Hoe stel je in dat alleen beheerde apparaten mogen inloggen in je omgeving?

/in /door

Je stelt in dat alleen beheerde apparaten mogen inloggen door in Microsoft 365 een Conditional Access-beleid te configureren dat toegang blokkeert voor apparaten die niet voldoen aan de compliance-eisen van je organisatie. Dit werkt samen met Microsoft Intune, dat apparaten registreert, beheert en beoordeelt op basis van door jou ingestelde veiligheidsregels. In dit artikel beantwoorden we de meest gestelde vragen over dit onderwerp, van de basisconcepten tot de praktische uitvoering.

Wat is een beheerd apparaat en hoe verschilt het van een onbeheerd apparaat?

Een beheerd apparaat is een laptop, smartphone of tablet die is ingeschreven bij een Mobile Device Management-systeem zoals Microsoft Intune, waardoor de IT-afdeling er volledig zicht op heeft en beleid kan afdwingen. Een onbeheerd apparaat is elk apparaat dat buiten dit beheer valt, zoals een privételefoon van een medewerker of een laptop van een externe partij, zonder dat de organisatie daar controle over heeft.

Het verschil zit hem in zichtbaarheid en controle. Bij een beheerd apparaat weet je als organisatie of de schijf versleuteld is, of de virusscanner actief is, welke softwareversie erop staat en of het apparaat voldoet aan je beveiligingseisen. Bij een onbeheerd apparaat ontbreekt al die informatie volledig. Dat maakt onbeheerde apparaten een risico: een medewerker die vanuit een onbeveiligd thuisapparaat inlogt op bedrijfsdata, kan zonder het te weten een toegangspoort openzetten voor kwaadwillenden.

Voor organisaties die werken met gevoelige data, zoals woningcorporaties of dienstverleners met honderden werkplekken, is dit onderscheid cruciaal. Het gaat niet alleen om technische controle, maar ook om aantoonbare governance richting toezichthouders en bestuurders.

Welke Microsoft-technologieën regelen de toegang op basis van apparaatstatus?

De drie kerncomponenten die samen de toegang op basis van apparaatstatus regelen zijn Microsoft Intune, Microsoft Entra ID (voorheen Azure Active Directory) en Conditional Access. Intune beheert en beoordeelt het apparaat, Entra ID beheert de identiteit van de gebruiker, en Conditional Access combineert beide signalen om te bepalen of toegang wordt verleend of geweigerd.

Intune speelt de rol van apparaatbeheerder: het schrijft apparaten in, distribueert configuraties en applicaties, en beoordeelt continu of een apparaat voldoet aan de compliance-eisen die jij hebt ingesteld. Denk aan eisen zoals een minimale versie van het besturingssysteem, aanwezigheid van schijfversleuteling of een actieve endpoint-beveiligingsoplossing.

Entra ID fungeert als de identiteitslaag. Wanneer een gebruiker probeert in te loggen, controleert Entra ID niet alleen wie de gebruiker is, maar ook vanaf welk apparaat die inlogpoging plaatsvindt. Conditional Access koppelt vervolgens die twee stukken informatie aan elkaar en past het juiste beleid toe. Meer over hoe dit samenkomt binnen een veilige Microsoft 365-omgeving lees je op de pagina over security binnen Microsoft 365.

Hoe werkt Conditional Access om onbeheerde apparaten te blokkeren?

Conditional Access werkt als een reeks beleidsregels die bij elke inlogpoging worden geëvalueerd. Je stelt een beleid in dat als voorwaarde stelt dat het apparaat compliant moet zijn of Microsoft Entra Hybrid Joined (domeinlid). Voldoet het apparaat niet aan die voorwaarde, dan wordt de toegang geweigerd, ongeacht of de gebruikersnaam en het wachtwoord correct zijn.

Het proces verloopt in grote lijnen als volgt:

  1. Een gebruiker probeert in te loggen op een Microsoft 365-app, zoals Teams of SharePoint.
  2. Entra ID ontvangt de inlogpoging en evalueert alle actieve Conditional Access-beleidsregels.
  3. Het beleid controleert of het apparaat is ingeschreven bij Intune en als compliant is gemarkeerd.
  4. Als het apparaat niet voldoet, wordt de sessie geblokkeerd en krijgt de gebruiker een foutmelding.
  5. Als het apparaat wel voldoet, wordt toegang verleend, eventueel gecombineerd met multifactorauthenticatie.

Dit mechanisme werkt in realtime en is van toepassing op alle Microsoft 365-diensten. Je kunt het beleid ook verfijnen: zo kun je bepaalde apps strenger behandelen dan andere, of extra eisen stellen voor toegang tot specifiek gevoelige omgevingen.

Wat zijn de vereisten voordat je dit beleid kunt activeren?

Voordat je een Conditional Access-beleid kunt activeren dat onbeheerde apparaten blokkeert, moet je organisatie aan een aantal technische randvoorwaarden voldoen. De meest essentiële zijn: een actieve Microsoft Entra ID P1- of P2-licentie (voor Conditional Access), een werkende Intune-omgeving en ingeschreven apparaten met een toegewezen compliance-beleid.

Concreet betekent dit dat je het volgende op orde moet hebben:

  • Licenties: Microsoft Entra ID P1 is minimaal vereist voor Conditional Access. Dit is inbegrepen in Microsoft 365 Business Premium en Enterprise-abonnementen.
  • Intune-inschrijving: Alle apparaten die toegang mogen hebben, moeten zijn ingeschreven bij Intune. Dit kan via automatische inschrijving bij domeinlid-apparaten of via de Bedrijfsportal-app.
  • Compliance-beleid: Je moet in Intune definiëren wat een “compliant apparaat” is. Zonder dit beleid kunnen apparaten geen compliance-status krijgen.
  • Testfase: Activeer het beleid eerst in rapportmodus (report-only) om te zien welke gebruikers en apparaten zouden worden geblokkeerd, voordat je het daadwerkelijk afdwingt.

Sla de testfase nooit over. Een te snel geactiveerd beleid kan ertoe leiden dat medewerkers plotseling geen toegang meer hebben, inclusief directieleden of mensen in het veld die werken met een apparaat dat nog niet correct is ingeschreven.

Wat gebeurt er als een medewerker toch probeert in te loggen vanaf een onbeheerd apparaat?

Wanneer een medewerker probeert in te loggen vanaf een onbeheerd apparaat en het Conditional Access-beleid dit blokkeert, ziet die medewerker een foutmelding in de browser of applicatie. De melding geeft aan dat toegang is geweigerd omdat het apparaat niet voldoet aan de beveiligingseisen van de organisatie, en bevat doorgaans een verwijzing naar de IT-afdeling of een instructie om het apparaat in te schrijven.

De medewerker kan op dat moment niet verder. Er is geen omweg via een andere browser of incognitomodus: het beleid werkt op het niveau van de apparaatidentiteit, niet op sessieniveau. Dit is bewust zo ontworpen om te voorkomen dat gebruikers de beveiliging kunnen omzeilen.

Wat de medewerker vervolgens kan doen, hangt af van de situatie:

  • Overstappen naar een beheerd apparaat dat wel aan de eisen voldoet.
  • Contact opnemen met de IT-afdeling om het apparaat alsnog in te schrijven bij Intune.
  • Als er een uitzondering geldt voor de gebruiker of locatie, kan de IT-beheerder tijdelijk toegang verlenen via een aparte beleidsregel.

Voor de IT-beheerder zijn alle geblokkeerde pogingen zichtbaar in de aanmeldlogboeken van Entra ID. Zo heb je altijd inzicht in wie probeert in te loggen en waarom toegang is geweigerd.

Wanneer is het verstandig om uitzonderingen in te stellen op dit beleid?

Uitzonderingen zijn verstandig wanneer bepaalde gebruikersgroepen of scenario’s structureel niet kunnen voldoen aan de standaard apparaatvereisten, maar toch legitieme toegang nodig hebben. Denk aan externe samenwerkingspartners, tijdelijke medewerkers of specifieke noodsituaties. De sleutel is dat uitzonderingen bewust, gedocumenteerd en beperkt in scope zijn.

Veelvoorkomende situaties waarin een uitzondering gerechtvaardigd is:

  • Externe partijen en leveranciers die toegang nodig hebben tot specifieke applicaties, maar wiens apparaten niet door jouw organisatie worden beheerd. Hier kun je een aparte beleidsregel instellen die toegang beperkt tot alleen die apps, met extra authenticatie-eisen zoals multifactorauthenticatie.
  • Break-glass accounts voor noodsituaties. Dit zijn speciale beheerdersaccounts die altijd toegang moeten kunnen krijgen, ook als het Conditional Access-beleid tijdelijk niet goed functioneert. Deze accounts worden uitgesloten van het beleid, maar zijn zwaar beveiligd en worden nauwlettend gemonitord.
  • Overgangsfase bij uitrol van een nieuw beleid. Als niet alle apparaten al zijn ingeschreven, kun je tijdelijk een uitzondering maken voor een specifieke groep terwijl de inschrijving loopt.

Documenteer elke uitzondering en stel waar mogelijk een vervaldatum in. Uitzonderingen die “tijdelijk” zijn maar nooit worden opgeruimd, zijn een van de meest voorkomende oorzaken van beveiligingslekken in anders goed ingerichte omgevingen.

Hoe Puur ICT helpt met het inrichten van toegang op basis van beheerde apparaten

Het correct inrichten van Conditional Access, Intune en device compliance vraagt om technische kennis én strategisch inzicht. Wij helpen organisaties van 100 tot 600 werkplekken om dit end-to-end in te richten, zonder dat jij als directeur of IT-manager elk technisch detail zelf hoeft uit te zoeken. Onze aanpak is concreet en pragmatisch:

  • We brengen de huidige apparaatpopulatie in kaart en bepalen welke apparaten al voldoen en welke nog moeten worden ingeschreven.
  • We ontwerpen een Conditional Access-beleid dat past bij jouw organisatie, inclusief uitzonderingen voor externe partijen en noodscenario’s.
  • We richten Intune in met compliance-beleid dat aansluit op jouw beveiligingseisen en rapportageverplichtingen.
  • We activeren het beleid gefaseerd, zodat medewerkers niet plotseling worden buitengesloten.
  • We monitoren de inloglogboeken en rapporteren proactief over afwijkingen en geblokkeerde pogingen.

Dit alles maakt onderdeel uit van de Puur Moderne Werkplek, onze complete werkplekoplossing gebouwd op Microsoft 365, Intune en Azure. Wil je weten hoe jouw organisatie er nu voor staat en wat er nodig is om apparaatbeheer goed in te richten? Neem contact op met Puur ICT en we denken graag met je mee.

Gerelateerde artikelen

Misschien ook iets voor u
Bureau vol verouderde papieren en mappen naast een laptop met een overzichtelijke digitale werkruimte, verlicht door noordelijk daglicht.Wat is een betere manier om documenten te delen en samen te bewerken zonder dat je door versies heen rolt?
Klantcase AMP GroepAMP Groep migreert naar Microsoft 365
Professional leant over laptop met ongelezen Teams-meldingen, bureau met sticky notes en documenten, tweede monitor toont teamkalender.Hoe voorkom je dat je steeds achter de feiten aanloopt als je team verspreid werkt?

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden