Identiteitsschuld in Entra ID: wat het is, hoe je het herkent en hoe je het in 30 dagen afbouwt

Identiteitsschuld is de stapel kleine keuzes die je vandaag tijd besparen, maar morgen risico en werk opleveren. In Entra ID (voorheen Azure AD) gaat het dan om te ruime rechten, vergeten gastaccounts, permanente adminrollen, zwakke of ontbrekende MFA, en apps met verlopen secrets. Die “rente” betaal je bij elk audit-vraagstuk, incident of onboarding.

Wat bedoelen we met identiteitsschuld

Alle achterstanden en afwijkingen rond identity & access die veiligheid, beheerbaarheid en compliance verslechteren. Denk aan:

• Permanente Global/Privileged Admin in plaats van tijdelijk via PIM (Privileged Identity Management);
• Conditional Access die uitzonderingen stapelt of legacy authentication nog toelaat;
• Groepen/rollen die nooit worden opgeschoond (RBAC-sprawl);
• Gastgebruikers zonder einddatum of sponsor;
• Service principals met langlopende secrets in plaats van Managed Identities of korte rotatie;
• Ontbrekende access reviews en geen HR-gestuurde uitdienst-automatisering.

Waarom dit IT-managers direct raakt

• Incidentrisico: laterale beweging, datalek, ransomware-impact.
• Audit & compliance: je kunt niet aantonen “least privilege” of tijdige offboarding.
• Operationele frictie: troubleshooting en change gaan trager door onduidelijke rechten en uitzonderingen.

Tien signalen van identiteitsschuld

1. Meer dan 2 permanente “Company Administrator/Global Admins”.
2. Admins zonder MFA of zonder phish-resistant factor (FIDO2/WHfB/CBA) voor kritieke rollen.
3. Conditional Access laat legacy protocols toe (IMAP/POP/Basic) of heeft veel “exclude”-lijsten.
4. Geen PIM: privileged rollen staan “Active” i.p.v. “Eligible”, zonder tijdslimiet of approval.
5. Gastaccounts ouder dan 90 dagen zonder recente login of eigenaar.
6. Groepen en app-toewijzingen groeien, maar access reviews ontbreken.
7. Veel Owner-rechten op app registrations/enterprise apps zonder toezicht.
8. Service principals met secrets > 6 maanden of zonder rotatie; geen Managed Identities.
9. Geen break-glass accounts getest (2 stuks, sterke wachtwoorden, geen CA-blokkade, monitoren).
10. Geen HR-gestuurde joiner-mover-leaver: handmatige uitdienst leidt tot achterblijvende accounts en licenties.

Minimal Viable Identity Baseline (MVIB)

1. MFA voor iedereen, en phish-resistant MFA verplicht voor admins.
2. Conditional Access: block legacy auth, locatie/device-controles voor admins, sessie-timeouts.
3. PIM voor alle privileged rollen: just-in-time, MFA, approval, logging, max-duur.
4. Least privilege RBAC: zoveel mogelijk ingebouwde, laagste passende rol; geen “Owner” waar “Contributor/Reader” volstaat.
5. Gastbeleid: uitnodigen met sponsor, automatische vervaldatum, periodieke reviews.
6. App-governance: admin consent workflow, toewijzing per groep, secrets < 90 dagen of Managed Identities.
7. Access reviews: groepen, app-toegang en gasten elk kwartaal.
8. Lifecycle: HR-bron (SCIM waar kan), automatische uitdienst met disable + revoke + licentie-terugname.
9. Break-glass: 2 accounts, lang wachtwoord, geen CA, alleen noodgebruik, 24×7 monitoring.
10. Monitoring & rapportage: Identity Protection (indien P2), sign-in risk, risky users, afwijkingen in CA/PIM.

30-dagen plan (pragmatisch, zonder big-bang)

Week 1 – Zicht en hygiëne

• Rapport: permanente admins, MFA-dekking, legacy auth, lijst van uitzonderingen in CA.
• Zet 2 break-glass accounts goed neer en test. Zorg dat er ook een melding uit gaat wanneer deze accounts worden gebruikt.
• Schakel legacy auth uit voor iedereen, behalve waar een tijdelijke uitzondering nodig is (met einddatum).

Week 2 – Privilege en toegang

• Active → Eligible: verplaats alle privileged rollen naar PIM met MFA, approval en max-duur.
• Maak “Privileged Access Groups” voor admin-toegang i.p.v. losse role assignments.
• Start access reviews: admins, hoog-risico groepen en alle gastgebruikers > 90 dagen.

Week 3 – Apps en workloads

• Inventariseer service principals: roteer secrets < 90 dagen of stap over op Managed Identities.
• Activeer admin consent workflow; verwijder ongebruikte enterprise apps; beperk “User can consent”.
• Zet eigenaarschap (app owner) op naam + team, niet op individuen.

Week 4 – Lifecycle en borgen

• Koppel HR-bron (of maak een lichtgewicht “people-of-record”) en automatiseer leaver: disable + revoke + remove groups + licentie terug.
• Publiceer een maandelijks Identity Review ritme: PIM-audit, access reviews, gastopruiming, secret-rotatie.
• Maak 5 KPI’s zichtbaar in je managementrapport.

KPI’s die ertoe doen

• MFA-dekking: aandeel actieve accounts met MFA. Doel: admins honderd procent, totaal minimaal 98 procent.
• PIM-adoptie: aandeel privileged rollen dat “Eligible” is in plaats van “Active”. Doel: minimaal 95 procent.
• Aantal permanente admins: aantal permanente Global of andere privileged admins. Doel: maximaal 2.
• Legacy-auth blokkering: aandeel aanmeldingen via legacy protocollen. Doel: nul. Uitzonderingen krijgen een einddatum.
• Gastgezondheid: aandeel gasten zonder login langer dan 90 dagen. Doel: minder dan 5 procent en dalend.
• Secret-gezondheid: aantal service principal secrets ouder dan 90 dagen. Doel: richting nul. Liever Managed Identities.
• Access reviews voltooid: aandeel afgeronde access reviews per kwartaal. Doel: minimaal 95 procent.

Veelgemaakte valkuilen

• Uitzonderingen stapelen in Conditional Access zonder einddatum.
• “Owner” geven voor snelheid; later krijg je schaduw-admins.
• Secrets met jarenlange looptijd; ga naar Managed Identities of korte rotatie.
• PIM instellen maar approvals, justification of notificaties uitzetten.
• Geen einddatum op gasten.

Slot

Identiteitsschuld los je niet op met één grote schoonmaak. Je wint met duidelijke standaarden, kleine vaste ritmes en zichtbare KPI’s. Begin bij MFA, PIM en het blokkeren van legacy auth; ruim vervolgens gasten, groepen en secrets op. Na 30 dagen heb je minder risico, meer grip en een identiteitsplatform waar je veilig op kunt doorbouwen.