Voor de Servicedesk (de basis)

Download het volledige document als PDF: Conditional Access uitgelegd – Voor de Servicedesk (de basis).pdf

Versie: 1.0
Datum publicatie: 10 juni 2025

---

Conditional Access uitgelegd – Voor de Servicedesk (de basis) is een heldere en praktische handleiding voor Servicedeskmedewerkers die te maken krijgen met gebruikersvragen over toegangsproblemen, MFA-verzoeken en foutmeldingen in Microsoft 365. Zonder diepgaande beheerderskennis biedt dit document inzicht in de werking van Microsoft Conditional Access (CA), zodat de eerste lijn beter kan inschatten wat er speelt en gerichter kan doorverwijzen.

Wat is Conditional Access?

Conditional Access is een functie binnen Microsoft Entra ID (voorheen Azure AD), waarmee organisaties de toegang tot applicaties kunnen sturen op basis van context. Niet alleen wie je bent telt, maar ook waar je bent, vanaf welk apparaat je werkt, hoe veilig je aanmelding lijkt, en welke applicatie je probeert te openen.

De basisregel is simpel: toegang wordt alleen verleend als aan bepaalde voorwaarden wordt voldaan. Zo kan een policy bepalen dat gebruikers die vanaf een onbekend apparaat of een ander land inloggen, extra moeten verifiëren of zelfs geblokkeerd worden.

Belangrijke bouwstenen van Conditional Access

Policies bestaan uit vier hoofdbestanddelen:

1. Gebruiker of groep: de mensen op wie de regel van toepassing is.
2. Applicatie: bijvoorbeeld Teams, SharePoint of alle cloudapps.
3. Conditie(s): locatie, apparaatstatus, risiconiveau.
4. Actie: toegang toestaan, blokkeren of extra beveiligingsmaatregelen vragen zoals MFA.

Ook factoren als gebruikersrisico (bijvoorbeeld verdachte loginpogingen) en apparaatstatus (beheerd of niet-beheerd) spelen een rol.

Veelgebruikte Conditional Access policies

Er zijn een aantal veelvoorkomende beleidsregels die veel organisaties hanteren:

• MFA buiten kantoor: Als iemand niet via een bekend (bedrijfs)netwerk werkt, is MFA verplicht.
• Blokkeren op basis van locatie: Aanmeldingen uit risicovolle landen kunnen direct geweigerd worden.
• Alleen toegang vanaf beheerde apparaten: Bijvoorbeeld verplicht werken via Intune-geregistreerde laptops.
• Gastgebruikers beperken tot browsertoegang: Externe gebruikers kunnen alleen documenten bekijken, niet downloaden.
• Toegang blokkeren bij hoog aanmeldingsrisico: Bij verdachte inlogpogingen wordt toegang geweigerd of een wachtwoordreset vereist.

Servicedeskmedewerkers moeten deze policies kunnen herkennen aan de hand van meldingen van gebruikers en weten hoe ze ze moeten uitleggen.

Opbouw van een CA-policy

Een policy instellen gebeurt stapsgewijs:

1. Kies de gebruikers(groep)
2. Bepaal op welke app(s) de policy van toepassing is
3. Stel condities in: locatie, apparaatstatus, risiconiveau
4. Bepaal de actie: blokkeren, toestaan met MFA, alleen browsertoegang
5. Test de policy eerst in “report-only”-modus
6. Schakel de policy daarna pas in

Het belang van testen mag niet worden onderschat; een verkeerde policy kan gebruikers onbedoeld buitensluiten.

Veelvoorkomende vragen en hoe je ze uitlegt

Gebruikers merken Conditional Access pas als hun gedrag of werkomgeving verandert. Veelvoorkomende meldingen zijn:

• “Waarom moet ik ineens MFA gebruiken?” → Omdat je buiten kantoor werkt of op een onbeheerd apparaat zit.
• “Ik kan niet meer inloggen buiten kantoor” → Er is mogelijk een policy ingesteld die toegang beperkt tot het bedrijfsnetwerk of alleen toestaat vanaf beheerde apparaten.
• “Ik krijg een foutmelding: toegang geweigerd” → De gebruiker voldoet niet aan een of meer voorwaarden in de policy, bijvoorbeeld door een risicovolle aanmelding of het ontbreken van MFA.
• “Waarom moet ik mijn wachtwoord wijzigen?” → Het systeem detecteerde een verdacht risico en eist om veiligheidsredenen een wachtwoordreset.

Hoe achterhaal je welke policy van toepassing is?

Met toegang tot de Sign-in logs in Microsoft Entra ID (onder ‘Monitoring’) kun je precies zien:

• Welke policy is geëvalueerd
• Of deze toegang toestond, blokkeerde of MFA vereiste
• Welke condities actief waren (locatie, apparaat, risico)

Deze informatie is essentieel om een melding te kunnen verklaren of door te verwijzen naar de juiste beheerder.

Conclusie

Met deze basiskennis van Conditional Access kan de Servicedesk beter inschatten waar meldingen vandaan komen, gebruikers duidelijker informeren en met meer vertrouwen doorverwijzen. Door het herkennen van patronen in gebruikersvragen en foutmeldingen, draagt de Servicedesk actief bij aan een veilige én gebruiksvriendelijke werkplek.