💼 Management Samenvatting
Met een specifiek Conditional Access-beleid dat een compliant apparaat vereist, dwingt de organisatie af dat toegang tot Microsoft 365 en andere cloudapplicaties alleen plaatsvindt vanaf werkplekken die aantoonbaar worden beheerd en voldoen aan het vastgestelde beveiligingsniveau. Dit beleid vormt een concrete vertaling van het Zero Trust-principe dat identiteit, apparaat en context altijd gezamenlijk worden gevalideerd voordat toegang wordt verleend.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
40u (tech: 24u)
Van toepassing op:
✓ M365
✓ Entra ID
✓ Entra ID
Veel Nederlandse overheidsorganisaties hebben de afgelopen jaren geïnvesteerd in identiteitsbeveiliging, zoals Multi-Factor Authenticatie (MFA) en strengere wachtwoordbeleidsregels, maar laten tegelijkertijd nog steeds toe dat gebruikers vanaf onbeheerde thuis-pc’s, oude laptops of niet-gepatchte mobiele toestellen verbinding maken met gevoelige cloudomgevingen. In zo’n situatie functioneert MFA feitelijk als een slot op een wankele deur: de identiteit wordt wel gecontroleerd, maar de staat van het apparaat blijft onbekend. Dit creëert een structurele kwetsbaarheid: een gecompromitteerde privé‑laptop met keyloggers, ongepatchte software of ongecontroleerde browser-extensies kan alsnog als springplank dienen naar basisregistraties, zaaksystemen of documenten met staats- of persoonsgevoelige informatie. Bovendien wordt het vrijwel onmogelijk om richting toezichthouders als AP, ADR of sectorale inspecties aan te tonen dat toegang tot cloudomgevingen echt alleen vanaf beveiligde, door de organisatie beheerde werkplekken plaatsvindt. Door een expliciet Conditional Access-beleid te configureren dat een compliant of hybride joined apparaat vereist, wordt deze lacune gedicht: identiteit, apparaat en sessie‑context worden samen beoordeeld en onbeheerde werkplekken worden automatisch uitgesloten.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze maatregel beschrijft hoe u een doelgericht Conditional Access-beleid opzet dat toegang tot Microsoft 365 en andere bedrijfskritische SaaS‑toepassingen uitsluitend toestaat vanaf apparaten die in Intune zijn geregistreerd en voldoen aan de ingestelde compliance‑regels, of die als hybride Azure AD joined zijn gekoppeld aan het domein. Het beleid wordt ontworpen met een duidelijke scope (bijvoorbeeld alle medewerkers met toegang tot persoonsgegevens of vertrouwelijke beleidsdocumenten), een set uitgesloten break‑glass accounts voor noodscenario’s, en een gefaseerde overgang van report‑only naar enforced. In de praktijk betekent dit dat bij elke aanmelding niet alleen gebruikersnaam en MFA worden gecontroleerd, maar dat Entra ID de compliance‑status van het apparaat ophaalt en alleen toegang verleent als aan alle randvoorwaarden is voldaan. Voor uitzonderingen – zoals leveranciers, specialistische apparatuur of tijdelijke crisissituaties – wordt een expliciet en kortdurend uitzonderingsproces ingericht, zodat de beveiligingsbasis in stand blijft zonder de continuïteit van kritieke processen te ondermijnen.
Vereisten
Voordat een Conditional Access-beleid dat een compliant apparaat vereist effectief kan worden ingericht, moet een aantal technische en organisatorische randvoorwaarden zijn geborgd. Allereerst is een moderne identiteitsinfrastructuur noodzakelijk in de vorm van Microsoft Entra ID met licenties die Conditional Access en Intune-integratie ondersteunen, zoals Microsoft 365 E3/E5 of afzonderlijke Entra ID Premium P1/P2 bundels. Vervolgens moeten de primaire werkplekken – denk aan Windows 10/11‑desktops, laptops, Surface‑apparaten, maar ook iOS- en Android‑toestellen – zijn aangesloten op een centraal endpointbeheersysteem, in de praktijk vrijwel altijd Microsoft Intune, eventueel in combinatie met Configuration Manager voor co‑managementscenario’s. Zonder zo’n beheerlaag kan de organisatie simpelweg niet betrouwbaar vaststellen of een apparaat versleuteld is, actuele beveiligingsupdates heeft en voldoet aan de eigen hardening‑richtlijnen.
Minstens zo belangrijk zijn heldere beleidskaders waarin is vastgelegd wat een ‘compliant apparaat’ precies betekent binnen de context van de organisatie. Op basis van onder meer de BIO, het NCSC‑advies voor werkplekbeveiliging en eventueel sectorale normen worden concrete minimumeisen geformuleerd. Voorbeelden zijn verplichte schijfversleuteling met BitLocker of FileVault, automatische installatie van beveiligingsupdates, een moderne antivirus- of endpointbeveiligingsoplossing, een ingestelde schermvergrendeling met korte time‑out, en beperking van lokale administratorrechten. Deze eisen worden vertaald naar Intune‑compliancebeleid per platform en risicoprofiel, zodat bijvoorbeeld een generieke kantoorwerkplek andere technische drempels kan hebben dan een beheerderslaptop met toegang tot privileged omgevingen.
Ten slotte zijn bestuurlijke verankering en communicatie naar de organisatie onmisbaar. Het bestuur, de CISO‑organisatie en lijnmanagement moeten begrijpen dat het afdwingen van compliant apparaten in eerste instantie kan leiden tot meer meldingen bij de servicedesk en tijdelijke blokkades voor gebruikers die nog niet zijn overgezet naar een beheerde werkplek. Door tijdig communicatiecampagnes te organiseren, selfservice‑instructies beschikbaar te stellen en tijdelijk extra ondersteuning in te zetten, kan de overgang gecontroleerd en voorspelbaar verlopen. Voor kritieke functies zoals crisiscoördinatoren, meldkamers of 24/7‑diensten worden vooraf redundante, compliant werkplekken ingericht, zodat het nieuwe beleid juist in crisissituaties bijdraagt aan de weerbaarheid in plaats van een extra risico te introduceren.
Implementatie
De implementatie van een Conditional Access-beleid dat compliant apparaten vereist, start met een grondige inventarisatie van de huidige aanmeldpatronen. Door sign‑in logs in Entra ID te analyseren, bijvoorbeeld via de ingebouwde rapportages of Microsoft Graph API, brengt u in kaart vanaf welke typen apparaten gebruikers inloggen, welke client‑apps worden gebruikt (moderne clients, oudere Office‑versies, browsers) en welke locaties en netwerken een rol spelen. Deze analyse laat vrijwel altijd zien dat er een mix bestaat van beheerde werkplekken, privé‑apparaten en soms zelfs verouderde systemen die nog via basisverificatie of onveilige protocollen verbinding maken. Op basis van deze inzichten bepaalt u een transitiestrategie: welke gebruikersgroepen worden eerst overgezet naar beheerde, compliant werkplekken en welke oude scenario’s moeten versneld worden uitgefaseerd.
Vervolgens richt u in Intune per platform consistente compliancebeleid in die direct aansluiten op de eerder vastgestelde beveiligingseisen. Voor Windows‑apparaten gaat het bijvoorbeeld om het afdwingen van BitLocker met een veilig herstelbeleid, het verplicht stellen van een ondersteunde Windows‑versie, het controleren van de status van Microsoft Defender Antivirus of een andere EDR‑oplossing, en het blokkeren van toestellen die te ver achterlopen met kwaliteits- en beveiligingsupdates. Voor mobiele apparaten kunnen aanvullende eisen gelden rondom apparaatversleuteling, pincode‑beleid, jailbreak- of rootdetectie en beperking van sideloading. Door grace‑periods en meldingen richting gebruikers in te bouwen, krijgen medewerkers de kans hun apparaat naar compliance te brengen voordat toegang daadwerkelijk wordt geblokkeerd, wat de acceptatie aanzienlijk vergroot.
Wanneer de basis in Intune staat, wordt het eigenlijke Conditional Access‑beleid ingericht. Een beproefde aanpak is om te starten met een beleid in ‘report‑only’-modus dat alle aanmeldingen evalueert en rapporteert welke sessies zouden zijn geblokkeerd als de compliant‑apparaatvereiste al enforced was. Deze rapportages gebruikt u om de impact op uiteenlopende gebruikersgroepen te bepalen en om uitzonderingsscenario’s te identificeren, zoals specialistische apparatuur of externe leveranciers die (nog) niet naar Intune kunnen worden overgezet. Daarna definieert u één of meerdere productiebeleiden met een duidelijke naamgeving, waarin u bijvoorbeeld alle gebruikers opneemt behalve twee zorgvuldig beheerde break‑glass accounts, alle cloud‑apps target of juist een subset met persoonsgegevens en kritieke processen, en als grant control ‘Require device to be marked as compliant’ en eventueel ‘Require hybrid Azure AD joined device’ selecteert. Door gefaseerd te werken – eerst beperkte pilots, daarna uitrol naar bredere groepen – kan het beleid veilig worden aangescherpt zonder onverwachte verstoringen van de dienstverlening.
Monitoring
Gebruik PowerShell-script conditional-access-compliant-device.ps1 (functie Invoke-Monitoring) – Controleert Conditional Access-beleid op een compliant-device of hybride joined vereiste en geeft een overzicht van relevante policies..
Remediatie
Gebruik PowerShell-script conditional-access-compliant-device.ps1 (functie Invoke-Remediation) – Biedt een basistemplate voor het aanmaken van een Conditional Access-beleid dat compliant of hybride joined apparaten vereist voor toegang..
Compliance en Auditing
Het afdwingen van een compliant-apparaatvereiste via Conditional Access levert directe en goed te onderbouwen bewijslast op voor meerdere normenkaders die van toepassing zijn op Nederlandse overheidsorganisaties. Binnen de Baseline Informatiebeveiliging Overheid (BIO) sluit deze maatregel nauw aan bij maatregelen rondom veilige werkplekken, toegangsbeveiliging en het principe dat toegang tot informatievoorzieningen alleen mag plaatsvinden vanaf door de organisatie beheerde voorzieningen. In auditrapporten kan concreet worden aangetoond dat toegang tot Microsoft 365 en andere cloudomgevingen uitsluitend wordt verleend aan gebruikers die werken vanaf apparaten die voldoen aan het vastgestelde werkplek‑ en hardeningbeleid.
Ook in het kader van de AVG en NIS2 versterkt dit beleid de positie van de organisatie richting toezichthouders. Door te kunnen laten zien dat onbeheerde apparaten systematisch worden uitgesloten, dat Intune‑rapportages inzicht geven in de compliance‑status van alle aangesloten werkplekken, en dat Conditional Access‑logs aantonen welke aanmeldingen zijn geblokkeerd wegens het niet voldoen aan de apparaatvereisten, ontstaat een robuuste audittrail. Deze loggegevens kunnen worden gekoppeld aan risicoanalyses, CISO‑rapportages en verantwoording aan directie of college, waardoor duidelijk wordt dat de organisatie niet alleen op identiteitsniveau, maar juist ook op het niveau van het eindpunt gerichte maatregelen heeft getroffen. Documenteer tot slot expliciet welke uitzonderingen tijdelijk zijn toegestaan, onder welke voorwaarden deze gelden, hoe zij worden gemonitord en wanneer herbeoordeling plaatsvindt, zodat auditors kunnen vaststellen dat uitzonderingen beheerst en proportioneel worden toegepast.
Compliance & Frameworks
- CIS M365: Control 1.2.1 (L2) - Beperk toegang tot cloudresources tot apparaten die voldoen aan organisatiebrede beveiligings- en configuratiestandaarden via Conditional Access.
- BIO: 09.02, 09.04 - BIO-maatregelen voor veilige werkplekken en het gebruik van beheerde voorzieningen voor toegang tot informatie.
- ISO 27001:2022: A.5.15, A.8.20 - Beheer van toegangsrechten en toepassing van passende beveiligingsmaatregelen op eindpunten.
Risico zonder implementatie
Risico zonder implementatie
High: Zonder een Conditional Access-beleid dat compliant apparaten vereist, kunnen gebruikers vanaf onbeheerde en mogelijk gecompromitteerde apparaten toegang krijgen tot kritieke SaaS-diensten en gevoelige gegevens, wat het risico op ransomware, datalekken en misbruik van beheerdersaccounts aanzienlijk vergroot.
Management Samenvatting
Richt een expliciet Conditional Access-beleid in dat alleen toegang verleent vanaf Intune-compliant of hybride joined apparaten. Dit sluit onbeheerde thuis-pc's uit, versterkt de Zero Trust-architectuur en levert sterke auditbewijzen op voor BIO, AVG en NIS2.
- Implementatietijd: 40 uur
- FTE required: 0.15 FTE