Waar ter wereld je ook bent, met de moderne werkplek kun je overal optimaal presteren. Maar dat zorgt ook voor meer beveiligingsrisico's en daarom is het belangrijk om de toegang tot bedrijfsinformatie goed te regelen. Een manier om dit te doen is door gebruik te maken van Conditional Access. We leggen je in dit artikel uit wat Conditional Access is, hoe het jouw organisatie helpt en hoe je het effectief implementeert zonder de productiviteit van je medewerkers te belemmeren.
Conditional Access betekent niets meer of minder dan dat medewerkers mogen inloggen op je omgeving als ze aan bepaalde voorwaarden voldoen. Daarbij kun je denken aan voorwaarden als locatie, met welk apparaat en of inloggen een risico vormt. Daarbovenop kan er extra verificatie van de geclaimde identiteit plaatsvinden, bijvoorbeeld met multifactorauthenticatie (MFA).
Bij afname van een extra licentie ‘volgt’ een AI-systeem de gebruiker en wordt gemonitord waarvandaan hij inlogt. Zo leert de AI-tool patronen herkennen en kan afwijkend gedrag worden gedetecteerd. Wordt er een afwijking gezien, dan krijgt de beheerder een seintje om één en ander te controleren. Of de gebruiker mag eenvoudigweg niet meer inloggen, voordat is gecheckt of dit goed gaat.
Conditional Access gaat daarbij verder dan Role Based Access: waar Role Based Access toegang koppelt aan de rol van een gebruiker, stel je met Conditional Access meer eisen aan iedere inlogpoging. Daarbij kun je denken aan:
Nu we overal en met ieder zakelijk of privé-apparaat kunnen werken, nemen de risico’s rondom cybersecurity toe. Het is dan ook cruciaal om de risico’s zo veel mogelijk te beperken en ervoor te zorgen dat niet iedereen zomaar kan inloggen. Bij Conditional Access maak je gebruik van het Zero Trust-principe, waarbij je van iedere gebruiker de identiteit vaststelt bij een inlogpoging. Dit houdt in:
Beleid kun je per gebruiker, afdeling, locatie en op applicatieniveau afstemmen. Daarbij maak je bijvoorbeeld onderscheid tussen locaties binnen of buiten kantoor en welk apparaat er gebruikt wordt. Vinden er binnen jouw organisatie veel zakelijke trips plaats? Dan moet je ook hier rekening mee houden: je kunt bijvoorbeeld locaties in het buitenland blokkeren, maar ook alleen locaties buiten Europa. We geven je een paar best practices:
Je kunt Conditional Access in combinatie met multifactorauthenticatie (MFA) gebruiken. Probeer dan wel een tussenweg te vinden in hoe vaak je MFA wil afdwingen. Medewerkers gebruiken namelijk gemiddeld zo’n zeven applicaties per dag en telkens opnieuw inloggen is niet efficiënt en niet gebruikersvriendelijk. Daarom kun je instellen dat een gebruiker bijvoorbeeld eenmaal dient in te loggen met MFA en vervolgens één keer per week of per maand deze MFA te herhalen op hetzelfde apparaat. Voldoet het apparaat niet aan de eisen, zoals antivirus of encryptie? Of logt de gebruiker in vanaf een ander apparaat? Dan is het verstandiger om iedere dag de identiteit van de gebruiker te verifiëren met MFA.
2. Locaties
Verder moet je jezelf afvragen vanaf welke locaties en apparaten je medewerkers mogen inloggen op de omgeving. Stel, er vindt een hack plaats of een apparaat wordt gestolen en vervolgens is er een inlogpoging vanuit het buitenland. Dat kan verdacht zijn. Misschien mogen medewerkers alleen vanuit Nederland inloggen op het netwerk, dus dan klopt deze inlogpoging niet met de gestelde voorwaarden. Er volgt daarom een extra controle op basis van Conditional Access en de toegang tot het bedrijfsnetwerk wordt vervolgens geblokkeerd.
3. Admin accounts
Ook voor admin accounts hoor je extra eisen te stellen: een beheerder met een Global admin account kan immers alles in je omgeving. Deze extra rechten zorgen ook voor grotere risico’s en dus is het verstandig om op deze accounts bij iedere inlogpoging MFA af te dwingen.
4. Basis security-eisen voor apparaten
Ten slotte moeten ook de apparaten waarop wordt ingelogd, voldoen aan de basis security-eisen: is Windows up-to-date, maakt het apparaat gebruik van encryptie en een antivirusprogramma? Voldoet een apparaat niet aan deze eisen, dan is het slim om iedere dag inloggen met MFA af te dwingen. Anders is in de regel eenmaal per 30 dagen voldoende. Hiervoor dienen de apparaten wel in Intune te staan.
Een vereiste voor het toepassen van Conditional Access is Azure AD Premium P1. Dit is onderdeel van je Microsoft 365 Business Premium-licentie. Je stelt Conditional Access in vanuit Azure AD, waar je rechten toewijst aan gebruikers, groepen, apparaten en cloudapps. Conditional Access werkt daarnaast samen met Microsoft Defender for Cloud Apps, waarmee je sessies realtime bewaakt en beheert. Dit zorgt voor grotere controle over de toegang tot en activiteiten binnen je cloudomgeving.
Binnen Conditional Access heb je daarnaast beschikking over een dashboard om risico’s te monitoren. Dat kan op apparaatniveau zijn, maar ook op gebruikersniveau. De beheerder krijgt een melding van alle risico’s. Doordat je vervolgens direct ziet met welk apparaat, welk IP-adres en vanuit welk land een gebruiker probeert in te loggen, kun je eenvoudig zien op welke voorwaarden het misgaat.
Wil jij graag je organisatie beschermen met Conditional Access, maar kun je wel wat hulp gebruiken? Wil je weten wat er precies mogelijk is? Wij helpen je graag met het vaststellen van de voorwaarden en helpen je bij het opstellen van beleidsregels. Schakel je ons in? Dan gaan we eerst van start met een pilot met een beperkt aantal gebruikers en afdelingen. Pas als alles op rolletjes loopt en we alle feedback uit de pilot hebben verwerkt, gaan we live met Conditional Access voor de hele organisatie. Neem hiervoor telefonisch contact met ons op via 088 - 181 1300 of mail ons op info@handsonict.nl. Onze IT-consultants helpen je graag!
Weet jij waar je huidige gaten zitten in de cybersecurity? Met de Vulnerability Scan ontvang je geprioriteerde aanbevelingen om de juiste corrigerende maatregelen te nemen om jouw IT-security naar een hoger niveau te tillen. Hierbij heb je inzicht in wat je als organisatie zelf kunt oppakken en wat Hands on ICT eventueel voor je kan doen om je organisatie beter te beveiligen. Wil je naar een structureel veilige ICT-omgeving? Neem dan onze YourSecurity dienstverlening af. Hiermee verzeker je jezelf dat je proactief met IT security aan de slag bent; een onmisbare eerste stap om je organisatie gericht en efficiënt te beschermen tegen cyberaanvallen.