Identiteitsbeheer voor het MKB: tools, kosten en implementatie
Een gemiddeld MKB-bedrijf heeft 12 tot 20 systemen. Elke medewerker heeft accounts in 8 tot 15 van die systemen. Bij vertrek moeten al die accounts worden uitgeschakeld. Zonder identiteitsbeheersysteem is 35% van de accounts van oud-medewerkers na 30 dagen nog actief.
Identiteitsbeheer (Identity and Access Management, IAM) is het geheel van processen en tools waarmee je regelt wie toegang heeft tot welke systemen, wanneer en onder welke voorwaarden. Het gaat om vier kernfuncties: authenticatie (wie ben je?), autorisatie (wat mag je?), levenscyclusbeheer (aanmaken en verwijderen accounts), en monitoring (wat doet er wie?).
IAM-tools vergeleken: van basis tot geavanceerd
| Tool | Functie | Prijs/maand | Gebruik case | Integraties |
|---|---|---|---|---|
| Microsoft Entra ID (gratis) | Basis IAM, SSO binnen M365 | Inbegrepen alle M365-lic. | M365-omgevingen | Microsoft-ecosysteem |
| Microsoft Entra ID P1 | Conditional Access, groepsbeheer | Inbegrepen Business Premium / €5,80 los | MKB met hybride werk | M365 + 3000+ apps |
| Microsoft Entra ID P2 | Identity Protection, PIM | Inbegrepen E5 / €5,80 los | Security-intensieve omgevingen | M365 volledig |
| Okta Workforce Identity | Enterprise SSO + MFA | €2-€8/gebruiker | Non-Microsoft omgevingen | 7.000+ apps |
| JumpCloud | SSO + MDM + directoryservices | €11-€22/gebruiker | KMO zonder AD | 700+ apps |
| OneLogin | SSO + MFA + provisioning | €4-€10/gebruiker | Multi-cloud MKB | 6.000+ apps |
| Duo Security (Cisco) | Alleen MFA | €3-€9/gebruiker | Aanvulling op bestaand SSO | 400+ apps |
SSO-vergelijking: welke optie voor welke situatie
| Situatie | Aanbevolen SSO | Reden |
|---|---|---|
| Primair Microsoft 365-omgeving | Microsoft Entra ID (inbegrepen) | Gratis, native, volledige integratie |
| Mix Microsoft + Google Workspace | Okta of JumpCloud | Beide ecosystemen ondersteunen |
| Veel cloud-apps buiten Microsoft/Google | Okta of OneLogin | Grootste app-bibliotheek |
| Kleine organisatie, beperkt budget | JumpCloud (starter gratis < 10 mw) | Goede prijs-kwaliteit |
| Geen eigen domein / AD | JumpCloud | Cloud-native directory |
Levenscyclusbeheer: wat er bij elke lifecycle-fase moet gebeuren
| Fase | Actie | Systemen | Wie voert uit | Tijdstip |
|---|---|---|---|---|
| Onboarding | Account aanmaken, groepen koppelen, MFA activeren | M365, CRM, HR, overige apps | IT/HR samen | Dag -3 voor startdatum |
| Rol wijzigt | Toegangsrechten aanpassen aan nieuwe functie | Alle systemen | IT op verzoek HR | Datum functiewijziging |
| Verlof/afwezigheid | Account tijdelijk blokkeren (optioneel bij lang verlof) | M365 | IT | Dag van vertrek |
| Offboarding | Account uitschakelen, sessies beëindigen, data exporteren, licentie intrekken | Alle systemen | IT | Dag van vertrek |
| Na 30 dagen vertrek | Account permanent verwijderen of archiveren | Alle systemen | IT | 30 dagen na vertrek |
Rolgebaseerde toegangscontrole: matrix per afdeling
| Systeem | Verkoop | Financiën | HR | IT | Directie |
|---|---|---|---|---|---|
| CRM (HubSpot, Salesforce) | Volledig | Lezen | Nee | Beheer | Lezen |
| Boekhouding (Exact, AFAS) | Nee | Volledig | Beperkt | Nee | Lezen |
| HR-systeem (Loket, Personio) | Nee | Loonstroken eigen | Volledig | Nee | Lezen |
| SharePoint (afdelings-site) | Eigen afdeling | Eigen afdeling | Eigen + HR | Alles | Alles |
| Teams/e-mail | Standaard | Standaard | Standaard | Beheer | Standaard |
| Azure / servers | Nee | Nee | Nee | Admin | Nee |
| Factuurverwerking | Nee | Volledig | Nee | Nee | Goedkeuring |
Privileged Access Management (PAM): beheeraccounts apart
Beheeraccounts (admin-rechten) zijn het meest aantrekkelijke doelwit voor aanvallers. Richtlijnen:
| Maatregel | Wat het inhoudt | Microsoft-tool |
|---|---|---|
| Apart admin-account | Beheerder logt dagelijks in als gewone gebruiker, alleen admin voor beheertaken | Twee afzonderlijke accounts in Entra ID |
| Just-in-Time admin | Admin-rechten worden tijdelijk (1-4 uur) toegekend wanneer nodig | Entra ID PIM (Privileged Identity Management) |
| MFA ook op admin-account | Separaat MFA voor het admin-account | Entra ID Conditional Access |
| Sessie-logging | Alle admin-acties worden gelogd | Entra ID Audit Logs |
Kosten IAM voor een bedrijf van 25 medewerkers
| Scenario | Tools | Maandkosten | Jaarkosten |
|---|---|---|---|
| Minimaal (M365 only) | Entra ID gratis + M365 Business Basic | Inbegrepen | €0 extra |
| Aanbevolen (Business Premium) | Entra ID P1 + Intune + MFA | Inbegrepen Business Premium | €0 extra bij Premium |
| Geavanceerd | Business Premium + Entra ID P2 | €5,80 extra per gebruiker | €1.740 extra |
| Non-Microsoft | Okta Workforce + Duo MFA | €11/gebruiker | €3.300 |
Praktijkscenario: accountantskantoor vindt 6 maanden later 8 actieve oud-medewerkeraccounts
Een accountantskantoor met 22 medewerkers had geen offboarding-procedure. Bij een jaarlijkse security-audit werden 8 accounts gevonden van medewerkers die 2 tot 18 maanden eerder waren vertrokken.
Van de 8 accounts:
- 3 hadden de vorige maand nog ingelogd (onbekend hoe)
- 2 hadden CRM-data kunnen raadplegen (klantportfolio's)
- 1 account had admin-rechten in de mailomgeving
Directe actie: alle 8 accounts uitgeschakeld, wachtwoorden van overige beheeraccounts gereset, sessies geforceerd afgesloten.
Ingevoerd beleid na het incident:
- Offboarding-checklist in AFAS HRM: account deactiveren in Entra ID op vertrekdag
- SSO uitgerold via Entra ID: uitschakelen in Entra ID = automatisch uitschakelen in alle gekoppelde apps
- Kwartaalaudit: actieve accounts vs. actieve medewerkers vergelijken
Kosten van de SSO-implementatie: 16 interne uren. Extra licentiekosten: €0 (inbegrepen Business Premium).
Stappenplan: identiteitsbeheer op orde brengen
Stap 1: inventariseer alle accounts en systemen
Maak een lijst van alle systemen en exporteer de gebruikerslijst. Vergelijk met HR-bestand: wie staat in het systeem maar niet meer in dienst?
Stap 2: activeer MFA voor alle gebruikers
Geen enkele andere maatregel heeft zoveel impact per euro.
Stap 3: koppel apps via SSO
Microsoft Entra ID (inbegrepen Business Premium) koppelt 3.000+ apps. Onboarding en offboarding worden één handeling.
Stap 4: stel een offboarding-procedure in
Één checklist per vertrekkende medewerker. Dag van vertrek: Entra ID-account uitschakelen = alles afgesloten.
Stap 5: kwartaalaudit actieve accounts
30 minuten per kwartaal: actieve accounts versus actieve medewerkers vergelijken.
Toegangsreviews: periodieke controle van wie wat mag
Een periodieke toegangsreview (ook: recertificatie) is een formele controle waarbij managers bevestigen dat medewerkers nog de juiste toegangsrechten hebben.
| Frequentie | Voor welke rechten | Hoe uitvoeren |
|---|---|---|
| Maandelijks | Kritieke systemen (financieel, HR, admin) | Automatisch rapport + bevestiging per manager |
| Kwartaals | Alle systemen, actieve accounts | Export vs. HR-bestand vergelijken |
| Jaarlijks | Volledige rechtenaudit | Alle toegangen per medewerker controleren |
| Bij functiewijziging | Directs voor die medewerker | HR triggert IT via ticket/workflow |
Microsoft Entra ID biedt ingebouwde "Access Reviews" die managers automatisch per e-mail informeren welke rechten ze moeten herbevestigen of intrekken.
Geautomatiseerde provisioning: accounts automatisch aanmaken en verwijderen
Voor organisaties boven 50 medewerkers wordt handmatig accountbeheer tijdrovend. Geautomatiseerde provisioning koppelt het HR-systeem aan het identiteitssysteem:
| HR-systeem | Koppeling met Entra ID | Prijs | Wat geautomatiseerd wordt |
|---|---|---|---|
| AFAS | AFAS HR koppeling Entra ID | Via AFAS connector | Account aanmaken/verwijderen op basis van HR-data |
| Personio | Personio SCIM koppeling | Inbegrepen Enterprise-plan | Onboarding en offboarding automatisch |
| Loket.nl | Geen native; via Zapier/Make | €20-€50/maand | Beperkte automatisering |
| Workday | Native SCIM koppeling | Enterprise | Volledig geautomatiseerd |
SCIM (System for Cross-domain Identity Management) is de standaard voor automatische accountprovisioning. Entra ID ondersteunt SCIM volledig: als Personio een nieuwe medewerker aanmaakt, wordt automatisch een M365-account aangemaakt, ingedeeld in de juiste groepen, en bij vertrek uitgeschakeld.
Wachtwoordbeheer als onderdeel van identiteitsbeheer
Wachtwoordbeleid en wachtwoordmanagers zijn de fundatie van IAM:
| Tool | Type | Prijs/maand | Gebruik | Aanbevolen voor |
|---|---|---|---|---|
| Microsoft Authenticator | MFA-app | Gratis | M365 MFA | Alle M365-gebruikers |
| Bitwarden Teams | Wachtwoordmanager | €3/gebruiker | Veilig wachtwoorden delen | Teams tot 50 mw |
| 1Password Business | Wachtwoordmanager | €7,99/gebruiker | Wachtwoorden + toestemming | Groeiende teams |
| Keeper Business | Wachtwoordmanager | €4/gebruiker | Rapportage + compliance | Compliance-intensief |
| LastPass Teams | Wachtwoordmanager | €4/gebruiker | Beperkte functies | Tijdelijk/overgangssituatie |
Wachtwoordmanager + MFA elimineert de noodzaak van complexe wachtwoorden voor individuele systemen: medewerkers onthouden één sterk master-wachtwoord, de manager genereert unieke wachtwoorden per app.
Statistieken: waarom identiteitsbeheer kritiek is
| Bevinding | Percentage/Getal | Bron |
|---|---|---|
| Cyberaanvallen via gecompromitteerde identiteiten | 80% | Microsoft Digital Defense Report 2024 |
| Accounts van oud-medewerkers nog actief na 30 dagen | 35% gemiddeld | Ponemon Identity Security 2024 |
| Organisaties die meer dan 100 dagen nodig hebben voor offboarding | 40% | Sailpoint Identity Security 2024 |
| Aanvallen via gestolen MFA-sessietokens | +150% (2023-2024) | Microsoft 2024 |
| Kosten van identiteitsgerelateerd incident | €45.000-€180.000 MKB | IBM Cost of a Breach 2024 |
| Reductie van accountovername-aanvallen bij MFA | 99,2% | Microsoft Entra telemetrie 2024 |
Kosten identiteitsbeheer per maturiteitsniveau
| Niveau | Wat actief is | Maandelijkse kosten (25 mw) | Restrisico |
|---|---|---|---|
| 1 - Geen beleid | Handmatig, geen SSO, MFA optioneel | €0 (maar hoog incident-risico) | Zeer hoog |
| 2 - Basis (MFA) | MFA verplicht, handmatige offboarding | €0 (inbegrepen M365) | Hoog |
| 3 - SSO + beleid | MFA + SSO via Entra ID + offboarding-procedure | €0 (Business Premium) | Middel |
| 4 - Geautomatiseerd | SSO + automatische provisioning via HR-systeem | €20-€50 extra (SCIM-koppeling) | Laag |
| 5 - Volledig beheerd | Bovenstaande + PIM + Access Reviews + MDR | €100-€200 extra | Minimaal |
Veelgestelde vragen
Hoe snel kan ik een accounts uitschakelen bij een incident?
Met Entra ID: onmiddellijk. Account uitschakelen + alle sessies revoken is 2 klikken in het Entra ID-beheercentrum. Alle actieve sessies worden binnen 60 seconden beëindigd.
Moet ik data van een vertrekkende medewerker bewaren?
Ja. Stel niet de account direct in op verwijderen maar uitschakelen. Bewaar de data minimaal 30 dagen voor eventuele overdracht. Daarna archiveren of verwijderen conform je bewaartermijnenbeleid.
*Zie ook: Tweefactorauthenticatie | BYOD beleid arbeidsrecht | Zero Trust uitleg | Zero Trust Microsoft 365 | Microsoft 365 beveiliging | NIS2 technische maatregelen | Endpoint beveiliging*