Conditional Access Best Practices: 10 Must-Have Policies voor 2024

Conditional Access is het handhavingspunt van Zero Trust binnen Microsoft Entra ID. Juist ingestelde policies bepalen of een medewerker, leverancier of procesaccount toegang krijgt, onder welke voorwaarden en hoe lang. Voor Nederlandse overheidsorganisaties is dit geen nice-to-have maar een verplicht onderdeel van BIO- en NIS2-compliance: identiteiten moeten aantoonbaar risicogestuurd worden beoordeeld, beheerders mogen alleen vanaf beheerste werkplekken werken en break-glass-accounts moeten streng gemonitord worden. Dit artikel beschrijft tien kernpolicies die wij standaard opnemen in Conditional-Access-baselines voor ministeries, gemeenten en uitvoeringsorganisaties.

Policy 1: MFA voor alle accounts

Doel: Zorg dat elke interactieve identiteit minimaal MFA gebruikt.

Configuratiekern:

• Gebruikers: All users, exclusief max. twee break-glass-accounts
• Cloud apps: All cloud apps
• Grant: Require multi-factor authentication en Require password change on high risk (optioneel)

Beheerpunten:

• Documenteer in je CAB-notulen welke accounts zijn uitgesloten en waarom
• Controleer via Entra ID workbooks of elke licentie een MFA-methode heeft geregistreerd
• Vervang per direct sms door push of FIDO2 zodat phishing-resistentie toeneemt

Policy 2: Beheerders extra streng behandelen

Doel: Minimaliseer het risico op compromittering van hooggeprivilegieerde accounts.

Configuratiekern:

• Gebruikers: Directory roles (Global, Security, Exchange, SharePoint, Cloud App, Privileged Auth Admin, enz.)
• Cloud apps: Microsoft Azure Management, Office 365, Microsoft Graph
• Conditions: Require Hybrid Azure AD joined device + mark Windows as vereist platform
• Grant: Require multi-factor authentication + Require device to be marked as compliant

Beheerpunten:

• Combineer deze policy met PIM zodat admins slechts tijdelijk rechten hebben
• Verbied admin-rollen op primaire gebruikersaccounts; maak aparte admin-identiteiten
• Log alle policy hits en koppel ze aan je privileged access review-proces

Policy 3: Blokkeer legacy authenticatie

Doel: Elimineer protocollen die geen moderne beveiliging ondersteunen.

Configuratiekern:

• Gebruikers: All users (geen uitzonderingen)
• Cloud apps: All cloud apps
• Conditions: Client apps = Other clients + Exchange ActiveSync
• Grant: Block access

Beheerpunten:

• Gebruik sign-in logs om te zien welke serviceaccounts nog SMTP AUTH gebruiken
• Schrijf een uitfaseringsplan voor oude scanners of applicaties met basic auth
• Monitor of er mislukte pogingen uit verdachte IP-ranges binnenkomen: vaak brute-force

Policy 4: Alleen beheerste apparaten

Doel: Koppel toegang aan Intune-compliance of hybride join.

Configuratiekern:

• Gebruikers: All users, met uitzonderingsgroep voor tijdelijke BYOD-cases
• Cloud apps: Office 365, Azure Virtual Desktop, bedrijfskritische SaaS-apps
• Grant: Require device to be marked as compliant OR Require Hybrid Azure AD joined device

Beheerpunten:

• Gebruik filters op device state om shadow IT snel te zien
• Zorg dat compliance policies patchniveau, BitLocker en Endpoint Protection afdwingen
• Communiceer tijdig naar medewerkers wanneer niet-beheerde apparaten worden geweigerd

Policy 5: App- en sessiebeperkingen

Doel: Beperk datagebruik vanaf onbeheerde browsers.

Configuratiekern:

• Gebruikers: All users (optioneel uitzonderingen voor geautoriseerde contractors)
• Cloud apps: Office 365, SharePoint Online, Exchange Online
• Session control: Use Conditional Access App Control (monitor download, copy/paste) of Use strict sign-in frequency (bijv. 4 uur)

Beheerpunten:

• Activeer Continuous Access Evaluation zodat sessies direct worden afgebroken na risico's
• Leg uit aan de ondernemingsraad waarom kopieren/downloaden vanaf onbeheerde devices wordt beperkt
• Test met business units hoe de ervaring is in Microsoft Edge en gevirtualiseerde apps

Policy 6: Aanmeldrisico direct mitigeren

Doel: Gebruik Entra ID Identity Protection om verdachte logins te blokkeren.

Configuratiekern:

• Gebruikers: All users
• Conditions: Sign-in risk = medium and high
• Grant: Require password change (medium) of Block access (high)

Beheerpunten:

• Zorg dat SOC of CERT meldingen krijgt via Sentinel wanneer deze policy afgaat
• Documenteer uitzonderingen voor serviceaccounts die geen risico-inschatting hebben
• Combineer met Risky Users policies zodat accounts automatisch worden geblokkeerd tot onderzoek klaar is

Policy 7: Landen en netwerken beperken

Doel: Sta alleen verkeer toe vanuit goedgekeurde landen en netwerken.

Configuratiekern:

• Gebruikers: All users of specifieke rollen
• Conditions: Locations = Any location, Exclude: Named locations (NL, EU datacenters, VPN-exits)
• Grant: Block access voor alle andere locaties

Beheerpunten:

• Gebruik GPS- of IP-listen om Nederlandse vestigingen en Rijksclouds te markeren als trusted
• Stel een aparte policy in voor reizigers (tijdelijk) en koppel die aan een CAB-goedgekeurde groep
• Combineer met geofencing voor gastgebruikers zodat je supply chain geen onverwachte pijplijn vormt

Policy 8: Externe gebruikers onder voorwaarden

Doel: Borg dat B2B-gasten alleen toegang krijgen na MFA en instemming met voorwaarden.

Configuratiekern:

• Gebruikers: Guest or external users (B2B)
• Cloud apps: Specifieke samenwerkingsapps (Teams, SharePoint, Power Platform)
• Grant: Require multi-factor authentication + Require terms of use + Optionally require compliant device

Beheerpunten:

• Gebruik Access Reviews voor gastgroepen en laat proceseigenaren trimestrieel bevestigen
• Log toestemmingen voor Terms of Use voor eventuele juridische discussies
• Laat automatische notificaties uitsturen als gasten 90 dagen niet zijn aangemeld

Policy 9: Serviceaccounts afschermen

Doel: Zorg dat app- of serviceaccounts nooit interactief kunnen inloggen.

Configuratiekern:

• Gebruikers: Specifieke serviceaccountgroep
• Cloud apps: All cloud apps (met uitzondering van de applicatie waarvoor zij bedoeld zijn)
• Grant: Block access; gebruik additionele policy die alleen toegang geeft vanaf trusted subnetten of specifieke workloadidentiteiten

Beheerpunten:

• Migreer waar mogelijk naar Managed Identities of workload identities zodat Conditional Access niet nodig is
• Monitor in Sign-in logs of iemand het serviceaccount toch interactief probeert te gebruiken
• Documenteer in het verwerkingsregister welke processen afhankelijk zijn van het account

Policy 10: Break-glass-accounts bewaken

Doel: Houd noodaccounts toegankelijk maar strikt gemonitord.

Configuratiekern:

• Gebruikers: Break-glass-accounts (max. twee)
• Cloud apps: All cloud apps
• Grant: Geen CA-eisen (anders blokkeren we de noodfunctie), maar wel Named Location restrictie + Sign-in frequency = every sign-in en Session controls = Sign-in risk policy logging

Beheerpunten:

• Sluit deze accounts uit van alle andere policies maar configureer aparte alerting wanneer ze worden gebruikt
• Bewaar de wachtwoorden in een fysieke kluis en roteer ze minimaal elk kwartaal
• Laat de auditcommissie jaarlijks controleren of gebruiksregistraties aanwezig en geautoriseerd zijn

Conditional Access is geen verzameling losse policies maar een samenhangend raamwerk. Begin met universele MFA en legacy-blokkades, voeg daarna beheerders-, device- en sessiecontroles toe, en rond af met risicogestuurde policies voor gasten, serviceaccounts en break-glass-scenario's. Leg elke uitzondering vast, herzie policies minimaal elk kwartaal en koppel je Conditional Access-rapportages aan SOC- en auditprocessen. Zo toon je aan dat identiteiten aantoonbaar onder Zero Trust-voorwaarden werken en voldoe je aan de eisen van BIO, AVG en NIS2.