Support 
Conditional Access Policies gebruiken om toegang te beveiligen
05/01/2023 - 3 min readConditional Access Policies kunnen uw bedrijf beter helpen beveiligen. Dat is geen overbodige luxe. Cybercriminaliteit is al enkele jaren niet meer uit het nieuws weg te slaan. Dagelijks leest u berichten over allerhande bedrijven, groot en klein, die gehackt en afgeperst worden.
Zoals al vaak gemeld op deze blog bestaat er niet zoiets als dé magische security oplossing. Beveiliging is een combinatie van verschillende producten, trainingen en technieken die het de hacker zo moeilijk mogelijk maken om in uw omgeving binnen te geraken. En het begint uiteraard met de gebruiker zelf. Geen enkele technologie kan u beschermen als een gebruiker bijvoorbeeld zijn login deelt door onoplettend te zijn.
In deze blog lichten we een simpele maar effectieve beveiligingsmethode toe die misschien minder gekend is: Conditional Access Policies.
Wat zijn Conditional Access Policies?
Conditional Access Policies zorgen voor een voorwaardelijke toegang tot het bedrijfsnetwerk. Met andere woorden: iemand krijgt pas toegang tot het netwerk als hij aan een of meerdere voorwaarden voldoet. Wat deze voorwaarden precies (moeten) zijn hangt af van de situatie en er zijn bij wijze van spreken 1001 mogelijkheden (en combinaties van al die mogelijkheden). In een wereld waar medewerkers van overal werken (thuis, hotel, buitenland,…) bieden Conditional Access Policies een antwoord op het afdwingen van de nodige controles alvorens toegang te verlenen.
Maar u kan de Conditional Access Policies ook voor meer gebruiken dan “strengere toegangsconrole”. Zo kan u ze ook inzetten om bijvoorbeeld slimmer om te gaan met multi factor authenticatie (MFA).
Voorbeelden van Conditional Access Policies
Met enkele voorbeelden kunnen we de kracht van Conditional Access Policies het best toelichten.
Voorbeeld 1: afdwingen van een locatie
Als u vanop kantoor werkt moet u geen MFA gebruiken, maar als u vanop een andere locatie (thuis, bij een klant,…) werkt wel. Op basis van het gebruikte IP-adres wordt er bepaald of je wel of niet MFA moet gebruiken.
Voorbeeld 2: afdwingen van bepaalde applicaties
Als u in de Office applicatie inlogt, moet u geen MFA gebruiken. Maar als u wilt inloggen in de interne boekhouding, wordt er wel MFA gevraagd.
Voorbeeld 3: afdwingen MFA voor “riskante” gebruikers
Als u 3 maal een fout wachtwoord heeft ingevoerd (uw toetsenbord stond bijvoorbeeld in Qwerty in plaats van Azerty), dan wordt er voor de zekerheid MFA afgedwongen vooraleer u verder kan gaan (gesteld dat u ondertussen het juiste wachtwoord heeft ingegeven).
Voorbeeld 4: niet afdwingen op trusted devices
Als u werkt op een trusted toestel van uw bedrijf, dat ook door uw bedrijf met Device Management gemanaged wordt, kan u inloggen met enkel een paswoord. Als u op een ander toestel aanlogt, moet u wel MFA gebruiken.
Dit zijn slechts enkele voorbeelden van wat er mogelijk is, maar zoals al aangegeven is de lijst zeer uitgebreid. We sluiten af met nog enkele concrete mogelijkheden:
- U kan op voorhand aangeven in welke applicaties mensen mogen inloggen met hun werkaccount.
- Bij specifieke gebruikers (bijvoorbeeld Global admins) sowieso MFA afdwingen.
- De sign in frequency instellen: bepalen dat browsers waarmee u inlogt uw gegevens niet mogen onthouden.
- Blokkeer standaard inlogpogingen uit bepaalde landen (of andersom, sta enkel pogingen toe vanuit Belgie).
