Nederlandse overheidsorganisaties bewaakten jarenlang hun digitale kroonjuwelen met een stevige firewall, een vertrouwd kantoornetwerk en een beperkt aantal bedrijfslaptops. Die wereld bestaat niet meer. Medewerkers vergaderen via Teams vanaf de trein, beleidsmakers keuren dossiers goed op een tablet thuis en inspecteurs voeren controles uit op SaaS-platforms vanaf buitenlandse hotels. Tegelijkertijd detecteren securityteams wekelijks phishingcampagnes die identiteitsgegevens proberen buit te maken, terwijl auditors eisen dat alle toegang tot privacygevoelige informatie aantoonbaar onder BIO-normen valt. In deze realiteit is de vraag niet langer of iemand binnen of buiten het netwerk staat, maar of een specifiek toegangsmoment acceptabel is gegeven alle beschikbare signalen. Conditional Access vormt de identiteitscentrische beveiligingslaag waarmee Zero Trust-principes tot leven komen: elk verzoek wordt expliciet gevalideerd, privileges worden dynamisch toegewezen en gedrag wordt continu gemonitord. Deze implementatiegids beschrijft hoe je dat model vertaalt naar concrete beleidskeuzes, hoe je technische afhankelijkheden zoals Intune-conformiteit, Microsoft Entra ID Identity Protection en Microsoft Defender for Cloud Apps samenbrengt, en hoe je de transitie uitvoert zonder de continuïteit van kritieke diensten zoals DigiD-ketens, Woo-portalen of Microsoft 365-werkplekken te verstoren.
Deze gids neemt je mee van strategische doelstellingen naar operationele uitvoering. Je leert hoe je identiteits-, locatie- en apparaatsignalen samenbrengt tot een coherent beleidsstelsel, hoe je regels formuleert die per informatieklasse en gebruikersrol verschillen, hoe je bewijslast opbouwt voor BIO 11.2, 12.2 en 13.1, en hoe je monitoring inricht zodat afwijkend gedrag direct wordt opgepakt. Elk hoofdstuk sluit aan op praktijkcases bij uitvoeringsorganisaties en bevat aanwijzingen voor documentatie, tests en beheerprocessen.
Voer elke beleidswijziging eerst minimaal twee weken uit in de modus Alleen rapporteren en automatiseer de analyse van de sign-in logs. Tijdens een implementatie bij een provincie ontdekten we pas in de tweede week dat een verouderde zaaksysteemconnector elke nacht met een serviceaccount zonder moderne authenticatie inlogde. Zonder rapportageperiode hadden we het proces stilgelegd en een crisisteam moeten optrommelen. Met rapportage konden we rustig een vervangend authenticatiemechanisme bouwen en de overgang plannen.
Conditional Access Fundamenten: Van Statisch naar Dynamisch Toegangsbeheer
Conditional Access vervangt de klassieke toegangsdeur door een intelligent kruispunt waar identiteits-, locatie- en apparaatsignalen samenkomen. Het traditionele model waarbij iemand na een geslaagde aanmelding onbegrensde toegang kreeg tot het netwerk is ongeschikt in een tijd waarin beleidsmedewerkers, inspecteurs, externe adviseurs en leveranciers voortdurend tussen cloudapplicaties wisselen. Voor een organisatie die werkt volgens de Nederlandse Baseline voor Veilige Cloud is het uitgangspunt dat ieder verzoek expliciet moet worden beoordeeld op context: wie ben je, met welk apparaat meld je je aan, welke gegevens probeer je te benaderen, waar bevind je je en welk gedrag liet je de afgelopen uren zien.
Door die vragen te beantwoorden ontstaat een risicoscore die verder gaat dan ja of nee. Een beleidsmedewerker die inlogt vanaf een beheerde Windows-laptop op het interne netwerk tijdens reguliere kantoortijden krijgt doorgaans directe toegang. Dezelfde medewerker die plotseling midden in de nacht via een onbekend Android-toestel verbinding maakt vanaf een buitenlandse locatie waar geen kantoor is, activeert aanvullende controles. Conditional Access gebruikt realtime analyses van Microsoft Entra ID Identity Protection, Microsoft Defender for Cloud Apps en Intune-conformiteitssignalen om dat onderscheid te maken en besluit vervolgens om toegang tijdelijk te blokkeren, een extra verificatie te vragen of alleen leesrechten toe te staan.
Die dynamiek is nodig omdat aanvallers steeds vaker over legitieme inloggegevens beschikken door phishing, token replay of credential stuffing. In de praktijk gedragen ze zich aanvankelijk als gewone gebruikers. Alleen door gedrag, context en device posture in de beoordeling mee te nemen kun je herkennen dat er iets niet klopt. Conditional Access koppelt daarom drie soorten signalen. Identiteitssignalen geven aan of het account recent een verhoogd risico had door verdachte inlogpogingen of gelekte wachtwoorden. Aanmeldingssignalen vertellen iets over de sessie zelf, zoals het IP-adres, het gebruikte protocol en afwijkende patronen zoals onmogelijke reisbewegingen. Apparaatsignalen geven inzicht in encryptiestatus, anti-malware, OS-versie en Intune-conformiteit.
Wanneer die signalen samenkomen, ontstaat een rijk beslissingsmodel dat je kunt afstemmen op informatiesoorten en gebruikersrollen. Toegang tot een Woo-publicatieomgeving of een Publieke Dienstverlening op Afstand-portaal vraagt andere controles dan toegang tot een SharePoint-site met staatsgeheime dossiers of een financieel systeem waarop accountants hun controles doen. Door de gevoeligheid te labelen in Microsoft Purview en die labels te consumeren in Conditional Access, kun je beleid automatisch laten mee schalen met de informatieclassificatie. Dat voorkomt menselijke fouten en maakt auditrapportages aantoonbaar: je laat zien dat een Top Secret-document nooit bereikbaar is vanaf een niet-conform apparaat, ongeacht wie er inlogt.
Een tweede bouwsteen is het bewust ontwerpen van toewijzingen. Veel organisaties beginnen met het uitsluiten van noodaccounts en serviceaccounts die nog geen moderne authenticatie ondersteunen. Vervolgens segmenteren ze gebruikers op basis van rol en risico. Beheerdersaccounts krijgen strengere eisen, zoals hardwaregebaseerde multi-factor authenticatie en toegang uitsluitend vanaf een privileged access-workstation (PAW). Externe leveranciers komen in een aparte groep waarvoor sessies worden gemonitord en tijdslimieten gelden. Door elke groep zijn eigen basisregels te geven, blijft het beleid uitlegbaar en voorkom je dat een wijziging onbedoeld duizenden mensen raakt.
De derde bouwsteen bestaat uit controles die verder gaan dan alleen blokkeren of toestaan. Extra verificatie is de bekendste, maar sessiecontroles zijn minstens zo krachtig. Met Continuous Access Evaluation kan je sessie worden ingetrokken zodra risicofactoren veranderen, bijvoorbeeld wanneer Defender for Endpoint een ransomware-uitbraak detecteert op het apparaat. Microsoft Defender for Cloud Apps kan downloads van gevoelige documenten blokkeren of watermerken afdwingen wanneer het risico toeneemt. Door deze diensten te koppelen creëer je een adaptief systeem dat steeds opnieuw verifieert of de situatie nog acceptabel is.
Conditional Access is daarmee de praktische invulling van Zero Trust. Het principe "verifieer expliciet" wordt afgedwongen doordat elk verzoek tegen actuele context wordt aangehouden. "Gebruik het minste privilege" wordt vertaald naar beleidsregels die per app, per label en per rol bepalen welke acties toegestaan zijn. "Ga uit van inbraak" komt tot uiting in automatische responses op detecties, zoals het forceren van wachtwoordherstel wanneer Identity Protection een hoge risicoscore toekent. Voor organisaties die audits van de Algemene Rekenkamer, de Rijksauditdienst of Europese toezichthouders moeten doorstaan, biedt het bovendien herleidbare logging: elke beslissing is terug te voeren op de gegevens die destijds beschikbaar waren.
De kracht van dit fundament zit uiteindelijk in de combinatie van technologie en governance. Zonder duidelijke eigenaars, classificaties en procesafspraken blijft Conditional Access een willekeurige set regels. Met volwassen eigenaarschap, afgestemde informatiebeveiligingsbeleid en een helder onderhoudsproces vormt het de ruggengraat van een moderne identiteitsarchitectuur waarin gebruikers veilig, snel en aantoonbaar compliant kunnen werken.
Beleidsontwerp Methodologie: Van Requirements naar Implementatie
Een solide Conditional Access-programma begint met een gestructureerde ontwerpmethodologie. Het startpunt is het verzamelen van eisen vanuit security, compliance, operatie en gebruikerservaring. In praktijk betekent dit dat de CISO duidelijke normen vastlegt op basis van BIO en NIS2, dat privacy officers aangeven hoe persoonsgegevens beschermd moeten worden, dat diensthoofden beschrijven welke processen nooit onderbroken mogen worden, en dat product owners inzicht geven in technische beperkingen van hun applicaties. Tijdens workshops worden deze perspectieven naast elkaar gelegd. Veiligheid is leidend, maar gebruikerservaring en bedrijfscontinuïteit bepalen hoe streng controles mogen zijn. Het resultaat moet een door directie goedgekeurd beleidsmanifest zijn waarin klip en klaar staat welke informatiesoorten welke bescherming nodig hebben en welke uitzonderingen vooraf geaccepteerd zijn.
Daarna volgt het modelleren van een architectuur die deze eisen vertaalt naar beheersbare beleidslagen. Veel organisaties kiezen voor vijf lagen. Laag één bevat hygiënebeleid dat voor iedereen geldt, zoals het blokkeren van legacy-protocollen, het afdwingen van moderne authenticatie en het weigeren van bekende malafide locaties. Laag twee segmenteren gebruikersrollen: administratieve accounts, ontwikkelaars, externe partners, ketenpartners en reguliere ambtenaren. Laag drie richt zich op informatiesoorten via Purview-labels, zodat documenten met classificatie Departementaal Vertrouwelijk automatisch strengere regels meekrijgen dan openbare stukken. Laag vier adresseert specifieke applicaties of scenario’s, zoals een HR-suite die alleen vanuit Nederland bereikbaar mag zijn of een zaaksysteem dat downloads naar niet-goedgekeurde apparaten blokkeert. Laag vijf bevat adaptieve regels die reageren op Identity Protection-signalen en Security Operations Center-waarschuwingen.
Wanneer de lagen zijn gedefinieerd, is het cruciaal om eigenaarschap en processen te formaliseren. Iedere laag krijgt een eigenaar die besluitvorming mag initiëren en wijzigingen moet documenteren. Change governance wordt vastgelegd in hetzelfde CAB-proces dat ook voor infrastructuur geldt, inclusief risicoanalyse, testscenario’s en noodplannen. Voor iedere wijziging beschrijf je vooraf hoe succes wordt gemeten: minder fraudepogingen, minder supporttickets, hogere auditscore of lagere hoeveelheid manuele toegangsaanvragen. Door deze KPI’s te koppelen aan het beleidsmanifest ontstaat een meetbare cyclus waarin Conditional Access onderdeel is van het reguliere prestatieoverleg.
Een ontwerp is pas waardevol als het reproduceerbaar is. Daarom werken volwassen organisaties met sjablonen die alle essentiële instellingen vastleggen: doelgroepen, condities, controls, sessiebeperkingen, noodprocedures en monitoring. Voor elke sjabloon beschrijf je de rationale, de afhankelijkheden met Intune, Defender, Privileged Identity Management of applicatieteams en de teststappen die minimaal moeten worden uitgevoerd. Door sjablonen te beheren in een Git-repository naast Infrastructure-as-Code definities, ontstaat versiebeheer en kunnen auditors exact zien welke wijziging wanneer is doorgevoerd. Het stelt je ook in staat om beleidswijzigingen geautomatiseerd naar meerdere tenants te pushen, bijvoorbeeld bij shared service centers die meerdere gemeenten bedienen.
Documentatie vormt de vierde pijler van de methodologie. Een beleidsdoc bevat niet alleen de instellingen uit de portal, maar ook een beslisboom waarin je uitlegt waarom een bepaald signaal weegt zwaarder dan een ander. Beschrijf welke gebruikers geraakt worden, welke supportkanalen klaarstaan en welk rollbackplan bestaat. Noteer bovendien hoe bewijs wordt verzameld voor audits: welke logbestanden, dashboards en rapportages je bewaart en hoe lang. Hiermee voldoet je ontwerp aan de eisen van de Algemene Rekenkamer en kun je tijdens inspecties aantonen dat controles niet alleen bestaan, maar ook aantoonbaar effectief zijn.
Tot slot borg je continue verbetering. Plan kwartaalreviews waarin je beleidsstatistieken doorneemt, nieuwe dreigingen beoordeelt en feedback van gebruikers bespreekt. Gebruik geleerde lessen van incidenten om sjablonen aan te passen. Leg experimenten vast, bijvoorbeeld een tijdelijke verhoging van het risiconiveau voor reizen naar risicolanden, zodat je de effecten objectief kunt evalueren. Door die iteratieve aanpak groeit Conditional Access uit tot een levend stelsel dat gelijke tred houdt met veranderende dreigingen, nieuwe cloudservices en aangescherpte regelgeving.
Gefaseerde Uitrol: Risicominimalisatie bij Enterprise Deployment
Een gefaseerde uitrol beschermt zowel gebruikerservaring als bedrijfscontinuïteit. Het begint met een rapportagemodus waarin alle beleidsevaluaties worden vastgelegd maar nog niets wordt afgedwongen. Analyseer de sign-in logs dagelijks en bouw Power BI-dashboards die per applicatie, gebruikersgroep en locatie laten zien welke beslissingen genomen zouden zijn. Neem minimaal twee volle werkweken de tijd zodat weekenddiensten, consignatieteams en maandafsluitingen worden meegenomen. In deze periode breng je afhankelijkheden in beeld, markeer je onverwachte blokkades en bespreek je bevindingen met product owners. Documenteer meteen welke legacy-verbindingen een alternatief authenticatiemechanisme nodig hebben, zodat de technische teams parallel aanpassingen kunnen plannen.
Na de rapportageperiode kies je een pilotgroep die representatief is voor het volledige gebruikspatroon maar wendbaar genoeg om issues snel te melden. Bij een ministerie combineren we vaak leden van het IT-team, security officers, vertegenwoordigers uit primaire processen en een aantal vrijwillige ervaren sleutelgebruikers. Vooraf ontvangen zij een duidelijke briefing, inclusief wat er verandert, hoe support wordt geleverd en welke telemetrie wordt verzameld. Gedurende twee tot vier weken monitor je de pilot intensief. Elk incident wordt geanalyseerd op oorzaak: was het gedrag correct maar de beleid te streng, of maakte de gebruiker een fout? Deze inzichten vertaal je naar beleidsaanpassingen, communicatie en eventueel extra tooling, zoals mobiele token-registratie of tijdelijke vrijstellingen.
De volgende stap is een uitrolplan met golven dat zich over meerdere maanden kan uitstrekken. Je groepeert organisatieonderdelen naar kriticiteit, technische volwassenheid en geografische spreiding. Een eerste golf kan bestaan uit ondersteunende diensten die veel SaaS gebruiken maar een lagere continuïteitseis hebben. Golf twee kan zich richten op teams met externe partners, zoals aanbestedingsafdelingen, zodat je vroeg leert hoe gasttoegang reageert op de nieuwe regels. Golf drie omvat kernprocessen zoals vergunningverlening, belastinginning of politie-informatievoorziening. Executives en bestuurlijke top worden vaak in een aparte golf meegenomen, omdat zij aangepaste communicaties en soms een dedicated supportlijn nodig hebben.
Elke golf start met een changekalender waarin duidelijk staat wanneer beleidsregels van rapportage naar afdwinging gaan. Helpdesks krijgen draaiboeken met veelgestelde vragen, scripts voor remote reset van multi-factor authenticatie en instructies voor escalatie richting het SOC. Businesscommunicatie focust op het waarom: verbind de maatregel aan de Nederlandse Baseline voor Veilige Cloud, uitleg dat NIS2 expliciet vraagt om aantoonbare toegangscontrole en benadruk dat gebruikers zelf ook profiteren doordat verdachte aanmeldingen sneller worden onderschept. Tijdens de uitrol meet je indicatoren zoals het aantal geblokkeerde sessies, gemiddelde authenticatietijd, volume aan supporttickets en de hoeveelheid geautomatiseerde unblock-aanvragen via selfservice.
Bij iedere golf hanteer je formele go/no-go-criteria. Pas wanneer het aantal incidenten terug is op normaal niveau, documenten zijn bijgewerkt, auditors hun steekproef hebben geaccepteerd en gebruikersfeedback positief is, mag de volgende groep live. Blijf parallel noodprocedures testen: kun je maatregelen terugdraaien wanneer een kritieke keten onverwacht stilvalt? Is er een proces voor het tijdelijk toelaten van een essentieel partnerbedrijf? Door deze discipline te combineren met realtime monitoring en geleerde lessen na elke golf, bouw je een uitrolmachine die voorspelbaar, transparant en aantoonbaar compliant is.
Sluit de uitrol af met een gestandaardiseerde acceptatietest die zowel technische als organisatorische controles valideert. Laat het SOC bewijzen dat waarschuwingen worden opgepakt, vraag de auditafdeling een steekproef te nemen op de logging en organiseer met de business een simulatie waarbij een medewerker onderweg een nieuw apparaat registreert. Documenteer welke metrieken behaald zijn, welke risico’s resteren en welke verbeteringen in de volgende cyclus gepland staan. Zo ontstaat een iteratieve besturingslus waarin Conditional Access nooit een eenmalig project is, maar een continu verbeterprogramma dat in de jaarplanning van de CIO en CISO is verankerd.
Conditional Access maakt van identiteitsbeveiliging een levende discipline waarin iedere aanmelding opnieuw wordt gewogen. Door identiteits-, locatie- en apparaatsignalen te combineren, ontstaat een adaptief schild dat past bij mobiele werkpatronen, hybride vergaderingen en cloud-native applicaties. Voor organisaties die rapporteren volgens de Nederlandse Baseline voor Veilige Cloud, BIO en NIS2 betekent dit dat beveiliging en compliance dezelfde taal gaan spreken: elke beleidsbeslissing is traceerbaar en ieder risico is aantoonbaar gemitigeerd.
Het succes van dit model hangt af van vakmanschap buiten de techniek. Alleen wanneer requirements zorgvuldig zijn opgehaald, governance is belegd, documentatie actueel is en monitoring automatisch bewijs oplevert, blijft de complexiteit beheersbaar. De gelaagde architectuur, sjabloonbibliotheek en gefaseerde uitrol zorgen ervoor dat je tegelijk streng en werkbaar kunt zijn. Door kwartaalreviews en post-incident evaluaties onderdeel te maken van het reguliere stuurproces, groeit Conditional Access uit tot een structureel verbeterprogramma.
De beloning is tastbaar: minder geslaagde phishingaanvallen, sneller inzicht in misbruik, kortere audittrajecten en een gebruikerservaring die alleen ingrijpt wanneer het echt nodig is. Wie nu nog twijfelt, stelt onvermijdelijk noodzakelijke controles uit. Begin daarom met het activeren van rapportagemodus, verzamel feiten, betrek de business en schaal gecontroleerd op. Hoe eerder je deze identiteitslaag volwassen maakt, hoe robuuster je organisatie staat in een tijd waarin digitale dreigingen en toezichtseisen blijven toenemen.