Conditional Access in Microsoft 365 is in 2026 de belangrijkste beveiligingslaag die het MKB structureel onderbenut. Veel ondernemers hebben wel ergens aangezet dat er multi-factor authenticatie nodig is, maar Conditional Access doet veel meer dan dat. Het bepaalt voor iedere aanmelding op je zakelijke omgeving of de poging mag doorgaan, op basis van wie de gebruiker is, welk apparaat hij gebruikt, vanuit welke locatie en hoe risicovol Microsoft de sessie inschat. Wie deze regels goed instelt, blokkeert in stilte het overgrote deel van phishing- en credential-aanvallen die anders ongemerkt slagen.
Toch zien wij in onze hostingpraktijk dat veel MKB-omgevingen draaien op de standaard security defaults van Microsoft. Dat is een prima vertrekpunt, maar geen eindstation. In dit artikel leggen we uit wat Conditional Access precies is, welke licentie je ervoor nodig hebt en welke acht regels het verschil maken tussen een omgeving die “MFA aan” heeft en een omgeving die echt bestand is tegen de aanvallen die in 2026 dagelijks voorbijkomen.
Wat is Conditional Access en wie heeft het nodig?
Conditional Access is de policy-engine van Microsoft Entra ID, voorheen bekend als Azure Active Directory. Bij iedere aanmelding kijkt deze engine naar een set signalen: identiteit van de gebruiker, locatie, apparaattype, applicatie waar hij naartoe wil, en risico-indicatoren uit Microsoft Defender. Op basis daarvan past hij regels toe. Mag de aanmelding gewoon doorgaan? Moet er extra verificatie komen? Wordt de toegang geblokkeerd? Of mag de gebruiker alleen via de webbrowser werken en niet downloaden?
Het mooie is dat Conditional Access onzichtbaar is voor je medewerkers zolang zij vanuit hun normale werkpatroon inloggen. Pas wanneer er iets afwijkt, bijvoorbeeld een aanmelding vanuit een ander land of een onbekend apparaat, treedt een regel in werking. Daarmee verlaag je het risico zonder de productiviteit te schaden.
Voor het MKB geldt dat Conditional Access beschikbaar is in Microsoft 365 Business Premium, of via een losse Entra ID P1-licentie. In Business Basic en Business Standard zit Conditional Access niet, daar moet je het doen met security defaults. Wie het serieus meent met M365-beveiliging, ontkomt in 2026 niet aan de stap naar Premium of een aanvullende P1-licentie. Dat klinkt als een upgrade, maar levert acht concrete regels op die je vandaag kunt activeren.
Begin met report-only mode, dan pas afdwingen
Voor we de regels zelf doornemen, een belangrijk advies vooraf. Iedere Conditional Access-regel kun je in Microsoft Entra eerst in report-only mode zetten. De regel logt dan wel of hij getriggerd zou zijn, maar blokkeert nog niets. Zo zie je in de Sign-in logs welke aanmeldingen geraakt zouden zijn voordat je de regel actief afdwingt. Voor MKB-omgevingen adviseren we minstens een week report-only per regel, om uitschieters en zakelijke uitzonderingen te ontdekken. Daarna zet je de regel op On.
De 8 regels die je in 2026 moet hebben
1. MFA verplicht voor alle administrators
De eerste regel is niet onderhandelbaar. Iedere account met een admin-rol, dus Global Admin, Exchange Admin, SharePoint Admin, User Admin en alle andere privileged rollen, moet bij elke aanmelding multi-factor authenticatie doen. Aanvallers richten zich gericht op admin-accounts omdat één compromise de hele omgeving opent. Maak deze regel zo strikt mogelijk: geen “trusted device” uitzonderingen, geen “verleng MFA-vraag tot 30 dagen”. Elke admin-login is een nieuwe MFA-check.
2. MFA verplicht voor alle gebruikers, ook op bekende apparaten
De tweede regel is een uitbreiding van de eerste naar je hele organisatie. Iedere reguliere gebruiker moet ook MFA hebben, met als acceptabele uitzondering dat je voor een al geregistreerd apparaat de MFA-vraag bijvoorbeeld 14 of 30 dagen kunt cachen. Zo loopt het werk normaal door, maar staat de drempel hoog genoeg dat een gestolen wachtwoord alleen niet meer genoeg is. Combineer dit met de andere Outlook-instellingen voor het MKB en je hebt de meest voorkomende aanvalsroute al goed afgedekt.
3. Blokkeer legacy authentication compleet
Legacy authentication is het verzamelterm voor oude inlogprotocollen zoals IMAP, POP3, SMTP-auth en oudere Outlook-clients die geen MFA ondersteunen. Aanvallers gebruiken precies deze protocollen om MFA te omzeilen, omdat ze in oudere clients onbedoeld nog open staan. Een Conditional Access-regel die “Other clients” blokkeert voor alle gebruikers sluit dit gat in één klap. Microsoft is bezig deze protocollen breed uit te zetten, maar in MKB-omgevingen die jaren geleden zijn opgetuigd, zijn ze vaak nog actief. Controleer dit als prioriteit.
4. Beperk toegang tot landen waar je werkelijk werkt
Een geo-blocking-regel voorkomt dat aanmeldingen vanuit landen waar niemand van je organisatie werkt überhaupt door komen. Voor een Nederlandse MKB-organisatie kies je doorgaans Nederland, België, Duitsland en eventueel landen waar collega’s daadwerkelijk reizen of werken. Geen sales in China of klanten in Brazilië? Sluit die landen dan af. Dit blokkeert een groot deel van geautomatiseerde aanvallen die vaak vanuit andere regio’s worden uitgevoerd. Vergeet niet een named location in te richten voor je kantoorlocaties en VPN-uitgangen, en houd rekening met medewerkers die op vakantie kunnen werken (waarvoor je een uitzondering maakt via een aparte groep).
5. Eis een compliant of hybrid-joined apparaat voor gevoelige apps
Niet elke werknemer hoeft op zijn privé-laptop toegang te krijgen tot SharePoint met klantcontracten. Met Microsoft Intune (onderdeel van Business Premium) markeer je apparaten als “compliant” wanneer ze aan jouw eisen voldoen: schijfversleuteling aan, antivirus actief, schermvergrendeling ingesteld. Een Conditional Access-regel kan vervolgens eisen dat toegang tot bijvoorbeeld SharePoint Online, OneDrive of Exchange Online alleen vanaf een compliant of hybrid Entra-joined apparaat mag. Privé-apparaten worden dan automatisch geweerd, of krijgen alleen browser-toegang zonder downloadrechten.
6. Activeer sign-in risk policy om verdachte aanmeldingen te blokkeren
Microsoft Defender for Identity berekent voor iedere aanmelding een risico-score op basis van miljarden inloggegevens. Een aanmelding vanaf een TOR-exitnode, vanuit een onbekende IP-range, of net na een aanmelding vanuit een ander werelddeel (“impossible travel”), krijgt een hoog risico. Een sign-in risk policy stelt dat bij High risk de aanmelding wordt geblokkeerd, en bij Medium risk een aanvullende MFA wordt gevraagd. Dat klinkt eenvoudig, maar het is precies de regel die geautomatiseerde credential-stuffing-aanvallen op stil zet.
7. Activeer user risk policy en forceer wachtwoordreset bij compromise
Naast sign-in risk berekent Microsoft ook een user risk: een score per account, gebaseerd op of gegevens van die gebruiker zijn aangetroffen in een datalek, of er ongebruikelijk gedrag wordt gedetecteerd, of dat een wachtwoord recent op het dark web is gespot. Een user risk policy kan bij High user risk automatisch een wachtwoordreset afdwingen voordat de gebruiker verder kan. Dat draait het scenario waarbij een gestolen wachtwoord wekenlang ongebruikt blijft en dan ineens wordt ingezet, volledig om.
8. Stel sessiecontroles in voor onbeheerde apparaten
De laatste regel is voor het scenario waarin een medewerker toch even op een gedeelde computer of privé-laptop moet werken. Met een sessiecontrole in Conditional Access dwing je dan af dat de toegang alleen via de browser loopt, geen sync naar lokaal mogelijk is, en de sessie na een korte tijd verloopt. Dit gebruik je vaak in combinatie met regel 5: compliant apparaten krijgen volledige toegang, niet-compliant apparaten krijgen alleen een gelimiteerde browser-sessie. Zo blijft werken op afstand mogelijk zonder dat bedrijfsdata onbeheerd op vreemde apparaten landt.
Implementatievolgorde voor het MKB
De acht regels kun je niet allemaal tegelijk inschakelen. Een verstandige volgorde voor een MKB-omgeving is:
- Maak eerst een break-glass account aan, een noodtoegangsaccount dat buiten alle Conditional Access-regels valt, met een sterk wachtwoord in een kluis. Zonder dit account loop je het risico dat je jezelf buitensluit als een regel verkeerd uitpakt.
- Activeer regel 1 (admin MFA) en regel 3 (block legacy auth) meteen. Deze twee leveren de meeste winst met het minste risico op verstoring.
- Zet regel 2 (gebruiker MFA) op report-only voor een week, kijk de logs door, schakel hem dan in.
- Implementeer regel 4 (geo-blocking) en regel 6 (sign-in risk) tegelijk in report-only, schakel in na controle.
- Rol regel 5 (compliant device) gefaseerd uit: eerst voor admins, dan voor afdelingen die met gevoelige data werken, daarna organisatiebreed.
- Regel 7 en 8 zijn voor de tweede fase, nadat de basis stabiel draait.
De drie meest voorkomende valkuilen
In onze begeleidingstrajecten zien we drie fouten regelmatig terugkeren. Eerste valkuil is dat het break-glass account in dezelfde wachtwoordmanager komt te staan als de gewone admin-accounts. Dat ondergraaft de hele functie. Bewaar het in een aparte, fysieke kluis of in een gescheiden vault waar bijvoorbeeld de directeur en één technisch beheerder bij kunnen.
Tweede valkuil is dat regel 5 (compliant device) wordt ingesteld voordat Intune goed is ingericht. Zonder werkende Intune-policies krijg je medewerkers die volkomen terecht inloggen vanaf hun nieuwe laptop maar geblokkeerd worden omdat “compliant” nog niemand heeft. Inrichting van Intune is een project op zichzelf, plan er een week voor in en doe het samen met de uitrol van een MDM-strategie.
Derde valkuil is denken dat Conditional Access de menselijke factor uitsluit. Een gebruiker die zijn MFA-code aan een aanvaller geeft (MFA fatigue, voice-phishing) zit nog steeds binnen. Daarom hoort Conditional Access altijd samen met goede security awareness training waarin medewerkers leren om verdachte aanvragen te herkennen. Techniek en gedrag versterken elkaar; los werken ze nooit volledig.
Meten of het werkt
De Microsoft Entra-portal heeft een Sign-in log waarin je per aanmelding ziet welke Conditional Access-regels zijn geraakt en wat de uitkomst was. Spendeer iedere week tien minuten aan dit log om te zien of regels te streng of te los staan. Een aanvullende, sterk onderschatte bron is het Sign-in risk report: dit toont welke accounts in jouw omgeving statistisch verhoogd risico hebben. Een tweede check is de Microsoft Defender for Cloud Apps console (in Premium), die je laat zien welke SaaS-apps je medewerkers gebruiken buiten de bedrijfsregels om.
Wie ook SPF, DKIM en DMARC netjes heeft staan, sluit daarmee twee aanvalsroutes tegelijk: de inkomende phishing wordt beter gefilterd, en de uitgaande mail van jouw domein kan niet door derden worden vervalst. Samen met Conditional Access vormen die de basis van een gezonde Microsoft 365-omgeving in 2026.
Wat dit voor het MKB betekent in 2026
De realiteit is dat aanvallers in 2026 niet meer met simpele wachtwoorden komen, maar met scripts die duizenden gelekte credentials per minuut langs je tenant duwen, en AI-gedreven phishing-mails die nauwelijks van echt te onderscheiden zijn. Standaard MFA aan en het beste hopen is geen strategie meer. Conditional Access is precies de tool die Microsoft heeft gebouwd om met deze aanvallen om te gaan, en de licentie ervoor zit voor het MKB in een pakket dat een beperkte premium ten opzichte van Standard kost. Wie de acht regels uit dit artikel toepast, blokkeert in de praktijk negen op de tien aanvalspogingen voordat ze überhaupt opgemerkt worden door de gebruiker.
Hulp nodig bij het inrichten van Conditional Access in jouw Microsoft 365-omgeving? PC Patrol regelt de volledige migratie naar Business Premium, configureert alle acht regels stap voor stap met report-only-evaluatie, traint je medewerkers in het herkennen van social engineering en levert maandelijks een security-rapport. Start vandaag met Microsoft 365 Business Premium via PC Patrol, of plan een vrijblijvend adviesgesprek waarin we de huidige stand van jouw tenant doornemen.