Plan practic de securizare Microsoft 365 în 30 de zile

Zilele 1-7: Evaluare

• Revizuiește Secure Score, dar nu te baza doar pe el.
• Identifică Global Admins și rolurile privilegiate.
• Verifică acoperirea MFA.
• Analizează utilizarea legacy authentication.
• Revizuiește setările de external sharing.
• Identifică risky users și risky sign-ins.

Zilele 8-15: Stabilizarea identității

• Activează MFA.
• Creează conturi break-glass.
• Pornește blocarea legacy authentication în report-only mode.
• Redu rolurile admin permanente.
• Revizuiește app consent settings.

Zilele 16-23: Securizarea colaborării și emailului

• Activează Defender preset security policies.
• Configurează Safe Links și Safe Attachments.
• Revizuiește SPF, DKIM și DMARC.
• Restricționează external sharing.
• Revizuiește guest users.

Zilele 24-30: Monitorizare și guvernanță

• Configurează alerte.
• Revizuiește audit retention.
• Creează access reviews recurente.
• Documentează excepțiile.
• Definește revizuiri trimestriale de hardening.

Dacă echipa ta are nevoie de suport pentru a transforma acest checklist într-un roadmap de remediere, Pachetele de Securitate Microsoft 365ale Optimizor sunt concepute pentru a evalua configurația curentă, identifica gap-urile și prioritiza următorii pași.

Cum ajută Optimizor

Optimizor ajută companiile B2B să securizeze, administreze și optimizeze mediile Microsoft 365 prin servicii practice de cybersecurity și managed IT.

O evaluare de securitate a tenantului Microsoft 365 realizată de Optimizor te poate ajuta să:

• identifici setări default riscante și configurații greșite;
• verifici acoperirea MFA și Conditional Access;
• detectezi expunerea prin legacy authentication;
• analizezi rolurile privilegiate;
• evaluezi external sharing și guest access;
• verifici configurația Defender for Office 365;
• revizuiești audit logging și alerting;
• prioritizezi remedierea în funcție de riscul de business.

Scopul nu este să obții un scor perfect. Scopul este să reduci căile reale de atac, să îmbunătățești vizibilitatea, să protejezi datele companiei și să faci Microsoft 365 mai sigur fără să blochezi productivitatea.

Vezi Pachetele de Securitate Microsoft 365 ale Optimizor și obține o hartă clară de prioritizare pentru securizarea mediului tău Microsoft 365.

FAQ: Securizarea tenantului Microsoft 365

Ce înseamnă securizarea tenantului Microsoft 365?

Securizarea tenantului Microsoft 365 este procesul prin care reduci riscurile din mediul Microsoft 365 prin MFA, limitarea privilegiilor, blocarea autentificării legacy, protejarea datelor, controlul partajării externe și monitorizarea activităților suspecte.

Care este primul pas în securizarea Microsoft 365?

Primul pas este securizarea identității. Începe cu MFA pentru toți utilizatorii, revizuirea rolurilor administrative, blocarea autentificării legacy, conturi break-glass și politici Conditional Access implementate atent.

Toate companiile trebuie să blocheze autentificarea legacy?

În majoritatea mediilor Microsoft 365 moderne, da. Autentificarea legacy creează risc inutil deoarece folosește protocoale vechi. Înainte de blocare, verifică sign-in logs și identifică sistemele critice care încă depind de aceste protocoale.

Este Microsoft Secure Score suficient?

Nu. Microsoft Secure Score este util ca punct de pornire, dar nu ar trebui să fie singura măsură a securității. Un tenant poate avea un scor mai bun și totuși să aibă riscuri serioase: privilegii excesive, guest access necontrolat, date neprotejate sau monitorizare slabă.

Cât de des ar trebui revizuit un tenant Microsoft 365?

Cel puțin trimestrial, pentru setările majore de securitate. Risky sign-ins, privileged access, email threats și external sharing ar trebui monitorizate mai frecvent.

Este nevoie de tool-uri third-party pentru hardening Microsoft 365?

Nu întotdeauna. Multe controale importante există deja în Microsoft 365, Microsoft Entra ID, Defender, Intune și Purview, în funcție de licențiere. Prioritatea este configurarea corectă a stack-ului Microsoft înainte de adăugarea unor soluții externe.

Concluzie

Microsoft 365 este prea important pentru a funcționa doar cu setări default.

Pentru companiile B2B din România, securizarea tenantului nu este doar o activitate IT. Este o măsură de reducere a riscului de business. Controalele de identitate, colaborarea securizată, protecția datelor, dispozitivele conforme și monitorizarea continuă reduc șansa ca un singur cont compromis să devină un incident major.

Dacă organizația ta nu a revizuit postura de securitate Microsoft 365 în ultimele luni, acesta este momentul potrivit să începi.

Vezi Pachetele de Securitate Microsoft 365 ale Optimizor și obține o hartă clară de prioritizare pentru securizarea mediului tău Microsoft 365.