Vervaet IT Consulting
IT-Diensten
Over Ons
Contact
Blog
Support
09 217 03 60

Microsoft 365 & Azure

Microsoft Defender

Netwerk & Infrastructuur

Microsoft Intune

IT Support

Conditional Access in Microsoft 365: beveiliging voor je KMO

20/05/2026

Conditional Access in Microsoft Entra ID: de beveiligingslaag die elke KMO nodig heeft

Leestijd: ~6 min

Waarom wachtwoorden alleen al lang niet meer volstaan

Je medewerker werkt vanuit een terrasje in Gent, logt in op Microsoft 365 met z’n laptop — en jij weet van niks. Geen melding, geen controle, geen probleem… toch?
Tot het wél een probleem is. Want wat als dat geen laptop van je medewerker was, maar een toestel van iemand anders? Dit is precies waar Conditional Access in Microsoft 365 een rol speelt. Het is de slimme beveiligingslaag — onderdeel van Microsoft Entra ID (het vroegere Azure Active Directory) — die niet alleen vraagt wie je bent, maar ook waar je bent, welk toestel je gebruikt en wat je probeert te doen.
In dit artikel leg ik uit hoe Conditional Access in Microsoft 365 werkt, waarom het ook voor KMO’s onmisbaar is, en hoe je ermee start zonder je medewerkers gek te maken.

Wat is Conditional Access in Microsoft 365 precies ?

Conditional Access (CA) is een beleidssysteem binnen Microsoft Entra ID dat toegang tot cloud-apps — zoals Microsoft 365, Teams, SharePoint of zelfs je eigen bedrijfsapplicaties — regelt op basis van voorwaarden.

Je kan het vergelijken met een slimme portier: iemand mag enkel binnen als aan de juiste combinatie van criteria wordt voldaan.

Die criteria kunnen zijn:

  • Gebruiker of groep — Enkel bepaalde medewerkers of afdelingen
  • Locatie — Enkel van Belgische IP-adressen, of net alles behalve bepaalde landen
  • Toestel — Enkel beheerde toestellen (via Microsoft Intune)
  • App — Enkel voor gevoelige applicaties zoals financiële tools
  • Risicosignaal — Microsoft detecteert verdacht aanmeldgedrag en blokkeert automatisch

Het resultaat van die controle is altijd één van drie acties: toegang verlenen, toegang blokkeren, of extra verificatie eisen (zoals multifactorauthenticatie — MFA).

Waarom is dit ook voor KMO’s relevant?

“Wij zijn te klein om gehackt te worden.” Ik hoor het regelmatig bij klanten. Maar de realiteit is het tegenovergestelde: kleinere bedrijven zijn net aantrekkelijker voor aanvallers, precies omdat ze minder beveiligd zijn.

Een paar cijfers om dit concreet te maken:

  • Over 99% van de gecompromitteerde accounts had geen MFA ingeschakeld (bron: Microsoft Digital Defense Report)
  • Credential stuffing — waarbij gestolen wachtwoorden automatisch worden uitgetest — treft ook kleine bedrijven
  • Ransomware-aanvallen beginnen steeds vaker met een gelekte Microsoft 365-login

Conditional Access is geen luxe die alleen grote enterprises zich kunnen veroorloven. Met een Microsoft 365 Business Premium-licentie heb je al toegang tot de volledige CA-functionaliteit.

De meest nuttige CA-policies voor een KMO

Hieronder vind je de vier beleidsregels die ik bij vrijwel elke klant als eerste instel. Ze bieden een solide basis zonder de gebruikerservaring onnodig te verstoren.

1. MFA verplichten voor alle gebruikers

De absolute minimum. Iedere inlogpoging — zeker van buiten het kantoornetwerk — vereist een tweede verificatiestap via de Microsoft Authenticator-app.

Werkt zo: Gebruiker logt in → Microsoft vraagt om goedkeuring in de Authenticator-app → Toegang verleend.

Tip: stel een named location in voor je kantoor-IP. Zo kan je interne aanmeldingen eventueel vrijstellen van MFA om de dagelijkse werking vlot te laten lopen.

2. Risicovolle aanmeldingen blokkeren of beperken

Microsoft Identity Protection scoort elke aanmelding op risico. Een inlog vanuit een onbekend land, via een anoniem netwerk (Tor) of op een verdacht tijdstip krijgt een hoge risicoscore.

Met een eenvoudige CA-policy kan je instellen: “Bij hoog aanmeldrisico → blokkeer toegang” of “Bij gemiddeld risico → eis MFA.”

Dit beschermt je zelfs als wachtwoorden lekken — de aanvaller kan er niets mee als het systeem de aanmelding automatisch blokkeert.

3. Niet-conforme toestellen weren

Heb je Intune ingezet voor toestelbeheer? Dan kan je Conditional Access koppelen aan compliance-status. Een toestel zonder de laatste beveiligingsupdates, zonder BitLocker-encryptie of zonder antivirusbescherming krijgt simpelweg geen toegang.

Dit is bijzonder nuttig als medewerkers ook privétoestellen gebruiken (BYOD — Bring Your Own Device). Je maakt een duidelijk onderscheid: beheerde toestellen krijgen volledige toegang, onbeheerde toestellen enkel lees-toegang via de browser.

4. Legacy authenticatie blokkeren

Oudere mailprogramma’s en protocollen (zoals IMAP, POP3 of oudere versies van Outlook) ondersteunen geen MFA. Aanvallers misbruiken dit actief.

Door legacy authenticatie te blokkeren via een CA-policy, sluit je een van de meest gebruikte achterdeurtjes. In de praktijk heeft vrijwel geen enkele KMO nog een legitieme reden om deze protocollen open te laten staan.

Hoe begin je eraan? Een gefaseerde aanpak

Conditional Access in één keer volledig uitrollen is een recept voor supporttickets en gefrustreerde medewerkers. Ik werk altijd met een gefaseerde aanpak:

Fase 1 — Rapporthoud modus (report-only) Stel je eerste policies in op “Report only”. Ze zijn actief, maar blokkeren nog niets. Je ziet in de logs wie er geraakt zou worden — zonder impact op de productiviteit. Doe dit minstens één tot twee weken.

Fase 2 — Uitrol per groep Activeer policies eerst voor een kleine testgroep (bij voorkeur de IT-verantwoordelijke en een paar pilootgebruikers). Werk eventuele kinderziektes weg.

Fase 3 — Breeduirol Activeer voor alle gebruikers. Communiceer op voorhand wat medewerkers mogen verwachten en voorzien een korte handleiding voor de Authenticator-app.

Fase 4 — Monitoring en onderhoud Conditional Access is geen “set and forget”. Bekijk maandelijks de inlograpportages in de Entra-portal. Pas policies aan als je organisatie groeit of als nieuwe bedreigingen opduiken.

Veelgemaakte fouten

Even eerlijk zijn: er zijn dingen die ik zelf ook moest leren door schade en schande.

Break-glass-account vergeten: Altijd minstens één noodaccount (zonder CA-policies) aanmaken en veilig bewaren. Eén verkeerde policy kan je anders volledig buitensluiten van je eigen tenant — ook als beheerder.

Te agressieve policies van bij de start: Een policy die meteen alles blokkeert wat niet aan de regels voldoet, geeft chaos. Begin gefaseerd.

Geen uitzonderingen voor service-accounts: Sommige automatiseringstools of integraties gebruiken eigen accounts. Sluit die uit van CA-policies of voorzie specifieke regels — anders vallen plots kritieke processen stil.

Conclusie

Conditional Access is geen rocket science, maar het vraagt wel een doordachte aanpak. Voor KMO’s is het de meest impactvolle beveiligingsstap die je kan zetten na het activeren van MFA — en ze horen eigenlijk hand in hand te gaan.

De combinatie van Entra ID, Intune en Conditional Access vormt de kern van wat Microsoft Zero Trust noemt: vertrouw niemand automatisch, verifieer altijd. Het klinkt streng, maar in de praktijk merken goed geconfigureerde gebruikers er nauwelijks iets van.

Wil je weten hoe jullie huidige Microsoft 365-omgeving scoort op vlak van identiteitsbeveiliging? Ik doe regelmatig korte Entra ID-audits voor KMO’s — neem gerust contact op via ons contactformulier.

 

Microsoft-documentatie

Kevin Vervaet — IT-consultant bij Vervaet IT | Specialist Modern Workplace & Cloud Security Gepubliceerd op vervaet-it.be

IT-Diensten
Microsoft 365 & Azure
Microsoft Defender
Netwerk & Infrastructuur
Microsoft Intune
IT Support

Over Ons

Contact

Blog

Support
09 217 03 60