
Organisaties die Duo, RSA of een andere externe MFA-provider via Conditional Access Custom Controls koppelen, moeten voor 30 september 2026 migreren naar External MFA. Microsoft vervangt de verouderde Custom Controls-methode door een OIDC-gebaseerde standaard die dieper integreert en veiliger is. Wat verandert er, welke stappen zijn nodig en hoeveel tijd heeft u nog?
Wie in Microsoft Entra ID een externe multifactorauthenticatieprovider heeft gekoppeld via Conditional Access Custom Controls, heeft een deadline in het vizier: 30 september 2026. Op die datum haalt Microsoft de mogelijkheid weg om custom controls te bewerken of nieuwe aan te maken. De volledige uitfasering, inclusief het stoppen van bestaande configuraties, volgt in mei 2027.
Het gaat om organisaties die een provider als Cisco Duo, RSA SecurID, Ping Identity, HYPR of een vergelijkbare oplossing hebben ingericht als tweede factor via een Conditional Access-policy. De Custom Controls-methode is jarenlang de enige manier geweest om dergelijke externe providers in Entra ID te verankeren. Nu trekt Microsoft die methode in ten gunste van External MFA, een aanpak die is gebaseerd op de OpenID Connect-standaard en aanzienlijk meer biedt.
Custom Controls waren altijd een tijdelijke brug. De methode werkte via een redirect: de gebruiker werd na het invoeren van zijn wachtwoord doorgestuurd naar de externe MFA-provider, die na verificatie een token teruggaf aan Entra. Entra vertrouwde dat token, maar kon niet beoordelen wat er precies was acontroleerd. Het resultaat was een zwarte doos in uw authenticatieketen.
Dat had praktische beperkingen. Conditional Access policies die Custom Controls gebruikten, konden niet worden gecombineerd met andere grant-controls zoals device compliance of phishingbestendige methoden. Sign-in logs toonden beperkte details over de externe verificatiestap. En voor nieuwe Entra-functies zoals authenticatiecontext of step-up verificatie werkten Custom Controls simpelweg niet.
External MFA lost dit op door de externe provider direct te integreren als een geregistreerde authenticatiemethode in Entra, via OIDC. Entra communiceert nu rechtstreeks met de provider, krijgt informatie terug over welke verificatiemethode is gebruikt en kan die informatie inzetten in policy-beslissingen. Het resultaat is een authenticatieketen die transparant, auditeerbaar en combineerbaar is.
External MFA is een functie die algemeen beschikbaar is in Entra ID en werkt via de OpenID Connect-standaard. U registreert uw externe provider in het Entra-portaal als een External Authentication Method, met een Application ID, een Client ID en een OIDC Discovery URL die de provider beschikbaar stelt. Entra neemt die configuratie op en stuurt tijdens een authenticatiepoging een verzoek naar de provider.
De gebruikerservaring is vergelijkbaar met Custom Controls: na de eerste factor volgt een verificatiestap bij de externe provider. Het verschil zit onder de motorkap. Entra ontvangt nu een gestructureerd OIDC-antwoord en weet exact wat er is geverifieerd. U kunt in uw Conditional Access policy specificeren dat External MFA is vereist, en die controle combineert u probleemloos met device compliance, locatiefilters of gevoeligheidscontroles.
Cisco Duo heeft al een specifiek External MFA-pakket voor Entra ID beschikbaar dat losstaat van de oude Custom Controls-integratie. RSA en andere grote providers volgen eenzelfde aanpak. Voor elke provider die OIDC ondersteunt, is de configuratie in principe gelijk; alleen de specifieke Discovery URL en de aanmeldgegevens verschillen.
Niet elke organisatie die externe MFA heeft, gebruikt Custom Controls. Controleer in het Microsoft Entra-portaal onder Protection > Conditional Access > Custom controls of er actieve controls staan. Als de lijst leeg is, bent u niet geraakt door deze wijziging.
Staat er een of meer controls in de lijst, controleer dan welke Conditional Access policies er gebruik van maken via het tabblad Policies van elke custom control. Noteer de beleidsregels en de gebruikersgroepen waarop ze van toepassing zijn. Dit geeft de scope van uw migratie.
De migratie bestaat uit vijf fasen. Fase één is het registreren van uw externe provider als External Authentication Method in Entra. Ga naar Protection > Authentication methods > External MFA providers en voeg de provider toe met de door de leverancier aangeleverde Application ID, Client ID en Discovery URL. Uw MFA-leverancier documenteert deze waarden in de configuratiegids voor Entra ID External MFA.
Fase twee is het aanmaken van een parallelle Conditional Access policy die External MFA vereist, met dezelfde scope als uw bestaande Custom Controls-policy. Activeer die policy in report-only modus. Zo ziet u in de sign-in logs welke aanmeldpogingen wél en niet zouden slagen zonder de bestaande Custom Controls-policy te raken.
Fase drie is een pilotmigratie. Sluit een testgroep uit van de bestaande Custom Controls-policy en neem dezelfde groep op in de nieuwe External MFA-policy. Laat de testgroep een week inloggen en valideer de logs. Controleer of de authenticatiereis correct verloopt en of de juiste informatie zichtbaar is in de Entra sign-in logs.
Fase vier is de gefaseerde uitrol. Breid de nieuwe policy uit naar grotere gebruikersgroepen en sluit die groepen gelijktijdig uit van de Custom Controls-policy. Houd de twee policies parallel actief totdat de volledige populatie is gemigreerd.
Fase vijf is het verwijderen van de Custom Controls-policy en de custom controls zelf zodra alle gebruikers zijn gemigreerd. Doe dit voor 30 september 2026, want na die datum kunt u de configuratie niet meer aanpassen, alleen nog raadplegen.
Na 30 september 2026 blokkeert Microsoft het aanmaken en bewerken van Custom Controls. Bestaande configuraties blijven functioneren tot mei 2027, maar u kunt ze niet meer aanpassen als er iets misloopt. Een wijziging in de provider-configuratie, een nieuwe gebruikersgroep die beschermd moet worden, of een aanpassing door uw leverancier kan het proces dan blokkeren zonder dat u kunt ingrijpen.
Het praktische risico is dat een defecte Custom Controls-configuratie na de retirement-datum niet meer te repareren is. Organisaties die dan nog afhankelijk zijn van Custom Controls, zitten vast met een niet-aanpasbare policy tot de volledige afschaffing in mei 2027.
Naast het voldoen aan de deadline biedt External MFA concrete voordelen ten opzichte van Custom Controls. Conditional Access-beleidsregels worden granulairder: u kunt External MFA combineren met device compliance in dezelfde policy, iets wat met Custom Controls onmogelijk was. Sign-in logs tonen de volledige authenticatiereis inclusief de externe verificatiestap, wat incident response en audits vereenvoudigt. En nieuwe Entra-functies zoals authenticatiecontext, step-up verificatie en Identity Protection-integratie werken wél met External MFA.
Voor organisaties die richting een volledige zero trust-architectuur werken, is External MFA de brug die externe MFA-providers in het Entra-beleidskader verankert. De provider wordt een erkend onderdeel van de authenticatieketen, niet een externe omleiding buiten het zicht van uw policy-engine.
Drie acties om vandaag te starten. Ten eerste, controleer in het Entra-portaal of uw organisatie Custom Controls gebruikt en welke policies ervan afhankelijk zijn. Tien minuten werk geeft u helderheid over de urgentie. Ten tweede, neem contact op met uw MFA-leverancier en vraag naar de External MFA-configuratiegids voor Entra ID. De meeste grote providers hebben dit gedocumenteerd en sommigen bieden ook migratie-assistentie. Ten derde, plan de pilotmigratie voor uiterlijk augustus, zodat u ruim voor de deadline van 30 september de volledige uitrol kunt afronden.
Wilt u hulp bij het in kaart brengen van uw huidige Conditional Access-configuratie, het plannen van de migratie naar External MFA of het valideren van de nieuwe policy? Neem contact op met Zarioh voor een vrijblijvend gesprek.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.