← Terug naar blog
Security

Conditional Access Optimization Agent: de AI die dagelijks uw beleidskloven opspoort in Microsoft Entra

Door Zarioh Digital Solutions·30 juni 2026
Delen
Conditional Access Optimization Agent: de AI die dagelijks uw beleidskloven opspoort in Microsoft Entra

Conditional Access beleid groeit mee met uw omgeving — maar vergroot ook stap voor stap. Nieuwe medewerkers, onbekende applicaties, AI-agenten met eigen identiteiten: elk kan buiten uw bestaande policies vallen. De Conditional Access Optimization Agent in Microsoft Entra scant uw tenant dagelijks en meldt precies waar de gaten zitten.

Conditional Access beleid is nooit echt af. Elke nieuwe medewerker, elke SaaS-applicatie die een afdeling in stilte omarmt, elke AI-agent die in naam van een gebruiker acties uitvoert — elk van die elementen kan buiten de scope vallen van uw bestaande identiteitspolicies. In een middelgrote organisatie kan dat in de loop van een jaar oplopen tot tientallen niet-gedekte accounts en applicaties.

Microsoft speelt hierop in met de Conditional Access Optimization Agent, een geautomatiseerde AI-agent die dagelijks uw Entra-tenant doorloopt, nieuw verschenen identiteiten vergelijkt met uw bestaande policies en signaleert waar bescherming ontbreekt. De agent is in juni 2026 beschikbaar gekomen als public preview en rolt gefaseerd uit naar tenants met de benodigde licenties.

Wat is de Conditional Access Optimization Agent?

De Conditional Access Optimization Agent is een geïntegreerde agent binnen Microsoft Security Copilot in de Entra-beheeromgeving. Anders dan klassieke alerts die u pas ziet nadat er iets misgaat, werkt deze agent preventief: hij controleert elke dag of er nieuwe gebruikers, applicaties of agent-identiteiten zijn bijgekomen die niet door bestaande Conditional Access policies worden gedekt.

De aanbevelingen die de agent genereert worden niet automatisch doorgevoerd. Nieuw voorgestelde policies worden altijd in report-only modus aangemaakt, zodat u het effect kunt beoordelen voordat u ze inschakelt. Een menselijke beheerder keurt elke aanbeveling goed — de agent analyseert, de mens besluit.

Welke tekortkomingen detecteert de agent?

De agent kijkt in drie richtingen tegelijk. Ten eerste signaleert hij identiteiten zonder beleidsdekking: nieuwe medewerkers die de afgelopen 24 uur zijn aangemaakt maar nog door geen enkele Conditional Access policy worden geraakt, onboarded applicaties die buiten de beleidsscope vallen, en AI-agenten zoals Copilot Studio-agents of Power Automate-flows die met gedelegeerde rechten werken maar als aparte identiteit buiten uw gebruikersgerichte policies vallen.

Ten tweede evalueert de agent uw bestaande policies op overlappingen en redundantie. Organisaties die jaren lang policies hebben opgebouwd, beschikken vaak over tientallen regels waarvan er meerdere dezelfde situatie aanpakken. De agent markeert kandidaten voor samenvoeging, wat de beheerbaarheid vergroot en het risico op conflicterende regels verlaagt.

Ten derde genereert hij beleidsherstelrapporten: statistieken over pieken en dalen in aanmeldpatronen die kunnen duiden op misconfiguraties. Als een policy plotseling tien keer vaker wordt getriggerd dan gemiddeld, is dat een signaal dat er iets is veranderd in uw omgeving of in het gedrag van gebruikers.

Concrete aanbevelingen die de agent doet

De agent toetst uw bestaande en ontbrekende policies aan de Zero Trust-richtlijnen van Microsoft en formuleert gerichte aanbevelingen. Hij controleert of MFA verplicht is voor alle gebruikers die bij risicosessies betrokken zijn, of apparaatcompliance of app-beveiliging wordt afgedwongen voor toegang tot gevoelige applicaties, of legacy-authenticatieprotocollen en het device code flow-patroon nog actief zijn en hoe risicogebaseerde policies voor risicovol geclassificeerde gebruikers en aanmeldingen zijn ingesteld.

Opvallend is de expliciete aandacht voor agent-identiteiten. Nu organisaties Copilot Studio-agents, automatiseringsflows en externe AI-integraties inzetten, ontstaat een nieuwe categorie van niet-menselijke identiteiten die via gedelegeerde rechten toegang hebben tot bedrijfsdata. Classic Conditional Access was ontworpen voor menselijke gebruikers — de Optimization Agent is de eerste geautomatiseerde controle die agent-identiteiten als aparte risicocategorie behandelt.

Vereisten en licenties

Om de Conditional Access Optimization Agent in te schakelen hebt u minimaal een Microsoft Entra ID P1-licentie nodig. Die zit inbegrepen in Microsoft 365 Business Premium, E3 en E5, en in de M365 Frontline Worker F1 en F3 licenties met Entra P1-add-on. Organisaties op de Entra Free laag kunnen de agent niet gebruiken.

Naast de Entra-licentie zijn Security Compute Units (SCU's) vereist. SCU's zijn de rekeneenheid voor Microsoft Security Copilot. Elke run van de Conditional Access Optimization Agent verbruikt gemiddeld minder dan één SCU, wat bij dagelijkse runs neerkomt op een zeer beperkte consumptie. SCU's worden apart ingekocht via de Security Copilot capaciteit.

Voor de rolvereisten: activeren van de agent vereist de Security Administrator-rol in Entra. Het beheren van aanbevelingen en het goedkeuren of afwijzen van nieuwe policies kan door een Conditional Access Administrator worden gedaan. Organisaties met functiescheiding kunnen zo een veilig reviewproces inrichten.

De agent inschakelen: vier stappen

Het activeringsproces is eenvoudig. Log in op het Microsoft Entra-beheercentrum en navigeer via het linkermenu naar Security. Kies vervolgens Security Copilot agents. U ziet een overzichtsscherm met beschikbare agents — zoek de tegel Conditional Access Optimization Agent op. Klik op View details en vervolgens op Start agent om de agent te activeren voor uw tenant.

Na activering voert de agent binnen 24 uur zijn eerste scan uit en verschijnt het eerste overzichtsrapport. Dat rapport toont per categorie — ontbrekende dekking, redundantie, misconfiguraties — hoeveel bevindingen er zijn en welke aanbevelingen worden gedaan. U kiest zelf welke u oppakt, in welke volgorde en met welke urgentie.

AI-agent identiteiten: de nieuwe blinde vlek

De meest onderschatte waarde van de Conditional Access Optimization Agent is de expliciete scan op AI-agent identiteiten. Naarmate organisaties meer werken met Copilot Studio-agents, Power Automate-flows met gedelegeerde machtigingen en externe AI-integraties via de Graph API, neemt het aantal niet-menselijke identiteiten in Entra toe.

Deze identiteiten zijn niet altijd zichtbaar in standaard gebruikersrapporten en vallen buiten de scope van klassieke gebruikersgerichte Conditional Access policies. Een agent die namens een medewerker e-mails verstuurt, SharePoint-bestanden leest of data exporteert naar externe systemen, heeft toegang tot bedrijfsgevoelige informatie — zonder dat die toegang onderworpen is aan de MFA- en nalevingseisen die voor de medewerker zelf gelden.

De Optimization Agent brengt deze identiteiten in kaart en koppelt ze aan de aanbeveling om risicogebaseerde policies in te stellen die ook agent-identiteiten dekken. Dat is een fundamentele stap richting een Zero Trust-benadering die past bij de realiteit van 2026, waarin AI-agenten een structureel onderdeel zijn van de IT-omgeving.

Vier stappen om morgen te beginnen

Vier concrete acties voor IT-teams die de Conditional Access Optimization Agent willen implementeren. Ten eerste: controleer of uw licenties toereikend zijn. Entra P1 is de minimumdrempel — als u op Business Premium, E3 of E5 zit, hebt u dit al. Ten tweede: zorg dat er Security Compute Units beschikbaar zijn via de Security Copilot-capaciteitsinstellingen. Zonder SCU's start de agent niet.

Ten derde: wijs de juiste rollen toe. Een Security Administrator activeert de agent; een Conditional Access Administrator beheert de dagelijkse aanbevelingen. Houd functies gescheiden als uw organisatie dat vereist. Ten vierde: plan een wekelijks reviewmoment in voor de aanbevelingen. De agent doet zijn werk dagelijks, maar de waarde ontstaat als u aanbevelingen systematisch verwerkt en niet weken laat liggen.

Wilt u hulp bij het inrichten van de Conditional Access Optimization Agent, het opschonen van bestaande policies of het opstellen van een Zero Trust-roadmap voor uw Entra-omgeving? Neem contact op met Zarioh voor een praktisch gesprek over uw situatie.

Was dit artikel nuttig?

Nieuwsbrief

Laatste tech nieuws

Ontvang nieuwe artikelen direct in je inbox.

Geen spam. Afmelden kan altijd.

← Terug naar alle artikelen
Delen