Support 
Conditional Access Policies gebruiken om toegang te beveiligen
05/01/2023 - 3 min readConditional Access Policies kunnen je bedrijf beter helpen beveiligen. Dat is geen overbodige luxe. Cybercriminaliteit is al enkele jaren niet meer uit het nieuws weg te slaan. Dagelijks lees je berichten over allerhande bedrijven, groot en klein, die gehackt en afgeperst worden.
Zoals al vaak gemeld op deze blog bestaat er niet zoiets als dé magische security oplossing. Beveiliging is een combinatie van verschillende producten, trainingen en technieken die het de hacker zo moeilijk mogelijk maken om in jouw omgeving binnen te geraken. En het begint uiteraard met de gebruiker zelf. Geen enkele technologie kan je beschermen als een gebruiker bijvoorbeeld zijn login deelt door onoplettend te zijn.
In deze blog lichten we een simpele, maar effectieve beveiligingsmethode toe die misschien minder gekend is: Conditional Access Policies.
Wat zijn Conditional Access Policies?
Conditional Access Policies zorgen voor een voorwaardelijke toegang tot het bedrijfsnetwerk. Met andere woorden: iemand krijgt pas toegang tot het netwerk als hij aan een of meerdere voorwaarden voldoet. Wat deze voorwaarden precies (moeten) zijn hangt af van de situatie en er zijn bij wijze van spreken 1001 mogelijkheden (en combinaties van al die mogelijkheden). In een wereld waar medewerkers van overal werken (thuis, hotel, buitenland …) bieden Conditional Access Policies een antwoord op het afdwingen van de nodige controles alvorens toegang te verlenen.
Maar je kan de Conditional Access Policies ook voor meer gebruiken dan ‘strengere toegangscontrole’. Zo kan je ze ook inzetten om bijvoorbeeld slimmer om te gaan met multi factor authenticatie (MFA).
Voorbeelden van Conditional Access Policies
Met enkele voorbeelden kunnen we de kracht van Conditional Access Policies het best toelichten.
Voorbeeld 1: afdwingen van een locatie
Als je vanop kantoor werkt moet je geen MFA gebruiken, maar als je vanop een andere locatie (thuis, bij een klant,…) werkt wel. Op basis van het gebruikte IP-adres wordt er bepaald of je wel of niet MFA moet gebruiken.
Voorbeeld 2: afdwingen van bepaalde applicaties
Als je in de Office applicatie inlogt, moet je geen MFA gebruiken. Maar als je wilt inloggen in de interne boekhouding, wordt er wel MFA gevraagd.
Voorbeeld 3: afdwingen MFA voor “riskante” gebruikers
Als je driemaal een fout wachtwoord hebt ingevoerd (je toetsenbord stond bijvoorbeeld in Qwerty in plaats van Azerty), dan wordt er voor de zekerheid MFA afgedwongen vooraleer je verder kan gaan (gesteld dat je ondertussen het juiste wachtwoord hebt ingegeven).
Voorbeeld 4: niet afdwingen op trusted devices
Als je werkt op een trusted toestel van je bedrijf, dat ook door jouw bedrijf met Device Management gemanaged wordt, kan je inloggen met enkel een paswoord. Als je op een ander toestel inlogt, moet je wel MFA gebruiken.
Dit zijn slechts enkele voorbeelden van wat er mogelijk is, maar zoals al aangegeven, is de lijst zeer uitgebreid. We sluiten af met nog enkele concrete mogelijkheden:
- Je kan op voorhand aangeven in welke applicaties mensen mogen inloggen met hun werkaccount.
- Bij specifieke gebruikers (bijvoorbeeld Global admins) sowieso MFA afdwingen.
- De sign in frequency instellen: bepalen dat browsers waarmee je inlogt jouw gegevens niet mogen onthouden.
- Blokkeer standaard inlogpogingen uit bepaalde landen (of andersom, sta enkel pogingen toe vanuit Belgie).
