💼 Management Samenvatting
Conditional Access-beleidsregels die compliant devices vereisen blokkeren toegang vanaf onbeheerde of niet-compliant apparaten, waardoor alleen beveiligde, up-to-date en beleidscompliant apparaten toegang krijgen tot organisatieresources. Deze maatregel vormt een essentieel onderdeel van een Zero Trust-beveiligingsstrategie waarbij elk apparaat moet voldoen aan strikte beveiligingsvereisten voordat toegang wordt verleend tot gevoelige bedrijfsgegevens en applicaties.
Aanbeveling
IMPLEMENTEER DEVICE COMPLIANCE POLICY
Risico zonder
High
Risk Score
7/10
Implementatie
28u (tech: 12u)
Van toepassing op:
✓ Azure
✓ Azure AD
✓ Intune
✓ Azure AD
✓ Intune
Onbeheerde apparaten zonder beveiligingsregels vormen een groot risico voor organisaties. Deze apparaten hebben vaak verouderde besturingssystemen met bekende kwetsbaarheden die kunnen worden geëxploiteerd door aanvallers, geen antivirus- of endpoint detection and response (EDR)-oplossingen geïnstalleerd, zwakke apparaatwachtwoorden die gemakkelijk kunnen worden gekraakt, geen schijfversleuteling waardoor gegevens toegankelijk zijn bij diefstal of verlies, en malware-infecties die kunnen leiden tot datalekken of verdere compromittering van het netwerk. Het toestaan van toegang vanaf deze apparaten creëert potentiële datalekken, malware-invoerpunten, en diefstal van inloggegevens via keyloggers of andere kwaadaardige software. Device compliance-beleidsregels worden afgedwongen via Intune-verificatie waarbij apparaten moeten voldoen aan specifieke vereisten: minimaal besturingssysteemversie met geïnstalleerde beveiligingspatches, antivirus ingeschakeld en up-to-date, schijfversleuteling actief, firewall ingeschakeld, en detectie van jailbreak of root-toegang op mobiele apparaten. Zonder deze maatregelen kunnen organisaties niet garanderen dat alleen beveiligde apparaten toegang hebben tot gevoelige gegevens, wat kan leiden tot schendingen van de Algemene Verordening Gegevensbescherming (AVG), verlies van vertrouwen van klanten, en aanzienlijke financiële schade.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze controle configureert een Conditional Access-beleidsregel waarbij gebruikers alle gebruikers omvatten, cloud-apps alle cloud-apps omvatten of specifieke hoogwaardige applicaties, voorwaarden device platforms omvatten (Windows, iOS, Android, macOS), en toegangscontroles vereisen dat het apparaat is gemarkeerd als compliant via een Intune compliance-check. De status van het beleid is ingeschakeld. Apparaten moeten zijn geregistreerd in Intune en moeten voldoen aan alle geconfigureerde compliance-beleidsregels. Niet-compliant apparaten krijgen toegang geblokkeerd met een bericht aan de gebruiker om contact op te nemen met de IT-afdeling voor ondersteuning bij het voldoen aan de beveiligingsvereisten. De implementatie vereist Azure AD Premium P1-licenties voor Conditional Access-functionaliteit en Intune-licenties voor device management en compliance-verificatie.
Vereisten
Voor de implementatie van Conditional Access-beleidsregels die compliant devices vereisen zijn verschillende technische en organisatorische vereisten noodzakelijk die de basis vormen voor een succesvolle implementatie. Deze vereisten waarborgen zowel optimale beveiliging als gebruiksvriendelijkheid voor Nederlandse overheidsorganisaties en moeten zorgvuldig worden geëvalueerd voordat met de implementatie wordt begonnen. Het negeren van deze vereisten kan leiden tot implementatiefouten, gebruikersfrustratie, en beveiligingslekken die de effectiviteit van het Conditional Access-beleid ondermijnen. Organisaties moeten daarom een grondige analyse uitvoeren van hun huidige infrastructuur, licentiepositie, en organisatorische capaciteit om te bepalen of alle vereisten aanwezig zijn of welke aanvullende stappen nodig zijn om aan deze vereisten te voldoen.
De primaire technische vereiste vormt een Azure AD Premium P1-licentie voor alle gebruikers die onder het Conditional Access-beleid vallen. Azure AD Premium P1 biedt de essentiële functionaliteit voor Conditional Access-beleidsregels die geavanceerde beveiligingscontroles mogelijk maken, inclusief de mogelijkheid om device compliance te vereisen als toegangsvoorwaarde. Zonder deze licentie kunnen organisaties geen Conditional Access-beleidsregels configureren die device compliance vereisen, waardoor zij niet in staat zijn om onbeveiligde apparaten te blokkeren. Organisaties moeten ervoor zorgen dat alle gebruikers die toegang nodig hebben tot cloud-applicaties beschikken over de juiste licentie, omdat gebruikers zonder licentie automatisch worden geblokkeerd wanneer het beleid wordt toegepast, wat kan leiden tot verstoring van bedrijfsprocessen en gebruikersfrustratie. Het is belangrijk om regelmatig de licentiepositie te controleren en te verifiëren dat nieuwe gebruikers direct over de benodigde licenties beschikken wanneer zij worden toegevoegd aan de organisatie.
Een Intune-abonnement vormt een essentieel onderdeel van de technische infrastructuur voor device management en compliance-verificatie. Intune biedt uitgebreide functionaliteit om apparaten te registreren, te beheren op afstand, en te verifiëren of apparaten voldoen aan gedefinieerde beveiligingsvereisten voordat toegang wordt verleend tot organisatieresources. Het Intune-abonnement moet beschikken over voldoende licenties voor alle apparaten die toegang nodig hebben tot organisatieresources, waarbij rekening moet worden gehouden met zowel zakelijke apparaten als persoonlijke apparaten van gebruikers indien Bring Your Own Device (BYOD) wordt ondersteund. Intune maakt het mogelijk om gedetailleerde compliance-beleidsregels te configureren die specifieke beveiligingsvereisten definiëren, zoals minimale besturingssysteemversies met geïnstalleerde beveiligingspatches, vereiste beveiligingsinstellingen zoals schijfversleuteling en firewall, antivirus-vereisten, en detectie van jailbreak of root-toegang op mobiele apparaten. Deze compliance-beleidsregels vormen de basis voor de verificatie die door Conditional Access wordt uitgevoerd en moeten daarom zorgvuldig worden geconfigureerd om een balans te vinden tussen beveiliging en gebruiksvriendelijkheid.
Device compliance-beleidsregels moeten volledig worden geconfigureerd en getest in Intune voordat het Conditional Access-beleid kan worden geactiveerd, omdat het Conditional Access-beleid afhankelijk is van deze compliance-verificatie om te bepalen of een apparaat toegang moet krijgen. Deze compliance-beleidsregels definiëren de specifieke beveiligingsvereisten waaraan apparaten moeten voldoen om als compliant te worden beschouwd, waarbij organisaties flexibiliteit hebben om deze vereisten af te stemmen op hun beveiligingsstandaarden en risicoprofiel. Minimale besturingssysteemversies met geïnstalleerde beveiligingspatches vormen een fundamenteel vereiste om ervoor te zorgen dat apparaten niet kwetsbaar zijn voor bekende beveiligingslekken die door aanvallers kunnen worden geëxploiteerd. Vereiste beveiligingsinstellingen zoals schijfversleuteling en firewall zijn essentieel om gegevensbescherming te waarborgen en om ongeautoriseerde toegang tot apparaten te voorkomen. Detectie van gecompromitteerde apparaten, zoals jailbreak op iOS of root-toegang op Android, is cruciaal omdat deze wijzigingen de beveiligingscontroles van het besturingssysteem kunnen omzeilen en het apparaat kwetsbaar maken voor malware en andere aanvallen. De compliance-beleidsregels moeten worden afgestemd op de verschillende device platforms die de organisatie ondersteunt, zoals Windows, iOS, Android, en macOS, waarbij elke platform specifieke vereisten kan hebben die passen bij de beveiligingsmogelijkheden en beperkingen van dat platform.
Device enrollment vormt een kritieke vereiste waarbij gebruikers hun apparaten moeten registreren in Intune om device management en compliance-verificatie mogelijk te maken. Het enrollment-proces varieert per platform en vereist specifieke voorbereidingen en configuraties om soepel te verlopen. Voor mobiele apparaten zoals iOS en Android moet de Company Portal-app worden geïmplementeerd en beschikbaar zijn voor gebruikers via de respectievelijke app stores, waarbij organisaties moeten zorgen dat gebruikers toegang hebben tot deze stores indien zij beperkt zijn door beveiligingsbeleid. De Company Portal-app faciliteert het enrollment-proces door gebruikers stap-voor-stap te begeleiden door de registratieprocedure en biedt gebruikers inzicht in de compliance-status van hun apparaten, inclusief welke vereisten niet worden voldaan en hoe deze kunnen worden opgelost. Voor Windows-apparaten kan enrollment worden uitgevoerd via verschillende methoden die afhankelijk zijn van de organisatorische behoeften en infrastructuur. Azure AD join is geschikt voor cloud-only apparaten die volledig in de cloud worden beheerd, terwijl Hybrid Azure AD join geschikt is voor apparaten die zijn verbonden met on-premises Active Directory en naadloos moeten integreren met zowel cloud- als on-premises resources. De keuze voor een enrollment-methode moet worden gebaseerd op een grondige evaluatie van de organisatorische behoeften, de bestaande infrastructuur, beveiligingsvereisten, en de technische vaardigheden van de IT-afdeling.
Hybrid Azure AD join of Azure AD join configuratie voor Windows-apparaten is essentieel om naadloze integratie te waarborgen tussen on-premises Active Directory en Azure AD, waardoor gebruikers toegang kunnen krijgen tot zowel cloud- als on-premises resources met een enkele set aanmeldingsgegevens. Hybrid Azure AD join is bijzonder geschikt voor organisaties die gebruikmaken van hybride identiteitsoplossingen waarbij on-premises Active Directory wordt gesynchroniseerd met Azure AD via Azure AD Connect, waardoor bestaande apparaten die zijn verbonden met on-premises Active Directory automatisch kunnen worden geregistreerd in Azure AD zonder aanvullende gebruikersinteractie. Deze methode behoudt de bestaande on-premises beheermogelijkheden via Group Policy en System Center Configuration Manager (SCCM) terwijl cloud-gebaseerde beveiligingscontroles worden toegevoegd. Azure AD join is daarentegen geschikt voor cloud-only omgevingen of voor organisaties die volledig zijn gemigreerd naar de cloud en geen on-premises Active Directory meer gebruiken. Deze methode vereist dat apparaten direct worden geregistreerd in Azure AD en volledig worden beheerd via cloud-gebaseerde tools zoals Intune en Azure AD. De keuze tussen deze methoden hangt af van een zorgvuldige evaluatie van de organisatorische behoeften, de bestaande infrastructuur, beveiligingsvereisten, en de gewenste beheermogelijkheden, waarbij organisaties moeten zorgen dat de gekozen methode compatibel is met hun lange-termijnstrategie en niet leidt tot technische schuld.
Organisatorische vereisten omvatten uitgebreide gebruikerscommunicatie en een gestructureerde device enrollment-campagne die gebruikers informeert, begeleidt en ondersteunt gedurende het hele enrollment-proces. Gebruikers moeten ruim van tevoren worden geïnformeerd over de nieuwe beveiligingsvereisten, waarom deze belangrijk zijn voor de beveiliging van organisatiegegevens en persoonlijke gegevens, en hoe zij hun apparaten kunnen registreren en compliant kunnen maken om toegang te behouden tot bedrijfsresources. De communicatie moet duidelijk, toegankelijk en begrijpelijk zijn voor gebruikers met verschillende technische vaardigheden, waarbij gebruik wordt gemaakt van verschillende kanalen zoals e-mail, intranet, posters, persoonlijke begeleiding, en training sessies om ervoor te zorgen dat alle gebruikers de boodschap ontvangen. Een gestructureerde enrollment-campagne moet worden ontwikkeld die gebruikers stap-voor-stap begeleidt door het enrollment-proces, waarbij duidelijke instructies worden gegeven voor elk device platform en ondersteuning wordt geboden voor gebruikers die hulp nodig hebben. De campagne moet worden afgestemd op verschillende gebruikersgroepen binnen de organisatie, waarbij rekening wordt gehouden met verschillende technische vaardigheden, taakvereisten, en behoeften, en moet voldoende tijd bieden voor gebruikers om hun apparaten te registreren voordat het Conditional Access-beleid wordt geactiveerd. Een helpdesk of ondersteuningsteam moet beschikbaar zijn om gebruikers te helpen bij technische problemen, vragen over het enrollment-proces, en compliance-problemen, waarbij proactieve communicatie essentieel is om gebruikers te motiveren en te ondersteunen bij het voldoen aan de nieuwe beveiligingsvereisten.
Implementatie
Gebruik PowerShell-script ca-compliant-devices-azure.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van Conditional Access-beleidsregels die compliant devices vereisen moet worden uitgevoerd via een zorgvuldig geplande gefaseerde rollout-benadering die risico's minimaliseert en gebruikers voldoende tijd geeft om hun apparaten te registreren en compliant te maken voordat toegang wordt geblokkeerd. Deze gefaseerde aanpak is essentieel omdat een abrupte implementatie zonder voorbereiding kan leiden tot grootschalige toegangsproblemen, gebruikersfrustratie, en verstoring van kritieke bedrijfsprocessen die afhankelijk zijn van ononderbroken toegang tot cloud-applicaties. De gefaseerde aanpak zorgt ervoor dat potentiële problemen vroegtijdig worden geïdentificeerd en opgelost voordat het beleid wordt toegepast op alle gebruikers, waardoor organisaties kunnen leren van elke fase en hun implementatiestrategie kunnen aanpassen op basis van de ervaringen en feedback die tijdens eerdere fasen zijn verzameld. Elke fase moet duidelijk worden gedefinieerd met specifieke doelstellingen, successcriteria, en tijdlijnen, waarbij er voldoende tijd wordt ingepland voor testen, monitoring, en aanpassingen voordat wordt overgegaan naar de volgende fase.
De eerste fase van de implementatie vormt de fundamentale basis voor het hele Conditional Access-beleid en omvat het configureren van Intune compliance-beleidsregels voor alle device platforms die de organisatie ondersteunt, zoals Windows, iOS, Android, en macOS. Deze compliance-beleidsregels definiëren de specifieke beveiligingsvereisten waaraan apparaten moeten voldoen om als compliant te worden beschouwd, waarbij organisaties zorgvuldig moeten balanceren tussen beveiliging en gebruiksvriendelijkheid om te voorkomen dat onnodig veel apparaten worden geblokkeerd of dat gebruikers worden gedwongen om hun apparaten te vervangen. Minimale besturingssysteemversies met geïnstalleerde beveiligingspatches vormen een fundamenteel vereiste, maar organisaties moeten realistisch zijn over welke versies zij kunnen eisen zonder gebruikers te blokkeren die werken met apparaten die technisch nog functioneel zijn maar een oudere besturingssysteemversie hebben. Vereiste beveiligingsinstellingen zoals schijfversleuteling en firewall zijn essentieel voor gegevensbescherming, maar de implementatie van deze instellingen kan variëren per platform en vereist soms gebruikersinteractie of specifieke hardwareondersteuning. Antivirus-vereisten moeten worden afgestemd op de beschikbare oplossingen per platform, waarbij voor Windows gebruik kan worden gemaakt van Windows Defender of externe antivirus-oplossingen, terwijl voor mobiele apparaten vaak de ingebouwde beveiligingsmogelijkheden worden gebruikt. Detectie van jailbreak of root-toegang op mobiele apparaten is cruciaal omdat deze wijzigingen de beveiligingscontroles van het besturingssysteem omzeilen, maar organisaties moeten ook begrijpen dat sommige gebruikers legitieme redenen kunnen hebben voor het aanpassen van hun apparaten. De compliance-beleidsregels moeten worden afgestemd op de beveiligingsvereisten van de organisatie en moeten realistisch zijn om te voorkomen dat te veel apparaten worden geblokkeerd, waarbij het belangrijk is om te beginnen met basisvereisten die voor de meeste apparaten haalbaar zijn en deze vervolgens geleidelijk aan te scherpen naarmate meer apparaten compliant worden en gebruikers gewend raken aan de nieuwe vereisten.
In de tweede fase worden pilot-apparaten geregistreerd in Intune om grondig te testen of het enrollment-proces soepel verloopt zonder technische problemen, of de compliance-beleidsregels correct worden toegepast zoals verwacht, en of gebruikers het proces kunnen voltooien zonder uitgebreide ondersteuning. De pilot-groep moet zorgvuldig worden samengesteld en bestaan uit technisch vaardige gebruikers die goed begrijpen hoe technologie werkt, bereid zijn om gedetailleerde feedback te geven over hun ervaringen met het enrollment-proces, en problemen kunnen identificeren en rapporteren die mogelijk worden gemist tijdens technische tests. Deze gebruikers moeten worden begeleid door het enrollment-proces met duidelijke instructies en ondersteuning, waarbij alle aspecten van het proces worden getest inclusief de Company Portal-app voor mobiele apparaten die gebruikers door het registratieproces leidt, Azure AD join of Hybrid Azure AD join voor Windows-apparaten die naadloos moeten integreren met de bestaande infrastructuur, en de verificatie van compliance-status die moet aantonen dat apparaten correct worden gedetecteerd en beoordeeld tegen de geconfigureerde vereisten. Tijdens deze fase moeten alle aspecten van het enrollment-proces worden getest, inclusief verschillende device platforms, verschillende besturingssysteemversies, verschillende enrollment-methoden, en verschillende gebruikersscenario's zoals nieuwe apparaten, bestaande apparaten die opnieuw moeten worden geregistreerd, en apparaten met compliance-problemen die moeten worden opgelost. Eventuele problemen die worden geïdentificeerd tijdens deze fase moeten onmiddellijk worden gedocumenteerd met gedetailleerde informatie over hoe het probleem is ontstaan, wat de impact is, en welke stappen nodig zijn om het op te lossen, en moeten worden opgelost voordat wordt overgegaan naar de volgende fase om te voorkomen dat dezelfde problemen zich voordoen tijdens de productierollout.
De derde fase omvat het aanmaken van het Conditional Access-beleid in Report-only mode, waarbij het beleid wordt geëvalueerd tegen alle aanmeldingspogingen maar nog geen toegang wordt geblokkeerd, waardoor organisaties kunnen observeren wat er zou gebeuren als het beleid actief zou zijn zonder daadwerkelijk gebruikers te blokkeren. Deze modus is een krachtige functie die organisaties in staat stelt om te monitoren welke gebruikers en apparaten zouden worden beïnvloed door het beleid zonder het risico te lopen dat kritieke bedrijfsprocessen worden verstoord door onverwachte blokkades of configuratiefouten die tijdens de setup zijn gemaakt. De Report-only mode biedt uitgebreid inzicht in de impact van het beleid door gedetailleerde rapporten te genereren die laten zien hoeveel aanmeldingspogingen zouden worden toegestaan, hoeveel zouden worden geblokkeerd, welke specifieke redenen voor blokkering worden gegeven, en welke gebruikers en apparaten het meest worden beïnvloed door het beleid. Deze informatie is essentieel om te bepalen of aanvullende configuraties nodig zijn voordat het beleid wordt geactiveerd, zoals het aanpassen van compliance-vereisten die te streng blijken te zijn, het toevoegen van uitzonderingen voor specifieke gebruikers of groepen die legitieme toegang nodig hebben maar technische beperkingen hebben, of het verbeteren van gebruikerscommunicatie voor gebruikers die niet-compliant apparaten gebruiken. Tijdens deze fase moeten alle aanmeldingspogingen worden geanalyseerd om te identificeren welke apparaten compliant zijn en toegang zouden krijgen, welke niet-compliant zijn en zouden worden geblokkeerd met specifieke redenen voor de non-compliance, en welke gebruikers mogelijk ondersteuning nodig hebben bij het registreren van hun apparaten of het oplossen van compliance-problemen voordat het beleid wordt geactiveerd.
Gedurende de vierde fase moet de impact van het beleid in Report-only mode worden gemonitord voor minimaal twee weken, of langer indien nodig, om voldoende data te verzamelen over gebruikspatronen, compliance-status van apparaten, en de variatie in aanmeldingspogingen gedurende verschillende tijdstippen en onder verschillende omstandigheden. Deze monitoringperiode is cruciaal omdat het organisaties in staat stelt om trends te identificeren, seizoensgebonden variaties te observeren, en te begrijpen hoe het beleid zou functioneren onder verschillende omstandigheden zoals tijdens drukke werkperiodes, tijdens vakantieperiodes wanneer minder gebruikers actief zijn, en tijdens incidenten of geplande onderhoudsperiodes wanneer toegang mogelijk tijdelijk beperkt moet worden. Tijdens deze monitoringperiode moeten regelmatige rapporten worden gegenereerd, bij voorkeur wekelijks of dagelijks afhankelijk van de organisatorische behoeften, die gedetailleerd inzicht geven in het percentage compliant apparaten dat toegang zou krijgen, het percentage niet-compliant apparaten dat zou worden geblokkeerd met specifieke redenen, de meest voorkomende compliance-problemen die moeten worden aangepakt, de impact op verschillende gebruikersgroepen en afdelingen, en trends in compliance-status over tijd die kunnen wijzen op verbetering of verslechtering. Deze rapporten moeten worden gereviewd door het beveiligingsteam om technische aspecten te evalueren, door het management om de bedrijfsimpact te beoordelen, en door communicatieteams om te bepalen welke gebruikersgroepen extra ondersteuning of communicatie nodig hebben. Gebruikers moeten proactief worden geïnformeerd over hun compliance-status via e-mail, intranet, of persoonlijke communicatie, en moeten worden begeleid bij het oplossen van compliance-problemen voordat het beleid wordt geactiveerd, waarbij ondersteuning wordt geboden aan gebruikers die hulp nodig hebben bij het bijwerken van hun apparaten, het inschakelen van vereiste beveiligingsinstellingen, of het begrijpen van de nieuwe beveiligingsvereisten.
In de vijfde fase wordt het Conditional Access-beleid daadwerkelijk geactiveerd voor de pilot-groep, waarbij toegang wordt geblokkeerd voor niet-compliant apparaten en het beleid dus volledig operationeel is in een productieomgeving maar beperkt tot een kleine, gecontroleerde groep gebruikers die bereid zijn om te testen en feedback te geven. Deze fase is essentieel omdat het de eerste keer is dat het beleid daadwerkelijk toegang blokkeert, waardoor organisaties kunnen verifiëren dat de technische configuratie correct werkt zoals verwacht, dat de blokkeringsberichten duidelijk en nuttig zijn voor gebruikers, en dat de ondersteuningsprocessen effectief functioneren wanneer gebruikers hulp nodig hebben bij het oplossen van compliance-problemen. Tijdens deze fase moeten alle geblokkeerde toegangspogingen zeer nauwgezet worden gemonitord en geanalyseerd om te identificeren of de blokkades zoals verwacht plaatsvinden, of er onverwachte blokkades zijn die wijzen op configuratiefouten, of gebruikers worden geblokkeerd om redenen die niet duidelijk zijn of niet eerder zijn geïdentificeerd tijdens de Report-only fase. Gebruikers moeten proactief worden benaderd om ondersteuning te bieden bij het oplossen van compliance-problemen, waarbij een helpdesk of ondersteuningsteam beschikbaar moet zijn om snel te reageren op vragen en problemen, en waarbij gebruikers moeten worden voorzien van duidelijke instructies over hoe zij hun compliance-status kunnen controleren en welke stappen zij moeten ondernemen om compliant te worden. Eventuele problemen of onverwachte blokkades moeten onmiddellijk worden geïdentificeerd, geanalyseerd om de oorzaak te bepalen, en opgelost voordat wordt overgegaan naar de volgende fase, waarbij het beleid indien nodig tijdelijk kan worden uitgeschakeld of aangepast om kritieke problemen te verhelpen. De pilot-groep moet regelmatig worden gecontacteerd, bij voorkeur wekelijks, om feedback te verzamelen over hun ervaringen met het beleid, of zij problemen ondervinden bij het verkrijgen van toegang, of de blokkeringsberichten duidelijk zijn, en of zij de ondersteuning die zij hebben ontvangen nuttig vonden, waarbij deze feedback wordt gebruikt om verbeteringen aan te brengen aan het beleid, de communicatie, of de ondersteuningsprocessen voordat het beleid wordt uitgebreid naar alle gebruikers.
De zesde fase omvat de gefaseerde rollout naar alle gebruikers, waarbij het Conditional Access-beleid geleidelijk wordt uitgebreid naar grotere gebruikersgroepen in een gecontroleerd tempo dat voldoende tijd biedt voor monitoring en aanpassingen tussen elke uitbreiding. Deze geleidelijke uitbreiding is essentieel omdat het organisaties in staat stelt om problemen vroegtijdig te identificeren en op te lossen voordat alle gebruikers worden beïnvloed, waardoor het risico op grootschalige toegangsproblemen of gebruikersfrustratie wordt geminimaliseerd en organisaties kunnen leren en aanpassen op basis van de ervaringen uit elke groep. De rollout moet worden uitgevoerd in logische groepen die zijn gebaseerd op organisatorische eenheden zoals afdelingen, locaties, of functies, waarbij elke groep voldoende tijd krijgt, bij voorkeur minimaal een week, om hun apparaten te registreren en compliant te maken voordat het beleid wordt geactiveerd voor die groep, en waarbij gebruikers ruim van tevoren, bij voorkeur minimaal twee weken, worden geïnformeerd over de komende rollout via meerdere communicatiekanalen. Gebruikers moeten worden voorzien van duidelijke, toegankelijke instructies die specifiek zijn voor hun device platform en die stap-voor-stap uitleggen hoe zij hun apparaten kunnen registreren, welke beveiligingsinstellingen zij moeten inschakelen, en waar zij ondersteuning kunnen krijgen indien zij hulp nodig hebben. Ondersteuning moet beschikbaar zijn via meerdere kanalen zoals helpdesk, e-mail, intranet, en persoonlijke begeleiding, waarbij gebruikers met verschillende technische vaardigheden kunnen worden geholpen, en waarbij ondersteuning proactief wordt aangeboden aan gebruikers die niet-compliant apparaten hebben voordat het beleid wordt geactiveerd voor hun groep.
De zevende en laatste fase omvat continue monitoring van geblokkeerde apparaten en proactieve ondersteuning bij enrollment, waarbij het beleid volledig operationeel is voor alle gebruikers maar organisaties voortdurend moeten blijven monitoren en ondersteunen om ervoor te zorgen dat het beleid effectief blijft functioneren en gebruikers toegang kunnen behouden tot hun benodigde resources. Deze fase is geen einde maar een begin van een continue verbeteringscyclus waarbij organisaties regelmatig moeten evalueren of het beleid nog steeds voldoet aan de beveiligingsvereisten, of compliance-vereisten moeten worden aangepast op basis van nieuwe beveiligingsbedreigingen of technologische ontwikkelingen, en of gebruikers nog steeds effectief worden ondersteund. Organisaties moeten regelmatig, bij voorkeur wekelijks of maandelijks afhankelijk van de omvang en complexiteit van de organisatie, rapporten genereren die gedetailleerd inzicht geven in het aantal geblokkeerde apparaten en de trends hierin over tijd, de meest voorkomende compliance-problemen en of deze problemen toenemen of afnemen, de voortgang van device enrollment en hoeveel gebruikers nog steeds niet-compliant apparaten hebben, en de impact op verschillende gebruikersgroepen om te identificeren of bepaalde groepen extra ondersteuning nodig hebben. Gebruikers met geblokkeerde apparaten moeten proactief worden benaderd in plaats van reactief, waarbij organisaties moeten proberen om te anticiperen op potentiële problemen en gebruikers moeten helpen voordat zij worden geblokkeerd, en waarbij gebruikers die zijn geblokkeerd snel moeten worden geholpen om hun toegang te herstellen door het oplossen van compliance-problemen of het registreren van hun apparaten. Een helpdesk of ondersteuningsteam moet beschikbaar zijn tijdens normale werkuren, of 24/7 voor organisaties met kritieke operaties, om gebruikers te helpen bij het enrollment-proces, het oplossen van technische problemen, het begrijpen van compliance-vereisten, en het verkrijgen van toegang tot hun benodigde resources. Regelmatige communicatie met gebruikers is essentieel om ervoor te zorgen dat zij op de hoogte blijven van beveiligingsvereisten, veranderingen in het beleid, nieuwe compliance-vereisten, en de stappen die zij moeten ondernemen om compliant te blijven, waarbij communicatie moet worden aangepast aan verschillende gebruikersgroepen en moet worden afgestemd op hun specifieke behoeften en technische vaardigheden.
Compliance en Auditing
Conditional Access-beleidsregels die compliant devices vereisen spelen een cruciale rol in de naleving van verschillende beveiligings- en compliance-standaarden die relevant zijn voor Nederlandse overheidsorganisaties, waarbij deze maatregel een fundamenteel onderdeel vormt van een effectieve beveiligingsstrategie die voldoet aan zowel nationale als internationale vereisten. De implementatie van deze maatregel ondersteunt meerdere compliance-frameworks en beveiligingsstandaarden die specifieke vereisten stellen aan device beveiliging en toegangscontrole, waardoor organisaties kunnen demonstreren dat zij beschikken over effectieve mechanismen om gegevensbescherming te waarborgen en beveiligingsrisico's te minimaliseren. Nederlandse overheidsorganisaties moeten kunnen aantonen dat zij voldoen aan deze vereisten tijdens audits en compliance-controles, waarbij Conditional Access-beleidsregels die compliant devices vereisen een concrete en verifieerbare manier bieden om te demonstreren dat deze vereisten worden nageleefd. Het begrijpen van de compliance-implicaties van deze maatregel is essentieel voor zowel technische teams die verantwoordelijk zijn voor de implementatie als voor management en compliance officers die verantwoordelijk zijn voor het aantonen van naleving tijdens audits en reguleringscontroles.
De CIS Azure Foundations Benchmark v3.0.0 controle 1.29 vereist expliciet dat organisaties Conditional Access-beleidsregels implementeren die compliant devices vereisen, waarbij deze controle een kritieke beveiligingsmaatregel vertegenwoordigt die is ontwikkeld door het Center for Internet Security om organisaties te helpen bij het beveiligen van hun cloud-omgevingen. Deze controle is geclassificeerd als Level 2, wat betekent dat het een aanbevolen beveiligingsmaatregel is voor organisaties die een hoger beveiligingsniveau willen bereiken dan het basisniveau dat wordt vereist door Level 1 controles, waarbij Level 2 controles vaak worden gebruikt door organisaties die gevoelige gegevens verwerken of die zich moeten houden aan striktere compliance-vereisten. De controle specificeert dat organisaties moeten verifiëren dat apparaten voldoen aan beveiligingsvereisten voordat toegang wordt verleend tot cloud-applicaties, waarbij deze verificatie automatisch moet plaatsvinden zonder gebruikersinterventie om te voorkomen dat menselijke fouten of nalatigheid leiden tot het toestaan van onbeveiligde apparaten. Organisaties die voldoen aan deze controle demonstreren dat zij beschikken over effectieve mechanismen om onbeveiligde apparaten te blokkeren en alleen toegang te verlenen aan apparaten die voldoen aan beveiligingsstandaarden, waarbij deze demonstratie cruciaal is tijdens security audits en compliance-controles waarbij auditors verifiëren of organisaties effectieve beveiligingscontroles hebben geïmplementeerd. De implementatie van deze controle moet worden gedocumenteerd met gedetailleerde informatie over hoe het Conditional Access-beleid is geconfigureerd, welke compliance-vereisten worden toegepast, en hoe de verificatie functioneert, waarbij deze documentatie beschikbaar moet zijn voor auditors en compliance officers die moeten verifiëren dat de organisatie voldoet aan de CIS Azure Foundations Benchmark vereisten.
De BIO-richtlijn Thema 06.02 (Mobile devices) vereist dat organisaties specifieke beveiligingsmaatregelen implementeren voor mobiele apparaten die toegang hebben tot organisatiegegevens, waarbij deze richtlijn deel uitmaakt van de Baseline Informatiebeveiliging Overheid die de minimale beveiligingsvereisten definieert voor Nederlandse overheidsorganisaties. Deze richtlijn stelt dat organisaties moeten beschikken over mechanismen om te verifiëren dat mobiele apparaten voldoen aan beveiligingsvereisten zoals schijfversleuteling om gegevens te beschermen bij diefstal of verlies, beveiligingspatches om kwetsbaarheden te adresseren, en detectie van jailbreak of root-toegang die de beveiligingscontroles van het besturingssysteem kunnen omzeilen en het apparaat kwetsbaar maken voor aanvallen. Conditional Access-beleidsregels die compliant devices vereisen ondersteunen deze richtlijn door te garanderen dat alleen mobiele apparaten die voldoen aan deze vereisten toegang krijgen tot organisatieresources, waarbij deze verificatie automatisch plaatsvindt bij elke aanmeldingspoging en gebruikers worden geblokkeerd wanneer hun apparaten niet voldoen aan de vereisten. Nederlandse overheidsorganisaties die voldoen aan de BIO-richtlijn moeten tijdens audits en compliance-controles kunnen aantonen dat zij beschikken over effectieve device compliance-verificatie die is geïntegreerd in hun toegangscontroleprocessen, waarbij deze demonstratie moet omvatten hoe het Conditional Access-beleid is geconfigureerd, welke compliance-vereisten worden toegepast specifiek voor mobiele apparaten, hoe de verificatie wordt uitgevoerd, en hoe niet-compliant apparaten worden geblokkeerd. De documentatie van deze implementatie moet duidelijk maken hoe de organisatie voldoet aan Thema 06.02 en moet regelmatig worden gereviewd en bijgewerkt om ervoor te zorgen dat de implementatie nog steeds voldoet aan de richtlijn wanneer er veranderingen zijn in de beveiligingsvereisten of wanneer er nieuwe bedreigingen worden geïdentificeerd die aanvullende maatregelen vereisen.
ISO 27001:2022 controles A.6.7 (Mobile device policy) en A.8.1 (User endpoint devices) vereisen dat organisaties beleidsregels en procedures implementeren voor het beheer en beveiliging van mobiele apparaten en gebruikerseindpunten, waarbij deze controles deel uitmaken van de internationale informatiebeveiligingsstandaard die wordt gebruikt door organisaties wereldwijd om hun informatiebeveiligingsmanagementsysteem (ISMS) te certificeren en te onderhouden. Controle A.6.7 specificeert dat organisaties een beleid moeten hebben voor het gebruik van mobiele apparaten dat duidelijk definieert welke apparaten zijn toegestaan, welke beveiligingsvereisten moeten worden toegepast, en hoe mobiele apparaten moeten worden beheerd en beveiligd tegen bedreigingen zoals diefstal, verlies, malware, en ongeautoriseerde toegang. Controle A.8.1 vereist dat organisaties beveiligingsmaatregelen implementeren voor gebruikerseindpunten zoals desktops, laptops, tablets, en smartphones die toegang hebben tot organisatienetwerken en -gegevens, waarbij deze maatregelen moeten voorkomen dat eindpunten worden gecompromitteerd en moeten beschermen tegen bedreigingen zoals malware, phishing, en ongeautoriseerde toegang. Conditional Access-beleidsregels die compliant devices vereisen ondersteunen beide controles door te garanderen dat alleen apparaten die voldoen aan beveiligingsvereisten toegang krijgen tot organisatieresources, waarbij deze verificatie automatisch plaatsvindt bij elke aanmeldingspoging en organisaties kunnen verifiëren dat hun mobiele apparaten en gebruikerseindpunten voldoen aan de vereiste beveiligingsstandaarden voordat toegang wordt verleend. De implementatie moet worden gedocumenteerd in het informatiebeveiligingsmanagementsysteem (ISMS) met gedetailleerde informatie over hoe het Conditional Access-beleid is geconfigureerd, welke compliance-vereisten worden toegepast voor verschillende device types, hoe de verificatie wordt uitgevoerd, en hoe niet-compliant apparaten worden geblokkeerd, waarbij deze documentatie regelmatig moet worden gecontroleerd en bijgewerkt tijdens ISMS reviews om ervoor te zorgen dat de implementatie nog steeds voldoet aan de ISO 27001:2022 controles en effectief blijft tegen nieuwe bedreigingen.
De NIS2-richtlijn Artikel 21 (Device security) vereist dat essentiële en belangrijke entiteiten, waaronder veel Nederlandse overheidsorganisaties en kritieke infrastructuur operators, beveiligingsmaatregelen implementeren voor apparaten die toegang hebben tot hun systemen en netwerken, waarbij deze richtlijn is ontwikkeld door de Europese Unie om de cybersecurity te verbeteren van organisaties die essentiële diensten leveren aan de samenleving. Deze maatregelen moeten ervoor zorgen dat apparaten voldoen aan beveiligingsvereisten zoals up-to-date besturingssystemen met geïnstalleerde beveiligingspatches, schijfversleuteling om gegevens te beschermen bij diefstal of verlies, antivirus-oplossingen om malware te detecteren en te blokkeren, en detectie van gecompromitteerde apparaten zoals jailbroken of gerootte apparaten die extra risico's vormen. Conditional Access-beleidsregels die compliant devices vereisen vormen een essentieel onderdeel van de naleving van deze vereiste, omdat zij garanderen dat alleen beveiligde apparaten toegang krijgen tot kritieke systemen en netwerken, waarbij deze verificatie automatisch plaatsvindt bij elke aanmeldingspoging en organisaties kunnen verifiëren dat hun apparaten voldoen aan de vereiste beveiligingsstandaarden voordat toegang wordt verleend tot gevoelige systemen en gegevens. Organisaties die onder de NIS2-richtlijn vallen moeten tijdens reguleringscontroles kunnen aantonen dat zij beschikken over effectieve device compliance-verificatie en dat zij regelmatig controleren of apparaten voldoen aan beveiligingsvereisten, waarbij deze demonstratie moet omvatten hoe het Conditional Access-beleid is geconfigureerd, welke compliance-vereisten worden toegepast, hoe de verificatie wordt uitgevoerd, en hoe niet-compliant apparaten worden geblokkeerd. De documentatie van deze implementatie moet duidelijk maken hoe de organisatie voldoet aan Artikel 21 van de NIS2-richtlijn en moet beschikbaar zijn voor reguleringsautoriteiten tijdens compliance-controles, waarbij organisaties ook moeten kunnen aantonen dat zij regelmatig hun device compliance-verificatie evalueren en aanpassen op basis van nieuwe bedreigingen en technologische ontwikkelingen.
Zero Trust-beveiligingsarchitectuur vereist device compliance-verificatie als een fundamenteel principe van toegangscontrole, waarbij Zero Trust een beveiligingsmodel is dat ervan uitgaat dat geen enkel apparaat, gebruiker, of netwerk automatisch kan worden vertrouwd en dat alle toegang moet worden geverifieerd en geautoriseerd voordat deze wordt verleend. In een Zero Trust-model wordt elk apparaat beschouwd als een potentieel risico totdat het is geverifieerd dat het voldoet aan beveiligingsvereisten zoals up-to-date besturingssystemen, beveiligingspatches, schijfversleuteling, en detectie van gecompromitteerde apparaten, waarbij deze verificatie continu moet plaatsvinden bij elke aanmeldingspoging en niet slechts eenmalig tijdens de eerste registratie. Conditional Access-beleidsregels die compliant devices vereisen implementeren dit principe door te garanderen dat alleen geverifieerde, compliant apparaten toegang krijgen tot organisatieresources, waarbij deze verificatie automatisch plaatsvindt bij elke aanmeldingspoging en organisaties kunnen verifiëren dat apparaten nog steeds voldoen aan de vereiste beveiligingsstandaarden voordat toegang wordt verleend, zelfs als het apparaat eerder compliant was maar nu niet meer voldoet aan de vereisten. Deze aanpak elimineert impliciet vertrouwen in apparaten en vereist continue verificatie van device compliance-status, waarbij organisaties niet kunnen aannemen dat een apparaat veilig is alleen omdat het eerder is geverifieerd of omdat het eigendom is van een vertrouwde gebruiker, maar moeten elke keer verifiëren dat het apparaat voldoet aan de actuele beveiligingsvereisten. Organisaties die een Zero Trust-strategie implementeren moeten device compliance-verificatie integreren in alle toegangscontroleprocessen, niet alleen voor cloud-applicaties maar ook voor on-premises resources en hybride omgevingen, en moeten regelmatig controleren of de verificatie correct functioneert en effectief blijft tegen nieuwe bedreigingen en technologische ontwikkelingen die kunnen leiden tot nieuwe compliance-vereisten of aanpassingen aan bestaande vereisten.
Voor auditdoeleinden moeten organisaties uitgebreide documentatie bijhouden over alle aspecten van device compliance-verificatie die auditors en compliance officers kunnen gebruiken om te verifiëren dat de organisatie voldoet aan de relevante compliance-vereisten en beveiligingsstandaarden. Deze documentatie moet de configuratie van Conditional Access-beleidsregels omvatten met gedetailleerde informatie over welke gebruikers en applicaties onder het beleid vallen, welke compliance-vereisten worden toegepast, en hoe het beleid is geconfigureerd om toegang te blokkeren voor niet-compliant apparaten. Intune compliance-beleidsregels moeten worden gedocumenteerd met informatie over welke beveiligingsvereisten worden toegepast voor verschillende device platforms, hoe deze vereisten worden gecontroleerd, en hoe niet-compliant apparaten worden geïdentificeerd en gerapporteerd. Device enrollment-statistieken moeten worden bijgehouden met informatie over hoeveel apparaten zijn geregistreerd, welke enrollment-methoden zijn gebruikt, en welke apparaten problemen hebben ondervonden tijdens het enrollment-proces. Geblokkeerde apparaatrapporten moeten regelmatig worden gegenereerd en bewaard met informatie over welke apparaten zijn geblokkeerd, waarom zij zijn geblokkeerd, welke gebruikers zijn beïnvloed, en welke acties zijn ondernomen om het probleem op te lossen. De resultaten van regelmatige controles moeten worden gedocumenteerd met informatie over wanneer controles zijn uitgevoerd, wat de bevindingen waren, welke acties zijn ondernomen als gevolg van de controles, en of de implementatie nog steeds effectief is en voldoet aan de compliance-vereisten. Deze documentatie moet minimaal 7 jaar worden bewaard conform Nederlandse archiefwetgeving en algemene best practices voor documentatiebehoud, en moet beschikbaar zijn voor auditors tijdens compliance-audits waarbij auditors toegang moeten hebben tot historische data om trends te identificeren en te verifiëren dat de organisatie consistent voldoet aan de vereisten. De documentatie moet regelmatig worden gecontroleerd en bijgewerkt om ervoor te zorgen dat deze accuraat en compleet is, waarbij nieuwe informatie moet worden toegevoegd wanneer er veranderingen zijn in de configuratie, wanneer er nieuwe compliance-vereisten worden toegepast, of wanneer er nieuwe bedreigingen worden geïdentificeerd die aanvullende maatregelen vereisen, en moet duidelijk aantonen hoe de organisatie voldoet aan de vereisten van de relevante compliance-frameworks zoals CIS, BIO, ISO 27001, en NIS2 door middel van concrete, verifieerbare implementaties zoals Conditional Access-beleidsregels die compliant devices vereisen.
Monitoring
Gebruik PowerShell-script ca-compliant-devices-azure.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van Conditional Access-beleidsregels die compliant devices vereisen is essentieel om te verifiëren dat het beleid correct functioneert zoals verwacht, om compliance-problemen vroegtijdig te identificeren voordat zij leiden tot grootschalige toegangsproblemen, en om inzicht te krijgen in de impact op gebruikers en apparaten zodat organisaties hun beleid kunnen aanpassen op basis van praktijkervaringen. Effectieve monitoring maakt het mogelijk om proactief problemen op te lossen voordat zij leiden tot verstoring van bedrijfsprocessen of beveiligingsincidenten, waarbij organisaties kunnen reageren op problemen zodra deze worden geïdentificeerd in plaats van te wachten tot gebruikers klagen of tot er beveiligingsincidenten plaatsvinden. Monitoring biedt ook waardevolle inzichten in hoe het beleid functioneert in de praktijk, welke gebruikersgroepen het meest worden beïnvloed, welke compliance-problemen het meest voorkomen, en hoe organisaties hun beleid of ondersteuningsprocessen kunnen verbeteren om gebruikers beter te helpen bij het voldoen aan beveiligingsvereisten. Zonder effectieve monitoring kunnen organisaties niet verifiëren dat hun Conditional Access-beleid correct functioneert, kunnen zij compliance-problemen missen die leiden tot beveiligingsrisico's, en kunnen zij niet aantonen tijdens audits dat zij hun beveiligingscontroles effectief monitoren en onderhouden.
De primaire monitoringbron voor Conditional Access-beleidsregels vormen de aanmeldingslogboeken (sign-in logs) in Microsoft Entra ID die gedetailleerde informatie bevatten over elke aanmeldingspoging en die organisaties in staat stellen om te verifiëren of het Conditional Access-beleid correct wordt toegepast en of apparaten correct worden geverifieerd op compliance. Deze logboeken bevatten uitgebreide informatie over elke aanmeldingspoging, inclusief of het Conditional Access-beleid is toegepast op de aanmeldingspoging, of het apparaat is geïdentificeerd als compliant of niet-compliant, welke specifieke redenen werden gegeven voor niet-compliance indien van toepassing, of toegang is verleend of geblokkeerd, en welke gebruikers en applicaties werden gebruikt tijdens de aanmeldingspoging. Organisaties moeten regelmatig deze logboeken analyseren, bij voorkeur dagelijks of wekelijks afhankelijk van de omvang van de organisatie en het aantal aanmeldingspogingen, om te identificeren welke gebruikers en apparaten worden beïnvloed door het beleid, welke compliance-problemen het meest voorkomen en welke trends hierin over tijd zichtbaar zijn, of er onverwachte blokkades zijn die wijzen op configuratiefouten of problemen met het beleid, en welke gebruikers of apparaattypen het meest problematisch zijn zodat organisaties gerichte ondersteuning kunnen bieden. De logboeken kunnen worden geëxporteerd naar SIEM-systemen zoals Microsoft Sentinel voor geavanceerde analyse en correlatie met andere beveiligingsgebeurtenissen, waarbij organisaties complexe query's kunnen uitvoeren om trends te identificeren, patronen te herkennen, en anomalieën te detecteren die kunnen wijzen op beveiligingsincidenten of problemen met het Conditional Access-beleid.
Intune compliance-rapporten bieden uitgebreid inzicht in de compliance-status van alle geregistreerde apparaten en helpen organisaties te begrijpen welke apparaten voldoen aan beveiligingsvereisten en welke niet, waarbij deze rapporten een cruciale rol spelen in het identificeren van compliance-problemen voordat zij leiden tot geblokkeerde toegang. Deze rapporten tonen gedetailleerde informatie over welke apparaten compliant zijn en toegang zouden krijgen indien het Conditional Access-beleid actief is, welke apparaten niet-compliant zijn en zouden worden geblokkeerd, wat de specifieke compliance-problemen zijn voor elk apparaat zoals verouderde besturingssystemen, ontbrekende beveiligingspatches, niet-ingeschakelde schijfversleuteling, of gedetecteerde jailbreak of root-toegang, en hoe lang apparaten niet-compliant zijn geweest en of er verbetering is over tijd. Organisaties moeten regelmatig deze rapporten genereren en analyseren, bij voorkeur wekelijks of maandelijks afhankelijk van de organisatorische behoeften, om trends te identificeren zoals welke compliance-problemen het meest voorkomen en of deze problemen toenemen of afnemen over tijd, welke device platforms het meest problematisch zijn en waarom, of er verbetering is in de compliance-status over tijd die kan wijzen op effectieve gebruikersondersteuning en -communicatie, en welke gebruikersgroepen of afdelingen het meest problematisch zijn zodat organisaties gerichte ondersteuning en training kunnen bieden. Deze inzichten kunnen worden gebruikt om compliance-beleidsregels aan te passen indien bepaalde vereisten te streng blijken te zijn of als organisaties geleidelijk hun vereisten willen aanscherpen naarmate meer apparaten compliant worden, om gebruikers te ondersteunen bij het oplossen van compliance-problemen door proactief gebruikers te benaderen die niet-compliant apparaten hebben en hen te helpen bij het bijwerken van hun apparaten of het inschakelen van vereiste beveiligingsinstellingen, en om te bepalen of aanvullende training of communicatie nodig is voor specifieke gebruikersgroepen die meer ondersteuning nodig hebben bij het begrijpen en voldoen aan beveiligingsvereisten.
Microsoft Sentinel of een vergelijkbaar SIEM-systeem kan worden gebruikt voor geavanceerde monitoring en correlatie van beveiligingsgebeurtenissen waarbij organisaties complexe analyses kunnen uitvoeren die verder gaan dan de basisrapportage die beschikbaar is in Microsoft Entra ID en Intune. Deze systemen maken het mogelijk om Conditional Access-gebeurtenissen te correleren met andere beveiligingsgebeurtenissen zoals malware-detecties, verdachte aanmeldingspogingen, en anomalieën in gebruikersgedrag, waardoor organisaties een completer beeld krijgen van beveiligingsrisico's en kunnen identificeren of compliance-problemen deel uitmaken van een groter beveiligingsincident. Detectieregels kunnen worden geconfigureerd om automatisch waarschuwingen te genereren bij specifieke gebeurtenissen die aandacht vereisen, zoals een hoog aantal geblokkeerde toegangspogingen binnen een korte tijdspanne die kan wijzen op een configuratiefout of een beveiligingsincident, ongebruikelijke compliance-problemen die kunnen wijzen op nieuwe bedreigingen of technologische problemen, of patronen die kunnen wijzen op beveiligingsincidenten zoals meerdere gebruikers met dezelfde compliance-problemen die kunnen wijzen op een gemeenschappelijke oorzaak zoals een malware-infectie of een technisch probleem met het besturingssysteem. Deze waarschuwingen moeten worden geconfigureerd met de juiste prioriteit gebaseerd op de ernst van het probleem en de potentiële impact op beveiliging en bedrijfsprocessen, waarbij kritieke waarschuwingen zoals grootschalige toegangsproblemen onmiddellijk aandacht moeten krijgen, terwijl informatieve waarschuwingen zoals langzame trends in compliance-problemen wekelijks of maandelijks kunnen worden gereviewd. Waarschuwingen moeten worden doorgestuurd naar het beveiligingsteam voor verdere analyse en actie, waarbij het team moet bepalen of het probleem onmiddellijke aandacht vereist of kan worden toegevoegd aan een backlog voor verdere analyse, en waarbij alle acties moeten worden gedocumenteerd om te kunnen aantonen tijdens audits dat organisaties proactief monitoren en reageren op beveiligingsgebeurtenissen.
Regelmatige rapportage is essentieel om management en stakeholders op de hoogte te houden van de status van device compliance en de impact van het Conditional Access-beleid, waarbij deze rapporten helpen om bewustzijn te creëren over beveiligingsvereisten en om ondersteuning te krijgen voor verdere investeringen in device beveiliging indien nodig. Wekelijkse rapporten moeten worden gegenereerd die gedetailleerd inzicht geven in het percentage compliant apparaten en trends hierin over tijd, het aantal geblokkeerde toegangspogingen en of dit aantal toeneemt of afneemt, de meest voorkomende compliance-problemen en welke acties worden ondernomen om deze problemen aan te pakken, de voortgang van device enrollment en hoeveel gebruikers nog steeds niet-compliant apparaten hebben, en de impact op verschillende gebruikersgroepen en afdelingen zodat organisaties kunnen identificeren waar extra ondersteuning nodig is. Maandelijkse diepgaande analyses moeten worden uitgevoerd waarbij trends worden geïdentificeerd over langere perioden, verbeteringen worden gedocumenteerd om aan te tonen dat de implementatie effectief is, en aanbevelingen worden gedaan voor het optimaliseren van het beleid of de ondersteuningsprocessen op basis van de verzamelde data en feedback van gebruikers en IT-teams. Deze rapporten moeten worden gepresenteerd aan management en stakeholders in een formaat dat begrijpelijk is voor niet-technische audiences, waarbij technische details worden uitgelegd in context van bedrijfsimpact en beveiligingsrisico's, en waarbij aanbevelingen worden gedaan voor verdere acties die moeten worden ondernomen om de beveiligingspostuur te verbeteren of om gebruikers beter te ondersteunen bij het voldoen aan beveiligingsvereisten.
Gebruikers moeten regelmatig worden geïnformeerd over hun compliance-status en moeten worden begeleid bij het oplossen van compliance-problemen, waarbij proactieve communicatie essentieel is om ervoor te zorgen dat gebruikers op de hoogte zijn van hun compliance-status en weten wat zij moeten doen om compliant te worden voordat zij worden geblokkeerd. Proactieve communicatie kan helpen om compliance-problemen vroegtijdig op te lossen voordat zij leiden tot geblokkeerde toegang, waarbij organisaties gebruikers moeten benaderen die niet-compliant apparaten hebben en hen moeten helpen bij het bijwerken van hun apparaten, het inschakelen van vereiste beveiligingsinstellingen, of het registreren van hun apparaten in Intune voordat het Conditional Access-beleid wordt geactiveerd of voordat zij worden geblokkeerd. Gebruikers moeten worden voorzien van duidelijke, toegankelijke instructies die specifiek zijn voor hun device platform en die stap-voor-stap uitleggen hoe zij hun compliance-status kunnen controleren via de Company Portal-app of via Intune-rapporten, welke stappen zij moeten ondernemen om compliant te worden zoals het installeren van updates, het inschakelen van schijfversleuteling, of het bijwerken van hun besturingssysteem, en waar zij ondersteuning kunnen krijgen indien zij hulp nodig hebben bij technische problemen of vragen over beveiligingsvereisten. Regelmatige communicatie kan ook helpen om gebruikers bewust te maken van het belang van device compliance en hoe deze maatregel helpt om organisatiegegevens en persoonlijke gegevens te beschermen tegen beveiligingsbedreigingen zoals malware, diefstal, en ongeautoriseerde toegang, waardoor gebruikers beter begrijpen waarom deze vereisten belangrijk zijn en meer gemotiveerd zijn om compliant te worden en te blijven. Deze communicatie moet worden aangepast aan verschillende gebruikersgroepen met verschillende technische vaardigheden en moet worden afgestemd op hun specifieke behoeften, waarbij organisaties verschillende communicatiekanalen moeten gebruiken zoals e-mail, intranet, posters, persoonlijke begeleiding, en training sessies om ervoor te zorgen dat alle gebruikers de boodschap ontvangen en begrijpen wat van hen wordt verwacht.
Remediatie
Gebruik PowerShell-script ca-compliant-devices-azure.ps1 (functie Invoke-Remediation) – Herstellen.
Remediatie van problemen met Conditional Access-beleidsregels die compliant devices vereisen vereist een gestructureerde, proactieve aanpak waarbij technische correcties, gebruikersondersteuning en organisatorische procedures worden gecombineerd om ervoor te zorgen dat compliance-problemen snel worden opgelost zonder dat de beveiligingspostuur wordt gecompromitteerd. Wanneer wordt vastgesteld dat apparaten niet-compliant zijn, gebruikers worden geblokkeerd omdat hun apparaten niet voldoen aan beveiligingsvereisten, of het beleid niet correct functioneert zoals verwacht, moeten onmiddellijk corrigerende maatregelen worden genomen om de beveiligingspostuur te herstellen en gebruikers weer toegang te verlenen tot hun benodigde resources zodat bedrijfsprocessen niet worden verstoord. Een effectief remediatieproces moet verschillende scenario's kunnen afhandelen, van individuele gebruikers met niet-compliant apparaten tot grootschalige problemen waarbij meerdere gebruikers worden beïnvloed door configuratiefouten of technische problemen, waarbij organisaties moeten beschikken over duidelijk gedefinieerde procedures en ondersteuningsprocessen die snel kunnen worden geactiveerd wanneer problemen worden geïdentificeerd. Het remediatieproces moet ook proactief zijn door gebruikers te identificeren die risico lopen op geblokkeerde toegang voordat het probleem zich voordoet, waarbij organisaties gebruik moeten maken van monitoring data om te identificeren welke gebruikers niet-compliant apparaten hebben en hen moeten benaderen om hen te helpen bij het oplossen van compliance-problemen voordat zij worden geblokkeerd.
Een veelvoorkomend probleem dat organisaties tegenkomen is dat apparaten niet-compliant zijn vanwege verouderde besturingssystemen of ontbrekende beveiligingspatches die vereist zijn om te voldoen aan de compliance-vereisten, waarbij dit probleem zich vaak voordoet omdat gebruikers niet regelmatig hun apparaten bijwerken of omdat organisaties niet effectieve update-beleidsregels hebben geconfigureerd. Remediatie vereist dat gebruikers worden begeleid bij het installeren van de benodigde updates en patches om hun apparaten compliant te maken, waarbij organisaties proactief moeten communiceren met gebruikers die verouderde besturingssystemen of ontbrekende patches hebben en hen moeten helpen bij het identificeren van welke updates nodig zijn en hoe zij deze kunnen installeren. Voor Windows-apparaten kan dit proces worden gefaciliteerd door Windows Update-beleidsregels te configureren die automatisch updates installeren zonder gebruikersinterventie, waarbij organisaties gebruik moeten maken van Intune-configuratieprofielen om deze beleidsregels af te dwingen en te verifiëren dat updates daadwerkelijk worden geïnstalleerd. Voor mobiele apparaten zoals iOS en Android moeten gebruikers worden geïnformeerd over het belang van het bijhouden van hun besturingssysteem en hoe dit helpt om beveiligingsrisico's te minimaliseren, waarbij organisaties gebruikers moeten begeleiden bij het installeren van updates via de respectievelijke app stores en moeten verifiëren dat updates daadwerkelijk zijn geïnstalleerd voordat apparaten als compliant worden beschouwd. In sommige gevallen kunnen oude apparaten die niet langer worden ondersteund door de fabrikant niet worden geüpdatet naar de vereiste besturingssysteemversie die is gespecificeerd in de compliance-vereisten, wat kan leiden tot de noodzaak om deze apparaten te vervangen met nieuwere apparaten die wel kunnen worden bijgewerkt, waarbij organisaties gebruikers moeten ondersteunen bij het verkrijgen van nieuwe apparaten indien dit nodig is om compliant te worden en toegang te behouden tot organisatieresources.
Wanneer apparaten niet-compliant zijn vanwege ontbrekende beveiligingsinstellingen zoals schijfversleuteling of firewall die essentieel zijn voor gegevensbescherming en beveiliging tegen ongeautoriseerde toegang, moeten gebruikers worden begeleid bij het inschakelen van deze instellingen zodat hun apparaten voldoen aan de compliance-vereisten. Voor Windows-apparaten kan BitLocker worden gebruikt voor schijfversleuteling die gegevens beschermt bij diefstal of verlies van het apparaat, waarbij organisaties gebruikers moeten helpen bij het configureren van BitLocker en moeten verifiëren dat encryptie daadwerkelijk is ingeschakeld en correct functioneert voordat apparaten als compliant worden beschouwd. Voor mobiele apparaten kunnen ingebouwde encryptiefuncties worden gebruikt zoals FileVault voor macOS, waarbij organisaties gebruikers moeten begeleiden bij het inschakelen van deze functies en moeten verifiëren dat encryptie actief is voordat apparaten als compliant worden beschouwd. Het beveiligingsteam moet duidelijke, toegankelijke instructies ontwikkelen voor het inschakelen van deze instellingen op verschillende device platforms, waarbij deze instructies specifiek moeten zijn voor elk platform en stap-voor-stap moeten uitleggen hoe gebruikers deze instellingen kunnen inschakelen, en moet ondersteuning bieden voor gebruikers die hulp nodig hebben bij het volgen van deze instructies of bij het oplossen van technische problemen die zich kunnen voordoen tijdens het configureren van deze instellingen. In sommige gevallen kunnen beveiligingsinstellingen worden afgedwongen via Intune-configuratieprofielen die automatisch deze instellingen configureren zonder gebruikersinterventie, waardoor gebruikers niet handmatig hoeven in te grijpen en waardoor organisaties kunnen verifiëren dat instellingen correct zijn geconfigureerd, waarbij deze configuratieprofielen moeten worden getest voordat zij worden toegepast om ervoor te zorgen dat zij niet leiden tot onverwachte problemen of conflicten met andere configuraties.
Als wordt vastgesteld dat het Conditional Access-beleid niet correct is geconfigureerd of niet correct functioneert zoals verwacht, waarbij dit kan worden geïdentificeerd door onverwachte blokkades, toegang die wordt verleend wanneer dit niet zou moeten gebeuren, of problemen met de verificatie van device compliance-status, moet onmiddellijk worden gecontroleerd of de configuratie overeenkomt met de beoogde vereisten en of er configuratiefouten zijn die moeten worden gecorrigeerd. Dit omvat verificatie van de gebruikers- en app-selectie om te verifiëren dat het beleid wordt toegepast op de juiste gebruikers en applicaties zoals bedoeld, de device platform-voorwaarden om te verifiëren dat het beleid correct is geconfigureerd voor alle ondersteunde platforms, en de toegangscontroles om te verifiëren dat de compliance-vereisten correct zijn geconfigureerd en dat toegang wordt geblokkeerd voor niet-compliant apparaten zoals verwacht. Als de configuratie onjuist is of als er configuratiefouten zijn geïdentificeerd, moet deze onmiddellijk worden gecorrigeerd door een geautoriseerde beheerder met de juiste rechten om Conditional Access-beleidsregels te wijzigen, waarbij de wijziging moet worden gedocumenteerd met informatie over wat de oorspronkelijke configuratie was, wat de nieuwe configuratie is, waarom de wijziging werd gemaakt, en wie de wijziging heeft geautoriseerd en uitgevoerd. De wijziging moet worden gevalideerd door het beveiligingsteam om te verifiëren dat de gecorrigeerde configuratie overeenkomt met de beoogde vereisten en dat deze geen onverwachte problemen introduceert, waarbij het belangrijk is om te testen of de gecorrigeerde configuratie correct functioneert voordat deze wordt toegepast op alle gebruikers, waarbij gebruik wordt gemaakt van een testgroep of Report-only mode om te observeren wat er zou gebeuren als de gecorrigeerde configuratie actief zou zijn zonder daadwerkelijk gebruikers te blokkeren tijdens het testen.
Wanneer gebruikers worden geblokkeerd vanwege niet-compliant apparaten die niet voldoen aan de beveiligingsvereisten die zijn gespecificeerd in het Conditional Access-beleid, moeten zij proactief worden benaderd om ondersteuning te bieden bij het oplossen van compliance-problemen zodat zij snel weer toegang kunnen krijgen tot hun benodigde resources en bedrijfsprocessen niet worden verstoord. Een helpdesk of ondersteuningsteam moet beschikbaar zijn tijdens normale werkuren, of 24/7 voor organisaties met kritieke operaties, om gebruikers te helpen bij het identificeren van compliance-problemen door te verifiëren welke vereisten niet worden voldaan, het installeren van updates en patches om verouderde besturingssystemen bij te werken, het inschakelen van beveiligingsinstellingen zoals schijfversleuteling en firewall, en het registreren van apparaten in Intune indien zij nog niet zijn geregistreerd. Gebruikers moeten worden voorzien van duidelijke, toegankelijke instructies die specifiek zijn voor hun device platform en die stap-voor-stap uitleggen hoe zij compliance-problemen kunnen identificeren en oplossen, en moeten worden begeleid door het remediatieproces waarbij ondersteuning wordt geboden voor gebruikers die hulp nodig hebben bij het volgen van instructies of bij het oplossen van technische problemen. In gevallen waarin compliance-problemen niet onmiddellijk kunnen worden opgelost, zoals wanneer gebruikers nieuwe apparaten moeten verkrijgen of wanneer er technische problemen zijn die tijd nodig hebben om op te lossen, kunnen tijdelijke uitzonderingen worden gemaakt voor specifieke gebruikers om hen tijdelijk toegang te verlenen terwijl zij werken aan het oplossen van compliance-problemen, waarbij deze uitzonderingen strikt moeten worden beheerd en gedocumenteerd met informatie over wie de uitzondering heeft geautoriseerd, waarom de uitzondering nodig was, hoe lang de uitzondering geldig is, en welke acties worden ondernomen om het onderliggende probleem op te lossen, en waarbij deze uitzonderingen regelmatig moeten worden gereviewd door het beveiligingsteam om te verifiëren dat zij nog steeds nodig zijn en dat gebruikers nog steeds werken aan het oplossen van compliance-problemen.
Na remediatie moeten alle wijzigingen die zijn gemaakt om compliance-problemen op te lossen worden gedocumenteerd met gedetailleerde informatie over wat het probleem was, welke acties zijn ondernomen om het probleem op te lossen, welke wijzigingen zijn gemaakt aan configuraties of instellingen, en wat het resultaat was van de remediatie-activiteiten, waarbij deze documentatie essentieel is voor audits en compliance-controles en voor het leren van ervaringen om toekomstige problemen te voorkomen. De configuraties die zijn gewijzigd tijdens de remediatie moeten worden gevalideerd door het beveiligingsteam om te verifiëren dat de wijzigingen correct zijn geïmplementeerd, dat zij niet leiden tot onverwachte problemen of beveiligingsrisico's, en dat zij effectief zijn in het oplossen van de oorspronkelijke compliance-problemen, waarbij validatie moet omvatten het testen van de gewijzigde configuraties en het verifiëren dat zij correct functioneren zoals verwacht. Gebruikers moeten worden geïnformeerd wanneer hun apparaten compliant zijn geworden en wanneer zij weer toegang hebben tot hun benodigde resources, waarbij deze communicatie duidelijk en tijdig moet zijn zodat gebruikers weten dat het probleem is opgelost en zij weer normaal kunnen werken. Regelmatige monitoring moet worden uitgevoerd om te verifiëren dat remediatie-activiteiten effectief zijn en dat compliance-problemen niet opnieuw optreden, waarbij organisaties moeten monitoren of gebruikers die eerder niet-compliant apparaten hadden nog steeds compliant zijn, of er nieuwe compliance-problemen zijn ontstaan die aandacht vereisen, en of de remediatie-activiteiten hebben geleid tot verbetering in de algemene compliance-status van de organisatie. De remediatie-activiteiten moeten worden gereviewd door de CISO of een vergelijkbare functie die verantwoordelijk is voor informatiebeveiliging, waarbij deze review moet identificeren wat goed ging tijdens de remediatie, wat verbeterd kan worden, welke lessen kunnen worden getrokken voor toekomstige problemen, en of er wijzigingen nodig zijn aan het beleid of de procedures om vergelijkbare problemen in de toekomst te voorkomen. Alle documentatie moet worden bijgewerkt om de huidige configuratie en procedures accuraat weer te geven, waarbij wijzigingen die zijn gemaakt tijdens de remediatie moeten worden gereflecteerd in de documentatie zodat deze accuraat en compleet is voor toekomstige referentie en voor audits en compliance-controles.
Compliance & Frameworks
- CIS M365: Control 1.29 (L2) - Zorg ervoor dat Conditional Access beleidsregels compliant apparaten vereisen
- BIO: 06.02 - BIO: Mobile devices en teleworking
- ISO 27001:2022: A.6.7, A.8.1 - Mobiel apparaatbeleid en gebruikerseindpuntapparaten
- NIS2: Artikel - Apparaatbeveiligingscontroles
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
CA Compliant Devices Azure
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.7
Controleert Conditional Access policy voor compliant devices.
.NOTES
Filename: ca-compliant-devices-azure.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.7
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "CA Compliant Devices Azure"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - Require device to be marked as compliant" -ForegroundColor Gray
Write-Host " - Of require Hybrid Azure AD joined device" -ForegroundColor Gray
Write-Host " - Scope: All cloud apps" -ForegroundColor Gray
Write-Host " - Users: All users" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Compliant devices policy" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - Require device to be marked as compliant" -ForegroundColor Gray
Write-Host " - Of require Hybrid Azure AD joined device" -ForegroundColor Gray
Write-Host " - Scope: All cloud apps" -ForegroundColor Gray
Write-Host " - Users: All users" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Compliant devices policy" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Onbeheerde of niet-compliant apparaten krijgen toegang tot gegevens zonder beveiligingscontroles: Verouderde besturingssystemen met uitbuitbare kwetsbaarheden, geen schijfversleuteling (gegevensverlies bij diefstal), malware-infecties, Bring Your Own Device (BYOD) zonder beleidsregels. Compliance: CIS 1.29, BIO 6.02, Zero Trust, NIS2. Het risico is hoog voor tenants met gevoelige gegevens.
Management Samenvatting
Conditional Access Apparaat Compliance: Vereis Intune-beheerde EN compliant apparaten, blokkeer onbeheerde apparaten, compliance-controles (besturingssysteemversie, versleuteling, antimalware, firewall). Vereist: Azure AD P1 + Intune-licenties. Activatie: CA → Vereis compliant apparaat. Implementatie: 8-12 uur technisch + 16 uur organisatorisch (apparaatregistratie campagne). Verplicht CIS 1.29, BIO 6.02, Zero Trust.
- Implementatietijd: 28 uur
- FTE required: 0.15 FTE