
Meervoudige verificatie is een goede start, maar zonder Conditional Access ontbreekt de context. De beleidsmotor beslist wie toegang krijgt op basis van apparaat, locatie, risicoscore en gebruikersrol. Lees hoe u vijf basisregels inricht die de meeste aanvallen stoppen — zonder uw medewerkers te hinderen.
Microsoft Entra Conditional Access is een van de krachtigste en tegelijk meest onderbenutte beveiligingsfuncties in Microsoft 365. Terwijl veel MKB-bedrijven meervoudige verificatie hebben ingeschakeld en denken dat ze daarmee klaar zijn, gaat Conditional Access een stap verder. Het is de beleidsmotor die bepaalt of iemand bij bedrijfsdata mag, op basis van de volledige context van een aanmeldpoging: wie is het, welk apparaat gebruikt hij, van welke locatie logt hij in, en wat zegt het risicomodel van Entra over die aanmelding?
Conditional Access werkt als een toegangspoort met intelligentie. Een medewerker die van zijn beheerde werklaptop op kantoor inlogt, kan gewoon door. Dezelfde medewerker die zich aanmeldt vanaf een onbekend apparaat in een land waar uw organisatie nooit actief is, wordt tegengehouden of gevraagd om aanvullende verificatie. Dat onderscheid maakt het voor aanvallers met gestolen inloggegevens aanzienlijk moeilijker om schade aan te richten.
Conditional Access evalueert elke aanmeldpoging aan de hand van beleidsregels die u zelf opstelt. Zo'n beleidsregel bestaat uit twee delen. Het eerste deel is de voorwaarde: op welke situaties is de regel van toepassing? U kunt filteren op gebruiker of groep, op de applicatie die bereikt wordt, op het platform van het apparaat, op de netwerkaansluiting of benoemde locaties, en op het risiconiveau van de aanmelding.
Het tweede deel is de uitkomst: wat gebeurt er als aan de voorwaarden is voldaan? De mogelijke uitkomsten zijn: toegang verlenen, toegang weigeren, of toegang verlenen mits aan aanvullende eisen wordt voldaan. Die aanvullende eisen kunnen bestaan uit het voltooien van meervoudige verificatie, het gebruik van een apparaat dat Intune als conform heeft beoordeeld, het verplicht opnieuw instellen van het wachtwoord bij een hoog-risicosignaal, of het beperken van wat de gebruiker in de sessie kan doen, zoals voorkomen dat hij bestanden downloadt op een niet-beheerd apparaat.
Meervoudige verificatie is onmisbaar, maar geen volledig schild. Een aanvalstype dat de afgelopen jaren sterk is toegenomen, is de zogenoemde aanval waarbij een kwaadwillende zich tussen uw medewerker en de Microsoft-aanmeldpagina bevindt. De medewerker voert zijn wachtwoord in en keurt de verificatieprompt goed, waarna de aanvaller de geldige sessiegegevens onderschept en direct gebruikt. Het resultaat: toegang zonder wachtwoord of verificatiecode, want die zijn al afgehandeld door de nietsvermoedende gebruiker.
Conditional Access kan dit scenario op meerdere manieren doorkruisen. Een beleid dat uitsluitend aanmeldingen van beheerde en conforme apparaten toestaat voor gevoelige applicaties, zorgt ervoor dat onderschepte sessiegegevens op het apparaat van de aanvaller niets opleveren — dat apparaat slaagt immers niet voor de apparaatconformiteitseis. Een beleid dat aanmeldingen uit onbekende landen blokkeert, snijdt een groot deel van het aanvalsoppervlak af nog voordat de aanval begint.
Beleidsregel één: vereis meervoudige verificatie voor alle gebruikers en alle applicaties, zonder uitzonderingen op gebruikersniveau. Dit is het fundament. Als u hier nog niet bent, begint u hier. Wie op dit moment nog accounts heeft zonder meervoudige verificatie is kwetsbaar voor vrijwel elke geautomatiseerde aanval met gestolen wachtwoorden. De configuratie vindt u in het Microsoft Entra-portaal onder Beveiliging, daarna Voorwaardelijke toegang.
Beleidsregel twee: bescherm beheerdersaccounts met een apart, strenger beleid. Beheerdersaccounts zijn het meest waardevolle doelwit voor aanvallers. Eis voor elke aanmelding van een beheerder aanvalsbestendige verificatie via een FIDO2-sleutel of passkey, beperk aanmeldingen tot bekende locaties en vertrouwde apparaten, en stel verplichte herverificatie in bij elke nieuwe sessie. Een gecompromitteerd beheerdersaccount kan in minuten de volledige tenant ontregelen.
Beleidsregel drie: blokkeer aanmeldingen uit locaties die uw organisatie niet kent. Definieer via benoemde locaties welke landen of IP-bereiken als vertrouwd worden beschouwd. Aanmeldingen vanuit alle andere locaties worden geblokkeerd of vereisen aanvullende verificatie. Voor de meeste Nederlandse MKB-bedrijven is dat een beperkte lijst: Nederland, eventueel enkele buurlanden of regio's waar medewerkers regelmatig verblijven. Dit ene beleid houdt al een groot deel van geautomatiseerde aanvallen buiten de deur.
Beleidsregel vier: vereis een conform apparaat voor toegang tot bedrijfsapplicaties. Via Intune beheert u welke apparaten als veilig worden beschouwd. Conditional Access leest die status af en vereist dat een apparaat conform is voordat het toegang krijgt tot SharePoint, Exchange of Teams. Niet-beheerde privéapparaten kunnen via de browser werken, maar worden verhinderd bestanden te downloaden. Dit beperkt de schade bij verlies of diefstal van een privéapparaat aanzienlijk.
Beleidsregel vijf: activeer op risico gebaseerd beleid via Entra ID Protection. Dit zijn automatische beleidsregels die reageren op afwijkingen die Entra ID detecteert. Een aanmelding vanuit een locatie die geografisch onmogelijk is gegeven de vorige aanmelding, een inlogpoging met een wachtwoord dat op het dark web is verschenen, of een reeks mislukte pogingen gevolgd door een geslaagde: dit zijn signalen die automatisch leiden tot extra verificatie of blokkering. U schakelt dit in via Entra ID Protection en Conditional Access zorgt voor de handhaving.
Elk Conditional Access-beleid kan worden ingesteld op drie modi: uitgeschakeld, alleen rapportage, of actief. De modus alleen rapportage is de meest onderschatte instelling. In deze modus evalueert het systeem alle aanmeldingen alsof het beleid actief is, maar er wordt niets geblokkeerd of vereist. U ziet in de aanmeldingslogboeken precies welke aanmeldingen zouden zijn tegengehouden en welke aanvullende verificatiestap zou zijn getriggerd.
Dit is de enige veilige manier om beleid te testen in een echte omgeving zonder gebruikers te hinderen. Schakel elk nieuw beleid minstens een week in op alleen rapportage, analyseer de logboeken, pas het beleid aan waar nodig, en zet het daarna pas op actief. Organisaties die deze stap overslaan lopen het risico dat legitieme gebruikers worden geblokkeerd, met spoedoproepen en noodreparaties als gevolg.
Drie concrete stappen voor de komende vier weken. Ten eerste, open het Microsoft Entra-portaal en bekijk welke Conditional Access-beleidsregels momenteel actief zijn. Als er geen zijn, of alleen de standaard aanbevelingen die bij de initiële inrichting zijn toegepast, is er werk aan de winkel. Ten tweede, begin met beleidsregel één en twee: meervoudige verificatie voor iedereen en extra bescherming voor beheerders. Dat zijn de twee maatregelen met de hoogste beschermende waarde per geïnvesteerd uur. Schakel ze in op alleen rapportage, evalueer een week, en zet ze aan. Ten derde, plan een kwartaalreview van uw beleidsinstellingen. Bedrijven groeien, licenties veranderen en dreigingen verschuiven. Een instelling die vandaag passend is, kan over zes maanden gaten vertonen door nieuwe applicaties of gewijzigde werkpatronen.
Conditional Access is geen product dat u eenmalig inricht en vergeet. Het is een levend beveiligingssysteem dat aandacht vraagt en meegroeit met uw organisatie. Wilt u hulp bij het opstellen, controleren of verbeteren van uw Conditional Access-beleid in Microsoft Entra ID? Neem contact op met Zarioh voor een vrijblijvend gesprek.
Was dit artikel nuttig?
Zarioh Digital Solutions
IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.

Security

Security

Security