Entra ID, MFA en conditionele toegang: de basis van moderne security

De muur om je netwerk bestaat niet meer

Vroeger was security relatief overzichtelijk: alles binnen het kantoornetwerk was vertrouwd, alles erbuiten niet. Je bouwde een stevige muur — firewalls, VPN's — en daarbinnen was je veilig. Dat model is dood. Met cloud, thuiswerken, mobiele apparaten en SaaS-applicaties is die muur volledig vervaagd.

Wat overblijft als controlepunt is identiteit. Niet 'waar kom je vandaan', maar 'wie ben je, en wat mag je'. Dat is de kern van wat we Zero Trust noemen: vertrouw niets en niemand automatisch, verifieer elke toegangspoging. Microsoft Entra ID (voorheen Azure AD) is het platform waarmee je dat in de Microsoft-wereld inricht.

Laag 1: sterke authenticatie met MFA

Multifactor-authenticatie is verreweg de belangrijkste enkele maatregel die je kunt nemen, en vaak ook de goedkoopste. Een wachtwoord alleen is niet meer genoeg — ze lekken, worden hergebruikt en zijn met phishing zo afgetroggeld. MFA voegt een tweede factor toe: iets dat je hebt (je telefoon) naast iets dat je weet (je wachtwoord).

De impact is enorm. Het overgrote deel van de aanvallen op accounts strandt simpelweg op een goed ingerichte MFA. Als je vandaag één ding zou doen aan je security, dan is het MFA aanzetten voor iedereen — en in het bijzonder voor beheerdersaccounts, want dáár ligt de meeste schade op de loer.

Laag 2: conditionele toegang

MFA is krachtig, maar je wilt gebruikers niet bij elke handeling lastigvallen. Daar komt conditionele toegang om de hoek: regels die per situatie bepalen wat mag, en hoeveel verificatie daarbij hoort.

• Bekend apparaat, op kantoor, normale tijd: soepele toegang, minimale wrijving.
• Onbekend apparaat of vreemde locatie: extra verificatie, of blokkade.
• Inlogpoging vanuit het buitenland terwijl je net nog in Nederland was: automatisch geblokkeerd — dat kan fysiek niet kloppen.
• Gevoelige applicatie: altijd MFA, ongeacht de rest.

Zo krijg je security die meebeweegt met het risico. Laag risico betekent weinig wrijving; hoog risico betekent meer controle. De gebruiker merkt het nauwelijks in de dagelijkse praktijk, terwijl de bescherming substantieel toeneemt.

Laag 3: least-privilege rechten

De derde laag gaat over wat iemand mag zodra ze binnen zijn. Het principe van least-privilege is simpel: iedereen krijgt precies de toegang die nodig is voor het werk — niet meer. Een medewerker op de financiële administratie heeft geen toegang nodig tot de serverconfiguratie, en andersom.

Dit beperkt de schade als een account tóch gecompromitteerd raakt. Een aanvaller die binnenkomt via een gewoon gebruikersaccount kan dan veel minder dan via een account met te ruime rechten. In de praktijk zie ik vaak rechten die in de loop der jaren zijn 'aangegroeid' — mensen wisselen van functie maar houden hun oude toegang. Opschonen daarvan is laaghangend fruit met groot effect.

Waar het misgaat in de praktijk

De techniek is zelden het probleem. Wat ik in de praktijk tegenkom is half werk: MFA aangezet voor een deel van de gebruikers, conditionele toegang met gaten, rechten die niemand meer overziet. Een security die half is ingericht, geeft een vals gevoel van veiligheid.

Een ander veelgemaakt fout: de beheerdersaccounts vergeten. Juist die accounts, met de meeste rechten, hebben de sterkste bescherming nodig — en juist daar wordt nog weleens een uitzondering gemaakt 'voor het gemak'. Dat is precies de deur die je dicht wilt houden.

Begin met de quick wins

Je hoeft dit niet in één keer perfect te maken. Sterker nog, dat lukt nooit. Begin met de maatregelen die het meeste opleveren voor de minste moeite: MFA voor alle gebruikers, extra bescherming voor beheerders, en een eerste opschoning van overbodige rechten.

Het mooie is dat deze maatregelen elkaar versterken én meetellen voor je bredere compliance. Wat je hier inricht draagt direct bij aan je NIS2- en NEN 7510-positie. Eén investering, meerdere doelen — dat maakt identiteitsbeveiliging het slimste startpunt voor wie zijn security serieus wil nemen.

Identiteit is niet langer de sleutel tot de deur — identiteit ís de deur.