← Terug naar blog
Security

Defender for Office 365 Plan 1 rolt uit naar M365 E3: wat activeert automatisch en wat doet de beheerder nu?

Door Zarioh Digital Solutions5 min leestijd
Delen
Defender for Office 365 Plan 1 rolt uit naar M365 E3: wat activeert automatisch en wat doet de beheerder nu?

Microsoft rolt Defender for Office 365 Plan 1 nu actief uit naar alle Microsoft 365 E3-tenants. Dat klinkt als goed nieuws, maar een deel van de beveiliging gaat automatisch aan. Wie zijn mailflow en securityconfiguratie niet heeft voorbereid, wordt verrast — door blokkades die gebruikers raken zonder dat de beheerder het heeft ingericht.

Microsoft 365 E3 bevatte tot voor kort alleen de basisbeveiliging voor e-mail: Exchange Online Protection met antispam, antimalware en standaard antiphishing. Wie Safe Links, Safe Attachments of geavanceerde antiphishingregels wilde, had een aparte licentie nodig: Defender for Office 365 Plan 1 of Plan 2. Dat verandert nu. Microsoft rolt Plan 1 actief uit naar alle M365 E3-tenants en de uitrol is in juli 2026 van start gegaan.

De uitrol is niet onopgemerkt. In het Microsoft 365-berichtencentrum ontvangen tenantbeheerders dertig dagen van tevoren een melding voordat de functionaliteit beschikbaar wordt in hun tenant. Maar wie die melding over het hoofd ziet, kan worden verrast: enkele beveiligingslagen gaan namelijk automatisch aan, ook zonder dat de beheerder expliciete policies heeft geconfigureerd. Voor organisaties met een eigen mailgateway of aangepaste mailflow-regels kan dat voor verstoringen zorgen.

Wat zit er in Defender for Office 365 Plan 1?

Defender for Office 365 Plan 1 voegt drie hoofdcategorieën toe bovenop Exchange Online Protection. Safe Attachments analyseert bijlagen in een beveiligde omgeving voordat ze worden afgeleverd. Als een bijlage verdacht gedrag vertoont tijdens de analyse, wordt het bericht geblokkeerd of de bijlage vervangen. Safe Links controleert URL's in e-mailberichten en documenten op het moment dat de gebruiker erop klikt, niet alleen bij ontvangst. Als de bestemming in de tussentijd malafide is geworden, wordt de klik geblokkeerd. Geavanceerde antiphishing controleert op impersonation van vertrouwde domeinen, merkherkenning en spoofing-technieken die standaard Exchange Online Protection niet detecteert.

Deze drie functies zijn de kern van wat e-mailbeveiliging in 2026 praktisch noodzakelijk maakt. Phishingaanvallen gebruiken steeds vaker legitiem ogende domeinen, QR-codes en dynamische links die pas na levering kwaadaardig worden. Safe Links beschermt gebruikers precies tegen dat type aanvallen.

Wat activeert automatisch, zonder dat u iets instelt?

Zodra Defender for Office 365 Plan 1 beschikbaar wordt in een tenant, past Microsoft automatisch ingebouwde beveiliging toe voor gelicentieerde gebruikers. Dit wordt aangeduid als built-in protection. Concreet betekent dit dat Safe Links ingeschakeld wordt met een standaardbeleid: URL's in e-mail en Teams worden gecontroleerd en kwaadaardige bestemmmingen worden geblokkeerd. De gebruiker ziet dan een waarschuwingspagina van Microsoft.

Safe Attachments is in de ingebouwde modus minder agressief: verdachte bijlagen worden in de standaardconfiguratie niet automatisch geblokkeerd maar wel geanalyseerd. Voor een meer actieve blokkering moet de beheerder een expliciete Safe Attachments-policy aanmaken. Hetzelfde geldt voor geavanceerde antiphishing: de ingebouwde bescherming is actief, maar de volledige configuratie van impersonation-lijsten, trusted senders en reactie-acties moet handmatig worden gedaan.

De automatische activatie van Safe Links is het meest ingrijpende onderdeel voor beheerders die nu niets ondernemen. URL-herschrijving verandert de structuur van links in e-mailberichten. Organisaties die werken met mailgateway-producten van derden, zoals Proofpoint, Mimecast of Barracuda, of die eigen URL-tracking in e-mailcampagnes gebruiken, kunnen gedrag zien dat niet overeenstemt met eerdere instellingen.

Welke acties moet de beheerder voorbereiden?

Vier concrete stappen voor IT-teams die M365 E3 beheren. Ten eerste: controleer het berichtencentrum. Zoek naar de aankondiging over Defender for Office 365 Plan 1 in uw tenant. U ziet de geplande activeringsdatum voor uw tenant en kunt zo weten hoe lang u nog heeft om te prepareren. Dertig dagen is de minimale voorbereidingstijd die Microsoft communiceert.

Ten tweede: inventariseer uw huidige mailflow-architectuur. Heeft u een externe mailgateway die e-mail filtert voordat het Microsoft 365 bereikt? Dan moet u de safe listing van uw gateway in Exchange Online controleren. Als de gateway al URL-herschrijving toepast en Defender for Office 365 ook gaat herschrijven, kunnen dubbel herschreven links tot problemen leiden. Microsoft heeft specifieke documentatie voor het configureren van enhanced filtering voor connectors, waarbij de gateway als relay wordt aangemerkt en Defender de originele IP-informatie correct kan evalueren.

Ten derde: bepaal of u aangepaste policies wilt aanmaken of de ingebouwde bescherming wilt behouden. De aanbevolen aanpak is om naast de ingebouwde bescherming een expliciet standaardbeleid in te richten via het Microsoft Defender-portaal, onder Email en samenwerking, vervolgens Policies en regels, en daarna Threat policies. Hier kunt u Safe Attachments, Safe Links en antiphishing configureren met de instellingen die passen bij uw organisatie: reactieacties, uitsluitingen voor vertrouwde domeinen en notificaties bij blokkering.

Ten vierde: communiceer richting gebruikers. De eerste keer dat Safe Links een URL blokkeert, is dat een nieuwe ervaring voor wie dat nog niet kende. Een korte uitleg via intranet of e-mail, dat er aanvullende e-mailbeveiliging is geactiveerd en dat een rood of geel waarschuwingsscherm betekent dat de link als gevaarlijk is beoordeeld, neemt de meeste vragen weg.

Hoe verschilt dit van wat Business Premium al had?

Organisaties op Microsoft 365 Business Premium beschikten al over Defender for Office 365 Plan 1. Voor die tenants verandert er niets. Voor Business Standard-licenties is de situatie anders: als onderdeel van de prijsverhoging per 1 juli 2026 wordt ook daar Defender for Office 365 Plan 1 toegevoegd, maar de uitrol loopt tot augustus 2026. De aanpak voor beheerders is identiek.

Voor E5-licenties is Defender for Office 365 Plan 2 al inbegrepen, dat bevat alles van Plan 1 plus aanvullende functies voor dreigingsonderzoek, aanvalssimulatietraining, Threat Explorer en geautomatiseerde reactie. E5-tenants hoeven niets te ondernemen.

Wat als uw organisatie nog geen antiphishing-training doet?

De uitrol van Defender for Office 365 Plan 1 naar E3 brengt ook Attack Simulation Training mee, zij het in een beperktere vorm dan bij Plan 2. Via het Microsoft Defender-portaal kunt u gesimuleerde phishingcampagnes insturen naar gebruikers om hun weerbaarheid te meten. Dit is een laagdrempelige manier om te zien welk percentage van de gebruikers nog altijd op verdachte links klikt, ook na herhaalde training.

In organisaties die phishingsimulaties uitvoeren, is het consistent aantoonbaar dat gebruikers die regelmatig een gesimuleerde phishingmail ontvangen significant minder snel klikken op echte phishingberichten. Combineer technische beveiliging via Safe Links met gedragsmatige training via simulaties voor maximaal effect.

Wat zijn de prioriteiten voor de komende weken?

Drie acties die elke E3-beheerder de komende weken zou moeten uitvoeren. Ten eerste, sla de berichtencentrummelding op en noteer de activatiedatum voor uw tenant. Gebruik die datum als werkdeadline voor de configuratie. Ten tweede, maak een expliciete Safe Attachments-policy aan in het Defender-portaal met de actie Dynamische aflevering, zodat berichten wel aankomen maar bijlagen pas worden vrijgegeven na analyse. Dat is veiliger dan blokkeren en voorkomt dat legitieme bijlagen verdwijnen zonder melding. Ten derde, overleg met uw mailgateway-leverancier of aanpassingen nodig zijn voor de connector-configuratie.

Wilt u hulp bij het inrichten van Defender for Office 365 in uw Microsoft 365-omgeving, het opstellen van Safe Links- en Safe Attachments-beleid of het opzetten van phishingsimulaties? Neem contact op met Zarioh voor een praktisch gesprek over uw e-mailbeveiligingsarchitectuur.

Was dit artikel nuttig?

Z

Zarioh Digital Solutions

IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn

Nieuwsbrief

Laatste tech nieuws

Ontvang nieuwe artikelen direct in je inbox.

Geen spam. Afmelden kan altijd.

Lees ook

← Terug naar alle artikelen
Delen