In dit artikel duiken we in Microsoft’s identity governance platform, Microsoft Entra ID (voorheen Azure Active Directory). Ontdek wat Microsoft Entra ID is en hoe het jouw organisatie helpt om toegang te beheren, compliance te borgen en risico’s te verkleinen. We bespreken de mogelijkheden en de beperkingen van Entra ID identity governance. Zo kan je zelf beoordelen of deze oplossing genoeg is voor de (security)behoeften van jouw organisatie.
Wat is Microsoft Entra ID?
Die vraag horen we vaak sinds Microsoft zijn vertrouwde Azure AD heeft omgedoopt tot Entra ID. Kort gezegd is dit de cloud identity- en toegangsbeheeroplossing van Microsoft. Je gebruikt Entra ID voor het beheren van gebruikersidentiteiten, authenticatie (inloggen, multi-factor authenticatie), en autorisatie tot apps en cloudservices binnen Microsoft 365 en Azure.
Goed om te weten: Microsoft Entra ID Governance is de naam van het aanvullende pakket binnen Entra ID dat focust op geautomatiseerde toewijzing van rechten en controle op toegang. Microsoft positioneert Entra ID Governance als een identity and governance platform dat productiviteit verbetert, de beveiliging versterkt en helpt voldoen aan compliance-eisen. Het zorgt ervoor dat de juiste mensen automatisch op het juiste moment de juiste toegang hebben tot de juiste resources. Denk aan nieuwe medewerkers die direct de benodigde accounts krijgen, en vertrekkers van wie de toegang tijdig wordt ingetrokken. Entra ID Governance tackelt vragen als: Wie mag waar bij? Wat doen ze met die toegang? Hebben we controlemaatregelen? En kunnen we aan auditors aantonen dat alles onder controle is?
Hiermee richt Microsoft Entra ID Governance zich op drie hoofdgebieden:
- Identity lifecycle: automatisch de levenscyclus van gebruikersaccounts beheren (onboarden, veranderen van rol, offboarden).
- Access lifecycle: continu beheren van toegangsrechten (toekennen, aanpassen, intrekken, periodieke controles).
- Secure privileged access: beheersen van hoogbevoegde accounts en admin-rechten (just-in-time toekenning, monitoring).
Zo kunnen we dus wel stellen dat Entra ID Governance een groot deel van de functies biedt die je van een volwaardige IGA-oplossing mag verwachten, ingebouwd in het Microsoft-ecosysteem.
Identity Governance met Microsoft Entra ID: de belangrijkste functies
Welke concrete functies biedt Microsoft Entra ID Governance om jouw identity governance lifecycle management te ondersteunen? We zetten de belangrijkste oplossingen op een rij:
Automatische levenscyclus (JML-proces)
Koppel Entra ID aan je HR-systeem voor automatische provisioning. Nieuwe medewerkers krijgen op dag één meteen de juiste accounts en toegangsrechten op basis van hun rol. Gaat iemand uit dienst, dan wordt zijn toegang en accounts direct verwijderd of geblokkeerd. Dit geautomatiseerde joiner-mover-leaver proces vormt de kern van identity governance lifecycle management, zodat er geen orphaned accounts rondzwerven en niemand langer rechten houdt dan nodig.
Toegangsaanvragen en recertificatie
Met Entra ID kunnen gebruikers zelf toegang aanvragen tot bepaalde applicaties of data via een gestandaardiseerd proces (Entitlement Management). Na goedkeuring worden rechten automatisch toegekend, inclusief een vervaldatum als dat ingesteld is. Daarnaast automatiseert Entra ID periodieke access reviews (toegangsrecertificatie): beheerders of eigenaars moeten periodiek bevestigen welke gebruikers hun toegang nog nodig hebben. Zo voorkom je permissie sprawl en blijf je aantoonbaar 'in control' richting audits en normen als ISO27001/DORA.
Voorwaardelijke toegang en sessiebeheer
Via Microsoft Entra ID Conditional Access stel je “granular” (gedetailleerde) access policies in. Je dwingt bijvoorbeeld af dat gevoelige apps alleen toegankelijk zijn onder bepaalde voorwaarden, zoals een compliant device, locatie of het gebruik van Microsoft phishing resistant MFA (phishing-bestendige MFA). Ook kun je sessie-instellingen strak beheren met Microsoft Entra ID session lifetime, zoals het aanpassen van de maximale duur van een sessie. Met Conditional Access bepaal je dus wie waar, wanneer en hoe lang toegang krijgt, volledig volgens jouw securitybeleid.
Beveiliging van admin accounts (PIM)
Entra ID biedt Privileged Identity Management (PIM) om hoogbevoegde rechten veilig te beheren. Je wilt niet dat globale admins of andere bevoegde accounts permanent alle rechten hebben. Met Privileged Identity Management kun je admin-rollen laten slapen en pas on-demand activeren voor een beperkte tijd. Dit verkleint de kans dat een kwaadwillende misbruik maakt van gestolen admin-credentials. Admins krijgen hun extra rechten alleen wanneer nodig en alles wordt gelogd voor toekomstige audits.
Al deze functies zijn onderdeel van Microsoft’s platform en sluiten naadloos aan op de rest van de Microsoft-stack. Zo zijn er honderden integraties mogelijk via standaardprotocollen (SCIM, SAML, etc.), zodat Entra ID ook buiten Office 365 rechten kan uitdelen en intrekken. Zo worden veel IAM-processen die normaal handmatig of versnipperd zijn, centraal gebundeld en geautomatiseerd binnen je Azure/Microsoft-omgeving.
Wist je dat? Volgens het Verizon Data Breach Investigations Report 2025 blijven gestolen inloggegevens de populairste ingang voor aanvallers. In 88% van de aanvallen op webapplicaties werden gestolen credentials misbruikt. Dit onderstreept hoe belangrijk sterke identity governance en MFA zijn om je organisatie te beschermen.
Waar liggen de grenzen van Entra ID Governance?
Microsoft Entra ID Governance dekt de basis van identity governance voor veel scenario’s, zeker als je organisatie hoofdzakelijk gebruikmaakt van Microsoft 365, Azure en cloudapps. Toch is het voor grotere organisaties geen alleskunner, en heeft het ook een aantal tekortkomingen:
Beperkte ondersteuning voor on-premises en hybride IT
Microsoft Entra ID is primair gebouwd voor cloudomgevingen. Voor organisaties die deels of grotendeels on-premises werken, met lokale Active Directory, legacy ERP-systemen of OT-infrastructuren, biedt Entra ID maar beperkte ondersteuning. Veel governance-functionaliteit werkt alleen binnen Azure AD. Denk aan access packages, entitlement management en access reviews: die werken niet op je lokale systemen zonder complex maatwerk of aparte scripts.
Daar wringt het, zeker in sectoren waar migratie naar de cloud langzaam verloopt of simpelweg niet kan vanwege compliance, beveiliging of technische afhankelijkheden. In zulke hybride omgevingen ontstaat een governance-gap: rechten in de cloud zijn strak geregeld, maar lokaal niet inzichtelijk. Provisioning stokt, orphaned accounts blijven bestaan, en recertificatie blijft een handmatige inspanning.
Een platform als RSA Governance & Lifecycle vult precies die gaten op. Het verbindt zowel je cloudomgeving als on-prem systemen in één centraal IGA-platform, met end-to-end visibility en auditklare rapportage over álle toegangen, ongeacht waar die worden beheerd.
Segregation of Duties (SoD)
Entra ID ondersteunt basiscontroles zoals Role-based- en Conditional- Access, en je kunt via access reviews conflicterende rechten opsporen. Toch is de SoD-handhaving minder uitgebreid dan in gespecialiseerde IGA-tools. Bijvoorbeeld, een dedicated IGA-platform kan complexe conflicterende rollen over meerdere systemen detecteren en blokkeren. In Entra ID moet je dat vaak zelf definiëren of buiten het platform oplossen. Voor organisaties die moeten voldoen aan strenge SoD-eisen, zoals financiële instellingen onder DORA, is dit een belangrijk punt.
Rapportage en audit
Entra ID biedt een aantal standaardrapporten voor sign-ins, toegangsreviews en wijzigingslogs. Denk aan overzichtelijke lijsten van wie, wanneer is ingelogd, wie toegang heeft tot welke applicatie, en wanneer bepaalde rechten zijn toegekend of ingetrokken. Voor veel basisinzichten zijn deze rapporten voldoende.
Maar zodra je richting een audit gaat, bijvoorbeeld ISO27001, DORA of een interne risk assessment, blijken deze standaardrapportages vaak ontoereikend. Auditors verwachten op zeer gedetailleerd niveau: wie heeft ergens toegang gekregen, op basis waarvan, wie heeft het goedgekeurd, is dat herbevestigd en (wanneer) is het ingetrokken? En dat voor alle systemen, niet alleen Azure AD.
Een volwaardige IGA-oplossing lost dit wel op: die registreert elke toewijzing, wijziging en recertificatie inclusief context (reden, goedkeuring, duur, herzieningsdatum) en exporteert dit in rapporten die direct voldoen aan wat auditors willen zien. Denk aan quarterly SoD reviews, access recertificatie over meerdere systemen en bewijs dat offboarding correct en tijdig heeft plaatsgevonden.
Conclusie
Kortom, ben je volledig Microsoft-georiënteerd, dan is Microsoft Entra ID Governance een zeer goed startpunt om je identity governance op orde te krijgen. Je automatiseert veel van het identity governance lifecycle management en verkleint de kans op menselijke fouten of vergeten accounts. Is jouw IT-landschap breder of heb je specifieke eisen, dan loont het om te kijken naar aanvullende oplossingen. Denk dan aan gespecialiseerde identity governance platforms, zoals de Identity & Governance-oplossing van RSA, die nóg meer maatwerk, SoD-controles en diepere integraties biedt. Deze oplossing kan naast Entra ID worden ingezet voor een volledig dekkende IGA-aanpak.
Met Microsoft Entra ID heeft Microsoft een flinke stap gezet om identity governance toegankelijk te maken binnen de eigen cloudomgeving. Veel organisaties kunnen hiermee hun toegangsbeheer automatiseren en risico’s verlagen zonder een apart platform aan te schaffen. Tegelijk blijft het belangrijk om kritisch te kijken of Entra ID álle behoeften afdekt. Elke organisatie is uniek, en vooral grotere enterprises of kritieke sectoren met strenge regulatie hebben soms meer nodig dan de standaard.
Benieuwd of jouw organisatie voordeel haalt uit een IGA-oplossing bovenop Microsoft Entra ID?
