We willen sign-ins uit risico-landen blokkeren

Geo-blocking in Conditional Access is een grove maar effectieve filter. Werkt het beste als jullie een duidelijk werkgebied hebben (NL, EU, plus reizen). Het is geen beveiliging, het is ruisreductie zodat de echte aanval beter zichtbaar wordt.

Probeer dit eerst zelf

1. 1Maak in Entra Named Locations een Trusted-set: NL, plus de landen waar mensen daadwerkelijk werken of regelmatig reizen. Gebruik IP-ranges van vaste kantoren als 'Trusted IP'.
2. 2Bouw een Conditional-Access-policy 'Block sign-in from untrusted countries': alle gebruikers (behalve break-glass), alle cloud-apps, voorwaarde Locations = Any location, exclude Trusted Named Locations, actie Block.
3. 3Eerst Report-only voor twee weken. Kijk in sign-in logs welke legitieme reizen of VPNs er aan komen, en pas de Trusted set aan.
4. 4Voeg een aparte policy toe voor admin-rollen: alleen vanuit Trusted Named Locations, ook als reisland anders is. Admins reizen ze maar via VPN naar het kantoor.
5. 5Maak een uitzondering voor mobiele apps die roaming-data gebruiken (Outlook mobile op een buitenlandse telefoon-provider). Soms loggen die in vanuit een carrier-IP in een onverwacht land. Dat is geen aanval, los het op via Trusted Devices in plaats van Trusted Locations.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.