Blog Azure Security & Compliance Infrastructuur

10 Identity and Access Management (IAM) Best Practices in Azure

Gestolen inloggegevens zijn nog steeds het belangrijkste toegangspunt voor cybercriminelen. 

De manier waarop je identiteiten in Azure beheert, bepaalt je beveiliging. 

Op basis van jarenlange ervaring met klanten en het beheer van identiteiten in de cloud hebben we de best practices voor Identity and Access Management (IAM) in Azure op een rijtje gezet. 

Fabian Super

Auteur

Fabian Super Azure Architect

Leestijd 5 minuten Gepubliceerd: 24 februari 2026

10 Azure IAM Best Practices

1. Behandel identiteit als de primaire veiligheidsperimeter

Tegenwoordig is identiteit de belangrijkste veiligheidsperimeter in het gelaagde beveiligingsmodel voor diepgaande verdediging.

Microsoft Entra ID (formerly Azure Active Directory) is de Identity and Access Management (IAM) oplossing van Microsoft voor Azure. Het helpt organisaties bij het beveiligen en beheren van identiteiten voor hybride en multi-cloudomgevingen. Met Entra ID kun je interne of cloudgebaseerde applicaties publiceren en bepalen wie er toegang toe heeft.

Het ondersteunt onder andere:

  • Multi-factor authenticatie (MFA)
  • Conditional Access
  • Single Sign-On (SSO)

Je kunt ook je on-premises Active Directory uitbreiden en integreren met Entra ID, zodat je één consistente identity-laag hebt over al je omgevingen heen.

 

2. Centraliseer identity management

In een hybride identity-setup is het verstandig om je on-premises directory te koppelen aan de cloud. Zo kan je IT-team accounts vanuit één plek beheren en hebben gebruikers één identiteit voor zowel cloud- als on-prem resources.

Heb je meerdere identity providers? Centraliseer dit.

Met andere woorden: gebruik één identity provider als je primaire bron. Ga niet meerdere identity providers combineren bij het opzetten van hybride identiteiten. Heb je een volledig on-premises Active Directory? Synchroniseer je identiteiten dan naar Entra ID en maak dat je single source of truth.

Azure Security Ebook (1)

Security E-book

Leer hoe je je Azure omgeving kunt beveiligen met verschillende technologieën, tools en best practices die we dagelijks toepassen bij onze softwaregedreven klanten.

Download nu!

3. Beheer gekoppelde tenants

Zorg dat je inzicht hebt in alle gekoppelde tenants en weet wat je productieomgeving raakt. Denk aan subscriptions, netwerken, VPN’s of ExpressRoute-verbindingen die gekoppeld zijn aan productie.

Daarnaast moet je weten hoe identiteiten synchroniseren of gekoppeld zijn tussen tenants. Je wilt weten:

  • Wat kan je netwerk en resources bereiken?
  • Vanwaar gebeurt dat?

Zo weet je zeker dat je organisatiebeleid en eventuele regelgeving worden nageleefd. Bovendien ontdek je onverwachte koppelingen die risico’s kunnen vormen.

 

4. Versterk je inloggegevens

Meer dan 99% van de identiteitsaanvallen beginnen met wachtwoordaanvallen.

Begin met het blokkeren van veelgebruikte en zwakke wachtwoorden.

Onderzoek toont aan dat traditionele complexiteits- en expiratie-eisen vaak averechts werken, omdat gebruikers dan juist makkelijker te raden wachtwoorden kiezen.

Gebruik daarom Microsoft Entra password protection om zwakke wachtwoorden te voorkomen, of ga nog een stap verder en kies voor passwordless. Vertrouw in ieder geval niet alleen op sterke wachtwoorden.

 

5. Schakel Single Sign-On (SSO) in

Als je geen centrale identiteit aanbiedt, moeten gebruikers meerdere wachtwoorden beheren. Dat vergroot de kans op zwakke of hergebruikte wachtwoorden.

Een betere aanpak is Single Sign-On (SSO).

Met één identity-oplossing voor al je apps en resources kunnen gebruikers met dezelfde inloggegevens overal bij, zonder telkens opnieuw hun wachtwoord in te voeren.

 

6. Schakel multi-factor authentication (MFA) in

De krachtigste maatregel tegen wachtwoordaanvallen is MFA.

Binnen Entra ID kun je MFA op verschillende manieren inschakelen:

  • Security Defaults: Een tenant-brede instelling waarbij admins verplicht MFA moeten gebruiken. Blokkeert legacy authenticatie. Aan of uit – geen maatwerk mogelijk.
  • Per gebruiker: MFA per gebruiker inschakelen. Niet ideaal, want je moet dit handmatig doen voor elke nieuwe gebruiker.
  • Mandatory MFA: Vereist MFA bij het inloggen op Azure Portal, Entra Admin Center, Azure CLI, enz. Ook hier geen maatwerk.
  • Conditional access: De voorkeursmethode. Hiermee stel je if/then-regels in op basis van bijvoorbeeld locatie, gebruikersrisico of applicatie. Afhankelijk van de voorwaarden wordt toegang toegestaan, geweigerd of wordt MFA vereist.

“Tenants die security defaults gebruiken ervaren 80% minder compromitteringen dan tenants die dat niet doen.”

Microsoft

Zoals je kunt zien, kan MFA op verschillende manieren worden ingeschakeld. De voorkeursmethode is echter Conditional Access. 

Let op:

Mix deze methodes niet door elkaar. Dat kan conflicterende regels, verwarring bij gebruikers en security gaps veroorzaken.

7. Verminder de exposure van privileged accounts

Privileged accounts beheren en administreren IT-systemen, waardoor ze een belangrijk doelwit zijn voor aanvallers. Beperk daarom de toegang van personen met privileges om het risico te verminderen en isoleer deze accounts van dagelijks gebruik om onopzettelijke of kwaadwillige compromittering te voorkomen.

Privileged Identity Management (PIM) is een service in Microsoft Entra ID waarmee je de toegang tot belangrijke resources in je organisatie kunt beheren, controleren en bewaken. 

Best practices:

  • Schakel Microsoft Entra PIM in om meldingen te ontvangen over wijzigingen in geprivilegieerde rollen.
  • Zorg dat alle kritieke admin-accounts Entra-accounts zijn; verwijder consumentenaccounts (zoals hotmail.com of outlook.com).
  • Maak aparte admin-accounts en blokkeer deze voor dagelijkse tools zoals e-mail of browsen.
  • Categoriseer privileged accounts (individueel, gedeeld, nood, geautomatiseerd, extern).
  • Implementeer Just-In-Time (JIT) access zodat rechten automatisch verlopen na een bepaalde tijd.

 

8. Plan structurele security-verbeteringen

Security verandert continu. Blijf dus verbeteren.

Microsoft Entra Identity Secure Score geeft je aanbevolen security-acties. Je kunt je score in de tijd volgen en vergelijken met andere organisaties in je sector.

Microsoft Security Identity Secure Score dashboard showing a score of 92.86% and a list of required improvement actions.

Gebruik deze inzichten om periodieke security reviews te plannen en verbeteringen door te voeren op basis van best practices.

 

9. Gebruik Role Based Access Control (RBAC)

Geef niet iedereen onbeperkte rechten in je Azure subscriptie.

Gebruik Role-Based Access Control (RBAC) om rechten te beperken tot wat iemand écht nodig heeft, op het juiste niveau (subscription, resource group of resource).

Met RBAC, kun je:

  • Eén gebruiker VM’s laten beheren en een andere gebruiker netwerken.
  • Een DBA-groep SQL-databases laten beheren
  • Een gebruiker alle resources binnen één resource groep laten beheren.
  • Een applicatie toegang geven tot resources binnen een resource groep.
Azure Security Workshop

Wil je leren hoe je je Azure cloud kunt beveiligen?

Bekijk dan ons GRATIS Azure Security webinar van 90 minuten voor praktische tips, best practices en praktische demo's over het beveiligen van je Azure omgeving. 

Bekijk het nu!

10. Monitor actief op verdachte activiteiten

Zet identity monitoring op om afwijkend gedrag te detecteren en alerts te genereren. 

Let bijvoorbeeld op:

  • Inlogpogingen die niet kunnen worden getraceerd
  • Brute force-aanvallen
  • Inlogpogingen vanuit meerdere of onverwachte locaties
  • Toegang vanaf geïnfecteerde devices
  • Verbindingen vanaf verdachte IP-adressen

Gebruik Microsoft Entra ID Protection om actuele risico’s te zien via het dashboard en dagelijkse e-mails te ontvangen. Je kunt ook risk-based policies instellen die automatisch actie ondernemen bij een bepaald risiconiveau.

 

Conclusie

Er bestaat geen silver bullet als het gaat om het beveiligen van identiteiten in Microsoft Azure.

Om je identiteiten goed te beveiligen, moet je ze actief beheren, meerdere lagen van controle toepassen, toegang monitoren en privileges continu beheren.

En vraag jezelf ook af:

  • Hoe veilig is je setup?
  • Heb je deze dingen geïmplementeerd?
  • Gebruik je voorwaardelijke toegang voor MFA?
  • En hoe zit het met just-in-time toegang voor privileged accounts? 
Intercept Sz71249

Verbeter je cloud beveiliging met Intercept!

Hulp nodig bij het implementeren van enkele van de maatregelen in dit artikel of wil je de beveiliging van Azure verbeteren?

Bij Intercept kunnen we je organisatie helpen een sterkere cloud veiligheid te realiseren in de Azure-cloud. 

contact@intercept.cloud +31 (0) 38 20 22 085