Klantverhaal — B2B SaaS

Van versnipperde admin-toegang
naar een gecontroleerde Microsoft 365-
omgeving.

Hoe een B2B SaaS-bedrijf met 60 mensen zijn identity-baseline in zes weken opnieuw opbouwde — Global Admin-wildgroei terugbracht, phishing-resistente MFA afdwong, en de volgende enterprise security review zonder herstelacties doorstond.

6
weken
end-to-end identity-rebuild
60
mensen
op één Microsoft 365-tenant
~80%
reductie
in permanente Global Admin-toegang
Branche B2B SaaS
Omvang ~60 medewerkers
Platform Microsoft 365
Traject 6 weken
Diensten gebruikt Assessment · The Security Baseline™
Doel Gecontroleerde identity-baseline + audit-klaar bewijs

Het bedrijf

Een B2B SaaS-bedrijf met circa 60 mensen, volledig cloud-native, dat zijn gehele werkomgeving op Microsoft 365 draait. Het bedrijf was in drie jaar snel gegroeid — van een klein oprichtersteam tot een organisatie met meerdere afdelingen — zonder ooit stil te staan bij het formaliseren van hoe IT en identity werden beheerd.

Het productteam beheerde zijn eigen infrastructuur. Het operations-team verzorgde zijn eigen admin-werk. De CTO trad op als feitelijke IT-eigenaar wanneer er iets stuk ging. Er was geen aparte IT- of security-functie.

De uitdaging

Drie jaar snelle groei had geleid tot een Microsoft 365-omgeving die niemand volledig in eigendom had. Admin-toegang was ad hoc uitgegeven — engineers kregen Global Admin om "dingen sneller te kunnen oplossen", externe medewerkers waren aan admin-rollen toegevoegd en nooit verwijderd, en meerdere gedeelde admin-accounts werden actief gebruikt omdat dat "makkelijker was dan met rol-toewijzingen rommelen".

MFA werd afgedwongen op gebruikersaccounts, maar inconsistent op de admin- en service-accounts die er het meest toe deden. Niemand had een formele access review uitgevoerd sinds het bedrijf 20 mensen telde.

"Wie heeft toegang tot wat? Wanneer was de laatste access review? Wat is uw aanpak voor privileged identity management?"

Het probleem kwam naar boven toen het security-team van een enterprise-prospect vroeg om een lijst van alle Global Administrators, de datum van de laatste access review, en de aanpak van het bedrijf voor privileged identity management. Eerlijke antwoorden zouden de deal hebben gekost.

Waarom dit telde

Ze hadden iemand nodig die het goed zou oplossen, niet zou afdekken — en die een herhaalbaar proces zou achterlaten dat het interne team zelf kon onderhouden.

Onze aanpak

We begonnen niet met tooling. We begonnen met een inventarisatie.

Fase 01 · Week 1–2
Inventarisatie en ontwerp
We brachten elke privileged rol, elk gedeeld account, elke service principal en elk conditional access-beleid in de tenant in kaart. We legden vast welke accounts MFA afgedwongen hadden, welke methoden geregistreerd waren, en welke accounts meer dan 90 dagen inactief waren. De inventarisatie was de basis voor alles wat volgde.
Fase 02 · Week 3–5
Implementatie
Admin-aantallen teruggebracht tot het minimaal benodigde. Gedeelde admin-accounts vervangen door benoemde privileged accounts. Phishing-resistente MFA afgedwongen op alle privileged rollen. Just-in-time elevation geconfigureerd zodat admin-rechten alleen werden toegekend wanneer nodig. Conditional access-beleid rond admin-aanmeldingen aangescherpt.
Fase 03 · Week 6
Governance en overdracht
Joiner-mover-leaver-workflows voor privileged access gedocumenteerd. Een kwartaalcadans voor access reviews ingericht met benoemde eigenaren. Alerting geconfigureerd op privileged rol-toewijzingen, gevoelige beleidswijzigingen en risicovolle aanmeldingen. Het runbook overgedragen aan de interne IT-eigenaar.

Het resultaat

Zes weken gericht werk. Drie dingen veranderden.

Privileged-oppervlak met ~80% teruggebracht Permanente Global Admin-toegang daalde van een tweecijferig aantal naar een handvol benoemde, MFA-beschermde accounts met just-in-time elevation.
Gedeelde admin-accounts geëlimineerd Elke admin heeft nu een eigen, benoemd privileged account, los van het dagelijkse gebruikersaccount. Het audit trail is schoon en toewijsbaar.
Phishing-resistente MFA op alle privileged rollen Veruit de control met de grootste impact. Sluit het meest voorkomende pad naar volledige tenant-compromittering af.
Kwartaal-access reviews ingericht Gedocumenteerde cadans, benoemde eigenaren, herhaalbaar proces. Elk framework dat ertoe doet vereist dit.
Enterprise security review doorstaan De volgende questionnaire werd met vertrouwen beantwoord. Lijst Global Admins, datum laatste access review en privileged-access-aanpak op verzoek beschikbaar.
Directie kreeg een verdedigbaar antwoord "Wie heeft toegang tot wat?" kent nu een helder, gedocumenteerd antwoord. De interne IT-eigenaar heeft een runbook dat hij kan onderhouden.

Belangrijkste lessen

Diensten gebruikt in dit traject

Diagnosticeren, implementeren, onderhouden.

Herkent u dit? Een groeiende Microsoft 365-omgeving, te veel mensen met te veel toegang, en een security-questionnaire op komst. Wij hebben dit eerder gedaan. Het pad is duidelijk. Plan een verkennend gesprek →

Klaar om dit aan te pakken?

Uw security-transformatie
begint met één gesprek.

Plan een verkennend gesprek van 30 minuten. Geen verkooppraatje. Wij vertellen u eerlijk waar u staat, wat het zou kosten, en of wij de juiste partij voor u zijn.

Plan een verkennend gesprek