Setup Microsoft 365 sudah selesai — atau baru kelihatan selesai?
Email jalan, Teams aktif, SharePoint bisa diakses. Semua terlihat normal. Tapi di balik tampilan yang berfungsi, ada beberapa konfigurasi keamanan yang tidak aktif secara default dan tidak menghasilkan peringatan apapun sampai ada yang memanfaatkannya. Tidak ada notifikasi. Tidak ada indikator masalah. Hanya celah yang diam.
Lima konfigurasi berikut adalah yang paling sering terlewat saat setup Microsoft 365, dan paling sering menjadi titik masuk insiden di tenant yang sudah berjalan berbulan-bulan.
MFA Dulu, Baru yang Lain
Sebelum mengonfigurasi apapun yang lain, aktifkan Multi-Factor Authentication (MFA) untuk semua akun. Ini adalah langkah tunggal dengan dampak keamanan terbesar yang bisa dilakukan admin di hari pertama.
Microsoft sudah menyediakan Security Defaults yang mengaktifkan MFA secara otomatis untuk semua pengguna, dan ini tersedia gratis di semua paket Microsoft 365. Cara mengaktifkannya: masuk ke Microsoft Entra admin center, pilih Properties, lalu Manage security defaults, dan aktifkan toggle-nya.
Untuk bisnis yang ingin kontrol lebih granular, misalnya mengecualikan akun service tertentu atau mengatur metode autentikasi yang diizinkan, Conditional Access di Entra ID menyediakan fleksibilitas lebih. Tapi bahkan Security Defaults yang sederhana sudah jauh lebih baik dari tidak ada MFA sama sekali.
Satu catatan penting: pastikan semua admin mendaftarkan metode MFA mereka sebelum Security Defaults diaktifkan. Admin yang terkunci dari akunnya sendiri karena belum mendaftarkan MFA adalah masalah yang tidak perlu terjadi.
Kebijakan Password yang Sering Salah Kaprah
Microsoft 365 memiliki kebijakan password default yang memaksa pengguna mengganti password secara berkala. Ini terdengar aman, tapi penelitian keamanan terbaru justru menunjukkan bahwa kebijakan ganti password rutin sering kontraproduktif. Pengguna cenderung memilih password yang mudah diingat dan hanya memodifikasi sedikit dari password sebelumnya, yang justru lebih mudah ditebak.
Rekomendasi yang lebih baik, sesuai panduan Microsoft dan NIST: nonaktifkan password expiration, tapi pastikan password awal sudah kuat dengan minimal 12 karakter dan kombinasi huruf besar kecil, angka, serta simbol. Aktifkan juga Microsoft Entra ID Password Protection untuk memblokir password yang umum digunakan.
Kombinasi password yang kuat dari awal plus MFA jauh lebih efektif dari password yang sering diganti tapi tetap lemah.
Izin Sharing File: Tentukan Siapa yang Boleh Mengakses
Setup Microsoft 365 yang sering terlewat adalah konfigurasi izin berbagi file di SharePoint dan OneDrive. Default Microsoft mengizinkan berbagi file ke siapa saja dengan link, termasuk orang di luar perusahaan yang tidak memiliki akun Microsoft.
Ini bukan masalah besar untuk semua bisnis, tapi untuk bisnis yang menangani data klien yang sensitif, kontrak, atau informasi keuangan, pengaturan default ini terlalu permisif. Langkah yang perlu dilakukan di awal: buka SharePoint Admin Center, masuk ke Policies lalu Sharing, dan sesuaikan level sharing sesuai kebutuhan bisnis.
Pertanyaannya: apakah karyawan perlu berbagi file ke pihak eksternal? Jika ya, dalam format seperti apa — link yang bisa diakses siapa saja, atau undangan ke email spesifik? Keputusan ini perlu dibuat secara sadar di awal, bukan dibiarkan pada default yang mungkin tidak sesuai dengan kebutuhan bisnis.
Aktifkan Audit Log Sejak Hari Pertama
Banyak admin melewati langkah ini karena tidak terlihat langsung berdampak pada pengalaman pengguna. Tapi audit log adalah fondasi dari kemampuan investigasi ketika sesuatu yang tidak beres terjadi.
Audit log merekam semua aktivitas penting di Microsoft 365: siapa login dari mana, file apa yang diakses atau didownload, kapan ada perubahan konfigurasi, dan banyak lagi. Tanpa audit log yang aktif, ketika insiden terjadi, rekonstruksi apa yang sebenarnya terjadi menjadi sangat sulit — bahkan tidak mungkin.
Cara mengaktifkannya: buka Microsoft Purview compliance portal, pilih Audit, dan pastikan audit log collection sudah aktif. Satu hal penting yang sering terlewat: audit logging TIDAK aktif secara default untuk lisensi Business Basic, Standard, dan Business Premium — harus diaktifkan manual oleh admin. Setelah diaktifkan, Standard Audit menyimpan log selama 180 hari (berlaku sejak 17 Oktober 2023, berdasarkan Microsoft Learn). Paket yang lebih tinggi dengan Audit Premium menyediakan retensi yang lebih lama.
Kami di Pixa sering menemukan bahwa audit log adalah fitur yang paling sering diabaikan di setup awal, tapi paling sering diminta saat ada masalah.
Secure Score Sudah Ada. Tinggal Dibuka.
Microsoft menyediakan fitur Secure Score di Microsoft Defender portal, sebuah dashboard yang mengukur postur keamanan tenant Microsoft 365 Anda dalam bentuk skor numerik. Skor ini dihitung berdasarkan seberapa banyak rekomendasi keamanan yang sudah diimplementasikan.
Manfaat Secure Score bukan hanya angkanya, tapi daftar rekomendasi spesifik yang menyertainya. Setiap rekomendasi dilengkapi penjelasan tentang risiko yang dimitigasi dan langkah implementasinya — panduan keamanan yang selalu diperbarui, langsung dari dalam sistem yang sudah Anda pakai.
Setup Microsoft 365 yang ideal bukan sesuatu yang selesai di hari pertama. Ini adalah proses berkelanjutan yang perlu ditinjau secara berkala, minimal setiap kuartal, seiring perubahan tim, kebutuhan bisnis, dan lanskap ancaman.
Untuk keamanan email yang melengkapi konfigurasi Microsoft 365 bawaan, MailGuard 365 menambahkan lapisan proteksi terhadap ancaman yang lolos dari Defender. Dan untuk backup email dan data independen yang memastikan pemulihan bisa dilakukan bahkan jika terjadi insiden serius, Dropsuite melengkapi fondasi yang sudah dibangun.
Pertanyaan yang Sering Diajukan
Apakah Security Defaults di setup Microsoft 365 sudah cukup untuk bisnis kecil?
Security Defaults adalah titik awal yang baik dan sudah memberikan proteksi yang jauh lebih baik dari tidak ada konfigurasi apapun. Untuk bisnis dengan kebutuhan akses yang lebih kompleks, misalnya akun service, integrasi dengan sistem lain, atau kebijakan akses berbeda per departemen, Conditional Access di Entra ID memberikan kontrol yang lebih granular.
Berapa lama waktu yang dibutuhkan untuk setup Microsoft 365 yang aman?
Konfigurasi dasar yang mencakup MFA, kebijakan password, izin sharing, dan audit log bisa diselesaikan dalam dua hingga empat jam untuk tenant baru dengan jumlah pengguna di bawah 50. Yang membutuhkan waktu lebih adalah migrasi data dari sistem lama dan pelatihan pengguna — bukan konfigurasi teknis itu sendiri.
Apakah konfigurasi setup Microsoft 365 ini perlu diulang setiap ada karyawan baru?
Sebagian besar konfigurasi berlaku di level tenant dan otomatis berlaku untuk semua pengguna baru. Yang perlu dilakukan untuk karyawan baru: membuat akun, menetapkan lisensi yang sesuai, dan memastikan mereka mendaftarkan MFA sebelum mulai bekerja. Kebijakan keamanan yang sudah dikonfigurasi berlaku otomatis.
Apa yang harus dilakukan jika setup Microsoft 365 sudah berjalan lama tapi belum pernah dievaluasi?
Mulai dengan Secure Score di Microsoft Defender portal. Dashboard ini akan menunjukkan gap keamanan yang paling kritis beserta langkah perbaikannya, diprioritaskan berdasarkan dampak dan kemudahan implementasi. Ini adalah titik awal yang paling efisien untuk audit tenant yang sudah berjalan.
Setup Microsoft 365 yang benar di awal adalah investasi yang nilainya baru terasa ketika sesuatu yang tidak diinginkan terjadi — dan tidak terjadi karena fondasi yang sudah dibangun dengan baik.
Punya pertanyaan atau butuh solusi IT?
Hubungi tim Pixa Teknologi untuk konsultasi gratis.
Hubungi Kami →