Conditional Access is een optie die beschikbaar wordt bij afname van de Microsoft Entra ID P1-licentie van Microsoft. Met deze beveiliging kun je beperken vanaf welke locaties, of computers (in het algemeen: onder welke condities), iemand mag inloggen met een Microsoft-account.
We gebruiken dit om in te stellen dat gebruikers alleen nog kunnen inloggen in bepaalde landen, en alleen vanaf vooraf gedefinieerde pc’s en telefoons. Wanneer dit ingeschakeld is, werkt inloggen (via webmail, Outlook, Teams of OneDrive) niet meer met gestolen inloggegevens. En überhaupt niet meer vanuit bijvoorbeeld China, Rusland en Noord-Korea.
Tenzij we dat expliciet toestaan, kunnen mensen ook niet meer inloggen vanaf elke (onveilige) thuiswerkplek of vakantieadres. Men moet dan eerst een VPN naar kantoor maken, en via de pc dáár werken. Of mailen met de Outlook-app op de telefoon. Mits we die dus vertrouwd hebben.
Voor een Microsoft Entra ID P1-licentie rekent Microsoft € 5,60 per maand per gebruiker. Wij verhogen in dat geval óók de prijs van een gebruiker met € 2,50 voor het extra beheer.
Het is een drastische maatregel maar voorkomt daarom grotendeels de kans op een hack via een phishing mail (oorzaak van 40% van alle hacks). We hebben al meerdere gevallen gezien waarbij gebruikers in phishing mails trappen (met nog geen grote gevolgen). We hebben ook al meegemaakt dat iemand zijn Office365-account op deze manier wel echt gehackt is, ondanks dat er een dubbele MFA-code via SMS op stond.
Bedenk dat veel gebruikers jaren aan email bewaren. Dus toegang tot iemands email levert al snel wachtwoorden, ingescande paspoorten, creditcard nummers. vertrouwelijke documenten, bankrekeningnummers, salarisstroken en alle contacten op.
U moet dan mogelijk officieel een datalek melden. Ook wordt er dan via zo’n gehackt account, namens uw bedrijf, phishing mail verzonden. Dat leidt tot reputatieschade. Dus al bij al, is dit er een maatregel die we wel adviseren.
Opmerkingen