Blog Azure Security & Compliance Infrastructuur

10 Conditional Access Policies in Azure voor elke beheerder

Voorwaardelijke toegang is één van de belangrijkste dingen voor cloudbeveiliging in Microsoft Azure en vormt een belangrijke basis voor het Zero Trust-model

In dit artikel behandelen we de 10 Belangrijkste Conditional Access policies die elke organisatie zou moeten implementeren in Microsoft Entra ID.

Deze policies versterken de beveiliging, verminderen risico's en zorgen ervoor dat alleen de juiste personen op het juiste moment toegang hebben tot de juiste resources.

Niels Kroeze

Auteur

Niels Kroeze

Leestijd 7 minuten Gepubliceerd: 14 november 2025

Wat is Conditional Access in Azure?

Conditional Access zijn beveiligingspolicies in Microsoft Entra die toegang tot je apps en resources regelen op basis van signalen zoals gebruikersidentiteit, status van het apparaat, locatie en sessie risico.

Het werkt met “als-dan”-regels om je omgeving te beschermen.

  • Als een gebruiker probeert in te loggen vanaf een onbekend apparaat, dan kan toegang worden geblokkeerd.
  • Als een login komt vanuit een niet-goedgekeurde locatie, dan kan toegang worden geweigerd of kan er extra controle nodig zijn.
  • Als een sign-in komt van een IP-adres in een andere regio, dan kan multifactor ­authenticatie (MFA) worden gevraagd.

De exacte regels die je instelt hangen af van je omgeving en je beveiligings­behoeften.

Bekijk Microsoft’s video om meer te leren over de basis van Conditional Access:

 

10 Conditional Access policies voor elke Azure admin

Hier zijn tien policies die elke Azure beheerder zou moeten overwegen:

  1. MFA verplichten voor admins, alle gebruikers en externe identiteiten (gasten)
  2. Legacy Authentication blokkeren
  3. Sign-in risk policy
  4. User-risk policy
  5. Device code flow blokkeren
  6. Toegang blokkeren vanaf niet-goedgekeurde locaties
  7. Toegang blokkeren op basis van apparaattype
  8. Persistent Browser Sessions uitschakelen
  9. Session control policy gebruiken
  10. Hybrid Entra ID Joined Device verplichten

 

1. MFA verplichten voor admins, alle gebruikers en externe identiteiten (gasten)

Vandaag zijn meer dan 99% van alle identiteitsaanvallen wachtwoordaanvallen, volgens het Microsoft Digital Defense Report 2024.

MFA helpt ongeautoriseerde toegang te voorkomen wanneer een wachtwoord is gelekt. Het vraagt een tweede vorm van verificatie (zoals een authenticator-app). Moderne MFA-technieken verlagen het risico op identiteitscompromittering met 99,2%, maar er zijn nog veel organisaties die MFA niet hebben ingesteld.

In januari 2020 heeft Microsoft security-defaults geïntroduceerd die MFA inschakelen en basis- en legacy-authenticatie uitschakelen voor nieuwe tenants en tenants met eenvoudige omgevingen. Tenants die security-standaardinstellingen gebruiken, hebben 80% minder compromissen dan tenants die dat niet doen.” 

Als het gaat om MFA-policies voor Conditional Access, dan kun je deze policies toepassen:

  • MFA instellen voor alle beheerderaccounts: Alle gevoelige beheerder­accounts moeten MFA gebruiken (Global Admins, Exchange Admins, SharePoint Admins, enz.).
  • MFA instellen voor alle gebruikers: Vereis MFA voor alle standaard­accounts om misbruik van gestolen gegevens te voorkomen.
  • MFA verplichten voor alle gasten: Dit gebeurt niet in elke organisatie, maar MFA toepassen op alle externe identiteiten en gastaccounts die je tenant benaderen voorkomt ongewenste toegang.

Uiteindelijk is MFA nodigniet optioneel.

Elk account zonder MFA vormt een risico en kan worden misbruikt als toegangspunt bij een aanval.

 

2. Legacy Authentication blokkeren

De tweede policy is het blokkeren van legacy authenticatiestromen zoals POP, IMAP en SMTP. Deze wil je niet open hebben in je tenant. Deze oudere protocollen ondersteunen geen MFA en zijn gevoelig voor aanvallen zoals password spraying en credential stuffing.

Door deze verouderde protocollen uit te schakelen gebruik je alleen moderne, veilige aanmeldmethoden en haal je zwakke plekken weg die aanvallers vaak targeten.

Microsoft schakelt legacy authentication tegenwoordig standaard uit voor nieuwe tenants via Security Defaults, wat de basisbeveiliging verder verbetert.

Azure Security Ebook (1)

Security E-book

Leer hoe je je Azure omgeving kunt beveiligen met verschillende technologieën, tools en best practices die we dagelijks toepassen bij onze softwaregedreven klanten.

Download nu!

3. Sign-in risk policy

De sign-in risk policy houdt elke login in de gaten op verdachte activiteiten. Als er ongewoon gedrag wordt gedetecteerd (bijv. een riskant IP-adres of afwijkende apparaatstatus), kan de gebruiker worden gevraagd zijn wachtwoord te wijzigen. Je kunt verschillende risiconiveaus instellen, zoals laag, gemiddeld of hoog, en controles toepassen zoals MFA afhankelijk van de ernst. Zo worden accounts die mogelijk gecompromitteerd zijn, beveiligd voordat volledige toegang wordt verleend.

4. User-risk policy

De user-risk policy is zonder twijfel een policy die elke Azure-beheerder zou moeten hebben. Deze policy monitort aanmeldactiviteiten, inclusief IP-adressen, apparaatstatus en afwijkend gedrag. Bij medium of hoog risico, afhankelijk van je configuratie, kun je acties triggeren zoals MFA verplichten, een wachtwoordreset afdwingen of toegang beperken.

Best Practices:

  • Begin in Report-only modus: Evalueer het effect van je policy voordat je veranderingen afdwingt.
  • Houd policies gefocust: Vermijd te complexe of brede policies; beheer elk scenario apart.
  • Scheid interne medewerkers en contractors: Contractors hebben vaak strengere controles nodig, omdat HR of derden IT niet altijd informeren bij vertrek.
  • Combineer geen meerdere scenario’s: Dit houdt policies duidelijk en makkelijker te beheren.

5. Device code flow blokkeren

Device code flow authenticatie laat gebruikers inloggen door een code van een terminalprompt in een browser in te voeren, vaak gebruikt met tools zoals:

Connect-MgGraph -DeviceCode

Hoewel dit handig kan zijn, vormt het een beveiligingsrisico omdat sommige controles op beheerde apparaten kunnen worden omzeild.

Device code flow blokkeren helpt ongeautoriseerde toegang te voorkomen, vooral in omgevingen met strikte authenticatie­controles.

Deze policy wordt zelden toegepast, zelfs in grote organisaties, ondanks het risico. Voor de meeste organisaties is het best practice om device code flow volledig te blokkeren, of alleen toe te staan voor specifieke gebruikers die dit echt nodig hebben.

6. Toegang blokkeren vanuit niet-goedgekeurde locaties

Een andere belangrijke Conditional Access policy is het blokkeren van toegang tot de tenant vanaf locaties die je niet vertrouwt of goedkeurt. Je kunt bijvoorbeeld toegang blokkeren vanuit alle locaties waar je organisatie niet actief is.

  • Voorbeeld 1: Stel, je bent een MKB bedrijf in Nederland. Alle gebruikers zitten in Nederland en je wilt geen toegang vanaf andere landen. Dan kun je deze policy gebruiken.
  • Voorbeeld 2: Stel een MKB met enkele vestigingen in Europa. Je kunt de landen selecteren waar je aanwezig bent en alleen verbindingen van die locaties toestaan. Je kunt altijd de kantoorlocaties wereldwijd als vertrouwd beschouwen; in dat geval worden de publieke IP-adressen van die locaties als vertrouwd gezien.
Azure Security Workshop

Wil je leren hoe je jouw Azure omgeving kan beveiligen?

Bekijk dan onze Azure Security Webinar voor praktische tips, best practices en demo's over het beveiligen van jouw Azure omgeving.

Bekijk het nu!

7. Toegang blokkeren op basis van apparaattype

De volgende policy gaat over toegang blokkeren op basis van het type apparaat. Hier geef je aan dat je geen verbindingen van bepaalde apparaat type wilt toestaan in je tenant.

Bijvoorbeeld: Je kunt verbindingen beperken van ongebruikte apparaten zoals Mac-machines of Windows-telefoons, als deze niet vaak door je gebruikers worden gebruikt.

8. Persistent browser sessions uitschakelen

Persistent browser sessions uitschakelen zorgt ervoor dat gebruikers niet ingelogd blijven na het sluiten en opnieuw openen van hun browser. Met deze policy wordt elke sessie beëindigd bij het sluiten van de browser, en moeten gebruikers elke keer opnieuw inloggen om toegang te krijgen.

Dit helpt ongeautoriseerde toegang te voorkomen, vooral vanaf onbeheerde of gecompromitteerde apparaten, omdat authenticatie niet kan worden omzeild door simpelweg de browser opnieuw te openen.

9. Session control policy gebruiken

De volgende en handige policy is de session control policy. Hiermee kun je een tijdsinterval instellen hoe lang iemand ingelogd kan blijven voordat opnieuw geauthenticeerd moet worden.

Een gebruikelijke aanbeveling is 8 uur, passend bij een standaard werkdag, maar je kunt dit aanpassen aan de behoeften van je omgeving.

“Bij Intercept staan we niet toe dat gebruikers langdurig ingelogd blijven zonder zich opnieuw te authenticeren. Permanente sessies creëren een beveiligingslek dat kan worden misbruikt, dus we raden altijd aan om sessiecontroles in je omgeving te implementeren. Dit helpt het risico te verminderen en zorgt ervoor dat verdachte activiteiten snel worden opgemerkt.” 

10. Hybrid Entra ID Joined Device verplichten

Deze policy is vooral belangrijk voor organisaties die in een hybride cloudomgeving werken. Door te vereisen dat apparaten Hybrid Entra ID joined zijn, zorg je dat alleen bedrijfsbeheerde apparaten die voldoen aan de beveiligingsstandaarden van je organisatie toegang krijgen tot gevoelige resources.

Het afdwingen van deze policy voorkomt dat onbeheerde of persoonlijke apparaten verbinding maken, waardoor het risico op datalekken of ongeautoriseerde toegang aanzienlijk afneemt. Het versterkt ook je device-based Conditional Access controles doordat je precies kunt aangeven welke endpoints toegestaan zijn.

Bovendien werkt deze aanpak samen met Intune policies, zodat alle apparaten voldoen aan de vereiste beveiligingsconfiguraties voordat ze toegang krijgen tot beveiligde diensten.

 

Conclusie

Conditional Access is de fundering voor een veilige Azure omgeving. Het geeft je controle over wie toegang heeft tot wat, vanaf welke locatie en op welk apparaat. Het implementeren van deze Conditional Access policies verkleint het aanvalsoppervlak en versterkt je beveiligingspositie in Microsoft Azure.

Tip: Gebruik de Security Score

Deze geeft praktische aanbevelingen en laat zien waar je de identiteit beveiliging kunt verbeteren.

Azure Security Score

Regelmatig bekijken helpt je best practices, nieuwe functies en stappen om de hybride cloud identiteitbeveiliging verder te versterken te volgen.

Deni visual

Neem contact met ons op!

Heb je hulp nodig bij het implementeren van deze policies of wil je je beveiliging in Azure verbeteren?

Bij Intercept kunnen we je organisatie helpen een sterkere en veiligere te creëren in de Microsoft Azure cloud. 

contact@intercept.cloud +31 (0) 38 20 22 085