Microsoft 365 security hardening adalah serangkaian penguatan konfigurasi untuk menurunkan risiko pembajakan akun, penyalahgunaan email, kebocoran data, dan akses tidak sah ke file/kolaborasi. Karena Microsoft 365 menyatukan identitas (Entra ID/Azure AD), email (Exchange Online), file (SharePoint/OneDrive), dan kolaborasi (Teams), satu titik lemah saja bisa menjadi pintu masuk serangan.

Di artikel ini, fokusnya defensif dan praktis: apa yang sebaiknya diprioritaskan, bagaimana urutan penerapannya, dan kontrol apa yang paling efektif untuk menutup jalur serangan umum seperti phishing, password spraying, dan penyalahgunaan token sesi.

Prinsip dasar: Zero Trust, least privilege, dan “secure by default”

Hardening yang efektif dimulai dari tiga prinsip:

  • Zero Trust: jangan otomatis percaya jaringan internal atau perangkat “kantor”. Verifikasi identitas, perangkat, lokasi, dan risiko secara kontinu.
  • Least privilege: berikan akses minimal untuk pekerjaan yang dibutuhkan. Akses admin bersifat sementara dan terkontrol.
  • Secure by default: matikan protokol lama, aktifkan auditing, dan standarkan baseline konfigurasi agar konsisten.

Untuk memetakan prioritas, gunakan Microsoft Secure Score sebagai indikator awal. Secure Score bukan tujuan akhir, tetapi bagus untuk menemukan celah yang paling umum dan memantau perbaikan dari waktu ke waktu.

1) Kuatkan identitas: MFA, passwordless, dan proteksi sesi

Wajibkan MFA untuk semua akun (terutama admin)

Mayoritas insiden Microsoft 365 berawal dari kredensial yang dicuri. Hardening paling berdampak adalah Multi-Factor Authentication (MFA). Prioritaskan:

  • Semua akun admin (Global Administrator, Exchange Admin, SharePoint Admin, dsb.).
  • Semua pengguna dengan akses email dan file (praktiknya hampir semua pengguna).
  • Autentikasi modern dengan aplikasi autentikator atau metode yang lebih kuat (mis. FIDO2/security key, passkeys jika tersedia).

Jika organisasi Anda masih bertahap, mulailah dari admin dan grup berisiko tinggi (keuangan, HR, eksekutif), lalu perluas cakupan.

Nonaktifkan autentikasi legacy

Protokol lama (mis. POP/IMAP/SMTP AUTH tertentu) sering menjadi jalur bypass MFA pada skenario tertentu. Dalam banyak tenant, menonaktifkan autentikasi legacy secara luas akan menutup celah “mudah” untuk password spraying. Terapkan pengecualian hanya bila benar-benar diperlukan dan diawasi ketat.

Gunakan Conditional Access berbasis risiko

Conditional Access adalah “pagar” dinamis: akses boleh/ditahan berdasarkan kondisi. Kebijakan yang umum dan kuat:

  • Require MFA untuk akses ke aplikasi cloud (Exchange, SharePoint, Teams).
  • Block sign-in dari negara/region yang tidak relevan dengan bisnis (berdasarkan kebutuhan dan risiko false positive).
  • Require compliant device untuk akses ke data sensitif (mengaitkan dengan Intune).
  • Session controls: batasi durasi sesi, gunakan sign-in frequency yang wajar, dan pertimbangkan kontrol “continuous access evaluation” bila tersedia.

Tujuannya bukan mempersulit pengguna, tetapi memastikan akses terjadi dalam kondisi yang dapat dipercaya.

Siapkan akun “break glass” dengan perlindungan ekstra

Akun darurat (break glass) diperlukan untuk pemulihan ketika kebijakan Conditional Access atau MFA bermasalah. Praktik yang dianjurkan:

  • Buat minimal dua akun break glass.
  • Gunakan password sangat kuat dan simpan di vault yang aman.
  • Pantau dengan alert setiap kali ada sign-in.
  • Minimalkan penggunaan sehari-hari; hanya untuk keadaan darurat.

2) Kelola hak admin: PIM, role yang tepat, dan audit perubahan

Hardening bukan hanya soal login user, tapi juga mengurangi dampak jika akun admin jatuh. Langkah penting:

  • Gunakan role spesifik, jangan semua orang jadi Global Administrator.
  • Aktifkan Privileged Identity Management (PIM) untuk akses admin “just-in-time” (aktif sementara, perlu approval, ada MFA).
  • Batasi pembuatan dan persetujuan aplikasi OAuth agar aplikasi pihak ketiga tidak mengambil akses luas tanpa kontrol.
  • Audit perubahan konfigurasi: siapa mengubah kebijakan email, siapa menambah rule forwarding, siapa mengubah Conditional Access.

Praktik ini menurunkan risiko serangan “persistence” yang sering dilakukan penyerang setelah masuk, misalnya menambahkan akses jangka panjang yang tidak terlihat.

3) Amankan email: tutup celah phishing dan business email compromise

Email adalah vektor serangan paling konsisten. Fokus hardening Exchange Online dan Microsoft Defender for Office 365 (jika tersedia) meliputi:

Perkuat anti-phishing dan anti-malware

  • Aktifkan kebijakan anti-phishing untuk menandai spoofing dan domain mirip (lookalike domains).
  • Safe Links untuk menilai URL saat diklik, bukan hanya saat diterima.
  • Safe Attachments untuk sandbox lampiran berbahaya.
  • Blokir jenis lampiran berisiko dan gunakan kebijakan karantina yang jelas.

Paksa autentikasi email: SPF, DKIM, dan DMARC

Agar domain Anda tidak mudah dipalsukan dan meningkatkan deliverability, pastikan:

  • SPF sudah benar (hanya sumber pengirim yang diizinkan).
  • DKIM diaktifkan untuk penandatanganan kriptografis.
  • DMARC diterapkan bertahap dari monitoring ke enforcement (p=quarantine atau p=reject) setelah validasi.

Ini adalah kontrol kunci untuk menekan spoofing yang sering dipakai dalam BEC (Business Email Compromise).

Kurangi risiko forwarding dan inbox rule berbahaya

Penyerang sering membuat rule tersembunyi untuk mengalihkan email atau menghapus notifikasi. Kebijakan yang umum:

  • Batasi atau blokir auto-forward ke alamat eksternal.
  • Monitoring pembuatan inbox rule yang mencurigakan.
  • Aktifkan alert untuk aktivitas anomali pada mailbox.

4) Lindungi data di SharePoint, OneDrive, dan Teams

Kolaborasi mempercepat kerja, tapi juga memperluas permukaan serangan. Hardening yang disarankan:

Atur sharing eksternal dengan ketat

  • Evaluasi kebutuhan guest access di Teams dan SharePoint.
  • Batasi link berbagi: gunakan link berumur (expiration) dan pembatasan akses (mis. “Specific people”).
  • Review secara berkala siapa saja guest yang masih perlu akses.

Terapkan klasifikasi dan proteksi informasi

Gunakan kemampuan seperti sensitivity labels untuk:

  • Mengklasifikasikan dokumen (Publik, Internal, Rahasia).
  • Menerapkan enkripsi dan pembatasan akses saat file dibagikan.
  • Mengatur perilaku berbagi sesuai tingkat sensitivitas.

Jika organisasi menangani data penting, pertimbangkan DLP (Data Loss Prevention) untuk mendeteksi dan mencegah kebocoran (mis. nomor kartu, data pribadi, dokumen rahasia) di email dan file.

Retention dan eDiscovery untuk kebutuhan kepatuhan

Hardening juga berarti siap untuk audit dan investigasi. Kebijakan retention membantu menjaga bukti dan mencegah penghapusan data yang tidak semestinya. Untuk organisasi yang diatur regulasi, rancang retention sesuai kebutuhan legal dan operasional.

5) Amankan perangkat dan akses: Intune, compliance, dan baseline

Identitas yang kuat saja belum cukup jika perangkat terinfeksi. Gunakan pendekatan “device trust”:

  • Enforce device compliance (mis. PIN/biometrik, enkripsi disk, OS up-to-date) untuk mengakses aplikasi Microsoft 365.
  • Kelola perangkat dengan Microsoft Intune dan terapkan baseline keamanan untuk Windows/macOS/iOS/Android.
  • Gunakan Conditional Access untuk memblokir perangkat tidak patuh atau tidak dikelola saat mengakses data sensitif.

Untuk skenario BYOD, pertimbangkan pendekatan yang seimbang, misalnya proteksi aplikasi (MAM) agar data kerja tidak mudah disalin ke aplikasi pribadi.

6) Logging, monitoring, dan respons insiden: jangan tunggu sampai terlambat

Hardening yang matang selalu memasukkan deteksi dan respons.

Aktifkan dan tinjau audit log

  • Pastikan Unified Audit Log aktif.
  • Tentukan siapa yang bertanggung jawab meninjau log, seberapa sering, dan indikator apa yang dicari.
  • Gunakan alert policies untuk aktivitas kritis (mis. perubahan kebijakan keamanan, penambahan admin, aktivitas login berisiko).

Integrasikan dengan SIEM bila diperlukan

Jika Anda memakai SIEM seperti Microsoft Sentinel atau solusi lain, integrasikan log Microsoft 365 agar korelasi insiden lebih cepat: login anomali, aktivitas mailbox mencurigakan, dan perubahan konfigurasi tenant.

Rencana respons insiden khusus Microsoft 365

Siapkan playbook sederhana agar tim tidak panik saat insiden:

  • Prosedur isolasi akun (reset password, revoke sessions, disable sign-in sementara).
  • Prosedur pembersihan mailbox (cek forwarding, inbox rules, consent aplikasi mencurigakan).
  • Prosedur komunikasi internal (notifikasi user, eskalasi manajemen, dokumentasi).
  • Checklist pemulihan dan hardening lanjutan pasca insiden.

Urutan implementasi yang realistis (quick wins hingga matang)

Agar perubahan tidak mengganggu operasional, gunakan tahapan berikut:

  • Minggu 1–2 (Quick wins): MFA untuk admin, matikan autentikasi legacy, audit log aktif, alert untuk sign-in admin.
  • Minggu 3–4: Conditional Access (MFA untuk semua), kebijakan anti-phishing dasar, batasi auto-forward eksternal.
  • Bulan 2: PIM untuk admin, baseline perangkat dan compliance via Intune, pengetatan guest access.
  • Bulan 3+: DLP & sensitivity labels, retention, integrasi SIEM, uji tabletop incident response.

Kunci keberhasilan hardening adalah kombinasi kebijakan (policy), teknologi, dan adopsi pengguna. Sosialisasi singkat tentang phishing, MFA, dan cara melaporkan kejadian mencurigakan sering memberi dampak besar.

FAQ: Pertanyaan umum tentang Microsoft 365 security hardening

Apa langkah hardening paling penting jika saya hanya bisa melakukan 3 hal?

Prioritaskan MFA untuk semua (terutama admin), nonaktifkan autentikasi legacy, dan aktifkan/monitor audit log serta alert. Tiga langkah ini menutup jalur serangan paling sering dan membantu deteksi lebih cepat.

Apakah Secure Score sudah cukup sebagai standar keamanan?

Secure Score bagus sebagai panduan dan metrik kemajuan, tetapi bukan jaminan keamanan. Anda tetap perlu menyesuaikan kontrol dengan risiko bisnis, regulasi, dan arsitektur akses (mis. BYOD, banyak vendor/guest, data sensitif).

Bagaimana cara mengurangi risiko phishing tanpa mengganggu produktivitas?

Gunakan kombinasi Safe Links/Safe Attachments (jika tersedia), kebijakan anti-phishing yang tepat, dan edukasi singkat berbasis contoh nyata. Di sisi akses, Conditional Access + MFA membuat phishing jauh lebih sulit berhasil meskipun user sempat memasukkan password.

Apakah saya harus memblokir sharing eksternal di SharePoint/OneDrive?

Tidak selalu. Banyak organisasi memang butuh berbagi dengan klien/vendor. Yang penting adalah membatasi sharing: gunakan “Specific people”, atur masa berlaku link, review guest berkala, dan terapkan sensitivity label/DLP untuk data sensitif.

Seberapa sering konfigurasi hardening perlu ditinjau ulang?

Minimal triwulanan untuk review kebijakan akses, role admin, guest, dan Secure Score. Jika organisasi sering berubah (banyak proyek/vendor), pertimbangkan review bulanan untuk area berisiko seperti Conditional Access, aplikasi OAuth, dan kebijakan email.

Dengan pendekatan bertahap dan terukur, hardening Microsoft 365 bukan proyek sekali jalan, melainkan proses yang membuat tenant Anda semakin tahan terhadap ancaman sekaligus tetap nyaman digunakan.

Conditional AccessDefender for Office 365DLPEntra IDIntunemfaMicrosoft 365Secure ScoreSecurity Hardeningzero trust
By