OneIdPIdentiteit en toegangVoorwaardelijke toegang versus uitgebreide toegang: waarom hebben IT-beheerders meer nodig dan de basis?

Voorwaardelijke toegang versus uitgebreide toegang: waarom hebben IT-beheerders meer nodig dan de basis?

Geschreven Door Anurag Khadkikar
OneIdPIdentiteit en toegang

In deze blog

Nog niet zo lang geleden vertrouwden de meeste bedrijven op gebruikersnamen, wachtwoorden en misschien een extra verificatiestap om hun apps te beschermen. Dat werkte vroeger, omdat medewerkers inlogden vanaf kantoor, op door het bedrijf beheerde apparaten, via vertrouwde netwerken. De beveiliging was gemakkelijker te controleren.

De zaken zien er nu anders uit. Mensen loggen in via wifi thuis, hotspots in hotels, co-workingruimtes, cafénetwerken en persoonlijke telefoons. Apparaten verouderen, patches worden gemist en aanvallers hebben geleerd hoe ze legitieme inloggegevens kunnen stelen in plaats van firewalls te hacken.

Voorwaardelijke versus uitgebreide toegang

Door deze veranderingen is identiteit op zichzelf niet langer een betrouwbare indicator van vertrouwen. Moderne beveiliging vereist meer context. Die verschuiving is de reden waarom voorwaardelijke toegang populair werd, en ook waarom Extended Access Policies steeds meer aandacht krijgen. Ze gaan dieper, kijken breder en reageren op de werkelijke omgeving rond een inlogpoging.

In dit artikel worden beide benaderingen besproken, wordt uitgelegd hoe ze werken en waarom IT-beheerders nu mogelijk meer nodig hebben dan de basis.

Wat is voorwaardelijke toegang?

Voorwaardelijke toegang is een beveiligingsaanpak die extra signalen controleert tijdens het inloggen. In plaats van toegang alleen goed te keuren op basis van gebruikersnaam en wachtwoord, evalueert het de context. Het stelt vragen zoals:

  • Waar komt deze login vandaan?
  • Op welk apparaat bevindt de gebruiker zich?
  • Is het netwerk betrouwbaar?
  • Heeft de gebruiker MFA nodig?

Als aan bepaalde regels niet wordt voldaan, kan de toegang worden geblokkeerd of kunnen aanvullende verificaties vereist zijn. Het biedt meer controle dan eenvoudige inlogcontroles en helpt voor de hand liggende risico's te voorkomen.

Hoe werkt voorwaardelijke toegang?

Voorwaardelijke toegang volgt een beleidgebaseerde logica. IT-teams maken regels die definiëren wanneer toegang wordt toegestaan, aangevochten of geweigerd.

Typische controles zijn onder meer:

  • IP-bereiken: Sta alleen toegang toe vanaf specifieke netwerken.
  • Locatie: Blokkeer inlogpogingen vanuit bepaalde regio's.
  • Apparaatplatform: Andere regels voor desktop, mobiel en tablet.
  • App-type: Cloud versus on-premise.
  • Risico niveau: Verdachte inlogpatronen.
  • MFA-vereisten: Extra verificatie voor gevoelige apps.

Indien aan een van deze voorwaarden niet wordt voldaan, wordt de toegang geweigerd of beperkt.

Het fungeert als een soort bewaker bij de deur die zowel de identiteit als een beetje context controleert.

Voordelen van voorwaardelijke toegang

Voorwaardelijke toegang versterkt identiteitsgebaseerde beveiliging door context en regels toe te voegen aan hoe gebruikers zich mogen aanmelden. In plaats van elke aanmelding hetzelfde te behandelen, worden voorwaarden zoals locatie, netwerk, apparaat en risicosignalen geëvalueerd voordat toegang wordt verleend. Hier zijn enkele van de belangrijkste voordelen:

  • Betere bescherming tegen verdachte aanmeldingen: Als iemand probeert in te loggen vanuit een vreemd land of netwerk, kan Conditional Access de sessie blokkeren of zelfs blokkeren. Dit voorkomt aanvallers die gebruikmaken van gestolen wachtwoorden of credential stuffing.
  • Slimmere handhaving van MFA: In plaats van te forceren multi-factor authenticatie (MFA) Overal wordt voorwaardelijke toegang alleen toegepast wanneer dat nodig is. Zo vereist inloggen vanaf een vertrouwd netwerk mogelijk geen extra stappen, terwijl inloggen vanaf de wifi van een hotel MFA kan activeren. Dit zorgt voor een evenwicht tussen gemak en veiligheid.
  • Contextgestuurde toegangsbeslissingen: Beheerders kunnen regels instellen op basis van gebruikersrollen, applicatiegevoeligheid, apparaattype en platform. Dit voorkomt brede toegang en beschermt waardevolle resources met sterkere controles.
  • Minder blootstelling aan risicovolle netwerken: Voorwaardelijke toegang kan inlogpogingen vanaf onbekende IP-adressen, anonieme proxyservers of geblokkeerde regio's weigeren. Het beperkt hoe ver aanvallers kunnen gaan wanneer ze zich achter VPN's verschuilen.
  • Betere ondersteuning voor hybride werken: Terwijl werknemers schakelen tussen kantoor-wifi, mobiele data en thuisnetwerken, zorgt voorwaardelijke toegang ervoor dat basisveiligheidscontroles overal consistent blijven.
  • Inzicht in risicogebeurtenissen: Met auditlogs kunt u eenvoudig zien wanneer regels worden gehandhaafd, zodat beveiligingsteams verdachte activiteiten sneller kunnen onderzoeken.
  • Zero Trust-uitlijning: Geen vertrouwen betekent "nooit vertrouwen, altijd verifiëren". Voorwaardelijke toegang dwingt identiteitscontroles af tijdens het inloggen en vormt daarmee een fundamenteel onderdeel van dat raamwerk.
  • Minder handmatig toezicht: In plaats van toegangsaanvragen één voor één te beoordelen, automatiseert voorwaardelijke toegang de besluitvorming. Beleidsregels verwerken goedkeuringen, controles en blokkeringen zonder tussenkomst van de IT-afdeling.

Voorwaardelijke toegang biedt organisaties een sterke basis. Het evalueert de identiteit en omgeving voordat iemand toegang krijgt tot cloudapps, waardoor de meest voorkomende vormen van ongeautoriseerde toegang worden verminderd.

Wat is Uitgebreide Toegang?

Uitgebreide toegangsbeleid (XAP) Neem het idee van context en ga verder. In plaats van te stoppen bij identiteit en basissignalen, evalueert XAP diepere details over de inlogomgeving. Het richt zich op hoe het apparaat zich gedraagt, of het voldoet aan de vereisten en welke risico's er mogelijk achter de schermen schuilgaan.

Uitgebreide toegangsbeleid houdt rekening met:

  • Apparaathouding
  • Ontbrekende OS-updates of beveiligingspatches
  • Vereiste applicaties en agents
  • IP-reputatie
  • Signalen voor apparaatcompatibiliteit
  • Locatie-inconsistenties

Als er iets niet klopt, kan de toegang onmiddellijk worden beperkt of geblokkeerd.

Met deze aanpak worden de risico's gedicht die vaak het doelwit zijn van aanvallers.

Hoe werkt Uitgebreide Toegang?

Uitgebreide toegangsbeleidsregels evalueren continu de status van het apparaat tijdens het inloggen. Ze controleren of het apparaat gezond en veilig is en toegang heeft tot de gevraagde applicatie. Deze evaluatie gebeurt in realtime.

Enkele van de onderzochte signalen zijn:

  • Of de vereiste beveiligingsapps zijn geïnstalleerd
  • Of de OS-versie up-to-date is
  • Als de configuratie voor apparaatcompatibiliteit actief is
  • IP-adresrisicogegevens
  • Locatiegeschiedenis
  • Patch-niveaus

Wanneer er een risico wordt gedetecteerd, kan Extended Access:

  • Blokkeer de login volledig
  • Vraag om aanvullende verificatie
  • Beperk de toegang tot specifieke bronnen
  • Geautomatiseerde herstelstappen activeren

In plaats van aan te nemen dat de identiteit voldoende is, wordt ook gekeken naar de omgeving en de houding.

Voordelen van uitgebreide toegangsbeleid

Uitgebreide toegangsbeleidsregels gaan verder dan identiteitscontroles en evalueren de status van het apparaat, de aanwezigheid van vereiste beveiligingstools, de netwerkomgeving en andere signalen op het moment van inloggen. Dit voegt een extra beveiligingslaag toe aan voorwaardelijke toegang.

  • Verbeterde verdediging tegen gecompromitteerde inloggegevens: Zelfs als aanvallers een geldige gebruikersnaam en wachtwoord weten te bemachtigen, kan XAP hen de toegang ontzeggen omdat hun apparaat onbekend, niet geregistreerd of niet beveiligd is.
  • Diepere afstemming op de Zero Trust-principes: Zero Trust legt de nadruk op constante verificatie. Extended Access controleert de status van het apparaat continu bij elke aanmelding, niet slechts één keer bij de registratie.
  • Beperkt het risico van onbeheerde apparaten: Ongecontroleerde eindpunten introduceren vaak verborgen bedreigingen. XAP voorkomt dat ze überhaupt toegang krijgen tot gevoelige applicaties.
  • Realtime detectie van nalevingsfouten: Als een apparaat plotseling verouderd raakt of na een update een beveiligingsagent verliest, kan de volgende inlogpoging worden geblokkeerd totdat het probleem is opgelost.
  • Adaptieve authenticatie bij verandering van risico: Uitgebreide toegang zorgt alleen voor extra problemen als de signalen iets ongewoons aangeven, waardoor de meeste gebruikers zich onder normale omstandigheden probleemloos kunnen aanmelden.
  • Vereenvoudigde audit- en nalevingsrapportage: Toegangslogboeken leggen uit waarom een ​​sessie is toegestaan, aangevochten of afgewezen. Dit maakt wettelijke audits sneller en transparanter.
  • Voorkomen van zijwaartse beweging: Uitgebreide toegang voorkomt dat gecompromitteerde eindpunten intern tussen systemen springen, wat bescherming biedt tegen ransomware en privilege-escalatie.
  • Gebruiksvriendelijke beveiligingshouding: In plaats van strikte regels die voor iedereen gelden, reageert XAP op risicosignalen. Medewerkers worden niet geconfronteerd met onnodige belemmeringen wanneer de omstandigheden er gezond uitzien.

Uitgebreide toegang geeft IT-teams meer controle over het inloggedrag zonder de dagelijkse werkzaamheden te vertragen. Het helpt de beveiliging op een stille en intelligente manier te handhaven, vooral in omgevingen waar apparaten voortdurend veranderen.

Voorwaardelijke toegang versus uitgebreide toegang: de belangrijkste verschillen uitgelegd

Voorwaardelijke toegang en uitgebreid toegangsbeleid worden vaak samen genoemd, maar ze zijn niet onderling uitwisselbaar. Ze lossen verschillende delen van de beveiligingspuzzel op, en inzicht in de kloof ertussen helpt IT-beheerders te bepalen wanneer het tijd is om een ​​stap verder te gaan.

Voorwaardelijke toegang richt zich voornamelijk op: identiteitssignalenEr worden vragen gesteld als:

  • Wie is de gebruiker?
  • Waar melden ze zich aan?
  • Welke app proberen ze te openen?
  • Moet MFA verplicht zijn?

Het is goed in het detecteren van voor de hand liggende risico's, zoals verdachte locaties of onbekende netwerken.

Uitgebreide toegangsbeleidsregels gaan dieper. Ze beperken zich niet tot de basisvoorwaarden, maar inspecteren de gezondheid, status en nalevingsstatus van het gebruikte apparaat. Dit is belangrijk omdat aanvallers vaak gestolen inloggegevens gebruiken op onbeheerde laptops of oudere apparaten waarop beveiligingspatches ontbreken.

Uitgebreide toegangsbeleid controleert zaken als:

  • Is het besturingssysteem up-to-date?
  • Is de beveiligingsagent geïnstalleerd?
  • Voldoet het apparaat aan de eisen?
  • Is er ergens mee geknoeid?

Als een van deze oplossingen faalt, kan de toegang direct worden geblokkeerd, lang voordat een bedreiging zich ontwikkelt tot een inbreuk.

Hieronder vindt u een nadere beschouwing van hoe beide benaderingen zich tot elkaar verhouden:

Factor Voorwaardelijke toegangUitgebreide toegangsbeleid
Primaire focusIdentiteitscontext (gebruiker, locatie, netwerk)Identiteit + apparaathouding + omgeving
Controleert geïnstalleerde appsZeldenJa, de vereiste beveiligingstools moeten aanwezig zijn
Voorkomt toegang tot niet-gepatchte apparatenBeperktSterke handhaving
Adaptieve authenticatieBasistriggersRisicogebaseerde wrijving met houdingsbewustzijn
RemediationminimaalKan geautomatiseerde oplossingen activeren
Inzicht in de gezondheid van het apparaatOndiepGedetailleerde compliance-inzichten
Mogelijkheid om gecompromitteerde eindpunten te blokkerenPartieelZeer sterk
Zero Trust-uitlijningBasisGeavanceerd en continu

Om dit in perspectief te plaatsen:

  • Met voorwaardelijke toegang kan het mogelijk zijn om in te loggen vanaf een bekend bedrijfsnetwerk.
  • Uitgebreide toegang kan het nog steeds blokkeren omdat er geen antivirussoftware of recente patches op de laptop aanwezig zijn.

Beide zijn nuttig, maar Extended Access dicht de gaten waar aanvallers tegenwoordig actief op mikken.

Waarom hebben IT-beheerders meer nodig dan de basis?

De meeste IT-teams zijn al bekend met voorwaardelijke toegang. Deze functie controleert identiteit, locatie, apparaatplatform en een paar andere signalen voordat toegang wordt verleend. Een tijdje was dat voldoende. Maar het dreigingslandschap is veranderd.

Aanvallers richten zich niet langer op het kraken van wachtwoorden. Ze richten zich op de kloof tussen identiteit en apparaatbeveiliging. Phishingpagina's kunnen geldige inloggegevens verzamelen, token replay-technieken kunnen sessies kapen en MFA-vermoeidheidsaanvallen kunnen gebruikers ertoe verleiden kwaadaardige prompts goed te keuren. Met de opkomst van VPN-verduistering kan een aanvaller zelfs zijn werkelijke locatie verbergen en zich vertrouwd voordoen.

Het probleem is simpel. Voorwaardelijke toegang controleert identiteit en basiscontext. Het valideert niet altijd het apparaat achter de login. Zolang de inloggegevens correct lijken en de locatie toegestaan ​​lijkt, wordt toegang vaak verleend.

Uitgebreide toegangsbeleid dicht deze kloof door diepere signalen te controleren en de status in realtime te evalueren, zodat IT-teams:

• Blokkeer apparaten die niet meer aan de eisen voldoen
• Stop onbeheerde of onbekende eindpunten voordat ze gevoelige apps bereiken
• Ontdek ontbrekende patches, uitgeschakelde antivirusprogramma's of verwijderde beveiligingstools
• Verminder laterale verplaatsing door bij elke aanmelding het vertrouwen in het apparaat te bevestigen
• Identificeer risicovolle omstandigheden die onder basisbeleid onopgemerkt kunnen blijven

Hiermee wordt een veelvoorkomende blinde vlek weggenomen. Identiteit alleen kan geen veiligheid garanderen, vooral niet wanneer medewerkers thuiswerken, persoonlijke hotspots gebruiken of tussen locaties reizen.

Een ander voordeel is flexibiliteit. Uitgebreide toegangsbeleidsregels worden aangepast op basis van de context. Als het inloggen routinematig lijkt, meldt de gebruiker zich normaal aan. Als er iets niet klopt, wordt een extra controle of challenge geactiveerd. Het voelt soepel aan als alles normaal is, en het wordt strenger wanneer de situatie verandert.

Dit type adaptieve authenticatie past bij moderne werkpatronen. Mensen wisselen tussen laptops, tablets en telefoons. Ze loggen in vanuit hotels, co-workingruimtes of openbare wifi-netwerken. De omgeving verandert voortdurend, dus het toegangsbeleid moet zich daaraan aanpassen.

Extended Access gaat er niet om het leven moeilijker te maken. Het gaat om het slimmer maken van authenticatie.

Handhaaf voorwaardelijke toegang en uitgebreid toegangsbeleid met Scalefusion OneIdP

Identiteitscontroles alleen zijn niet langer voldoende. Aanvallers kunnen wachtwoorden stelen, VPN's gebruiken om locaties te verbergen of proberen in te loggen vanaf onbeheerde apparaten. Omdat medewerkers tussen netwerken en apparaten wisselen, hebben toegangsbeslissingen meer context nodig dan alleen een gebruikersnaam en wachtwoord.

Schaalfusie OneIdP helpt dit op te lossen door voorwaardelijke toegang en uitgebreide toegangsbeleid te combineren in één platform. Het evalueert aanmeldingen in realtime en past automatisch het juiste verificatieniveau toe.

OneIdP controleert signalen zoals:

• Apparaathouding van Veltar
• OS- en patchversies
• IP-reputatie
• Geografische locatie
• Vereiste beveiligingsapps

Als iets er riskant uitziet, kan OneIdP extra verificatie aanvragen, de toegang beperken of de login blokkeren. Wanneer alles er normaal uitziet, blijft de toegang snel en soepel. Het beleid wordt beheerd vanuit één dashboard, waardoor de regels binnen de hele organisatie consistent blijven.

Deze aanpak helpt IT-teams om problemen vroegtijdig te signaleren en blinde vlekken te dichten die vaak over het hoofd worden gezien bij basisidentiteitscontroles. Uitgebreide toegang voegt de diepere context toe die moderne omgevingen nodig hebben zonder dat dit ten koste gaat van de werklast.

Als u risico's wilt beperken en de toegangscontrole wilt verbeteren, is het combineren van beide methoden een slimme volgende stap.

Ontdek hoe Scalefusion OneIdP helpt bij het afdwingen van slimmere toegangsbeleidsregels voor hybride werkzaamheden.

Plan nu een demo.

Hier krijg je een gratis proefversie

Anurag Khadkikar
Anurag Khadkikar
Anurag is een tech-schrijver met meer dan 5 jaar ervaring in SaaS, cybersecurity, MDM, UEM, IAM en endpoint security. Hij maakt boeiende, eenvoudig te begrijpen content die bedrijven en IT-professionals helpt bij het navigeren door beveiligingsuitdagingen. Met expertise in Android, Windows, iOS, macOS, ChromeOS en Linux, breekt Anurag complexe onderwerpen af ​​tot bruikbare inzichten.
Artikelbanner

Meer van de blog

OneIdP

Windows LAPS: Voordelen, best practices en implementatie

Windows LAPS (Local Admin Password Solution) herdefinieert de manier waarop organisaties lokale beheerdersaccounts beveiligen in moderne Windows-omgevingen. Traditioneel...
Steven Chopade -
OneIdP

De 5 beste multifactorauthenticatie (MFA)-oplossingen voor 2026

Het beschikken over de beste multifactorauthenticatieoplossing (MFA) is een absolute noodzaak geworden voor organisaties. Het verlaagt het dreigingsniveau aanzienlijk,...
Atishay Jain -
OneIdP

Wat is authenticatie? Verschillende authenticatiemethoden

.key-takeaways { background: #EAEAEA; padding: 24px 28px; border-radius:...
Atishay Jain -