Conditional Access voor MKB: wat, wanneer, hoe?

Conditional Access is het "als dit, dan dat" van M365-security. Klinkt groot — is eigenlijk 5 policies die 80% van de risico's afdekken. Hier de minimum-set.

Conditional Access (CA) laat je policies maken als "vereis MFA wanneer X". Klinkt enterprise, maar de minimum-set is behapbaar voor MKB.

5 policies die je wil hebben

1. Block legacy authentication. Oude e-mail-protocollen kunnen geen MFA. Als je ze niet gebruikt, block alles.
2. Require MFA for all users. De basis-policy.
3. Require MFA for privileged roles. Met stricter controls (geen app-password, geen trusted device remember).
4. Require compliant device for admin portals. Alleen bedrijfs-beheerde laptops mogen in admin.microsoft.com of Azure portal.
5. Block sign-in from risky countries. Als je bedrijf geen Aziatische business heeft: block logins uit dat gebied. Lage kosten, hoge blocker voor credential-stuffing.

Licentie-vereisten

Conditional Access zit in Azure AD Premium P1 (of in Business Premium). Als je alleen Business Basic hebt: upgrade minstens de 2-3 privileged-account-licenties naar P1.

Test-modus eerst

Elke nieuwe policy start in "report only". Je ziet 1 week wat er geblokkeerd zou zijn zonder dat er daadwerkelijk iets mis gaat. Pas daarna "on".

Break-glass account

Maak één account waar CA NIET op van toepassing is. Sterke random-wachtwoord, geprint in een kluis. Als je CA-config je uitsluit, is dit je redding.

Zie ook: M365-pillar, MFA uitrollen.