Conditional Access Beleid [CHK-1114]
Deze check haalt alle Conditional Access beleidsregels in de tenant op en rapporteert de configuratiestatus. Het biedt een overzicht van hoeveel beleidsregels zijn ingeschakeld, uitgeschakeld of in report-only modus staan, samen met een gedetailleerde uitsplitsing van het bereik van elke beleidsregel — inclusief doelgebruikers, groepen, rollen, applicaties en locaties.
Reden
Conditional Access is het primaire mechanisme in Entra ID voor het afdwingen van toegangscontroles zoals MFA, apparaatcompliance, locatiegebaseerde beperkingen en session management. Zonder Conditional Access beleidsregels kunnen alle gebruikers zich authenticeren vanaf elk apparaat, elke locatie en elke applicatie zonder aanvullende verificatie — waardoor de tenant volledig blootgesteld is aan credential-based aanvallen.
Aanvallers maken routinematig misbruik van tenants zonder Conditional Access. Een gecompromitteerd wachtwoord — verkregen via phishing, credential stuffing of een datalek — geeft een aanvaller onbeperkte toegang tot alle Microsoft 365 diensten. Met Conditional Access beleidsregels kan zelfs een gecompromitteerd wachtwoord onbruikbaar worden gemaakt als de aanvaller niet aan de aanvullende vereisten kan voldoen (bijvoorbeeld een MFA-challenge, compliant apparaat of vertrouwde locatie).
Naast initiële toegang biedt Conditional Access defense in depth tegen persistence en lateral movement. Beleidsregels die admin portal-toegang beperken, session timeouts afdwingen of compliant apparaten vereisen, maken het aanzienlijk moeilijker voor een aanvaller om zijn positie te behouden of privileges te escaleren.
Het doel van deze check is een overzich tonen van de verschillende CA policies.