Governance van Microsoft Entra Conditional Access in 2026

Het is 09:12 op een dinsdag wanneer Maria, de CISO van een snelgroeiende Europese fintech, een DORA-gereedheidsrapport opent dat routine had moeten zijn. Haar Microsoft Entra Conditional Access-dashboard ziet er sterk uit. MFA wordt afgedwongen voor beheerders. Verouderde authenticatie is geblokkeerd. Aanmeldingen met een hoog risico worden uitgedaagd of geweigerd. Gevoelige financiële applicaties vereisen compatibele apparaten. Browsertoegang vanaf onbeheerde endpoints is beperkt.

Daarna leest zij de auditbevinding.

“Uw Conditional Access-regels zijn technisch solide, maar staan op zichzelf. Toon ons het door het bestuur goedgekeurde beleid dat deze instellingen verplicht stelt. Toon ons de wijzigingsregistratie voor de regel die vorige maand is aangepast. Toon ons hoe het beleid voor aanmeldingen met een hoog risico actief was tijdens de vermoedelijke credential-stuffingaanval. Toon ons hoe dit bewijsmateriaal ISO 27001, DORA, NIS2 en GDPR ondersteunt.”

Het identiteitsteam kan configuraties exporteren. Het SOC kan aanmeldingslogboeken tonen. De compliancemanager kan verwijzen naar een beleidsmap. Maar niemand kan één beheerst bewijsverhaal leveren dat risico, beleid, goedkeuring, configuratie, uitzonderingen, monitoring, incidentrespons, privacyverplichtingen en directiebeoordeling met elkaar verbindt.

Dat is het governanceprobleem rond Conditional Access in 2026.

Microsoft Entra Conditional Access is niet langer alleen een identiteitsinstelling. Het is een beheersysteem op governanceniveau dat bepaalt wie toegang krijgt tot cloudservices, onder welke voorwaarden, vanaf welke apparaten, met welke authenticatiesterkte en met welke sessiebeperkingen. Voor gereguleerde organisaties moeten die beslissingen uitlegbaar, verdedigbaar en gekoppeld zijn aan verplichtingen onder ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST en COBIT 2019.

Conditional Access is nu een auditeerbaar beheersysteem

Conditional Access bevindt zich op het snijvlak van identiteit, apparaatstatus, applicatiegevoeligheid, locatie, aanmeldingsrisico, gebruikersrisico, sessiegedrag en logging. Eén beleidsregel kan MFA vereisen, een compatibel apparaat afdwingen, toegang vanaf een risicovolle locatie blokkeren, downloads vanuit onbeheerde browsers beperken of herauthenticatie afdwingen wanneer het risico verandert.

Dat maakt het tot een van de sterkste afdwingingspunten voor Zero Trust in Microsoft-cloudomgevingen. Het maakt het ook zeer goed auditeerbaar.

Onder ISO/IEC 27001:2022 is een beheersmaatregel niet volwassen alleen omdat deze in een portaal bestaat. De organisatie moet haar context begrijpen, informatiebeveiligingsrisico’s beoordelen, risicobehandelingen selecteren, de Verklaring van Toepasselijkheid documenteren, beheersmaatregelen uitvoeren, de doeltreffendheid monitoren en in de tijd verbeteren. Relevante clausules zijn onder meer Clausule 6.1.2 voor risicobeoordeling, Clausule 6.1.3 voor risicobehandeling, Clausule 7.5 voor gedocumenteerde informatie, Clausule 8.1 voor operationele planning en beheersing, Clausule 9.1 voor monitoring en Clausule 9.3 voor directiebeoordeling.

Bijlage A, afgestemd op ISO/IEC 27002:2022, biedt de praktische taal voor beheersmaatregelen die auditors herkennen. Conditional Access ondersteunt doorgaans:

• 5.15 toegangscontrole
• 5.16 identiteitsbeheer
• 5.17 authenticatie-informatie
• 5.18 toegangsrechten
• 8.1 eindgebruikersapparaten
• 8.2 geprivilegieerde toegangsrechten
• 8.3 beperking van toegang tot informatie
• 8.5 beveiligde authenticatie
• 8.15 logging
• 8.16 monitoringactiviteiten

Voor organisaties die onder EU-regelgeving vallen, is de governancelast nog duidelijker. NIS2 Article 20 legt de verantwoordelijkheid bij managementorganen om maatregelen voor cyberbeveiligingsrisicobeheer goed te keuren en daarop toezicht te houden. NIS2 Article 21 vereist passende en evenredige technische, operationele en organisatorische maatregelen, waaronder toegangscontrole, beheer van bedrijfsmiddelen, cyberhygiëne, incidentafhandeling, beveiliging van de toeleveringsketen, beoordeling van de doeltreffendheid en, waar passend, multifactorauthenticatie of continue authenticatie. NIS2 Article 23 introduceert gefaseerde melding van significante incidenten, waaronder een vroege waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur en een eindrapport binnen één maand.

DORA stelt vergelijkbare verwachtingen aan financiële entiteiten. Article 5 vereist een intern governance- en beheerskader. Article 6 vereist een ICT-risicobeheerkader. Article 9 behandelt bescherming en preventie, waaronder toegangsbeperkingen en praktijken voor identiteitsbeheer. Articles 10, 11, 17, 18 en 19 verbinden detectie, respons, herstel, ICT-incidentbeheer, classificatie en rapportage. Aangezien DORA sinds 17 januari 2025 van toepassing is, moeten financiële entiteiten Conditional Access behandelen als onderdeel van het bewijsmateriaal voor operationele weerbaarheid, niet alleen als identiteitsverharding.

GDPR voegt het privacyperspectief toe. Als Conditional Access systemen beschermt die persoonsgegevens verwerken, ondersteunt het de verantwoordingsbeginselen van Article 5, de verantwoordelijkheid van de verwerkingsverantwoordelijke in Article 24, gegevensbescherming door ontwerp in Article 25 en beveiliging van de verwerking in Article 32. Als ongeautoriseerde toegang wordt vermoed, kunnen Conditional Access-logboeken onderdeel worden van het bewijsmateriaal voor inbreukbeoordeling en melding.

De fout is om dit als afzonderlijke auditverzoeken te behandelen. De volwassen aanpak is één governancemodel voor Conditional Access dat kan worden uitgesplitst naar raamwerk, toezichthouder, klant of bestuurspubliek.

Configuratie is geen governance

De meeste organisaties kunnen de vraag beantwoorden: “Wat is geconfigureerd?” Minder organisaties kunnen de moeilijkere vragen beantwoorden:

• Waarom is deze Conditional Access-beleidsregel op deze manier geconfigureerd?
• Welk risicoscenario behandelt deze?
• Welke beleidsclausule stelt dit verplicht?
• Wie heeft de wijziging goedgekeurd?
• Welke gebruikers, applicaties en apparaten zijn uitgesloten?
• Hoe wordt dit getest?
• Welke logboeken bewijzen dat het heeft gewerkt?
• Hoe vaak wordt dit beoordeeld?
• Wat gebeurt er wanneer het faalt?

Hier ontstaan meestal auditbevindingen. Beleid bestaat, maar is niet gekoppeld aan Microsoft Entra-instellingen. Apparaatnaleving is belegd bij IT-operaties, maar niet gekoppeld aan toegangscontrolerisico. Beleidsregels voor aanmeldingsrisico zijn ingeschakeld zonder gedocumenteerde drempels of escalatieregels. Sessiebeperkingen zijn geconfigureerd, maar nooit getest vanaf onbeheerde apparaten. Logboeken worden bewaard, maar niet omgezet in bruikbaar auditbewijsmateriaal.

Clarysec behandelt dit als een traceerbaarheidsprobleem. Elke Conditional Access-beslissing moet beleid, risico, beheersmaatregel, configuratie, bewijsmateriaal en beoordeling met elkaar verbinden.

Het MKB-Beleid voor gebruik van cloudservices stelt:

Multifactorauthenticatie (MFA) voor beheerders- en gebruikersaccounts

Uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.2.2.

Die clausule is het mandaat. De Conditional Access-regel is de afdwinging. Het aanmeldingslogboek is het bewijsmateriaal. De beoordelingsregistratie toont het toezicht aan.

Het MKB-Beleid voor netwerkbeveiliging voegt de eis voor apparaatstatus toe:

Systemen zonder actuele antivirus, patches of een aanvaardbare apparaatstatus moeten worden geblokkeerd of in quarantaine worden geplaatst

Uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.4.3.

In Microsoft Entra-termen kan dit worden vertaald naar “compatibel apparaat vereisen”, “niet-ondersteunde platforms blokkeren”, “onbeheerde browsersessies beperken” of “toegang tot applicaties met een hoog risico vanaf onbekende apparaten weigeren”. Maar de beheersmaatregel is pas volledig wanneer de organisatie toepassingsgebied, goedkeuring, testen, uitzonderingen en monitoring kan aantonen.

Bouw de governancebasis vóór de regelset

Een sterk Conditional Access-programma begint buiten het Entra-portaal. Het begint met het ISMS, het risicoregister, het toegangscontrolebeleid, het beleid voor gebruik van cloudservices, de SoA en het bewijsmodel.

Clarysec’s Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint biedt een praktische volgorde. In de fase Risicobeheer, stap 13, planning van risicobehandeling en Verklaring van Toepasselijkheid, instrueert deze roadmap organisaties om beheersmaatregelen te verbinden met risico’s en regelgevende drijfveren:

Kruisverwijs naar regelgeving: als bepaalde beheersmaatregelen specifiek zijn geïmplementeerd om te voldoen aan GDPR, NIS2 of DORA, kunt u dat vastleggen in het risicoregister (als onderdeel van de onderbouwing van de risico-impact) of in de SoA-notities.

Voor Conditional Access verandert dit het bewijsverhaal. In plaats van te zeggen: “Wij hebben MFA ingeschakeld”, kan de organisatie zeggen:

• Risicoscenario: gecompromitteerde gebruikersreferenties maken ongeautoriseerde toegang mogelijk tot klantgegevens in Microsoft 365 en financiële SaaS.
• Risico-eigenaar: hoofd IT-beveiliging.
• Behandeling: Entra Conditional Access vereist sterke MFA voor geprivilegieerde rollen, MFA voor gebruikers, blokkering op basis van aanmeldingsrisico, compatibele apparaten voor gevoelige applicaties en sessiebeperkingen voor onbeheerde endpoints.
• Koppeling aan ISO/IEC 27002:2022: 5.15, 5.16, 5.17, 5.18, 8.1, 8.2, 8.3, 8.5, 8.15 en 8.16.
• Koppeling aan regelgeving: NIS2 Articles 20, 21 en 23, DORA Articles 5, 6, 9, 10, 17 en 18, GDPR Articles 24, 25, 32 en 33.
• Bewijsmateriaal: beleidsgoedkeuring, Conditional Access-export, wijzigingsticket, testresultaten, aanmeldingslogboeken, rapportages over apparaatnaleving, uitzonderingenregister, SOC-tickets en notulen van directiebeoordelingen.

De Zenith Blueprint legt in de fase Controls in Action, stap 19, ook uit waarom apparaatstatus onderdeel moet zijn van de toegangsbeslissing:

Toegang tot informatie via endpoints moet contextbewust zijn. Voldoet het apparaat bijvoorbeeld aan minimale beveiligingsnormen voordat het toegang krijgt tot bedrijfsmiddelen? Heeft het onlangs een malwarescan doorstaan? Maakt het verbinding vanaf een ongebruikelijke locatie of vanuit een ongebruikelijk netwerk? Door integratie met Zero Trust-principes kan apparaatstatus worden meegenomen in conditional access, waarbij toegang wordt geweigerd totdat het apparaat aantoont dat het veilig is.

Dat is het kernprincipe van governance. Conditional Access moet risicogebaseerd, contextbewust en bewijsproducerend zijn.

Koppel Conditional Access-beslissingen aan beheersdoelstellingen

Een volwassen programma definieert standaard toegangsbeslissingen en koppelt deze vervolgens aan governance-intentie en bewijsmateriaal. Dit voorkomt wildgroei aan beleidsregels en maakt auditgesprekken eenvoudiger.

Het Enterprise-Beleid voor gebruik van cloudservices ondersteunt centrale identiteitsintegratie:

Single Sign-On (SSO)-integratie met de IdP van de organisatie is vereist om authenticatieconsistentie te waarborgen.

Uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.2.4.

Het Enterprise-Beleid voor beheer van gebruikersaccounts en privileges maakt monitoring expliciet:

Het gebruik van Single Sign-On (SSO)-systemen moet worden geïntegreerd met centrale identiteitsproviders (bijv. Active Directory (AD), Azure AD) en worden gemonitord op afwijkende aanmeldactiviteit.

Uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.3.4.

Samen vereisen deze clausules meer dan SSO. Zij vereisen een centrale identiteitsarchitectuur, consistente authenticatie, monitoring van afwijkende aanmeldingen en bewijsmateriaal dat toegangsbeslissingen worden beoordeeld.

Apparaatnaleving: de beheersmaatregel die auditors kunnen testen

Apparaatnaleving is een van de gebieden die het gemakkelijkst wordt overschat. Een dashboard kan tonen dat 92 procent van de apparaten compatibel is, maar een auditor zal vragen of de regel geldt voor de applicaties die ertoe doen, of persoonlijke apparaten zijn toegestaan, of niet-ondersteunde platforms zijn geblokkeerd en of uitzonderingen zijn goedgekeurd.

Het Enterprise-Beleid voor werken op afstand stelt de goedkeuringsbaseline vast:

BYOD-apparaten moeten expliciet worden goedgekeurd en:

Uit de sectie “Governancevereisten”, beleidsclausule 5.2.2.

Die korte zin is belangrijk. BYOD is niet alleen een technische status. Het is een governancebeslissing. In Conditional Access moet dit worden vertaald naar regels voor apparaateigendom, minimale nalevingsbaselines, encryptievereisten, controles op patches en malwarebescherming, mobiele appbescherming, behandeling van contractanten en beoordeling van uitzonderingen.

Clarysec’s Zenith Controls: The Cross-Compliance Guide Zenith Controls koppelt ISO/IEC 27002:2022-beheersmaatregel 5.15 Toegangscontrole als preventief, gericht op bescherming van vertrouwelijkheid, integriteit en beschikbaarheid binnen de operationele capaciteit voor identiteits- en toegangsbeheer. De gids verbindt toegangscontrole ook met eindgebruikersapparaten, omdat onbeheerde laptops, mobiele apparaten en desktops gecentraliseerde afdwinging van toegang kunnen ondermijnen.

Een praktisch kwartaalpakket met bewijsmateriaal voor Conditional Access-apparaten moet het volgende bevatten:

• Goedgekeurde baseline voor apparaatnaleving.
• Conditional Access-beleidsregels die compatibele apparaten vereisen.
• Applicaties die door die beleidsregels worden beschermd.
• Export van uitgesloten gebruikers, groepen, applicaties en platforms.
• Trendrapport over niet-compatibele apparaten.
• Voorbeelden van geblokkeerde aanmeldingslogboeken voor niet-compatibele apparaten.
• Uitzonderingenregister met eigenaar, reden, vervaldatum en risicoacceptatie.
• Registratie van directiebeoordeling.

Dit bewijspakket ondersteunt operationele beheersing onder ISO/IEC 27001:2022, NIS2-cyberhygiëne, DORA-bescherming en preventie, en GDPR-verantwoordingsplicht.

Aanmeldingsrisico: detectie moet beslissingsbewijsmateriaal worden

Risicogebaseerde Conditional Access is waar identiteitsdetectie overgaat in toegangsgovernance. Microsoft Entra kan signalen beoordelen zoals onbekende aanmeldingseigenschappen, anonieme IP-adressen, onmogelijke verplaatsing en gelekte referenties. Maar auditors zullen “risicobeleid ingeschakeld” niet als eindantwoord accepteren. Zij zullen vragen waarom drempels zijn gekozen, wie risicovolle gebeurtenissen beoordeelt en wanneer een aanmelding met een hoog risico een incident wordt.

Het MKB-Beleid voor logging en monitoring definieert een minimale loggingvereiste:

Authenticatielogboeken: geslaagde en mislukte aanmeldpogingen, sessieduur, MFA-gebruik

Uit de sectie “Governancevereisten”, beleidsclausule 5.4.2.

Het Enterprise-Beleid voor logging en monitoring verbreedt de verwachte set gebeurtenissen:

Vast te leggen gebeurtenistypen (bijv. aanmeldingen, mislukte toegangspogingen, configuratiewijzigingen, beheeropdrachten, malwaredetectie)

Uit de sectie “Governancevereisten”, beleidsclausule 5.1.1.

Voor Conditional Access moet bruikbaar bewijsmateriaal geslaagde aanmeldingen, mislukte aanmeldingen, het resultaat van Conditional Access-beleid, MFA-methode, aanmeldingsrisico, gebruikersrisico, apparaatnalevingsstatus, geraadpleegde applicatie, locatie, clienttoepassing, resultaat van sessiecontrole, beleidswijzigingshistorie en beheerdersacties omvatten.

Zenith Controls koppelt ISO/IEC 27002:2022-beheersmaatregel 8.16 Monitoringactiviteiten als detectief en corrigerend, gekoppeld aan Detect- en Respond-concepten. De gids verbindt monitoring met logging, gebeurtenisbeoordeling, threat intelligence, leveranciersmonitoring en incidentbeheer. Ook koppelt hij monitoringactiviteiten aan GDPR Articles 32 en 33, NIS2-incidentmonitoring en -rapportage, DORA-opvolging van ICT-incidenten, continue monitoring volgens NIST en beveiligingsmonitoring volgens COBIT.

Een door Conditional Access geblokkeerde aanmelding met een hoog risico is daarom niet alleen beveiligingswinst. Het is bewijsmateriaal dat preventieve, detectieve en responsprocessen met elkaar zijn verbonden.

Sessiebeheersmaatregelen: de schakel tussen toegang en gegevensbescherming

Beslissingen vóór toegang zijn niet voldoende. Zodra een gebruiker is geauthenticeerd, bepalen sessiebeheersmaatregelen hoeveel blootstelling overblijft. Dit is vooral belangrijk voor onbeheerde apparaten, contractanten, werken op afstand, gedeelde terminals, risicovolle locaties en applicaties die persoonsgegevens verwerken.

Het MKB-Beleid voor applicatiebeveiligingsvereisten stelt:

Sessiebeheer: sessiegegevens moeten verlopen na 15 minuten inactiviteit en waar van toepassing time-outwaarschuwingen bevatten.

Uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.1.1.3.

In Microsoft Entra-governance kan dit worden gekoppeld aan aanmeldingsfrequentie, beperkingen voor persistente browsersessies, Conditional Access App Control, door apps afgedwongen beperkingen, downloadblokkering, herauthenticatie na risicowijzigingen en op gevoeligheid gebaseerde sessiebeperkingen.

Sessiebeheersmaatregelen ondersteunen ISO/IEC 27002:2022-beheersmaatregel 8.3 Beperking van toegang tot informatie en 8.5 Beveiligde authenticatie. Zij ondersteunen ook GDPR Article 32 door ongeautoriseerde inzage, downloads of persistentie van toegang tot persoonsgegevens te verminderen. Voor DORA helpen sessiebeperkingen de blootstelling in ICT-systemen te beperken en ondersteunen zij detectie en respons. Voor NIS2 zijn zij evenredige maatregelen voor toegangscontrole en cyberhygiëne.

Het bewijsmateriaal moet uitleggen waarom de sessiebeheersmaatregel bestaat. Bijvoorbeeld: “downloads blokkeren vanaf onbeheerde apparaten voor HR- en financiële applicaties” moet worden gekoppeld aan lekkage van persoonsgegevens, endpointcompromittering en verlies van vertrouwelijkheid. Bewijsmateriaal moet configuratie, applicatiescope, testaanmeldingen vanaf beheerde en onbeheerde apparaten, logboeken die beperkingen aantonen en goedkeuringsregistraties omvatten.

Maak een register voor Conditional Access-beheersmaatregelen

Een register voor Conditional Access-beheersmaatregelen is de operationele brug tussen het risicoregister, de Verklaring van Toepasselijkheid en Microsoft Entra-configuratie. Het vervangt die documenten niet. Het maakt ze bruikbaar.

Gebruik een beoordelingscyclus in vijf stappen:

1. Bevestig het toepassingsgebied: identificeer cloudapplicaties die gereguleerde, financiële, operationele of persoonsgegevens verwerken.
2. Koppel beleidsregels aan risico’s: koppel elke Conditional Access-beleidsregel aan ten minste één risicoscenario en één risico-eigenaar.
3. Valideer uitsluitingen: exporteer uitgesloten gebruikers, rollen, apps, groepen, locaties en apparaten. Elke uitsluiting moet een eigenaar, reden, goedkeuring en vervaldatum hebben.
4. Test afdwinging: gebruik testaccounts om MFA, apparaatnaleving, risicoblokkering, blokkering van verouderde authenticatie en sessiebeperkingen te verifiëren.
5. Verpak bewijsmateriaal: bewaar exports, screenshots, logboeken en goedkeuringen met metadata.

Het MKB-Beleid voor audit en compliancemonitoring is essentieel voor de integriteit van bewijsmateriaal:

Metadata (bijv. wie het heeft verzameld, wanneer en uit welk systeem) moeten worden gedocumenteerd.

Uit de sectie “Vereisten voor beleidsimplementatie”, beleidsclausule 6.2.3.

Screenshots zonder bron, datum, verzamelaar en systeemcontext zijn zwak bewijsmateriaal. Conditional Access-exports, aanmeldingslogboeken en beoordelingsrapportages moeten worden behandeld als beheerde auditregistraties.

Cross-compliancekoppeling voor Conditional Access-bewijsmateriaal

De waarde van Conditional Access is dat één set beheersmaatregelen meerdere auditperspectieven kan ondersteunen wanneer deze goed wordt beheerd.

Zenith Controls koppelt 5.15 Toegangscontrole ook aan GDPR Article 32, NIS2 Article 21(2)(i), DORA-concepten voor toegangsgovernance, toegangscontrolefamilies in NIST SP 800-53 en COBIT 2019 DSS06.04. De gids koppelt 8.5 Beveiligde authenticatie aan GDPR Articles 5, 24, 25 en 32, NIS2-cyberbeveiligingsrisicobeheer, DORA ICT-risicobeheer, identificatie en authenticatie volgens NIST, en identiteit en logische toegang volgens COBIT.

De les is eenvoudig. Raamwerken gebruiken verschillende taal, maar verwachten hetzelfde assurancepatroon: de juiste gebruikers, vanuit aanvaardbare contexten, met sterke authenticatie, via beheerde sessies, met logboeken die aantonen wat er is gebeurd.

Hoe auditors Conditional Access zullen onderzoeken

Een ISO/IEC 27001:2022-auditor begint bij het ISMS. Deze zal vragen of Conditional Access binnen het toepassingsgebied valt, welke risico’s het behandelt, hoe het in de SoA is opgenomen, hoe beleidsregels worden goedgekeurd, hoe wijzigingen worden beheerst en of bewijsmateriaal de operationele doeltreffendheid aantoont. Verwacht steekproeven van geprivilegieerde gebruikers, gevoelige applicaties, uitsluitingen en recente beleidswijzigingen.

Een DORA- of NIS2-auditor zal zich richten op operationele weerbaarheid, verantwoordingsplicht van het management en risico. Deze kan vragen hoe toegangscontroles kritieke of belangrijke functies beschermen, hoe het bestuur toezicht houdt op identiteitsrisico’s, hoe aanmeldingen met een hoog risico worden getrieerd en of toegangsfouten input vormen voor incidentclassificatie of rapportagebeslissingen.

Een GDPR-gerichte auditor kijkt naar persoonsgegevens. Deze kan vragen hoe HR-, financiële of klantgegevens worden beschermd tegen onbeheerde apparaten, hoe sessiebeheersmaatregelen ongeautoriseerde inzage verminderen, hoe toegang wordt beperkt tot geautoriseerde gebruikers en hoe logboeken inbreukbeoordeling ondersteunen.

Een COBIT 2019-beoordelaar zoekt naar governancepraktijken, eigenaarschap, metrieken, herhaalbaarheid, prestatiemonitoring en verbetering. Een NIST-georiënteerde assessor vergelijkt uitkomsten voor identiteit, authenticatie, autorisatie, monitoring en respons met technisch bewijsmateriaal.

Het Enterprise-Beleid voor toegangscontrole zet de toon voor geprivilegieerde toegang:

Beheerderstoegang moet strikt worden beheerst via:

Uit de sectie “Governancevereisten”, beleidsclausule 5.4.1.

Uw Microsoft Entra-bewijsmateriaal moet die zin operationeel afmaken. Welke rollen zijn geprivilegieerd? Welke vereisen phishingbestendige of sterke MFA? Welke komen in aanmerking via privileged identity management? Welke accounts zijn break-glass-accounts? Welke zijn uitgesloten van beleidsregels? Wie beoordeelt ze? Waar worden waarschuwingen naartoe gestuurd?

Bestuursmetrieken voor Conditional Access-governance

Omdat NIS2 en DORA de verantwoordingsplicht van het management benadrukken, moet Conditional Access-rapportage begrijpelijk zijn voor het bestuur. Rapporteer niet alleen beleidsnamen. Rapporteer de risicopositie en de prestaties van beheersmaatregelen.

Bruikbare metrieken zijn onder meer:

• Percentage geprivilegieerde accounts dat door sterke MFA wordt beschermd.
• Aantal Conditional Access-uitsluitingen per risiconiveau.
• Aantal aanmeldingen met hoog risico dat is geblokkeerd, uitgedaagd of toegestaan.
• Percentage toegang tot gevoelige applicaties waarvoor compatibele apparaten vereist zijn.
• Aantal sessies vanaf onbeheerde apparaten naar gereguleerde applicaties.
• Tijd om aanmeldingsgebeurtenissen met hoog risico te triëren.
• Aantal wijzigingen in Conditional Access-beleid in het kwartaal.
• Aantal verlopen, verlengde en achterstallige uitzonderingen.
• Dekking van logging voor authenticatie, sessies en beleidswijzigingen.
• Mislukte testgevallen uit de kwartaalvalidatie van Conditional Access.

Deze metrieken zetten identiteitsconfiguratie om in toezichtsbewijsmateriaal. Zij helpen managementorganen ook om goedkeuring, beoordeling, middeleninzet en voortdurende verbetering aan te tonen.

Veelvoorkomende bevindingen die vóór de audit moeten worden opgelost

Conditional Access-bevindingen ontstaan meestal door zwakke governance, niet door technologiefalen. De meest voorkomende kwesties zijn:

• Break-glass-accounts zijn uitgesloten maar worden niet gemonitord.
• Beleidsregels zijn inconsistent benoemd en hebben geen eigenaren.
• Gevoelige applicaties ontbreken in regels voor apparaatnaleving.
• Gastgebruikers en externe samenwerkers omzeilen standaardbeheersmaatregelen.
• Serviceaccounts en workload-identiteiten worden niet afzonderlijk beheerd.
• Detecties van aanmeldingsrisico worden niet getrieerd of gekoppeld aan incidenten.
• Sessiebeheersmaatregelen worden nooit getest vanaf onbeheerde apparaten.
• Beleidswijzigingen worden rechtstreeks in productie doorgevoerd zonder wijzigingsregistraties.
• Uitsluitingen zijn permanent, ongedocumenteerd of mondeling goedgekeurd.
• Logboeken worden bewaard maar niet beoordeeld.
• Bewijsmateriaal mist metadata, broncontext of chain of custody.

Een doeltoestand die gereed is voor 2026 omvat door het management goedgekeurde toegangsgovernance, risicogebaseerd Conditional Access-ontwerp, expliciete koppeling aan ISO/IEC 27001:2022 en ISO/IEC 27002:2022, gedocumenteerde ondersteuning voor NIS2, DORA en GDPR, sterke MFA per rol en risico, apparaatnaleving voor gevoelige toegang, sessiebeperkingen voor onbeheerde contexten, gemonitorde authenticatie- en beleidswijzigingen, een levenscyclus voor uitzonderingen, kwartaaltesten en managementrapportage.

Maak Microsoft Entra geschikt voor auditbewijsmateriaal

Uw Conditional Access-beleidsregels nemen al elke minuut beveiligingsbeslissingen. De vraag is of die beslissingen worden beheerd, risicogebaseerd zijn, worden gemonitord en zijn gekoppeld aan de verplichtingen die voor uw auditors en toezichthouders relevant zijn.

Begin met Zenith Blueprint Zenith Blueprint, vooral stap 13, om Conditional Access-beleidsregels te verbinden met risico’s, behandelingen, de Verklaring van Toepasselijkheid en regelgevende notities. Gebruik Zenith Controls Zenith Controls om toegangscontrole, beveiligde authenticatie, apparaatstatus, logging en monitoring te koppelen over ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, NIST en COBIT 2019.

Stem daarna uw interne vereisten af op Clarysec-beleid, waaronder Cloud Usage Policy-sme, Network Security Policy-sme, Logging and Monitoring Policy-sme, Audit and Compliance Monitoring Policy-sme, Application Security Requirements Policy-sme, Cloud Usage Policy, User Account and Privilege Management Policy, Remote Work Policy, Access Control Policy en Logging and Monitoring Policy.

Clarysec helpt u Microsoft Entra Conditional Access te transformeren van een verzameling instellingen naar een afdwingbaar, meetbaar en auditgereed beheersysteem. Download de relevante Clarysec-toolkits, vraag een beoordeling van beleidskoppelingen aan of plan een assessment om te zien of uw Conditional Access-bewijsmateriaal bestand is tegen toetsing aan ISO 27001, NIS2, DORA en GDPR.