De zakelijke VPN bestaat al decennia, maar de manier waarop we werken is grondig veranderd. Microsoft Entra Private Access biedt een Zero Trust-alternatief dat applicatiegericht werkt in plaats van volledige netwerktoegang te verlenen. Wat is het verschil, hoe werkt de techniek en hoe start u een gefaseerde migratie?
De zakelijke VPN is al decennialang de ruggengraat van externe toegang. Thuis werken, vanuit een kantoor op afstand of via een koffiebar: de VPN maakt een versleutelde tunnel naar het bedrijfsnetwerk. Eenmaal verbonden heeft de gebruiker toegang alsof hij op kantoor zit. Dat klinkt handig, en dat was het ook, maar het is tegelijk het grootste beveiligingsprobleem van het traditionele netwerk.
Wanneer een aanvaller inloggegevens buitmaakt of een apparaat compromitteert dat VPN-toegang heeft, krijgt hij hetzelfde volledige netwerktoegang als de legitieme gebruiker. Dat laterale verplaatsingspatroon — van het ene systeem naar het andere sluipen via het bedrijfsnetwerk — is een standaardstap in vrijwel elke succesvolle ransomware-aanval. In 2026 is er een structureel beter alternatief dat native in het Microsoft-ecosysteem is ingebouwd: Entra Private Access.
Entra Private Access maakt deel uit van Microsoft's Global Secure Access-platform, dat naast Private Access ook Entra Internet Access omvat voor het beveiligen van uitgaand internetverkeer. Private Access lost specifiek het probleem van interne applicatietoegang op. In plaats van toegang tot het volledige bedrijfsnetwerk te verlenen, definieert u welke specifieke applicaties of resources een gebruiker mag bereiken, en onder welke voorwaarden.
Het paradigma verschuift van netwerktoegang naar applicatietoegang. Een medewerker die vanuit huis toegang nodig heeft tot een intern CRM-systeem, krijgt precies dat: toegang tot dat ene systeem. Niet tot de fileserver, niet tot de productiedatabase, niet tot de beheerinterface van de router. Dit principe heet Zero Trust Network Access, afgekort ZTNA.
Een traditionele VPN werkt op netwerkniveau. Zodra de tunnel is opgebouwd, krijgt het apparaat een IP-adres in het bedrijfsnetwerk en kan het in principe al het verkeer routeren naar elk systeem dat op dat netwerk bereikbaar is. De controle vindt eenmalig plaats bij het opzetten van de tunnel.
Entra Private Access controleert elke verbindingspoging afzonderlijk. Vóór elke toegangsverlening verifieert het systeem de identiteit via Entra ID, de apparaatstatus via Intune-compliancebeleid, en optioneel aanvullende Conditional Access-voorwaarden zoals locatie, aanmeldrisico of de sterkte van de MFA-methode die de gebruiker heeft gebruikt. Een gecompromitteerd apparaat dat aan de VPN hangt, krijgt bij Private Access geen toegang — ook al zijn de inloggegevens correct.
Een bijkomend voordeel is operationeel: IT-beheerders kunnen exact zien wie toegang heeft tot welke applicatie, kunnen toegang intrekken per applicatie of per gebruiker, en hoeven geen brede netwerksegmenten te beheren. Audits worden eenvoudiger en het beveiligingsprofiel verbetert aantoonbaar.
De kern van Entra Private Access is de Private Network Connector, een lichtgewicht agent die u installeert op een Windows Server binnen uw netwerk. Dat kan een fysieke server op locatie zijn, maar ook een virtuele machine in Azure of in uw eigen datacenter. De connector bouwt een uitgaande verbinding op naar Microsoft's Global Secure Access-service. Er zijn geen inkomende firewallregels of open poorten nodig en geen publiek zichtbaar VPN-gateway.
Op het apparaat van de gebruiker draait de Global Secure Access-client, een lichtgewicht agent voor Windows en macOS. Wanneer de gebruiker een interne applicatie probeert te bereiken, routeert de client het verkeer via Microsoft's beveiligde netwerk naar de connector in uw omgeving, en van daaruit naar de doeltoepassing. Voor de applicatie zelf ziet het eruit alsof de aanvraag vanuit het lokale netwerk komt.
Een configuratie bestaat uit twee benaderingen. Quick Access geeft u snel een toegangsgroep op basis van IP-bereiken of FQDN-patronen, vergelijkbaar met een gedeeltelijke VPN voor een specifiek subnet. Enterprise Application Access laat u individuele applicaties definiëren als beveiligde toegangspunten, elk met eigen Conditional Access-policies en toegewezen gebruikersgroepen. De tweede benadering geeft u de meest nauwkeurige controle.
Een functionaliteit die IT-beheerders regelmatig verrast, is de Kerberos-ondersteuning in Entra Private Access. Veel interne bedrijfsapplicaties gebruiken Windows-geïntegreerde authenticatie via Kerberos: de gebruiker logt eenmalig in op de computer en hoeft geen apart wachtwoord in te voeren voor interne systemen. Bij een traditionele VPN werkt dit omdat het apparaat domeinlid is. Bij externe toegang zonder VPN was dit tot voor kort niet mogelijk.
Entra Private Access lost dit op via Kerberos Cloud Trust. Uw Entra-omgeving fungeert als tussenpersoon en geeft Kerberos-tickets uit namens gebruikers die zijn aangemeld via Entra ID. Medewerkers kunnen zo vanuit huis inloggen op interne SharePoint-sites, intranetapplicaties of legacy-webtoepassingen zonder extra wachtwoord en zonder VPN. De ervaring is identiek aan werken op kantoor.
Entra Private Access maakt deel uit van de Microsoft Entra Suite, een bundel die naast Private Access ook Entra Internet Access, Entra ID Governance en Entra ID Protection omvat. De Entra Suite is beschikbaar als add-on bovenop bestaande Microsoft 365-licenties. Organisaties met Microsoft 365 E5 Security of de Microsoft 365 E7 Frontier Suite hebben er via die bundel toegang toe.
Voor de technische vereisten geldt: Windows Server 2016 of nieuwer voor de connector, Entra ID P1 of P2 als identiteitsfundament, en Intune of een compatibele MDM-oplossing voor apparaatcompliance. De Global Secure Access-client ondersteunt Windows 10 en 11 en macOS Ventura en hoger.
U hoeft de VPN niet in één keer af te schaffen. De meest succesvolle aanpak is een gefaseerde migratie waarbij beide systemen tijdelijk naast elkaar draaien. Begin met de applicaties die het vaakst worden gebruikt vanuit externe locaties en waarbij de beveiliging het meeste baat heeft bij granulaire controle, zoals toegang tot het ERP-systeem, de HR-applicatie of het intranet.
Een praktisch startpunt in vier stappen. Ten eerste, installeer een Private Network Connector op een Windows Server in uw netwerk en koppel deze aan uw Entra-tenant. Ten tweede, maak een Enterprise Application-profiel aan voor uw meest gebruikte interne applicatie. Ten derde, koppel een Conditional Access-policy die MFA en apparaatcompliance vereist. Ten vierde, wijs de configuratie toe aan een pilotgroep van vijf tot tien medewerkers en evalueer na twee weken voor u verder uitrolt.
Applicaties die u via Entra Private Access ontsluit, kent u per gebruikersgroep toe, net als cloud-apps in Entra ID. Het overzicht van wie toegang heeft tot wat wordt daarmee volledig transparant en auditeerbaar — iets wat bij een traditionele VPN zelden het geval is.
Niet elke situatie leent zich onmiddellijk voor Entra Private Access. Gevallen waarbij VPN voorlopig de beste keuze blijft, zijn onder meer bulkoverdrachten van grote bestanden naar on-premises bestandsservers via SMB, specifieke legacy-protocollen die niet op TCP of UDP draaien, en operationele technologie-netwerken met strikte segmentatie-eisen. Voor de meeste kantoormedewerkers die toegang nodig hebben tot applicaties en webservices, biedt Entra Private Access een veiliger en beheerbaarder alternatief dat ook beter schaalbaar is naarmate de organisatie groeit.
Wilt u een analyse van uw huidige VPN-gebruik en een migratieplan naar Zero Trust Network Access opstellen? Zarioh helpt organisaties met de volledige Entra-omgeving, van identiteitsbeheer tot netwerktoegang. Neem contact op voor een vrijblijvend gesprek.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
