💼 Management Samenvatting
Adaptive Access Control is een geavanceerde benadering van toegangsbeveiliging waarbij toegangsbeslissingen dynamisch worden aangepast op basis van real-time context, gedragsanalyses en dreigingsinformatie. In plaats van statische regels die voor iedereen dezelfde eisen stellen, past Adaptive Access zich automatisch aan aan de specifieke situatie: een gebruiker die vanuit een vertrouwde locatie werkt krijgt soepelere toegang, terwijl verdacht gedrag automatisch extra verificatiestappen of zelfs blokkering triggert.
Aanbeveling
IMPLEMENT
Risico zonder
Hoog
Risk Score
7/10
Implementatie
40u (tech: 24u)
Van toepassing op:
✓ M365
✓ Entra ID
✓ Defender for Cloud Apps
✓ Entra ID
✓ Defender for Cloud Apps
Traditionele toegangscontrole werkt met vaste regels: iedereen moet MFA gebruiken, of iedereen moet vanaf een beheerd apparaat werken. Hoewel deze aanpak beveiliging biedt, creëert ze ook frictie voor gebruikers en kan ze leiden tot situaties waarin veilig gedrag onnodig wordt gehinderd, terwijl onveilig gedrag mogelijk niet adequaat wordt aangepakt. Moderne aanvallers gebruiken geavanceerde technieken zoals session hijacking, waar een gestolen sessietoken wordt gebruikt zonder dat opnieuw authenticatie vereist is, of pass-the-hash aanvallen waarbij een aanvaller zich voordoet als een legitieme gebruiker. Deze aanvallen worden niet gedetecteerd door statische MFA-regels omdat de oorspronkelijke authenticatie legitiem was. Bovendien hebben organisaties te maken met een steeds complexere gebruikersomgeving: medewerkers werken vanuit verschillende locaties, gebruiken verschillende apparaten (soms beheerd, soms niet), en toegang tot data gebeurt in verschillende contexten (thuiswerken, onderweg, in het kantoor). Een statisch beleid dat altijd de strengste eisen stelt, maakt het werk onnodig moeilijk en kan leiden tot workarounds door gebruikers die beveiliging juist verzwakken. Adaptive Access lost deze problemen op door continu de context te monitoren: waar komt de aanvraag vandaan, welke applicatie wordt gebruikt, wat is het gebruiksgedrag in de afgelopen weken, zijn er risicosignalen vanuit threat intelligence, en wat is de gevoeligheid van de data die wordt benaderd? Op basis van deze factoren wordt een risicoscore berekend en wordt automatisch besloten of toegang wordt verleend, extra verificatie wordt gevraagd, of toegang wordt geblokkeerd. Dit maakt het mogelijk om gebruikersvriendelijk te zijn bij veilige scenario's, terwijl automatisch wordt aangescherpt bij verdachte activiteit. Voor Nederlandse overheidsorganisaties is dit vooral relevant omdat zij vaak werken met verschillende gevoeligheidsniveaus: een medewerker die dagelijks vanuit het kantoor toegang heeft tot vertrouwelijke dossiers, moet niet bij elke actie opnieuw MFA gebruiken, maar eenzelfde medewerker die plotseling vanuit een onbekende locatie probeert in te loggen, moet direct worden uitgedaagd. Adaptive Access maakt dit mogelijk zonder dat beheerders handmatig uitzonderingen moeten configureren.
PowerShell Modules Vereist
Primary API: Microsoft Graph API, Defender for Cloud Apps API
Connection:
Required Modules: Microsoft.Graph, Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraph, Connect-MgGraph -Scopes CloudAppSecurity.ReadWrite.AllRequired Modules: Microsoft.Graph, Microsoft.Graph.Identity.SignIns
Implementatie
Dit artikel beschrijft hoe u Adaptive Access Control implementeert in Microsoft 365 door Conditional Access policies te combineren met Entra ID Protection (voor risicodetectie), Defender for Cloud Apps (voor cloudapp-gedrag en shadow IT), en Microsoft Defender for Identity (voor on-premises signalen). We behandelen hoe u contextuele factoren configureert zoals gebruiksgedrag baseline, locatie-vertrouwen, apparaat-reputatie, en real-time threat intelligence integratie. Vervolgens leggen we uit hoe u risicoscores en toegangsbeslissingen ontwerpt die balanceren tussen beveiliging en gebruiksvriendelijkheid, hoe u implementeert dat toegang automatisch wordt aangepast zonder tussenkomst van beheerders, en hoe u monitoring en logging inricht zodat u achteraf kunt analyseren waarom bepaalde toegangsbeslissingen zijn genomen. Daarnaast bespreken we hoe Adaptive Access zich verhoudt tot compliance-vereisten zoals de BIO en NIS2, en hoe u kunt aantonen dat de dynamische toegangscontrole voldoet aan de eisen voor risicogestuurde beveiliging.
Grondbeginselen van Adaptive Access Control
Adaptive Access Control onderscheidt zich van traditionele toegangsbeveiliging doordat het beslissingen neemt op basis van meerdere contextuele factoren die continu worden geëvalueerd, in plaats van alleen te kijken naar de identiteit van de gebruiker en de status van het apparaat. Het kernconcept is dat de beveiligingseisen dynamisch moeten aanpassen aan de risico's die op dat moment gelden voor een specifieke toegangspoging. Dit betekent dat een gebruiker die elke werkdag om 09:00 vanuit het kantoor inlogt en vertrouwelijke documenten opent, niet elke keer opnieuw hoeft te authenticeren met MFA, omdat het systeem heeft geleerd dat dit gedrag normaal en veilig is. Echter, wanneer dezelfde gebruiker op zondagavond om 23:00 vanuit een onbekende locatie in het buitenland probeert in te loggen en vervolgens bulk-downloads doet van gevoelige informatie, wordt dit direct herkend als afwijkend gedrag en worden automatisch strengere controles toegepast: extra MFA, beperkte toegang, of zelfs volledige blokkering totdat beheerders kunnen verifiëren dat het om legitieme toegang gaat.
De contextuele factoren die Adaptive Access evalueert, zijn onder te verdelen in verschillende categorieën. Ten eerste sign-in context: waar komt de toegangspoging vandaan (IP-adres, geografische locatie, netwerk), op welk tijdstip, welke client-app wordt gebruikt (browser, native app, mobiele app), en is het een nieuw apparaat of een bekend apparaat? Ten tweede gebruiker context: wat is het gebruiksgeschiedenis van deze gebruiker (normale patronen, veelgebruikte applicaties, typische werktijden), wat is het risiconiveau van het account zelf (gecompromitteerd, gelekte credentials, verdacht gedrag in het verleden), en welke rollen en machtigingen heeft de gebruiker? Ten derde apparaat context: is het apparaat beheerd en compliant, wat is de gezondheidsstatus (patchlevel, antivirus status, encryption), is het apparaat bekend en vertrouwd, en zijn er verdachte activiteiten op het apparaat gedetecteerd? Ten vierde applicatie context: welke applicatie of resource wordt benaderd, wat is de gevoeligheid van de data (sensitivity labels), welke acties worden uitgevoerd (lezen, bewerken, delen, exporteren), en zijn er specifieke compliance-eisen voor deze applicatie? Ten vijfde bedreigings context: zijn er actieve dreigingen gedetecteerd (known bad IP's, malware signatures, threat intelligence feeds), zijn er ongebruikelijke patronen die wijzen op een aanval (impossible travel, credential stuffing, lateral movement), en wat is het algehele dreigingsniveau op dat moment?
Deze factoren worden gecombineerd in een risico-engine die een real-time risicoscore berekent. Microsoft's Adaptive Access gebruikt machine learning modellen die zijn getraind op miljarden sign-in events en dreigingsindicatoren, waardoor het systeem patronen kan herkennen die mensen niet snel zouden opmerken. De risicoscore wordt vertaald naar een toegangsbeslissing: bij laag risico wordt toegang verleend zonder extra verificatie, bij medium risico wordt extra MFA gevraagd of wordt toegang beperkt tot minder gevoelige resources, en bij hoog risico wordt toegang geblokkeerd of wordt direct een beheerder gealarmeerd. Het voordeel van deze aanpak is dat de beveiliging zich automatisch aanpast zonder dat beheerders handmatig regels moeten bijstellen: wanneer een nieuwe dreiging wordt gedetecteerd door Microsoft's threat intelligence, worden alle relevante toegangspogingen automatisch strenger gecontroleerd, ook al zijn er geen policies gewijzigd.
Voor Nederlandse overheidsorganisaties biedt Adaptive Access extra waarde omdat het mogelijk maakt om te voldoen aan de eis voor 'proportionele beveiliging' zoals gesteld in de BIO: de beveiliging moet passen bij het risico, niet te zwak maar ook niet onnodig streng. Door Adaptive Access te gebruiken, kunnen organisaties aantonen dat zij een dynamisch beveiligingssysteem hebben dat automatisch reageert op veranderende dreigingen en context, zonder dat dit ten koste gaat van gebruiksvriendelijkheid of productiviteit. Bovendien maakt de uitgebreide logging en monitoring het mogelijk om tijdens audits aan te tonen welke beslissingen zijn genomen en waarom, wat belangrijk is voor compliance met frameworks zoals ISO 27001 en NIS2.
Microsoft 365 Componenten voor Adaptive Access
Microsoft 365 biedt verschillende componenten die samen een Adaptive Access Control systeem vormen. Het fundament wordt gelegd door Conditional Access, dat de basis is voor alle toegangsbeslissingen. Conditional Access policies kunnen worden geconfigureerd om niet alleen te reageren op statische voorwaarden (bijvoorbeeld 'alle gebruikers moeten MFA gebruiken'), maar ook op dynamische risicosignalen die afkomstig zijn uit andere Microsoft-services. De belangrijkste signalen komen van Entra ID Protection (voorheen Azure AD Identity Protection), dat gebruikers- en sign-in risico detecteert op basis van machine learning en threat intelligence. Entra ID Protection analyseert elke sign-in poging en detecteert patronen zoals impossible travel (waarbij een account binnen fysiek onmogelijke tijdspannes vanaf verschillende locaties inlogt), sign-ins vanuit anonieme IP-adressen of TOR-netwerken, sign-ins vanaf apparaten met malware, en sign-ins met gelekte credentials die zijn gevonden op het dark web. Deze risicosignalen worden automatisch doorgegeven aan Conditional Access, waardoor policies kunnen reageren door extra verificatie te eisen of toegang te blokkeren.
Een tweede belangrijke component is Defender for Cloud Apps (voorheen Microsoft Cloud App Security), dat gedragsanalyses uitvoert op cloudapp-gebruik. Defender for Cloud Apps leert wat normaal gebruik is voor elke gebruiker: welke applicaties worden normaal gesproken gebruikt, op welke tijdstippen, vanaf welke locaties, en welke acties worden uitgevoerd. Wanneer afwijkend gedrag wordt gedetecteerd - bijvoorbeeld een gebruiker die plotseling grote hoeveelheden data download, probeert toegang te krijgen tot applicaties die hij normaal niet gebruikt, of activiteiten uitvoert buiten normale werktijden - wordt dit gemarkeerd als risico en kan Conditional Access hierop reageren. Defender for Cloud Apps kan ook shadow IT detecteren: applicaties die gebruikers gebruiken zonder dat IT hiervan op de hoogte is, wat een risico kan vormen omdat deze applicaties niet onder controle staan van de organisatie.
Voor hybride omgevingen waar on-premises Active Directory wordt gebruikt, biedt Microsoft Defender for Identity (voorheen Azure ATP) aanvullende signalen. Defender for Identity monitort on-premises Active Directory voor verdachte activiteiten zoals lateral movement (waarbij een aanvaller zich verplaatst tussen systemen), privilege escalation (waarbij een aanvaller meer rechten probeert te krijgen), en unusual authentications (waarbij afwijkende inlogpatronen worden gedetecteerd). Deze signalen kunnen worden geïntegreerd met Conditional Access, waardoor cloudtoegang kan worden geblokkeerd wanneer er verdachte activiteiten worden gedetecteerd in de on-premises omgeving. Dit is vooral relevant voor organisaties die hybride identiteiten gebruiken waarbij gebruikers zowel on-premises als in de cloud actief zijn.
Naast deze detectiecomponenten biedt Microsoft ook advanced session controls die deel uitmaken van Adaptive Access. Session controls maken het mogelijk om niet alleen te controleren wie toegang krijgt, maar ook wat gebruikers kunnen doen tijdens hun sessie. Bijvoorbeeld: een gebruiker die inlogt vanaf een niet-beheerd apparaat kan toegang krijgen tot applicaties, maar sessiecontroles kunnen beperken dat data wordt gedownload, geprint of gedeeld met externe partijen. Continuous Access Evaluation (CAE) zorgt ervoor dat toegangsbeslissingen niet alleen worden genomen bij de initiële sign-in, maar continu worden herzien tijdens de sessie. Als tijdens een actieve sessie nieuwe risicosignalen worden gedetecteerd (bijvoorbeeld dat het account is gecompromitteerd of dat er verdacht gedrag is), kan de sessie automatisch worden beëindigd of kunnen beperkingen worden toegepast zonder dat de gebruiker opnieuw hoeft in te loggen.
Implementatiestrategie voor Adaptive Access
De implementatie van Adaptive Access begint met het activeren en configureren van de benodigde Microsoft-services. Start met Entra ID Protection door gebruikersrisico- en sign-in risicobeleid in te schakelen. Configureer eerst de risk detection policies om te bepalen wanneer gebruikers- en sign-in risico's worden gedetecteerd: stel de drempelwaarden in (bijvoorbeeld Medium en High risk levels), definieer welke gebruikers in scope zijn (doorgaans alle gebruikers behalve break-glass accounts), en bepaal wat er moet gebeuren bij detectie (bijvoorbeeld MFA vereisen bij Medium sign-in risk, en password change forceren bij High user risk). Het is verstandig om deze policies eerst in report-only mode te activeren, zodat u kunt zien welke risico's worden gedetecteerd zonder direct impact te hebben op gebruikers. Analyseer de resultaten gedurende enkele weken om te begrijpen wat normaal gedrag is voor uw organisatie en welke risico's frequent voorkomen, voordat u de policies daadwerkelijk afdwingt.
Vervolgens integreert u deze risicosignalen in Conditional Access policies. Maak Conditional Access policies die specifiek reageren op gebruikers- en sign-in risico: bijvoorbeeld een policy die alle gebruikers target, alle cloudapps, en als voorwaarde heeft dat sign-in risk gelijk is aan Medium of High. Als toegangsbeslissing stelt u in dat Multi-Factor Authentication vereist is, waardoor gebruikers met verdachte sign-ins extra verificatie moeten doorlopen voordat toegang wordt verleend. Voor High user risk kunt u een policy maken die toegang volledig blokkeert of een secure password change vereist. Deze policies werken samen met uw bestaande basis-Conditional-Access policies: de risicogebaseerde policies voegen een extra laag toe bovenop de basisbeveiliging, waardoor gebruikers in veilige scenario's soepel toegang krijgen, terwijl verdachte activiteit automatisch wordt aangepakt.
Gebruik PowerShell-script index.ps1 (functie Invoke-Monitoring) – Controleert of Adaptive Access componenten zijn ingeschakeld en geconfigureerd, inclusief Entra ID Protection policies en Conditional Access policies die gebruikmaken van risicosignalen..
Voor gedragsanalyses configureert u Defender for Cloud Apps door een tenant te verbinden en de Microsoft 365-apps te activeren voor monitoring. Defender for Cloud Apps begint automatisch met het leren van normaal gebruik, maar u kunt dit proces versnellen door baseline-periodes te definiëren: laat het systeem bijvoorbeeld 30 dagen leren wat normaal gedrag is voordat u alert policies activeert. Configureer anomaly detection policies die afwijkend gedrag detecteren, zoals ongebruikelijke downloads, ongebruikelijke locaties, ongebruikelijke IP-adressen, en ongebruikelijke admin-activiteiten. Deze policies kunnen worden gekoppeld aan Conditional Access via app conditional access policies, waardoor toegang tot specifieke cloudapps automatisch kan worden beperkt wanneer verdacht gedrag wordt gedetecteerd.
Een belangrijk onderdeel van de implementatie is het communiceren met gebruikers over wat zij kunnen verwachten. Adaptive Access betekent dat gebruikers soms extra verificatiestappen moeten doorlopen, zelfs wanneer zij op een vertrouwde locatie werken, bijvoorbeeld omdat het systeem andere risicofactoren heeft gedetecteerd. Leg uit dat dit normaal is en dat het betekent dat het systeem actief bescherming biedt. Zorg dat gebruikers weten hoe zij MFA kunnen voltooien en wat zij moeten doen als zij onterecht worden geblokkeerd (bijvoorbeeld contact opnemen met de servicedesk). Voor beheerders is het belangrijk om regelmatig de risicorapporten te monitoren om te begrijpen welke risico's worden gedetecteerd en of deze legitiem zijn of false positives. Dit helpt bij het fine-tunen van de configuratie en het verbeteren van de gebruikerservaring.
Ontwerp van Risicoscores en Toegangsbeslissingen
Het ontwerpen van effectieve risicoscores en toegangsbeslissingen is cruciaal voor de succesvolle implementatie van Adaptive Access. Het doel is om een balans te vinden tussen beveiliging en gebruiksvriendelijkheid: te strenge regels leiden tot frustratie en mogelijk workarounds, terwijl te soepele regels de beveiliging ondermijnen. Begin met het definiëren van verschillende risiconiveaus en wat deze betekenen voor toegangsbeslissingen. Laag risico betekent dat alle contextuele factoren wijzen op legitieme toegang: bekende gebruiker, bekende locatie, bekend apparaat, normale tijdstip, normale applicatie, geen dreigingsindicatoren. Bij laag risico wordt toegang verleend zonder extra verificatie, wat gebruiksvriendelijk is voor dagelijks werk. Medium risico betekent dat er één of meerdere factoren afwijken van de norm, maar niet voldoende om direct te blokkeren: bijvoorbeeld inloggen vanuit een nieuwe maar niet verdachte locatie, of toegang tot een applicatie die de gebruiker normaal niet gebruikt. Bij medium risico wordt extra MFA gevraagd, of wordt toegang beperkt tot minder gevoelige resources totdat de identiteit verder kan worden geverifieerd. Hoog risico betekent dat meerdere factoren wijzen op mogelijke compromittering: bijvoorbeeld impossible travel gecombineerd met bulk-downloads, of sign-in vanuit bekend kwaadaardig IP-adres gecombineerd met pogingen tot privilege escalation. Bij hoog risico wordt toegang geblokkeerd en worden beheerders direct gealarmeerd.
Microsoft's Entra ID Protection gebruikt geavanceerde machine learning modellen om risicoscores te berekenen, maar u kunt deze aanpassen aan de behoeften van uw organisatie. Configureer de risk detection sensitivity: stel in of u conservatief (alleen hoog-risico-scenario's), gebalanceerd (medium en hoog), of agressief (ook lage risico's) wilt detecteren. Conservatief betekent minder false positives maar mogelijk gemiste dreigingen, terwijl agressief meer false positives kan geven maar meer dreigingen detecteert. Voor overheidsorganisaties met gevoelige data is een gebalanceerde of zelfs agressieve setting vaak wenselijk. Daarnaast kunt u custom policies maken die specifiek reageren op combinaties van factoren die relevant zijn voor uw organisatie: bijvoorbeeld een policy die extra verificatie vereist wanneer gebruikers toegang proberen te krijgen tot applicaties met zeer gevoelige data (geïdentificeerd via sensitivity labels) vanaf niet-beheerde apparaten, zelfs wanneer er geen andere risicosignalen zijn.
Een belangrijk aspect van risicoscores is dat deze tijdgevoelig zijn: een gebruiker die voor het eerst vanuit huis werkt kan aanvankelijk als medium risico worden gezien, maar na enkele succesvolle authenticaties wordt dit gedrag geleerd als normaal en wordt het risico verlaagd naar laag. Dit learning-aspect is cruciaal voor gebruiksvriendelijkheid: gebruikers hoeven niet continu extra verificatie te doorlopen voor gedrag dat legitiem is maar nieuw. Echter, wanneer gedrag plotseling weer verandert (bijvoorbeeld terug naar kantoor werken na maanden thuiswerken), kan het risico tijdelijk weer stijgen totdat het nieuwe patroon is geleerd. Dit is normaal en gebruikers moeten hierover worden geïnformeerd.
Voor compliance en auditability is het belangrijk om alle risicoscores en toegangsbeslissingen te loggen. Microsoft logt automatisch alle risicodetecties en Conditional Access evaluaties in Azure AD sign-in logs en Entra ID Protection risk reports. Zorg dat deze logs worden bewaard voor de vereiste bewaartermijn (doorgaans minimaal 7 jaar voor overheidsorganisaties volgens de Archiefwet) en dat ze toegankelijk zijn voor auditors. Gebruik Azure Sentinel of een SIEM-systeem om deze logs te verzamelen en te analyseren, zodat u trends kunt herkennen en kunt aantonen dat Adaptive Access daadwerkelijk werkt en dreigingen detecteert.
Governance, Monitoring en Continue Verbetering
Gebruik PowerShell-script index.ps1 (functie Invoke-Remediation) – Genereert rapportages over Adaptive Access configuratie en biedt aanbevelingen voor het optimaliseren van risicoscores en toegangsbeslissingen..
Adaptive Access vereist continue monitoring en governance om ervoor te zorgen dat het systeem effectief werkt en gebruiksvriendelijk blijft. Stel een governance-proces in waarbij regelmatig (bijvoorbeeld maandelijks) de risicorapporten worden geanalyseerd. Kijk naar de frequentie van risicodetecties: komen er veel false positives voor (bijvoorbeeld gebruikers die onterecht worden geblokkeerd), of worden er juist weinig risico's gedetecteerd wat kan wijzen op te conservatieve instellingen? Analyseer welke typen risico's het meest voorkomen: zijn dit sign-in risico's (verdachte inlogpogingen), gebruikersrisico's (gecompromitteerde accounts), of gedragsrisico's (afwijkend gebruik)? Gebruik deze inzichten om de configuratie bij te stellen: als bepaalde scenario's veel false positives geven, pas dan de sensitivity aan of voeg uitzonderingen toe voor specifieke legitieme use cases.
Daarnaast is het belangrijk om de gebruikerservaring te monitoren. Verzamel feedback van gebruikers over hoe vaak zij extra verificatie moeten doorlopen en of dit als hinderlijk wordt ervaren. Analyseer servicedesk-tickets: komen er veel meldingen van gebruikers die onterecht worden geblokkeerd? Dit kan wijzen op configuratieproblemen of op behoefte aan gebruikerseducatie. Zorg dat er een duidelijk proces is voor het behandelen van false positives: gebruikers moeten snel weer toegang kunnen krijgen wanneer zij onterecht zijn geblokkeerd, zonder dat dit ten koste gaat van de beveiliging.
Voor compliance is het belangrijk om regelmatig te rapporteren over de effectiviteit van Adaptive Access. Documenteer hoeveel risico's zijn gedetecteerd, hoeveel daarvan waren false positives versus echte dreigingen, en welke acties zijn ondernomen. Koppel Adaptive Access expliciet aan compliance-vereisten: bijvoorbeeld, NIS2 vereist threat detection en response capabilities, wat Adaptive Access biedt door automatisch dreigingen te detecteren en te reageren. BIO vereist risicogestuurde beveiliging, wat Adaptive Access implementeert door beveiligingseisen dynamisch aan te passen aan het risico. Documenteer hoe Adaptive Access bijdraagt aan het voldoen aan deze vereisten, zodat auditors kunnen begrijpen hoe de organisatie voldoet aan de compliance-eisen.
Compliance & Frameworks
- BIO: 12.01, 16.01, 16.02 - Risicogestuurde toegangsbeveiliging en detectie van ongeautoriseerde toegangspogingen met automatische response.
- ISO 27001:2022: A.8.2, A.8.16, A.12.4 - Toegangsbeveiliging, security event monitoring en controle van toegang tot informatiesystemen op basis van risico's.
- NIS2: Artikel - Threat detection, incident response en risicogestuurde beveiligingsmaatregelen voor essentiële en belangrijke entiteiten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Adaptive Access Control - Monitoring en Configuratiecontrole
.DESCRIPTION
Controleert of Adaptive Access Control componenten zijn ingeschakeld en geconfigureerd in Microsoft 365:
- Entra ID Protection policies (sign-in risk en user risk)
- Conditional Access policies die gebruikmaken van risicosignalen
- Defender for Cloud Apps configuratie voor gedragsanalyses
- Monitoring en rapportage van risicodetecties
Het script biedt inzicht in de huidige Adaptive Access configuratie en identificeert verbeterpunten.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-01-15
Last Modified: 2025-01-15
Version: 1.0
Related JSON: content/m365/adaptive-access/index.json
Vereist: Microsoft.Graph PowerShell module (Identity.SignIns, Policy.Read.All scopes)
.EXAMPLE
.\index.ps1 -Monitoring
Controleert de Adaptive Access configuratie en rapporteert de status.
.EXAMPLE
.\index.ps1 -Remediation
Genereert aanbevelingen voor het optimaliseren van Adaptive Access configuratie.
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()]
[switch]$WhatIf,
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Connect-RequiredServices {
<#
.SYNOPSIS
Verbindt met benodigde Microsoft services voor Adaptive Access monitoring
#>
[CmdletBinding()]
param()
Write-Verbose "Controleren van Microsoft Graph verbinding..."
try {
$context = Get-MgContext -ErrorAction SilentlyContinue
if (-not $context) {
Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow
Connect-MgGraph -Scopes "Policy.Read.All", "IdentityRiskEvent.Read.All", "User.Read.All" -ErrorAction Stop -NoWelcome
Write-Host "Verbonden met Microsoft Graph" -ForegroundColor Green
} else {
$requiredScopes = @("Policy.Read.All", "IdentityRiskEvent.Read.All", "User.Read.All")
$hasAllScopes = $true
foreach ($scope in $requiredScopes) {
if ($context.Scopes -notcontains $scope) {
$hasAllScopes = $false
break
}
}
if (-not $hasAllScopes) {
Write-Host "Huidige verbinding heeft niet alle benodigde scopes. Opnieuw verbinden..." -ForegroundColor Yellow
Disconnect-MgGraph | Out-Null
Connect-MgGraph -Scopes "Policy.Read.All", "IdentityRiskEvent.Read.All", "User.Read.All" -ErrorAction Stop -NoWelcome
Write-Host "Opnieuw verbonden met benodigde scopes" -ForegroundColor Green
} else {
Write-Verbose "Reeds verbonden met Microsoft Graph met benodigde scopes"
}
}
}
catch {
Write-Error "Kon niet verbinden met Microsoft Graph: $_"
throw
}
}
function Test-EntraIDProtectionConfiguration {
<#
.SYNOPSIS
Controleert of Entra ID Protection policies zijn geconfigureerd
.OUTPUTS
PSCustomObject met configuratiestatus
#>
[CmdletBinding()]
param()
Write-Verbose "Controleren van Entra ID Protection configuratie..."
try {
# Haal Identity Protection policies op
$riskPolicies = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/identity/conditionalAccess/policies" -ErrorAction Stop
$allPolicies = $riskPolicies.value
# Controleer op sign-in risk policies via Conditional Access
$signInRiskPolicies = $allPolicies | Where-Object {
$_.conditions.signInRiskLevels -and
$_.state -eq 'enabled' -and
$_.conditions.signInRiskLevels.Count -gt 0
}
# Controleer op user risk policies
$userRiskPolicies = $allPolicies | Where-Object {
$_.conditions.userRiskLevels -and
$_.state -eq 'enabled' -and
$_.conditions.userRiskLevels.Count -gt 0
}
# Haal Identity Protection risk detection policy op (beta API)
$idProtectionPolicy = $null
try {
$idProtectionPolicy = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/identityProtection/riskDetection" -ErrorAction SilentlyContinue
} catch {
Write-Verbose "Identity Protection risk detection API niet beschikbaar of geen toegang"
}
$hasSignInRisk = ($signInRiskPolicies.Count -gt 0)
$hasUserRisk = ($userRiskPolicies.Count -gt 0)
Write-Host " Entra ID Protection Status:" -ForegroundColor Cyan
if ($hasSignInRisk) {
Write-Host " [OK] Sign-in risk policies gevonden: $($signInRiskPolicies.Count)" -ForegroundColor Green
foreach ($policy in $signInRiskPolicies) {
Write-Host " - $($policy.displayName)" -ForegroundColor Gray
}
} else {
Write-Host " [WARN] Geen Conditional Access policies gevonden die sign-in risk gebruiken" -ForegroundColor Yellow
}
if ($hasUserRisk) {
Write-Host " [OK] User risk policies gevonden: $($userRiskPolicies.Count)" -ForegroundColor Green
foreach ($policy in $userRiskPolicies) {
Write-Host " - $($policy.displayName)" -ForegroundColor Gray
}
} else {
Write-Host " [WARN] Geen Conditional Access policies gevonden die user risk gebruiken" -ForegroundColor Yellow
}
return @{
HasSignInRiskPolicies = $hasSignInRisk
HasUserRiskPolicies = $hasUserRisk
SignInRiskPolicies = $signInRiskPolicies
UserRiskPolicies = $userRiskPolicies
IsConfigured = ($hasSignInRisk -or $hasUserRisk)
}
}
catch {
Write-Host " [ERROR] Fout bij ophalen Entra ID Protection configuratie: $_" -ForegroundColor Red
return @{
HasSignInRiskPolicies = $false
HasUserRiskPolicies = $false
SignInRiskPolicies = @()
UserRiskPolicies = @()
IsConfigured = $false
Error = $_.Exception.Message
}
}
}
function Test-RiskBasedConditionalAccess {
<#
.SYNOPSIS
Controleert of Conditional Access policies risicosignalen gebruiken
#>
[CmdletBinding()]
param()
Write-Verbose "Controleren van risicogebaseerde Conditional Access policies..."
try {
$policies = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies" -ErrorAction Stop
$enabledPolicies = $policies.value | Where-Object { $_.state -eq 'enabled' }
$riskBasedPolicies = @()
foreach ($policy in $enabledPolicies) {
$usesRisk = $false
$riskTypes = @()
if ($policy.conditions.signInRiskLevels -and $policy.conditions.signInRiskLevels.Count -gt 0) {
$usesRisk = $true
$riskTypes += "SignInRisk"
}
if ($policy.conditions.userRiskLevels -and $policy.conditions.userRiskLevels.Count -gt 0) {
$usesRisk = $true
$riskTypes += "UserRisk"
}
if ($usesRisk) {
$riskBasedPolicies += [PSCustomObject]@{
DisplayName = $policy.displayName
RiskTypes = $riskTypes
GrantControls = $policy.grantControls
}
}
}
Write-Host " Risicogebaseerde Conditional Access:" -ForegroundColor Cyan
if ($riskBasedPolicies.Count -gt 0) {
Write-Host " [OK] $($riskBasedPolicies.Count) risicogebaseerde policies gevonden" -ForegroundColor Green
foreach ($policy in $riskBasedPolicies) {
$riskStr = $policy.RiskTypes -join ", "
Write-Host " - $($policy.DisplayName) ($riskStr)" -ForegroundColor Gray
}
} else {
Write-Host " [WARN] Geen risicogebaseerde Conditional Access policies gevonden" -ForegroundColor Yellow
}
return @{
RiskBasedPolicyCount = $riskBasedPolicies.Count
RiskBasedPolicies = $riskBasedPolicies
}
}
catch {
Write-Host " [ERROR] Fout bij controleren Conditional Access policies: $_" -ForegroundColor Red
return @{
RiskBasedPolicyCount = 0
RiskBasedPolicies = @()
Error = $_.Exception.Message
}
}
}
function Get-RiskDetectionSummary {
<#
.SYNOPSIS
Haalt een samenvatting op van recente risicodetecties
#>
[CmdletBinding()]
param(
[int]$Days = 7
)
Write-Verbose "Ophalen van risicodetecties over de afgelopen $Days dagen..."
try {
$cutoffDate = (Get-Date).AddDays(-$Days).ToString("yyyy-MM-ddTHH:mm:ssZ")
$uri = "https://graph.microsoft.com/beta/identityProtection/riskDetections?`$filter=detectedDateTime ge $cutoffDate&`$top=100"
$riskDetections = Invoke-MgGraphRequest -Method GET -Uri $uri -ErrorAction Stop
if ($riskDetections.value) {
$totalRisks = $riskDetections.value.Count
$byRiskLevel = $riskDetections.value | Group-Object -Property riskLevel
$byRiskType = $riskDetections.value | Group-Object -Property riskType
Write-Host " Recente risicodetecties (laatste $Days dagen):" -ForegroundColor Cyan
Write-Host " Totaal gedetecteerd: $totalRisks" -ForegroundColor Cyan
Write-Host " Per risiconiveau:" -ForegroundColor Cyan
foreach ($level in $byRiskLevel) {
Write-Host " - $($level.Name): $($level.Count)" -ForegroundColor Gray
}
Write-Host " Per risicotype (top 5):" -ForegroundColor Cyan
$topRisks = $byRiskType | Sort-Object Count -Descending | Select-Object -First 5
foreach ($risk in $topRisks) {
Write-Host " - $($risk.Name): $($risk.Count)" -ForegroundColor Gray
}
return @{
TotalDetections = $totalRisks
ByRiskLevel = $byRiskLevel
ByRiskType = $byRiskType
}
} else {
Write-Host " Geen risicodetecties gevonden in de afgelopen $Days dagen" -ForegroundColor Gray
return @{
TotalDetections = 0
ByRiskLevel = @()
ByRiskType = @()
}
}
}
catch {
Write-Verbose "Kon risicodetecties niet ophalen: $_"
Write-Host " [INFO] Risicodetecties kunnen niet worden opgehaald (mogelijk geen Premium P2 licentie of onvoldoende rechten)" -ForegroundColor Yellow
return @{
TotalDetections = 0
ByRiskLevel = @()
ByRiskType = @()
Error = $_.Exception.Message
}
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Monitort de Adaptive Access configuratie en status
#>
[CmdletBinding()]
param()
Write-Host "`nMonitoring: Adaptive Access Control Configuratie" -ForegroundColor Yellow
Write-Host "=================================================" -ForegroundColor Yellow
Write-Host ""
$entraIDStatus = Test-EntraIDProtectionConfiguration
Write-Host ""
$caRiskStatus = Test-RiskBasedConditionalAccess
Write-Host ""
$riskSummary = Get-RiskDetectionSummary -Days 7
Write-Host ""
# Overall beoordeling
$isCompliant = $entraIDStatus.IsConfigured -and ($caRiskStatus.RiskBasedPolicyCount -gt 0)
Write-Host "Samenvatting:" -ForegroundColor Cyan
Write-Host " Entra ID Protection geconfigureerd: $(if ($entraIDStatus.IsConfigured) { '[OK]' } else { '[WARN]' })" -ForegroundColor $(if ($entraIDStatus.IsConfigured) { "Green" } else { "Yellow" })
Write-Host " Risicogebaseerde CA policies: $($caRiskStatus.RiskBasedPolicyCount)" -ForegroundColor $(if ($caRiskStatus.RiskBasedPolicyCount -gt 0) { "Green" } else { "Yellow" })
if ($isCompliant) {
Write-Host "`n[OK] COMPLIANT - Adaptive Access componenten zijn geconfigureerd" -ForegroundColor Green
Write-Host " Adaptive Access is actief en kan reageren op risicosignalen" -ForegroundColor Green
exit 0
} else {
Write-Host "`n[WARN] PARTIEEL CONFIGURED - Adaptive Access is niet volledig geconfigureerd" -ForegroundColor Yellow
Write-Host " Gebruik -Remediation voor aanbevelingen om de configuratie te verbeteren" -ForegroundColor Yellow
exit 1
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Genereert aanbevelingen voor Adaptive Access configuratie
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie: Adaptive Access Configuratie Aanbevelingen" -ForegroundColor Yellow
Write-Host "=======================================================" -ForegroundColor Yellow
Write-Host ""
$entraIDStatus = Test-EntraIDProtectionConfiguration
$caRiskStatus = Test-RiskBasedConditionalAccess
Write-Host "Aanbevelingen:" -ForegroundColor Cyan
Write-Host ""
if (-not $entraIDStatus.HasSignInRiskPolicies) {
Write-Host " 1. Configureer Conditional Access policy voor sign-in risk:" -ForegroundColor Yellow
Write-Host " - Maak een policy die alle gebruikers target (uitgezonderd break-glass accounts)" -ForegroundColor Gray
Write-Host " - Voeg als conditie toe: Sign-in risk = Medium of High" -ForegroundColor Gray
Write-Host " - Stel in: Grant access, maar require MFA" -ForegroundColor Gray
Write-Host " - Activeer de policy eerst in report-only mode om impact te testen" -ForegroundColor Gray
Write-Host ""
}
if (-not $entraIDStatus.HasUserRiskPolicies) {
Write-Host " 2. Configureer Conditional Access policy voor user risk:" -ForegroundColor Yellow
Write-Host " - Maak een policy die alle gebruikers target" -ForegroundColor Gray
Write-Host " - Voeg als conditie toe: User risk = High" -ForegroundColor Gray
Write-Host " - Stel in: Block access of require password change" -ForegroundColor Gray
Write-Host " - Combineer met Identity Protection user risk policy" -ForegroundColor Gray
Write-Host ""
}
if ($caRiskStatus.RiskBasedPolicyCount -eq 0) {
Write-Host " 3. Activeer Entra ID Protection:" -ForegroundColor Yellow
Write-Host " - Ga naar Azure Portal > Entra ID > Identity Protection" -ForegroundColor Gray
Write-Host " - Configureer User risk policy (aanbevolen: Medium en High)" -ForegroundColor Gray
Write-Host " - Configureer Sign-in risk policy (aanbevolen: Medium en High)" -ForegroundColor Gray
Write-Host " - Zorg dat Azure AD Premium P2 licenties zijn toegewezen" -ForegroundColor Gray
Write-Host ""
}
Write-Host " 4. Configureer Defender for Cloud Apps voor gedragsanalyses:" -ForegroundColor Yellow
Write-Host " - Verbind Microsoft 365 apps voor monitoring" -ForegroundColor Gray
Write-Host " - Activeer anomaly detection policies" -ForegroundColor Gray
Write-Host " - Configureer app conditional access policies voor verdacht gedrag" -ForegroundColor Gray
Write-Host ""
Write-Host " 5. Monitor en fine-tune:" -ForegroundColor Yellow
Write-Host " - Review wekelijks de risicorapporten" -ForegroundColor Gray
Write-Host " - Analyseer false positives en pas sensitivity aan indien nodig" -ForegroundColor Gray
Write-Host " - Communiceer met gebruikers over extra verificatiestappen" -ForegroundColor Gray
Write-Host ""
Write-Host "[INFO] Gebruik -Monitoring om de configuratie opnieuw te controleren na wijzigingen" -ForegroundColor Cyan
exit 0
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Adaptive Access Control Monitoring" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
# Connect to services
Connect-RequiredServices
# Execute based on parameters
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
# Default: Show help
Write-Host "Gebruik een van de volgende opties:" -ForegroundColor Yellow
Write-Host " -Monitoring Controleer Adaptive Access configuratie" -ForegroundColor Cyan
Write-Host " -Remediation Toon aanbevelingen voor configuratie" -ForegroundColor Cyan
Write-Host ""
Write-Host "Dit script controleert of Adaptive Access Control componenten" -ForegroundColor Gray
Write-Host "(Entra ID Protection, risicogebaseerde Conditional Access) zijn" -ForegroundColor Gray
Write-Host "geconfigureerd en actief." -ForegroundColor Gray
}
}
catch {
Write-Error "Fout in Adaptive Access monitoring script: $_"
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Hoog: Zonder Adaptive Access Control blijft de organisatie afhankelijk van statische toegangsregels die niet adequaat reageren op veranderende dreigingen, context en gebruiksgedrag. Dit verhoogt het risico dat aanvallers beveiligingsmaatregelen omzeilen terwijl legitieme gebruikers onnodig worden gehinderd. Bovendien wordt het moeilijker om te voldoen aan compliance-vereisten voor risicogestuurde beveiliging zoals gesteld in BIO en NIS2.
Management Samenvatting
Implementeer Adaptive Access Control door Conditional Access te combineren met Entra ID Protection, Defender for Cloud Apps en gedragsanalyses. Configureer risicogebaseerde toegangsbeslissingen die automatisch reageren op veranderende context en dreigingen, borg monitoring en governance, en documenteer de bijdrage aan compliance-vereisten.
- Implementatietijd: 40 uur
- FTE required: 0.2 FTE