Microsoft verplicht MFA voor Microsoft 365 admin center

In dit artikel:

Microsoft voert per 9 februari 2026 een harde verplichting in voor multi-factor authenticatie (MFA) voor iedereen die wil inloggen op het Microsoft 365 admin center. Beheerders die geen MFA hebben ingesteld, lopen vanaf die datum de kans op directe inlogblokkades.

De afdwinging geldt specifiek voor de admin-portalen (portal.office.com/adminportal/home, admin.cloud.microsoft en admin.microsoft.com) — plekken waar tenants, gebruikers en compliance worden beheerd. Microsoft zegt dit te doen om credential-based attacks en ransomware te bestrijden; volgens het bedrijf had meer dan 99,9% van de gecompromitteerde accounts geen MFA geactiveerd.

Zonder MFA kan een gestolen wachtwoord volledige toegang tot gevoelige bedrijfsdata geven en legacy-configuraties zonder tenant-brede MFA kunnen ervoor zorgen dat global admins zichzelf buitensluiten. Daarom spoort Microsoft organisaties aan nu de MFA Wizard of de online handleiding op learn.microsoft.com te gebruiken om organisatiebreed MFA in te voeren.

Beheerders kunnen MFA via verschillende methodes afdwingen, zoals Microsoft Authenticator-pushmeldingen, SMS-codes of hardware-tokens; individuele gebruikers kunnen hun instellingen controleren via aka.ms/mfasetup. Organisaties met hybride omgevingen (on-premises Active Directory gekoppeld aan Entra ID) dienen extra te auditen om complete en correcte configuraties te garanderen.

De uitrol gebeurt gefaseerd, maar uitstel vergroot het risico op uitval tijdens kritieke activiteiten (patchen, logreviews). Microsoft stelt dat gebruikers met een juiste MFA-configuratie geen downtime zullen ervaren. Als praktische aanbeveling: implementeer MFA nu, controleer hoogwaardige admin-accounts extra en overweeg hardware-tokens voor accounts met hoge privileges.