Provincie X is een middelgrote overheid met zo’n 2.800 ambtenaren, tientallen ketenpartners en een identiteitslandschap dat in 2023 nog volledig draaide op traditioneel beheerde domain controllers. De provinciesecretaris wilde het energie-intensieve datacenter verkleinen, de beveiliging aantoonbaar verhogen en de organisatie voorbereiden op strengere BIO-, NIS2- en Nederlandse Baseline voor Veilige Cloud-audits. Die combinatie leidde tot één scherpe vraag: durven we onze on-premises Active Directory uit te zetten en Microsoft Entra ID de enige bron van waarheid te maken? Het antwoord vergde veel meer dan een technische migratie. De CIO organiseerde financiële simulaties, liet threat-modellen uitwerken en verplichtte iedere leverancier om zijn applicatiegedrag in een cloud-only scenario te bewijzen. Intussen bouwde het identityteam een proeftuin waarin Azure AD Join, Intune, Conditional Access en Privileged Identity Management samenkwamen, zodat bestuurders konden zien hoe passwordless authenticatie en risicogestuurde toegangscontrole in de praktijk werken. Na vijftien maanden lag er een resultaat dat telt: de Secure Score sprong van 52 naar 84 procent, jaarlijks werd ongeveer €180.000 aan energie, licenties en hardware uitgespaard, en identity-specialisten besteedden hun tijd voortaan aan governance in plaats van aan het bijhouden van replicatielogs. Deze case study beschrijft hoe de provincie het besluitvormingsproces structureerde, hoe het cutover-weekend verliep inclusief een onverwachte legacy-storing, en welke lessen de organisatie meeneemt naar volgende transformaties. Het verhaal is bedoeld voor Nederlandse overheden die dezelfde stap overwegen en realistische inzichten zoeken over risicoacceptatie, applicatiediscovery en crisisbestendigheid.
Deze case laat zien hoe een bestuursorgaan het besluit voor cloud-only identiteiten verdedigbaar maakte richting provincie-secretaris en toezichthouders, hoe applicatieketens in een gescheiden proeftuin zijn getest en hoe communicatie, crisisrespons en rapportage in één besturingsritme zijn gebracht zodat zowel kostenbesparing als risicoreductie aantoonbaar werd.
Plan minimaal een derde van de totale doorlooptijd voor discovery in een afgesloten Azure AD-only proeftuin waarin Kerberos, LDAP, GPO’s, legacy plug-ins en serviceaccounts worden gesimuleerd, en accepteer testresultaten alleen wanneer leveranciers en proceseigenaren schriftelijk bewijs leveren dat er vier weken zonder hybride fallback is gedraaid.
Strategische besluitvorming: waarom cloud-only de voorkeur kreeg
Het besluit om de traditionele Active Directory uit te schakelen ontstond niet uit technologische nieuwsgierigheid, maar uit een bestuurlijke overtuiging dat het identiteitslandschap moet aansluiten op de Nederlandse Baseline voor Veilige Cloud. De CIO zette drie scenario’s naast elkaar: het verlengen van de levensduur van het bestaande domein, een hybride variant met Azure AD Connect of een radicaal cloud-only model waarbij Microsoft Entra ID de enige bron van waarheid wordt. Elk scenario werd doorvertaald naar financiën, compliance, continuïteit en veranderimpact. Uit de simulaties bleek dat het beheer van domain controllers jaarlijks ongeveer tachtigduizend euro aan energie, koeling en housing kostte, plus zestigduizend euro aan verouderende hardware en veertigduizend euro aan Windows Server-licenties waarvan de waarde grotendeels schuilging in authenticatiecapaciteit. Daarbovenop besteedde het team anderhalve FTE aan patchrondes, backupcontrole en het oplossen van replicatieconflicten. De businesscase liet zien dat die capaciteit in een cloud-only wereld kon worden ingezet voor identity governance en dat de totale netto contante waarde over vijf jaar ruim driehonderdtachtigduizend euro positief zou uitvallen.
Kosten waren echter slechts een deel van het verhaal. De CISO moest aantonen dat Zero Trust-principes werkelijk haalbaar werden. Met on-premises AD bleven legacy-authenticatieprotocollen, onbeperkte beheerrechten en beperkte risicosturing de norm. In een proeftenant werd daarom geëxperimenteerd met Identity Protection, Conditional Access, Privileged Identity Management en passwordless authenticatie via Windows Hello for Business. De nulmeting liet een Secure Score van 52 procent zien. Nadat streng beleid, device compliance en meervoudige authenticatie waren doorgevoerd op testaccounts, steeg de score naar 84 procent. De provinciesecretaris zag in dashboards hoe blokkades voor oude protocollen, risky sign-in policies en just-in-time toekenningsprocessen direct meetbaar effect hadden. Daarmee werd het gesprek verlegd van techniek naar aantoonbare risicoreductie en kon de bestuurder een gefundeerde keuze maken richting Provinciale Staten en externe auditors.
De compliancefunctie onderzocht gelijktijdig hoe logging- en bewaarplichten konden worden vereenvoudigd. Doordat alle aanmeldingen, privilege-elevaties en applicatietoegang in Entra ID plaatsvinden, werd het mogelijk om zonder complexe koppelingen complete audittrails naar Microsoft Sentinel, Purview Audit en het eDiscovery-programma te sturen. Dat is relevant voor AVG-rapportages, Woo-verzoeken en bewijsvoering richting de Algemene Rekenkamer. Wel betekende het cloud-only model een grotere afhankelijkheid van internet. Daarom koppelde de directie het besluit aan harde randvoorwaarden: dubbele glasvezels per hoofdlocatie, 5G-fallback voor crisiscentra, duidelijke runbooks voor locaties die langer dan twee uur offline raken en verplicht gebruik van cached credentials en offline-profielen zodat ambtenaren basisfuncties behouden tijdens storingen.
De grootste discussie draaide uiteindelijk om applicatieketens. Veel leveranciers verklaarden dat hun oplossingen webgebaseerd waren, maar in werkelijkheid bleken er nog Kerberos-handshakes, LDAP-queries, GPO-afhankelijke plug-ins of hardgecodeerde domeinnamen aanwezig. De enterprise architect maakte per proces een stroomdiagram en verplichtte proceseigenaren om elk authenticatiepad te laten testen in een geïsoleerde Entra ID-only tenant. Pas toen een applicatie vier weken achtereen foutloos draaide, kreeg zij het stempel “cloud-only bewezen”. Deze aanpak vertraagde het programma met drie maanden, maar voorkwam dat verborgen afhankelijkheden pas tijdens de productiecutover zichtbaar zouden worden. Bovendien dwong het leveranciers om contractueel vast te leggen wanneer zij hun software aanpassen of welke alternatieve authenticatie zij ondersteunen.
Tot slot borgde de provincie governance en verandermanagement voordat er een handtekening werd gezet. CISO, CIO en HR richtten een identity steering committee op, waarin besluitvorming over beleid, communicatie en opleiding samenkwam. Servicedeskmedewerkers volgden trainingen over nieuwe aanmeldschermen en escalatieroutes, terwijl HR scenario’s uitwerkte voor onboarding en offboarding zonder on-premises scripts. De board wilde zeker weten dat escalaties, communicatie naar bestuurders en juridische implicaties waren uitgewerkt. Nadat alle randvoorwaarden waren afgevinkt, bekrachtigde het college het besluit in een openbare vergadering, waarbij expliciet werd benoemd dat de provincie kiest voor het hoogste risicoprofiel omdat de baten op het gebied van veerkracht, auditbaarheid en strategische eenvoud aanzienlijk groter zijn. Daarmee ontstond een helder mandaat om hybride compromissen te vermijden en het cloud-only pad volledig te volgen.
Uitvoering van de migratie: cutover-weekend en crisisrespons
Na acht maanden voorbereiden moest de provincie laten zien dat strategie werkelijkheid kon worden. In de weken voor het cutover-weekend stonden validatie en oefening centraal. Alle 2.800 endpoints kregen een nieuwe inschrijving in Azure AD Join, Intune-profielen zorgden dat single sign-on zonder traditioneel domeinlidmaatschap bleef werken en Conditional Access policies werden getest op basis van risicostatus en device compliance. Identity Protection draaide met simulatiereeksen zodat de organisatie zeker wist dat signalen over verdachte aanmeldingen direct werden opgepakt. Break-glass accounts werden buiten de standaard policies gehouden en periodiek getest door de hoofden van operations en security. Tegelijkertijd voerde het crisisteam tabletop-oefeningen uit waarbij scenario’s zoals verlies van glasvezel, mislukte tokenuitgifte of een bricked domain controller werden nagespeeld. Elk scenario resulteerde in een runbookpagina met duidelijke rollen, escalatieniveaus en communicatielijnen richting bestuur en ketenpartners.
Het daadwerkelijke cutover-moment begon op vrijdagavond. Om exact 18.00 uur werd Azure AD Connect gestopt en verwijderd, waarmee de automatische synchronisatie tussen on-premises en cloud eindigde. Het team draaide een delta-rapport uit om te verifiëren dat accounts, groepen, serviceprincipals en deviceobjecten één-op-één overeenkwamen. Domain controllers kregen een read-only configuratie, zodat er geen wijzigingen meer konden worden aangebracht en er altijd een statisch snapshot beschikbaar bleef voor forensische analyse of rollback. In het Network Operations Center werd een schermwand ingericht waarop real-time statistieken uit Entra ID, Sentinel en Secure Score zichtbaar waren. De eerste golf testgebruikers logde in zonder fouten, waardoor het team vertrouwen kreeg in de nieuwe situatie.
Zaterdagmorgen verliep volgens plan. Secundaire domain controllers werden gecontroleerd uitgezet en een groep van vijftig power users werkte hun applicatieportfolio door. Rond het middaguur werd de testpopulatie uitgebreid en meldde de financiële afdeling dat het budgetteringssysteem dienst weigerde. De leverancier had de applicatie als modern webplatform gepositioneerd, maar onder de motorkap bleek voor elke sessie een Kerberos-ticket nodig. Zonder domeincontroller stopte de workflow, terwijl juist maandag de officiële begrotingsronde zou starten. De tijdsdruk en het politieke belang maakten duidelijk dat de provincie zich geen weifelende communicatie kon permitteren.
Binnen een uur kwam het crisisteam bijeen. Terugrollen naar hybride identiteiten zou minstens twee dagen kosten en de geloofwaardigheid van het programma aantasten. De applicatie vervangen was evenmin haalbaar. Uiteindelijk koos het team voor Azure AD Domain Services als tijdelijke beheerde domeinlaag. Engineers ontwierpen ’s nachts een gesegmenteerde VNet-architectuur, configureerden conditional forwarding en zetten een site-to-site VPN op zodat het legacy-systeem Kerberos kon blijven gebruiken. Tegelijkertijd werd afgesproken dat het budgetteringsproces als eerste kandidaat op de roadmap kwam om volledig naar moderne authenticatie over te stappen. Tegen zondagmiddag draaide de workaround stabiel en bevestigden proceseigenaren dat rapportages, workflows en autorisatiestromen correct functioneerden. Gebruikers merkten niets, maar intern werd uitgebreid gedocumenteerd welke concessie was gedaan en hoe de exitstrategie eruitzag.
Zondagavond maakte de stuurgroep de balans op. Meer dan 95 procent van de applicaties bleek probleemloos te draaien, printers en gedeelde baliewerkstations vroegen nog om aanvullende scripts en twee maatwerkoplossingen kregen een apart verbetertraject in de daaropvolgende sprint. Omdat monitoring, communicatie en noodprocedures zichtbaar hadden gewerkt, besloot het bestuur de laatste domain controllers maandagochtend definitief uit te schakelen. Het change record vermeldde dat Entra ID nu de enige identity provider was, dat Azure AD Domain Services slechts voor één kritiek proces werd gebruikt en dat alle auditlogs naar Sentinel en Purview Audit werden gestuurd. De provincie leerde dat een cloudtransformatie niet wordt gemeten aan de afwezigheid van incidenten, maar aan de manier waarop een organisatie in het heetst van de strijd transparant blijft, beslissingen vastlegt en tegelijk de continuïteit van de dienstverlening bewaakt.
Lessen voor volgende transformaties
Een van de scherpste lessen is dat applicatieassessments niet mogen eindigen bij vragenlijsten of interviews. In de beginfase had de provincie de neiging te vertrouwen op leveranciers die verklaarden dat hun applicaties “webbased” waren en dus probleemloos zouden functioneren zonder domeincontroller. Toen echte gebruikers vier weken lang met de applicaties werkten in een afgesloten testtenant, kwamen echter verborgen afhankelijkheden naar boven: LDAP-queries die ergens in de keten werden uitgevoerd, plug-ins die alleen startten met specifieke GPO-instellingen, scripts met hardgecodeerde domeinnamen en middleware die Kerberos gebruikte zonder dat het in documentatie stond. Twaalf applicaties bleken alsnog handwerk te vergen en moesten tijdens het cutover-weekend onder hoge druk worden aangepast. Sindsdien hanteert de provincie een harde eis: een applicatie krijgt pas toegang tot het productierunbook wanneer proceseigenaar, leverancier en security samen een getekende testverklaring opleveren waarin authenticatiestromen, fallback-scenario’s, monitoring en exitcriteria zijn vastgelegd. Zonder bewijs geen productie.
Capaciteitsplanning vormt een tweede rode draad. Het oorspronkelijke plan rekende op twee interne FTE die de helft van hun tijd beschikbaar zouden zijn plus twintig uur per week externe expertise. In de praktijk bleken identity-beheerders tegelijk bezig te moeten zijn met configuraties, het herzien van werkinstructies, het schrijven van auditdocumenten en het begeleiden van gebruikers. In piekweken waren drie FTE fulltime bezig en draaide de externe partner veertig uur per week mee, waardoor het budget met ongeveer 25 procent werd overschreden. De evaluatie leidde tot een nieuwe norm: cloudtransformaties reserveren voortaan structureel 150 procent van de geschatte capaciteit zodat kennisoverdracht, documentatie en onvoorziene issues kunnen plaatsvinden zonder structureel overwerk.
Ook verandercommunicatie kreeg een herziening. Een kort bericht op vrijdagmiddag bleek onvoldoende; de maandag na de cutover stroomden servicedeskverzoeken binnen over nieuwe aanmeldschermen, VPN-vragen en zorgen over thuiswerken bij haperende internetverbinding. Tegenwoordig start ieder groot identiteitsproject met een communicatiecampagne die zes weken voor de wijziging begint. Er verschijnen intranetartikelen met scenario’s, korte video’s die laten zien hoe passwordless aanmeldt, webinars voor leidinggevenden en een FAQ die dagelijks wordt bijgewerkt. Bestuurders sturen persoonlijke boodschappen waarin ze uitleggen waarom de verandering nodig is voor digitale weerbaarheid en hoe die past binnen de NBVC. Deze aanpak verlaagt weerstand, maakt gebruikers alert op afwijkingen en zorgt dat zij sneller accepteren dat moderne authenticatie onderdeel is van hun dagelijkse werk.
Een andere les is dat governance niet stopt na de laatste change. Zodra de domain controllers zijn uitgeschakeld, ontstaat de verleiding om het projectteam op te heffen. De provincie koos ervoor een operations board in te richten dat negentig dagen lang wekelijks bijeenkwam. In dat overleg werden incidenten, auditbevindingen, verbeterinitiatieven en lessons learned gedeeld. Zo kwam naar voren dat serviceaccounts moesten worden vervangen door workload identities met lifecyclebeheer, dat meldingen aan de Autoriteit Persoonsgegevens nu sneller konden worden gemaakt omdat alle logs centraal beschikbaar zijn en dat gastgebruikers voortaan via Entitlement Management worden aangemaakt. Het board deelde bovendien referentiearchitecturen met andere provincies en gebruikte Secure Score-rapporten om te laten zien dat beleid daadwerkelijk werd nageleefd.
Transparantie richting bestuur sluit deze rij lessen af. Tijdens het storingsmoment op zaterdag was het verleidelijk om het nieuws binnen het team te houden. De programmamanager besloot echter direct de portefeuillehouder te bellen, inclusief context, herstelplan en tijdsinschatting. Daardoor bleef het vertrouwen intact en werd het incident gezien als bewijs dat crisisprocessen echt werken. De governancehandleiding van de provincie bevat inmiddels een standaardparagraaf voor identiteitswijzigingen: er staan expliciete escalatieroutes in, rapportagelijnen over Secure Score en kwetsbaarheden en koppelingen naar het bredere portfolio rond de Nederlandse Baseline voor Veilige Cloud. De organisatie concludeert dat volwassenheid niet betekent dat incidenten afwezig zijn, maar dat er een mechanisme bestaat waarmee teams snel reageren, lessen vastleggen en stakeholders meenemen in de realiteit van cloudtransformaties.
De transformatie van Provincie X laat zien dat een cloud-only identiteit in de Nederlandse publieke sector haalbaar is wanneer bestuurders bereid zijn om risico’s expliciet te benoemen, discovery ruim baan te geven en crisisrespons als integraal onderdeel van het programma te behandelen. Door domain controllers uit te faseren, Azure AD Domain Services alleen nog als gecontroleerde uitzondering toe te staan en alle logging centraal te ontsluiten, steeg de Secure Score naar 84 procent en daalden de operationele kosten structureel. Tegelijkertijd groeide de volwassenheid van governance: er kwamen vaste steering committees, runbooks voor escalaties, communicatiecampagnes voor gebruikers en rapportages die aansluiten op BIO- en NIS2-controles. Organisaties die dezelfde stap overwegen doen er goed aan twaalf tot achttien maanden uit te trekken, een fors discoverybudget te reserveren en communicatie te behandelen als kritische deliverable. Wie die randvoorwaarden accepteert, bouwt een identiteitsplatform dat de Nederlandse Baseline voor Veilige Cloud ondersteunt, auditors sneller bedient en ruimte creëert voor Zero Trust-werkomgevingen en AI-innovaties.