Conditional Access uitgelegd

De onzichtbare bewaker van je Microsoft 365-omgeving.

🔐TL;DR

Conditional Access is de beveiligingslaag in Microsoft 365 die bij elke aanmelding beoordeelt of iemand toegang verdient — op basis van wie inlogt, vanaf welk apparaat, vanuit welke locatie en hoe risicovol de sessie is. Waar MFA alleen controleert of iemand is wie hij zegt te zijn, kijkt Conditional Access naar het hele plaatje. Het zit al inbegrepen in Microsoft 365 Business Premium, maar wordt door veel organisaties nog niet benut. In deze blog leggen we uit hoe het werkt, welke regels je als eerste moet instellen en hoe je veelgemaakte fouten voorkomt — zodat je omgeving écht beveiligd is, zonder dat medewerkers er last van hebben.

MFA is een goed begin. Maar het is niet genoeg. Conditional Access beoordeelt bij élke aanmelding of iemand toegang verdient — op basis van wie, wat, waar en hoe. Zo werkt het, en waarom je het als organisatie niet kunt negeren.

Je voordeur staat open - en je weet het niet

Stel je voor: een medewerker logt ‘s ochtends in op Microsoft 365 vanaf zijn werklaptop, op kantoor. Geen probleem. Maar diezelfde inloggegevens worden ‘s avonds gebruikt vanuit een land waar je geen vestiging hebt, op een onbekend apparaat. Moet die sessie gewoon doorgaan?

Bij veel organisaties is het antwoord: ja. Simpelweg omdat er geen regels zijn die het tegenhouden.

MFA (meervoudige verificatie, bijvoorbeeld een code via je telefoon) is inmiddels bij de meeste bedrijven ingeschakeld — en terecht. Maar MFA alleen is als een slot op je voordeur terwijl de ramen openstaan. Het beschermt tegen het meest voorkomende scenario (een gestolen wachtwoord), maar houdt geen rekening met de omstandigheden van de aanmelding. In onze blog Phishing in Microsoft 365: zo ontstaat een datalek in 8 stappen laten we zien hoe een enkele klik op een phishingmail kan uitgroeien tot een volledige accountovername — en hoe Conditional Access die keten kan breken.

Dát is precies waar Conditional Access het verschil maakt.

Wat is Conditional Access precies?

Conditional Access is het beveiligingsbrein achter Microsoft Entra ID (de identiteitsomgeving van Microsoft 365, voorheen Azure Active Directory). Microsoft noemt het de Zero Trust policy engine: het centrale punt dat bij elke aanmelding signalen verzamelt en op basis daarvan beslist of iemand toegang krijgt.

Denk aan een slimme portier die bij elke bezoeker een aantal vragen stelt:

  • Wie ben je? — Beleid kan worden ingesteld per gebruiker, groep of rol. Een beheerder krijgt andere regels dan een gewone medewerker.
  • Waar kom je vandaan? — Logt iemand in vanuit Nederland of vanuit een onverwacht land? Je kunt landen of IP-adressen toestaan of blokkeren.
  • Welk apparaat gebruik je? — Een beheerde werklaptop kan meer toegang krijgen dan een privételefoon.
  • Hoe risicovol is deze aanmelding? — Via Microsoft Entra ID Protection herkent Microsoft automatisch verdachte patronen, zoals een inlog vanuit twee landen binnen een uur.
  • Waar wil je naartoe? — Toegang tot SharePoint kan andere regels hebben dan toegang tot e-mail.
Conditional Acces

Op basis van die signalen wordt automatisch beslist: mag je door, moet je je extra verifiëren, krijg je beperkte toegang (bijvoorbeeld alleen meekijken, niet downloaden), of word je geblokkeerd?

Kort gezegd: Conditional Access werkt als een als-dan-regel. Als een gebruiker toegang wil tot een app of bestand, dan moet aan bepaalde voorwaarden worden voldaan.

Het mooie? Voor medewerkers die gewoon inloggen zoals altijd — op hun werklaptop, vanuit Nederland — verandert er niets. Conditional Access werkt onzichtbaar op de achtergrond. Pas wanneer iets afwijkt, grijpt het in.

Waarom MFA alleen niet genoeg is

MFA is een enorme stap vooruit. Volgens Microsoft wordt meer dan 99,9% van alle identiteitsgerelateerde aanvallen gestopt door meervoudige verificatie en het blokkeren van verouderde inlogmethoden.

Maar MFA beantwoordt slechts één vraag: “Is deze persoon wie hij zegt dat hij is?”

Het beantwoordt niet:

  • Is dit apparaat veilig en door de organisatie beheerd?
  • Is deze locatie logisch voor deze gebruiker?
  • Gedraagt deze sessie zich verdacht?
  • Mag deze persoon überhaupt bij deze specifieke app of data?

Conditional Access beantwoordt al die vragen tegelijk — bij elke aanmelding, in real-time. Daarmee ga je van een simpele ja/nee-controle naar een slim, contextbewust beveiligingsmodel.

In onze blog Waarom ‘Microsoft regelt de security’ een gevaarlijke misvatting is leggen we uit dat beveiliging in Microsoft 365 in belangrijke mate een inrichtings- en beheerkeuze is. Conditional Access is daar een van de krachtigste voorbeelden van.

Conditional Access vs. Security Defaults: wat is het verschil?

Veel MKB-organisaties draaien op de Security Defaults van Microsoft Entra ID. Dat zijn standaard beveiligingsinstellingen die Microsoft automatisch activeert in nieuwe omgevingen. Ze bieden een basisniveau van beveiliging zonder extra kosten:

  • Alle gebruikers moeten zich registreren voor MFA
  • Beheerders worden verplicht MFA te gebruiken
  • Verouderde inlogmethoden worden geblokkeerd

Dat is een prima startpunt. Maar het is geen eindstation. Security Defaults werken als een aan/uit-knop: je kunt ze niet aanpassen aan je eigen situatie. Conditional Access geeft je die flexibiliteit wél.

 Security DefaultsConditional Access
AanpasbaarheidBeperkt — alles of nietsVolledig op maat per groep, app, locatie
BeleidsbeheerVooraf bepaald door MicrosoftZelf in te richten en te verfijnen
Geschikt voorOrganisaties zonder complexe eisenOrganisaties die grip willen op toegang
ApparaatcontroleNiet mogelijkWel — via Intune-integratie
Risicogebaseerde regelsNiet beschikbaarWel — via Entra ID Protection
security defaults entra admin center

Belangrijk: zodra je Conditional Access inschakelt, worden Security Defaults automatisch uitgeschakeld. Ze zijn niet bedoeld om naast elkaar te draaien.

Welke licentie heb je nodig?

Dit is een vraag die we bij OfficeGrip vaak krijgen. Het goede nieuws: veel organisaties hebben Conditional Access al beschikbaar zonder dat ze het weten. Microsoft stelt de volgende vereisten:

  • Microsoft 365 Business Premium — Conditional Access zit inbegrepen.
  • Entra ID P1 (los) — als aanvulling op Business Basic of Business Standard.
  • Entra ID P2 — nodig als je ook automatisch wilt reageren op risicovolle aanmeldingen (bijvoorbeeld een login die Microsoft als verdacht bestempelt).

Hoe werkt een Conditional Access-regel in de praktijk?

Elke regel wordt in twee stappen doorlopen:

Stap 1 — Informatie verzamelen Het systeem kijkt naar wie er inlogt, vanaf welk apparaat, vanuit welke locatie en naar welke app. Dit gebeurt op de achtergrond, zonder dat de gebruiker er iets van merkt.

Stap 2 — Beslissing nemen Op basis van de verzamelde informatie wordt getoetst of aan alle voorwaarden is voldaan. Zo niet, dan krijgt de gebruiker een extra stap (zoals MFA) of wordt de toegang geblokkeerd.

Voorbeeld: Stel, je hebt twee regels actief. De eerste vereist MFA, de tweede vereist een beheerd apparaat. Een medewerker die inlogt moet dan aan beide voorwaarden voldoen – MFA voltooien én een goedgekeurd apparaat gebruiken.

De regels die elke organisatie zou moeten instellen

Microsoft biedt kant-en-klare sjablonen voor Conditional Access aan, ingedeeld in categorieën als Secure Foundation, Zero Trust en Remote Work.

create policy from template identity

Dit zijn de regels die in de praktijk het grootste verschil maken:

1. 🔐 MFA verplichten voor alle beheerders

Beheerdersaccounts zijn het meest waardevolle doelwit voor aanvallers — ze hebben immers de sleutels tot alles. Microsoft noemt dit als een van de allereerste stappen om je omgeving te beveiligen.

2. 🔑 MFA verplichten voor alle medewerkers

Breid MFA uit naar iedereen. Met Conditional Access kun je dit stap voor stap doen — bijvoorbeeld eerst één afdeling, dan de rest — zodat het behapbaar blijft. Uit onderzoek blijkt dat menselijk gedrag nog altijd de grootste oorzaak is van beveiligingsincidenten — MFA voor iedereen is daarin een cruciale verdedigingslijn.

3. 🚫 Verouderde inlogmethoden blokkeren

Sommige oudere e-mailprotocollen (zoals POP3 en IMAP) ondersteunen geen MFA. Dat betekent dat een aanvaller met alleen een wachtwoord kan inloggen — zonder extra verificatie. Blokkeer deze methoden.

4. 🌍 Toegang beperken op basis van locatie

Heeft je organisatie alleen medewerkers in Nederland? Dan is een aanmelding vanuit een ander continent waarschijnlijk niet legitiem. Je kunt landen blokkeren of extra verificatie vereisen bij onbekende locaties.

5. 💻 Alleen beheerde apparaten toestaan voor gevoelige apps

Via de koppeling met Microsoft Intune kun je afdwingen dat alleen apparaten die door je organisatie worden beheerd, toegang krijgen tot bijvoorbeeld SharePoint of e-mail. Meer over apparaatbeveiliging lees je in onze blog Endpointbeveiliging met Microsoft Defender for Business.

6. 📱 Veilige toegang voor privéapparaten (BYOD)

Medewerkers die een eigen telefoon of tablet gebruiken voor werk? Via app-bescherming geef je ze toegang tot e-mail en bestanden, maar voorkom je dat bedrijfsdata op hun privéapparaat wordt opgeslagen of gedownload. Zo houd je de data binnen je organisatie.

7. ⏱️ Sessieduur beperken voor beheerders

Een beheerder hoeft niet de hele dag ingelogd te blijven in het beheerportaal. Door sessies korter te maken, beperk je de schade als een beheeraccount onverhoopt wordt misbruikt.

8. 🔄 Device code flow blokkeren

Dit is een techniek waarbij een gebruiker op één apparaat een code invoert om op een ander apparaat in te loggen (bijvoorbeeld bij een smart-tv of vergaderruimtescherm). Aanvallers misbruiken dit steeds vaker om accounts over te nemen. Blokkeer het, tenzij je het echt nodig hebt.

Begin altijd in 'kijk-mee-modus'

Dit is misschien wel de belangrijkste tip: schakel een nieuwe regel nooit direct scherp in. Microsoft raadt aan om te starten in report-only modus — een soort kijk-mee-modus.

In deze modus wordt de regel wél geëvalueerd, maar niet afgedwongen. Je ziet precies welke aanmeldingen geraakt zouden worden, zonder dat medewerkers worden geblokkeerd of verrast. Zo kun je het beleid finetunen vóórdat het echt live gaat.

De aanbevolen aanpak:

  • Kijk-mee-modus — monitor de impact gedurende minimaal een week
  • Pilot — zet de regel aan voor een kleine testgroep
  • Uitrol — schakel het in voor de hele organisatie.

Microsoft benadrukt ook: test elke regel eerst met een testgebruiker (geen beheerder) om te controleren of alles werkt zoals verwacht.

De drie meest voorkomende fouten

In de praktijk zien we bij organisaties steeds dezelfde valkuilen:

❌ Geen duidelijke naamgeving

Een dashboard vol regels met namen als “Test policy 3” of “Nieuw beleid (kopie)” is onbeheersbaar. Microsoft adviseert een duidelijke naamgevingsstandaard met volgnummers en beschrijvende namen. Bijvoorbeeld: CA200-AlleGebruikers-MFA-AlleApps. Zo weet iedereen direct wat een regel doet.

❌ Geen noodtoegangsaccounts

Als je MFA verplicht voor iedereen — inclusief beheerders — en er gaat iets mis (bijvoorbeeld een storing bij de Authenticator-app), kan je hele organisatie buitengesloten raken. Microsoft raadt aan om minimaal twee noodtoegangsaccounts aan te maken die zijn uitgesloten van Conditional Access-regels. Dit zijn speciale accounts die je alleen gebruikt in noodgevallen, met een extra sterke beveiligingsmethode zoals een fysieke beveiligingssleutel.

❌ Te veel uitzonderingen

Elke uitzondering op een regel is een potentieel gat in je beveiliging. Microsoft waarschuwt dat je alleen de strikt noodzakelijke accounts moet uitzonderen — noodtoegangsaccounts en technische serviceaccounts — en niet meer dan dat.

Conditional Access als hart van Zero Trust

Je hoort de term Zero Trust steeds vaker. Het principe is eigenlijk heel eenvoudig: vertrouw niets automatisch, controleer altijd. Of iemand nu op kantoor zit of thuis werkt — elke aanmelding wordt opnieuw beoordeeld. Geen enkel apparaat of gebruiker krijgt standaard een vrije doorgang.

Conditional Access is de praktische invulling van dat principe binnen Microsoft 365. Het vervangt het oude denken (“alles binnen ons netwerk is veilig”) door een model waarin elke aanmelding op context en risico wordt getoetst.

In combinatie met Microsoft Intune (voor apparaatbeheer) en Microsoft Defender for Business (voor dreigingsdetectie) vormt Conditional Access een driehoek die je omgeving beschermt zonder dat medewerkers er last van hebben.

En het gaat verder dan alleen medewerkers: Microsoft breidt Conditional Access inmiddels uit naar AI-agents en automatische processen, zodat ook die onder hetzelfde beveiligingsbeleid vallen.

Bescherm niet alleen de toegang, maar ook de data

Conditional Access bepaalt wie er binnenkomt. Maar wat gebeurt er als iemand eenmaal toegang heeft? Daar komen aanvullende beveiligingslagen in beeld:

  • Met sensitivity labels geef je documenten een beschermingsniveau mee. Denk aan: “vertrouwelijk” of “alleen intern”. Zo blijft gevoelige informatie beschermd, ook als iemand een bestand deelt.
  • De Cyberbeveiligingswet (NIS2) stelt straks eisen aan hoe organisaties omgaan met digitale risico’s. Conditional Access is een van de maatregelen die je helpt om aan die eisen te voldoen.
  • En vergeet de menselijke factor niet: technologie alleen is niet genoeg. Met Security Awareness-trainingen bouw je aan een ‘menselijke firewall’ die Conditional Access aanvult.

Wat betekent dit voor jouw organisatie?

De realiteit is dat veel MKB-organisaties de tools al in huis hebben, maar ze niet volledig benutten. Conditional Access zit in Microsoft 365 Business Premium — een licentie die veel van onze klanten al gebruiken.

Het verschil tussen een omgeving die “MFA aan” heeft en een omgeving die écht beveiligd is, zit in de regels die je instelt. En dat hoeft niet complex te zijn. Met de juiste 8 tot 10 basisregels — die je via de kant-en-klare sjablonen van Microsoft kunt opzetten — dek je het overgrote deel van de risico’s af, zonder de productiviteit van je medewerkers te raken.

Bij OfficeGrip helpen we organisaties om Conditional Access op de juiste manier in te richten: van licentie-advies tot configuratie, van pilot tot uitrol. Geen standaardpakket, maar afgestemd op jouw organisatie, jouw risicoprofiel en jouw manier van werken.

Wil je weten hoe jouw Microsoft 365-omgeving ervoor staat? Neem contact op voor een vrijblijvend gesprek — we kijken graag mee.

Zero Trust een nieuw beveiligings tijdperk 2

Meer informatie over het Zero Trust model?

Download dan gratis ons eBook met meer informatie

Download >

Wilt u advies over wat nodig is om te voldoen aan NIS2?

Avista-Shegani

Avista denkt graag
met u mee.