Bij negen van de tien organisaties waar InSpark over de vloer komt, is de identity-basis niet op orde. De pijn is meestal niet zichtbaar. Tot er iemand binnen komt.
MFA aan hebben voelt vaak als 'basis op orde'. Onder die MFA leven nog uitzonderingen voor kantoorlocaties, accounts van mensen die al jaren weg zijn, en beheerders die 24 uur per dag global admin zijn.
Wat lijkt op een fundament is vaak een laag verf over scheuren die niet zelf dichtgaan. Pim Jacobs en Guus van Berge, beide security-leads bij InSpark, bespraken deze scheuren in een webinar.
Liever de hele opname bekijken? De volledige webinar vind je hieronder:
Conditional Access is het zero-trust-fundament binnen Microsoft. Of het werkt, hangt af van één vraag. Heb je een MFA-policy zonder uitzonderingen?
In de praktijk staat er bijna altijd wel iets bij. Kantoorlocaties whitelisten zodat collega's geen pop-up krijgen. Corporate devices buiten de check houden.
"Als je op een VDI van ons zit, is het veilig", zo vatte Guus van Berge tijdens het webinar de gangbare gedachte samen. Ooit pragmatisch bedoeld, vandaag een achterdeur die zes jaar later nog open staat.
Daar moet je volgens hem echt afstand van nemen. Hetzelfde geldt voor printers en legacy-applicaties die nog draaien op oude authenticatie.
Die horen niet in een uitzonderingslijst. Die horen in het nulpunt van je conditional-access-framework, met modern authentication afgedwongen.
Wie Windows Hello for Business uitrolt op de werkplek, krijgt phishing-resistent inloggen zonder MFA-pop-ups. De werkplek is dan zelf de tweede factor.
Pim Jacobs ziet bij vrijwel elke klant hetzelfde patroon zodra hij naar het joiner-mover-leaver-proces kijkt.
"Bij negen van de tien bedrijven waar ik kom, is dit proces eigenlijk niet op orde."
Pim Jacobs | Technology Lead Security bij InSpark
Na een eerste inrichting blijft regelmatig een set van honderd of meer accounts over. Het zijn mensen die allang uit dienst zijn, en hun account leeft nog. Met een betaalde licentie eraan.
Vatbaar voor aanvallen, en geld dat elke maand wegloopt.
De oplossing zit niet in een aparte tool. Een HR-koppeling via Identity Governance kan al met een E3-licentie. HR weet wanneer iemand begint, wisselt of vertrekt.
Wanneer die gegevensstroom in de Active Directory of Entra binnenkomt, wordt het account aangemaakt, beweegt het mee met functiewisselingen, en gaat het uit zodra het arbeidscontract eindigt.
Pim noemt dat in 99 procent van de gevallen een investering die zichzelf terugverdient. Het is een optelsom van licenties die je niet meer betaalt voor mensen die er niet meer zijn.
Klassieke phishing is bekend. Iemand stuurt je een link, je vult je wachtwoord in op een nep-pagina, en de aanvaller logt in. Daar zijn organisaties redelijk alert op.
Consent phishing is de variant die je vandaag tegenkomt zonder dat je er een woord over hoort. De link opent een toestemmingsvenster in plaats van een inlogscherm. De applicatie wil namens jou toegang tot je OneDrive, SharePoint en mail.
De meeste mensen lezen die toestemming niet door. Ze klikken op accepteren omdat ze ergens bij moeten zijn. Op dat moment heeft de aanvaller geen wachtwoord nodig. Die heeft de toegang al gekregen.
Dit is af te schermen een E3-licentie. Je kunt het overal openzetten voor profielgegevens, en dichthouden voor SharePoint en OneDrive-data.
App-registratie staat nog vaak open voor iedereen. Daar is geen Defender-bundle voor nodig. De knop om dat te beperken zit al in je tenant, ongeacht je licentie. Iemand moet hem alleen omzetten.
Op E5-niveau komt Identity Protection erbij. Die bekijkt elke inlogpoging tegen het profiel dat van de gebruiker bekend is.
Een inlog vanaf een veilig apparaat, vanuit Nederland, met phishing-resistente authenticatie? Geen probleem. Tien minuten later een inlog vanuit Londen?
Daar klopt iets niet aan.
Guus illustreerde dit tijdens het webinar met zijn eigen positie in de Rotterdamse studio. Iemand kan zichzelf niet in tien minuten naar de overkant van het Kanaal verplaatsen.
Identity Protection markeert die poging direct, en Conditional Access kan er actie aan koppelen. Blokkeren is dan de meest drastische optie.
Hetzelfde geldt voor inlogs vanaf IP-adressen die bekend staan binnen hackerscircuits. Voor wachtwoorden die op het darkweb te koop staan en door Microsoft continu worden gescand. Voor verkeer dat via gemaskeerde IP-adressen binnenkomt.
Het patroon klopt of het klopt niet. Het systeem hoeft niet te raden.
Privileged Identity Management gaat over één gedachte. Een global admin hoort niemand 24 uur per dag te zijn.
Een werkplekbeheerder die de hele dag global admin-rechten heeft om incidenteel een Intune-aanpassing te doen, is een onnodig risico. Zodra iemand die account compromitteert, ligt de hele tenant open.
"Ga nou eens kijken naar wat iemand echt voor werkzaamheden uitvoert en ga hem de rechten geven die passen bij die persoon zijn werkzaamheden."
Guus van Berge | Practice Lead Security bij InSpark
Het alternatief is just-in-time toegang met een approval-flow. Pim adviseert organisaties vaak een set van twintig of dertig rollen, waarvan je de vier hoogste alleen activeert met goedkeuring van een collega.
Het is het vier-ogen-principe, zoals in de medische wereld bij medicatie. De beheerder zonder activatie zit thuis op de bank en kan niets stuk maken.
PIM zit in de Entra Premium P2-bundle en kan los voor een beperkte set admins. Vijfduizend gebruikers hoeven geen E5 als er maar dertig beheerders zijn.
Een klassieke VPN tussen werkplek en datacenter is nog gangbaar. Site-to-site of client-VPN.
Wie ermee binnenkomt, zit op het netwerk. En wie op het netwerk zit, kan in theorie elke server bereiken. "Kom maar binnen, ga je gang", zoals Guus het tijdens het webinar formuleerde.
Identity-driven netwerktoegang werkt anders. Global Secure Access stuurt het verkeer via Conditional Access en geeft toegang op applicatie-niveau. Het netwerk eromheen blijft afgeschermd.
Iemand van de administratie die toegang nodig heeft tot één financiële applicatie krijgt verbinding met die applicatie. Niet met de naastliggende file-server, niet met de productiedatabase, niet met het printer-segment.
Dezelfde logica geldt voor internetverkeer. Zo kan je bijvoorbeeld op rol-niveau instellen dat Dropbox dicht staat, behalve voor marketing-medewerkers die het nodig hebben voor externe bureaus.
Threat Intelligence van Microsoft draait standaard mee en blokkeert links naar bekende phishing-domeinen.
Niet elke organisatie heeft hetzelfde vertrekpunt. Wie nu op E3 zit en de basis nog niet rond heeft, hoeft niet aan E5 te denken.
De stappen liggen binnen E3. Conditional Access met MFA zonder uitzonderingen, een werkende HR-koppeling, consent-phishing dichtgezet en app-registratie afgeschermd. Dat is een traject van keuzes, geen licentie-upgrade.
Op E5 komt Identity Protection erbij, samen met Access Reviews, Access Packages en de hele Defender-stack. Op dit niveau wordt identity-governance pas écht volwassen, en PIM kan los via P2 voor de beheerders.
E7 is voor wie actief werkt met Microsoft Copilot en zelfgemaakte agents, wat Microsoft frontier firms noemt. In sommige tenants leven honderden agents zonder dat iemand precies weet van wie ze zijn. Daar past governance op agents bij, met lifecycle workflows die ze stoppen als hun sponsor uit dienst gaat.
Heb je geen agents in productie, dan is E7 een relatief dure stap. Een goed uitgeruste E5 kan tot slot oplossingen als Okta of SailPoint vervangen. Voor wie nu nog dubbel betaalt, is dat een besparing die in de FinOps-analyse vaak wordt vergeten.
Lees meer over E7 in de blog De Microsoft licentiesuites uitgelegd: deel 4. En toen was daar E7
De basis op orde brengen is geen project met een einddatum. Het is een serie keuzes die niemand meer voor je maakt wanneer ze nodig zijn.
Een goede plek om te beginnen is je eigen MFA-policy. Staat er een uitzondering bij? Voor welke locatie, voor welk device, voor welke rol?
En kun je nog steeds verantwoorden waarom die er staat?
Wil je weten of jouw identity-basis op orde is? Plan een sparringsessie met onze experts of bekijk de dienstverlening rondom Identity & Access Management.