BIO 09.01 ISO A.9.2

Gastgebruiker Toegangsbeleid: Configuratie En Beheer

📅 2025-01-27
⏱️ 22 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Gastgebruiker toegangsbeleid vormt de ruggengraat van veilige externe samenwerking in Microsoft 365 en Azure. Deze beleidsregels bepalen niet alleen welke rechten gastgebruikers hebben binnen de directory, maar ook hoe zij toegang krijgen tot resources, welke beperkingen gelden voor hun activiteiten, en hoe hun toegang wordt beheerd gedurende de gehele levenscyclus. Zonder doordacht toegangsbeleid ontstaan beveiligingsrisico's waarbij externe partners meer toegang krijgen dan nodig is, waardoor gevoelige informatie kan worden gecompromitteerd en compliance-vereisten worden geschonden.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
32u (tech: 12u)
Van toepassing op:
Azure AD
Entra ID
Microsoft 365

Gastgebruiker toegangsbeleid is essentieel omdat ongecontroleerde externe toegang tot organisatieresources een van de grootste beveiligingsrisico's vormt in moderne cloudomgevingen. Wanneer gastgebruikers zonder passende beleidsregels toegang krijgen tot Microsoft 365 en Azure resources, kunnen zij directory-informatie enumereren om de organisatiestructuur in kaart te brengen, kunnen zij toegang krijgen tot gevoelige documenten en gegevens waarvoor zij geen autorisatie hebben, en kunnen zij zichzelf onbeperkt toegang verschaffen tot aanvullende resources door zich aan te sluiten bij groepen of toegang aan te vragen. Directory enumeration vormt een bijzonder risico omdat gastgebruikers met standaardrechten vaak volledige toegang hebben tot gebruikerslijsten, groepen, en applicatieregistraties, wat waardevolle informatie oplevert voor spearphishing-aanvallen en social engineering. Privilege escalation ontstaat wanneer gastgebruikers zonder beperkingen kunnen deelnemen aan groepen die toegang geven tot gevoelige resources, waardoor zij indirecte toegang krijgen tot systemen waarvoor zij nooit expliciet zijn geautoriseerd. Data leakage ontstaat wanneer gastgebruikers documenten kunnen delen met externe partijen of wanneer zij toegang behouden tot resources lang nadat de samenwerking is beëindigd. Compliance-schendingen ontstaan wanneer organisaties niet kunnen aantonen welke gastgebruikers toegang hebben gehad tot welke persoonsgegevens, wat leidt tot schending van AVG-vereisten en andere privacyregelgeving. Shadow IT ontstaat wanneer projectteams gastgebruikers toevoegen zonder IT-goedkeuring, waardoor het onmogelijk wordt om te garanderen dat alle externe toegang voldoet aan beveiligingsstandaarden. Lifecycle management problemen ontstaan wanneer gastaccounts actief blijven lang nadat projecten zijn afgerond of externe partners niet meer betrokken zijn, wat resulteert in ongecontroleerde toegangspunten die kunnen worden misbruikt. Effectieve toegangsbeleidsregels lossen deze problemen op door expliciete beperkingen af te dwingen voor directory-toegang, door resource-toegang te controleren via Conditional Access-beleidsregels, door levenscyclusbeheer te automatiseren met toegangsbeoordelingen en vervaldatums, en door alle gastgebruikeractiviteiten te monitoren en te loggen voor audit-doeleinden. Deze maatregel is essentieel voor compliance met BIO norm 09.01 voor toegangscontrole, AVG artikel 25 voor privacy by design, en ISO 27001 controle A.9.2 voor gebruikertoegangsbeheer.

PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.Identity.DirectoryManagement, Microsoft.Graph.Identity.ConditionalAccess

Implementatie

Dit artikel beschrijft een complete aanpak voor het ontwerpen, implementeren en beheren van gastgebruiker toegangsbeleid in Azure AD en Microsoft 365 binnen Nederlandse overheidsorganisaties. We behandelen de verschillende typen toegangsbeleidsregels die beschikbaar zijn, waaronder directory-toegangsniveaus, Conditional Access-beleidsregels specifiek voor gastgebruikers, resource-specifieke toegangsbeperkingen, en levenscyclusbeheer via toegangsbeoordelingen. Daarnaast laten we zien hoe u deze beleidsregels configureert in de Azure-portal en Microsoft Graph API, hoe u toegangsbeoordelingen instelt voor regelmatige controle van gastgebruikertoegang, en hoe u monitoring en auditing implementeert om te garanderen dat beleidsregels correct worden toegepast. De implementatie omvat het configureren van directory-toegangsniveaus voor gastgebruikers, het instellen van Conditional Access-beleidsregels die specifieke vereisten afdwingen voor externe gebruikers, het implementeren van toegangsbeoordelingen voor regelmatige controle en opruiming van verouderde toegang, en het automatiseren van monitoring en rapportage. Deze maatregel is must-have voor alle organisaties die externe samenwerking faciliteren via Microsoft 365 en Azure en voldoet aan BIO norm 09.01, AVG artikel 25, en ISO 27001 controle A.9.2.

Typen Toegangsbeleidsregels voor Gastgebruikers

Gastgebruiker toegangsbeleid omvat verschillende lagen van controle die gezamenlijk bepalen hoe externe gebruikers interactie hebben met organisatieresources. De eerste laag bestaat uit directory-toegangsniveaus, die bepalen hoeveel informatie gastgebruikers kunnen zien binnen de Azure AD-directory zelf. Microsoft Entra ID biedt drie primaire opties: de meest restrictieve optie beperkt gastgebruikers tot alleen zichtbaarheid van hun eigen profiel en de groepen waarin zij expliciet lid zijn, de beperkte optie geeft aanvullende zichtbaarheid tot basisdirectory-informatie zoals gebruikersnamen en e-mailadressen, en de minst restrictieve optie geeft vrijwel volledige directory-toegang vergelijkbaar met interne gebruikers. Voor Nederlandse overheidsorganisaties is de meest restrictieve optie vrijwel altijd aanbevolen omdat dit voorkomt dat externe partijen de organisatiestructuur kunnen enumereren en omdat dit aansluit bij het principe van minimale rechten zoals vereist in de BIO-normen. Directory-toegangsniveaus worden geconfigureerd via de External Collaboration Settings in Entra ID en gelden organisatiebreed voor alle gastgebruikers, tenzij specifieke uitzonderingen worden geconfigureerd via Conditional Access-beleidsregels. De tweede laag bestaat uit Conditional Access-beleidsregels die specifiek zijn gericht op gastgebruikers. Deze beleidsregels maken het mogelijk om aanvullende beveiligingsvereisten af te dwingen voor externe gebruikers die niet van toepassing zijn op interne medewerkers. Bijvoorbeeld, u kunt een beleidsregel configureren die vereist dat alle gastgebruikers multi-factor authenticatie gebruiken bij elke aanmelding, ongeacht het apparaat of de locatie. U kunt ook beleidsregels configureren die specifieke applicaties blokkeren voor gastgebruikers, zoals toegang tot on-premises resources of gevoelige applicaties met persoonsgegevens. Conditional Access-beleidsregels voor gastgebruikers kunnen ook geografische beperkingen afdwingen, bijvoorbeeld door alleen gastgebruikers uit specifieke landen of regio's toe te staan, of door toegang te blokkeren vanuit risicovolle locaties. Deze granulariteit is bijzonder waardevol voor Nederlandse overheidsorganisaties die moeten voldoen aan data residency-vereisten en die externe toegang moeten beperken tot alleen vertrouwde partners. Resource-specifieke toegangsbeleidsregels vormen de derde laag en bepalen welke specifieke resources gastgebruikers kunnen benaderen. Bijvoorbeeld, u kunt SharePoint-sites configureren zodat gastgebruikers alleen documenten kunnen bekijken maar niet kunnen bewerken of verwijderen, of u kunt Teams-kanalen instellen zodat gastgebruikers alleen kunnen deelnemen aan discussies maar geen bestanden kunnen uploaden of apps kunnen installeren. Microsoft 365 Groups kunnen worden geconfigureerd met restrictieve instellingen voor gastgebruikers, zoals het verbieden van het toevoegen van nieuwe leden of het wijzigen van groepinstellingen. Deze resource-specifieke beleidsregels worden geconfigureerd via de beheerinterfaces van individuele services, zoals SharePoint Admin Center, Teams Admin Center, of via Microsoft Graph API voor geavanceerde scenario's. Door deze lagen te combineren ontstaat een defensie-in-diepte benadering waarbij meerdere controles gezamenlijk bescherming bieden tegen ongeautoriseerde toegang en datalekken.

Conditional Access-beleidsregels voor Gastgebruikers

Conditional Access-beleidsregels die specifiek zijn gericht op gastgebruikers vormen een essentieel onderdeel van het toegangsbeheer voor externe samenwerking. Deze beleidsregels maken het mogelijk om aanvullende beveiligingsvereisten af te dwingen die bijzonder relevant zijn voor externe gebruikers, die vaak werken vanaf niet-beheerde apparaten en vanuit onbekende netwerkomgevingen. De eerste stap bij het configureren van Conditional Access-beleidsregels voor gastgebruikers is het identificeren van de doelgroep. In Azure AD kunnen gastgebruikers worden geïdentificeerd via de user type-kenmerk, waarbij gebruikers met user type 'Guest' worden geselecteerd als doelgroep voor het beleid. U kunt ook gebruik maken van dynamische groepen of security groups om specifieke subgroepen van gastgebruikers te targeten, bijvoorbeeld alleen gastgebruikers van bepaalde partnerorganisaties of gastgebruikers met specifieke rollen. Multi-factor authenticatie vormt het meest kritieke Conditional Access-beleidsregel voor gastgebruikers. Omdat externe gebruikers vaak werken vanaf niet-beheerde apparaten en omdat hun credentials potentieel kwetsbaarder zijn voor phishing-aanvallen, is het essentieel om MFA te vereisen voor alle gastgebruikers, ongeacht het apparaat of de locatie. Dit beleidsregel kan worden geconfigureerd om MFA te vereisen bij elke aanmelding, of om MFA te vereisen alleen bij toegang tot gevoelige applicaties of resources. Voor Nederlandse overheidsorganisaties is het aanbevolen om MFA te vereisen voor alle gastgebruikeracties, omdat dit de enige manier is om redelijk te garanderen dat externe toegang voldoet aan beveiligingsstandaarden. Het MFA-beleidsregel moet ook rekening houden met compatibele apparaten, waarbij alleen apparaten die voldoen aan apparaatcompliancevereisten toegang krijgen tot gevoelige resources. Apparaatbeheer vormt een tweede belangrijke overweging voor Conditional Access-beleidsregels voor gastgebruikers. Omdat externe gebruikers vaak persoonlijke apparaten gebruiken, is het niet altijd mogelijk om volledige apparaatcompliance af te dwingen zoals voor interne gebruikers. Echter, u kunt wel beleidsregels configureren die vereisen dat gastgebruikers alleen toegang krijgen vanaf beheerde apparaten voor gevoelige applicaties, of die blokkeren dat gastgebruikers toegang krijgen vanaf apparaten die als hoog risico worden geclassificeerd. Voor minder gevoelige resources kunt u beleidsregels configureren die toegang toestaan vanaf niet-beheerde apparaten, maar die aanvullende beperkingen opleggen zoals het verbieden van download van bestanden of het kopiëren van gegevens. Deze gelaagde aanpak maakt het mogelijk om flexibiliteit te bieden voor samenwerking terwijl tegelijkertijd gevoelige data wordt beschermd. Geografische beperkingen vormen een derde belangrijk Conditional Access-beleidsregel voor gastgebruikers, vooral voor Nederlandse overheidsorganisaties die moeten voldoen aan data residency-vereisten of die moeten voorkomen dat gegevens worden benaderd vanuit risicovolle locaties. U kunt beleidsregels configureren die alleen gastgebruikers toestaan vanuit specifieke landen of regio's, bijvoorbeeld alleen uit EU-landen of alleen uit specifieke partnerlanden. U kunt ook beleidsregels configureren die toegang blokkeren vanuit landen die als hoog risico worden geclassificeerd, of die aanvullende verificatie vereisen wanneer gastgebruikers toegang proberen te krijgen vanuit ongewone locaties. Deze geografische beperkingen kunnen worden gecombineerd met andere voorwaarden, bijvoorbeeld door alleen geografische beperkingen toe te passen op gevoelige applicaties, terwijl minder gevoelige resources wereldwijd toegankelijk blijven. Applicatie-specifieke Conditional Access-beleidsregels maken het mogelijk om verschillende beveiligingsvereisten af te dwingen voor verschillende applicaties. Bijvoorbeeld, u kunt een beleidsregel configureren die gastgebruikers volledig blokkeert van toegang tot on-premises resources of legacy-applicaties die geen moderne authenticatie ondersteunen. U kunt ook beleidsregels configureren die aanvullende verificatie vereisen voor gevoelige applicaties zoals financiële systemen of applicaties met persoonsgegevens, terwijl minder gevoelige applicaties zoals openbare documentatie toegankelijk blijven met minder restricties. Deze applicatie-specifieke beleidsregels kunnen worden gecombineerd met risk-based authentication, waarbij Microsoft Entra ID risicoscore gebruikt om te bepalen of aanvullende verificatie vereist is. Door deze verschillende Conditional Access-beleidsregels te combineren ontstaat een flexibel maar robuust toegangsbeheer dat geschikt is voor complexe samenwerkingsscenario's.

Gebruik PowerShell-script guest-user-access-policies.ps1 (functie Invoke-ConditionalAccessConfiguration) – Configureert Conditional Access-beleidsregels specifiek voor gastgebruikers.

Resource-specifieke Toegangsbeperkingen

Resource-specifieke toegangsbeperkingen vormen de derde laag van gastgebruiker toegangsbeleid en bepalen welke specifieke acties gastgebruikers kunnen uitvoeren binnen individuele Microsoft 365 en Azure resources. Deze beperkingen werken aanvullend op directory-toegangsniveaus en Conditional Access-beleidsregels en bieden granulair beheer over hoe externe gebruikers interactie hebben met specifieke sites, teams, applicaties en data. SharePoint-beleidsregels voor gastgebruikers bepalen welke rechten externe gebruikers hebben binnen SharePoint-sites. Standaard kunnen gastgebruikers die zijn uitgenodigd voor een site documenten bekijken en bewerken, maar u kunt deze rechten verder beperken via site permissions en sharing-instellingen. U kunt bijvoorbeeld configureren dat gastgebruikers alleen documenten kunnen bekijken maar niet kunnen bewerken, of dat zij alleen specifieke documenten of mappen kunnen benaderen maar niet de volledige site. SharePoint Admin Center biedt sharing-instellingen die bepalen of gastgebruikers überhaupt kunnen worden toegevoegd aan sites, en of zij documenten kunnen delen met andere externe gebruikers. Voor gevoelige sites kunt u gastgebruikstoegang volledig uitschakelen, terwijl voor openbare documentatiesites meer permissieve instellingen mogelijk zijn. Daarnaast kunnen site-eigenaren via Advanced Permissions specifieke rechten toekennen aan individuele gastgebruikers, bijvoorbeeld alleen leesrechten of alleen rechten voor specifieke documentbibliotheken. Teams-beleidsregels voor gastgebruikers bepalen welke functionaliteit beschikbaar is voor externe gebruikers binnen Teams-kanalen en -vergaderingen. U kunt Teams Admin Center gebruiken om te configureren of gastgebruikers kunnen deelnemen aan privékanaal-discussies, of zij bestanden kunnen uploaden en downloaden, of zij apps kunnen installeren, en of zij kanalen kunnen aanmaken of verwijderen. Standaard hebben gastgebruikers beperkte rechten in Teams, maar u kunt deze verder beperken via Guest Access-instellingen in Teams Admin Center. Bijvoorbeeld, u kunt configureren dat gastgebruikers alleen kunnen deelnemen aan vergaderingen maar niet aan kanalen, of dat zij alleen kunnen chatten maar geen bestanden kunnen delen. Voor gevoelige Teams-omgevingen kunt u gastgebruikstoegang volledig uitschakelen, terwijl voor samenwerkingsprojecten meer permissieve instellingen mogelijk zijn. Teams-beleidsregels kunnen ook worden gecombineerd met Sensitivity Labels, waarbij Teams met hoog gevoeligheidslabels automatisch restrictievere instellingen voor gastgebruikers afdwingen. Microsoft 365 Groups-beleidsregels bepalen welke rechten gastgebruikers hebben binnen gedeelde groepen en welke acties zij kunnen uitvoeren. U kunt configureren dat gastgebruikers geen nieuwe leden kunnen toevoegen aan groepen, dat zij geen groepsinstellingen kunnen wijzigen, en dat zij geen groepen kunnen aanmaken. Deze beperkingen voorkomen dat gastgebruikers hun eigen toegang escaleren door zichzelf toe te voegen aan aanvullende groepen of door nieuwe groepen aan te maken met toegang tot gevoelige resources. Group-beleidsregels worden geconfigureerd via Azure AD Group Settings en kunnen worden gecombineerd met Conditional Access-beleidsregels voor extra beveiliging. Daarnaast kunnen groepeigenaren via Advanced Settings specifieke beperkingen instellen voor individuele groepen, bijvoorbeeld door gastgebruikers alleen als leden toe te voegen maar niet als eigenaren. Azure Resource-toegangsbeperkingen bepalen welke Azure-resources gastgebruikers kunnen benaderen en welke acties zij kunnen uitvoeren. Azure RBAC maakt het mogelijk om gastgebruikers specifieke rollen toe te kennen voor specifieke resources, bijvoorbeeld Reader-rol voor een storage account of Contributor-rol voor een specifieke resource group. U kunt ook Azure Policy gebruiken om te voorkomen dat gastgebruikers bepaalde acties uitvoeren, bijvoorbeeld het aanmaken van nieuwe resources of het wijzigen van netwerkconfiguraties. Voor gevoelige Azure-workloads kunt u Conditional Access-beleidsregels configureren die gastgebruikers volledig blokkeren van toegang, of die aanvullende verificatie vereisen voordat toegang wordt verleend. Azure Resource-toegangsbeperkingen kunnen worden gecombineerd met Privileged Identity Management voor time-limited toegang, waarbij gastgebruikers alleen tijdelijke toegang krijgen voor specifieke onderhoudstaken of projectfases.

Levenscyclusbeheer en Toegangsbeoordelingen

Effectief levenscyclusbeheer van gastgebruikertoegang is essentieel om te voorkomen dat externe accounts actief blijven lang nadat de samenwerking is beëindigd, wat resulteert in ongecontroleerde toegangspunten die kunnen worden misbruikt. Levenscyclusbeheer begint bij de uitnodiging van een gastgebruiker, waarbij een vervaldatum wordt ingesteld en een toegangsbeoordeling wordt gepland. Vervaldatums kunnen worden geconfigureerd op verschillende niveaus: op tenant-niveau via External Collaboration Settings kan een standaard vervaldatum worden ingesteld voor alle nieuwe gastgebruikers, bijvoorbeeld 90 dagen of 180 dagen na uitnodiging. Op resource-niveau kunnen site-eigenaren of groepeigenaren specifieke vervaldatums instellen voor individuele gastgebruikers die zijn toegevoegd aan hun sites of groepen. Wanneer een vervaldatum nadert, ontvangen gastgebruikers en resource-eigenaren automatische herinneringen, en wanneer de vervaldatum is verstreken, wordt de toegang automatisch ingetrokken. Voor projecten met onbekende duur kunnen vervaldatums worden verlengd via een goedkeuringsproces, maar deze verlengingen moeten worden gedocumenteerd en goedgekeurd door de resource-eigenaar en IT Security. Toegangsbeoordelingen vormen het hart van levenscyclusbeheer en maken het mogelijk om regelmatig te controleren of gastgebruikertoegang nog steeds gerechtvaardigd is. Azure AD Access Reviews kunnen worden geconfigureerd om automatisch te controleren of gastgebruikers nog actief zijn, of zij nog toegang nodig hebben tot specifieke resources, en of hun toegang moet worden verlengd of ingetrokken. Toegangsbeoordelingen kunnen worden geconfigureerd op verschillende niveaus: tenant-brede beoordelingen controleren alle gastgebruikers in de directory, resource-specifieke beoordelingen controleren gastgebruikers die toegang hebben tot specifieke sites, teams of applicaties, en groepsgebaseerde beoordelingen controleren gastgebruikers die lid zijn van specifieke groepen. Toegangsbeoordelingen kunnen worden geautomatiseerd via Microsoft Graph API, waarbij beoordelingen regelmatig worden uitgevoerd, bijvoorbeeld elk kwartaal, en waarbij resource-eigenaren automatisch worden uitgenodigd om de toegang van gastgebruikers te beoordelen. Inactieve gastgebruikers die geen activiteit hebben vertoond in een bepaalde periode, bijvoorbeeld 90 dagen, kunnen automatisch worden gemarkeerd voor verwijdering, tenzij de resource-eigenaar expliciet aangeeft dat hun toegang nog steeds nodig is. Toegangsbeoordelingsworkflows maken het mogelijk om gestructureerde besluitvorming te faciliteren wanneer gastgebruikertoegang moet worden beoordeeld. Bijvoorbeeld, wanneer een gastgebruiker wordt gemarkeerd voor beoordeling, ontvangt de resource-eigenaar een automatische e-mail met informatie over de gastgebruiker, wanneer zij voor het laatst actief waren, en welke resources zij kunnen benaderen. De resource-eigenaar kan dan beslissen of de toegang moet worden verlengd, beperkt of ingetrokken. Voor gevoelige resources kunnen toevoegende goedkeuringsstappen worden geconfigureerd, bijvoorbeeld door IT Security of compliance officers te betrekken bij de besluitvorming. Toegangsbeoordelingsbeslissingen worden automatisch geïmplementeerd, bijvoorbeeld door toegang in te trekken wanneer een resource-eigenaar aangeeft dat de toegang niet langer nodig is, of door vervaldatums te verlengen wanneer toegang wordt goedgekeurd. Alle beslissingen worden gelogd voor audit-doeleinden, inclusief wie de beslissing heeft genomen, wanneer, en waarom. Levenscyclusbeheer omvat ook het automatisch opruimen van verouderde gastaccounts. Wanneer een gastgebruiker wordt verwijderd uit alle groepen en resources, of wanneer hun toegang is verlopen en niet is verlengd, kan hun account automatisch worden verwijderd of uitgeschakeld. Dit voorkomt dat verouderde gastaccounts actief blijven en mogelijke beveiligingsrisico's vormen. Account-opruiming kan worden geautomatiseerd via Microsoft Graph API of via Azure AD Lifecycle Management, waarbij accounts die gedurende een bepaalde periode inactief zijn geweest automatisch worden verwijderd. Voordat een account wordt verwijderd, moeten resource-eigenaren worden gewaarschuwd zodat zij eventuele data kunnen back-uppen of migreren. Account-opruiming moet worden gedocumenteerd en geaudit, inclusief welke accounts zijn verwijderd, wanneer, en waarom, zodat deze informatie beschikbaar is voor compliance-doeleinden.

Gebruik PowerShell-script guest-user-access-policies.ps1 (functie Invoke-AccessReview) – Voert toegangsbeoordelingen uit voor gastgebruikers en identificeert verouderde toegang.

Monitoring en Auditing van Gastgebruikertoegang

Gebruik PowerShell-script guest-user-access-policies.ps1 (functie Invoke-Monitoring) – Monitort gastgebruikertoegang en identificeert beveiligingsrisico's en compliance-problemen.

Effectieve monitoring en auditing van gastgebruikertoegang is essentieel om te garanderen dat toegangsbeleidsregels correct worden toegepast en om beveiligingsrisico's tijdig te detecteren. Monitoring moet zowel proactief als reactief gebeuren om een volledig beeld te krijgen van gastgebruikeractiviteiten en toegangspatronen. Proactieve monitoring omvat het regelmatig controleren van alle actieve gastgebruikers, hun toegangsrechten, en hun activiteitspatronen om te identificeren of toegang nog steeds gerechtvaardigd is of of er verdachte activiteiten plaatsvinden. Reactieve monitoring omvat het analyseren van audit logs en sign-in logs om incidenten te onderzoeken en om te begrijpen welke acties gastgebruikers hebben uitgevoerd. Azure AD Audit Logs bevatten waardevolle informatie over alle gastgebruikeractiviteiten, inclusief uitnodigingen, toetredingen tot groepen, toegang tot applicaties, en configuratiewijzigingen. Deze logs moeten regelmatig worden geanalyseerd om verdachte activiteiten te detecteren, bijvoorbeeld wanneer een gastgebruiker toegang krijgt tot een gevoelige applicatie, wanneer een gastgebruiker wordt toegevoegd aan een groep met hoge privileges, of wanneer een gastgebruiker ongebruikelijke acties uitvoert zoals het downloaden van grote hoeveelheden data. Azure AD Sign-in Logs bevatten informatie over wanneer en vanaf waar gastgebruikers zich aanmelden, welke applicaties zij benaderen, en of authenticatie succesvol was. Deze logs kunnen worden gebruikt om verdachte aanmeldingspatronen te identificeren, bijvoorbeeld wanneer een gastgebruiker zich aanmeldt vanaf een onbekende locatie of wanneer er meerdere mislukte aanmeldingspogingen zijn. Voor geavanceerde monitoring kunnen organisaties gebruik maken van Azure Sentinel of andere SIEM-systemen om automatische waarschuwingen in te stellen voor verdachte gastgebruikeractiviteiten, bijvoorbeeld wanneer een gastgebruiker toegang krijgt tot gevoelige resources, wanneer een gastgebruiker ongebruikelijke hoeveelheden data download, of wanneer een gastgebruiker wordt toegevoegd aan een groep met hoge privileges. Toegangsrapportage vormt een belangrijk onderdeel van monitoring en maakt het mogelijk om regelmatig te rapporteren over gastgebruikertoegang aan management, compliance officers, en auditors. Toegangsrapporten moeten informatie bevatten over het totale aantal actieve gastgebruikers, welke resources zij kunnen benaderen, wanneer zij voor het laatst actief waren, en of hun toegang binnenkort verloopt. Rapporten moeten ook trends identificeren, bijvoorbeeld of het aantal gastgebruikers toeneemt of afneemt, welke resources het meest worden benaderd door gastgebruikers, en of er patronen zijn in toegangsverzoeken of -weigeringen. Deze rapporten kunnen worden geautomatiseerd via Microsoft Graph API of via Power BI-dashboards die regelmatig worden bijgewerkt met actuele data. Voor compliance-doeleinden moeten rapporten worden bewaard voor de vereiste bewaarperiode, die voor veel organisaties zeven jaar is, en moeten zij beschikbaar zijn voor auditors en toezichthouders op verzoek. Incident response voor gastgebruikeractiviteiten vereist een gestructureerde aanpak waarbij verdachte activiteiten snel worden geïdentificeerd, geëvalueerd en aangepakt. Wanneer een verdachte activiteit wordt gedetecteerd, bijvoorbeeld wanneer een gastgebruiker toegang krijgt tot gevoelige data zonder autorisatie, moet onmiddellijk actie worden ondernomen om de toegang in te trekken en om te onderzoeken wat er is gebeurd. Incident response-plannen moeten specifieke procedures bevatten voor het omgaan met gastgebruikerincidenten, inclusief wie verantwoordelijk is voor het intrekken van toegang, hoe incidenten worden geëscaleerd naar IT Security of compliance officers, en hoe incidenten worden gedocumenteerd en gerapporteerd. Incident response moet worden geïntegreerd met het algemene security incident response-proces, zodat gastgebruikerincidenten consistent worden behandeld en zodat lessons learned worden gedeeld om toekomstige incidenten te voorkomen.

Compliance en Naleving voor Gastgebruikertoegang

Effectief beheer van gastgebruikertoegang is essentieel voor het voldoen aan verschillende compliance-vereisten die relevant zijn voor Nederlandse overheidsorganisaties. De Baseline Informatiebeveiliging Overheid (BIO) norm 09.01 vereist dat organisaties passende maatregelen treffen voor toegangscontrole en authenticatie, wat direct van toepassing is op gastgebruikertoegang. Organisaties moeten kunnen aantonen dat toegang tot systemen en gegevens wordt gecontroleerd en dat alleen geautoriseerde externe gebruikers toegang hebben. Dit betekent dat er een gestructureerd proces moet zijn voor het beoordelen en goedkeuren van gastgebruikertoegang, dat alle gastgebruikers worden gedocumenteerd, en dat regelmatig wordt gecontroleerd of toegang nog steeds gerechtvaardigd is. Gastgebruikertoegangsbeleid draagt direct bij aan deze vereiste door expliciete beperkingen af te dwingen en door levenscyclusbeheer te faciliteren via toegangsbeoordelingen en vervaldatums. Voor organisaties die moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG) is het essentieel om te kunnen aantonen welke gastgebruikers toegang hebben gehad tot welke persoonsgegevens en hoe deze toegang wordt beheerd. Artikel 25 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen implementeren om gegevensbescherming door ontwerp en door standaardinstellingen te waarborgen. Gastgebruikertoegangsbeleid draagt direct bij aan deze vereiste door ervoor te zorgen dat externe gebruikers alleen toegang krijgen tot gegevens waarvoor zij expliciet zijn geautoriseerd, dat toegang wordt beperkt tot wat strikt noodzakelijk is, en dat toegang wordt gemonitord en gecontroleerd. Voor gastgebruikers die toegang hebben tot persoonsgegevens moet een Data Protection Impact Assessment (DPIA) worden uitgevoerd en gedocumenteerd, waarin wordt beschreven welke gegevens worden gedeeld, hoe deze worden beveiligd, en welke maatregelen zijn genomen om gegevensbescherming te waarborgen. Gastgebruikertoegangsbeleid maakt het ook mogelijk om te voldoen aan artikel 30 van de AVG, dat vereist dat organisaties een register bijhouden van verwerkingsactiviteiten, inclusief welke externe partijen toegang hebben tot persoonsgegevens. ISO 27001 controle A.9.2 vereist dat organisaties ervoor zorgen dat gebruikers alleen toegang krijgen tot systemen en gegevens waarvoor zij zijn geautoriseerd, en dat toegang regelmatig wordt beoordeeld en ingetrokken wanneer niet langer nodig. Gastgebruikertoegangsbeleid draagt direct bij aan deze vereiste door toegangsbeoordelingen te faciliteren, door vervaldatums af te dwingen, en door toegang automatisch in te trekken wanneer niet langer gerechtvaardigd. ISO 27001 controle A.13.2.3 vereist dat organisaties passende maatregelen treffen voor externe informatie-uitwisseling, inclusief het beheren van externe gebruikers en het monitoren van externe toegang. Gastgebruikertoegangsbeleid maakt het mogelijk om te voldoen aan deze vereiste door expliciete beleidsregels af te dwingen voor externe samenwerking, door externe toegang te monitoren en te loggen, en door incident response-procedures te faciliteren voor verdachte externe activiteiten. Voor auditing doeleinden is het belangrijk dat organisaties kunnen aantonen dat gastgebruikertoegang correct wordt beheerd en gemonitord. Dit betekent dat er documentatie moet zijn die aantoont dat er een gedefinieerd proces is voor het aanvragen en goedkeuren van gastgebruikertoegang, dat toegangsbeleidsregels zijn geconfigureerd en worden afgedwongen, dat regelmatige toegangsbeoordelingen worden uitgevoerd, en dat verouderde toegang wordt opgeruimd. Deze documentatie moet worden bewaard voor de vereiste bewaarperiode, die voor veel organisaties zeven jaar is. Auditlogs uit Azure AD kunnen worden gebruikt om te verifiëren dat toegangsbeleidsregels correct worden toegepast, dat toegangsbeoordelingen worden uitgevoerd, en dat er geen ongeautoriseerde wijzigingen zijn aangebracht aan gastgebruikertoegang. Rapporten over gastgebruikertoegang moeten regelmatig worden aangeboden aan auditors en toezichthouders, inclusief informatie over het aantal actieve gastgebruikers, welke resources zij kunnen benaderen, en of hun toegang gerechtvaardigd is.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Gastgebruiker Toegangsbeleid: Configuratie en Beheer .DESCRIPTION Ondersteunt het configureren en beheren van gastgebruiker toegangsbeleid door directory-toegangsniveaus, Conditional Access-beleidsregels, toegangsbeoordelingen en monitoring te faciliteren. .NOTES Filename: guest-user-access-policies.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/identity-access/guest-user-access-policies.json #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph.Identity.DirectoryManagement, Microsoft.Graph.Identity.ConditionalAccess [CmdletBinding()] param( [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Implementation, [Parameter()][switch]$DebugMode ) $ErrorActionPreference = 'Stop' function Connect-RequiredServices { try { $context = Get-MgContext -ErrorAction SilentlyContinue if (-not $context) { Connect-MgGraph -Scopes "Policy.Read.All", "Policy.ReadWrite.Authorization", "Directory.Read.All", "Directory.ReadWrite.All", "User.Read.All", "AuditLog.Read.All" -ErrorAction Stop | Out-Null } } catch { Write-Warning "Microsoft Graph verbinding niet beschikbaar: $_" throw } } function Get-GuestUsers { <# .SYNOPSIS Haalt alle gastgebruikers op uit Azure AD #> try { if ($DebugMode) { Write-Host "DebugMode: Simuleert gastgebruikers ophalen" -ForegroundColor Yellow return @( [PSCustomObject]@{ Id = "00000000-0000-0000-0000-000000000001" DisplayName = "Gast Gebruiker 1" UserPrincipalName = "guest1_external#EXT#@contoso.onmicrosoft.com" UserType = "Guest" CreatedDateTime = (Get-Date).AddDays(-180) ExternalUserState = "Accepted" } ) } $guests = Get-MgUser -Filter "userType eq 'Guest'" -All -ErrorAction Stop return $guests } catch { Write-Warning "Fout bij ophalen gastgebruikers: $_" return @() } } function Get-GuestAccessLevel { <# .SYNOPSIS Haalt de huidige directory-toegangsniveau configuratie op voor gastgebruikers #> try { if ($DebugMode) { Write-Host "DebugMode: Simuleert toegangsniveau ophalen" -ForegroundColor Yellow return @{ GuestUserRoleId = "2af84b1e-32c8-42b7-82bc-daa82404023b" IsMostRestrictive = $true } } $authPolicy = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/policies/authorizationPolicy" -ErrorAction Stop # RestrictedGuest role ID = 2af84b1e-32c8-42b7-82bc-daa82404023b (most restrictive) # Guest role ID = a0b1b346-4d3e-4e8b-98f8-753987be4970 (limited) $mostRestrictiveRoleId = "2af84b1e-32c8-42b7-82bc-daa82404023b" $limitedRoleId = "a0b1b346-4d3e-4e8b-98f8-753987be4970" $isMostRestrictive = ($authPolicy.guestUserRoleId -eq $mostRestrictiveRoleId) return @{ GuestUserRoleId = $authPolicy.guestUserRoleId IsMostRestrictive = $isMostRestrictive RoleId = $authPolicy.guestUserRoleId } } catch { Write-Warning "Fout bij ophalen toegangsniveau: $_" return $null } } function Test-GuestUserSecurity { <# .SYNOPSIS Test of gastgebruikers voldoen aan beveiligingsstandaarden #> param( [Parameter(Mandatory=$true)] $GuestUser ) $results = @{ HasExpiredAccess = $false IsInactive = $false HasExcessiveAccess = $false Details = @() } try { # Controleer op verouderde toegang (ouder dan 180 dagen) if ($GuestUser.CreatedDateTime) { $ageInDays = ((Get-Date) - $GuestUser.CreatedDateTime).Days if ($ageInDays -gt 180) { $results.HasExpiredAccess = $true } # Controleer op inactieve gastgebruikers (ouder dan 90 dagen) if ($ageInDays -gt 90) { $results.IsInactive = $true } } $results.Details = @( [PSCustomObject]@{ Component = "Toegangsduur"; Status = if ($results.HasExpiredAccess) { "Verlopen (>180 dagen)" } else { "Actief" } } [PSCustomObject]@{ Component = "Activiteit"; Status = if ($results.IsInactive) { "Inactief (>90 dagen)" } else { "Actief" } } ) } catch { Write-Warning "Fout bij beveiligingscontrole gastgebruiker: $_" } return $results } function Invoke-ConditionalAccessConfiguration { <# .SYNOPSIS Configureert Conditional Access-beleidsregels specifiek voor gastgebruikers #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "CONDITIONAL ACCESS CONFIGURATIE VOOR GASTGEBRUIKERS" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" try { if (-not $DebugMode) { Connect-RequiredServices } Write-Host "[INFO] Conditional Access-configuratie voor gastgebruikers vereist handmatige configuratie" -ForegroundColor Yellow Write-Host "" Write-Host "De volgende stappen zijn vereist voor Conditional Access-configuratie:" -ForegroundColor Cyan Write-Host "" Write-Host "1. MFA BELEIDSREGEL VOOR GASTGEBRUIKERS" -ForegroundColor Yellow Write-Host " - Configureer Conditional Access-beleid dat MFA vereist voor alle gastgebruikers" -ForegroundColor Gray Write-Host " - Target gebruikers: Alle gastgebruikers (userType eq 'Guest')" -ForegroundColor Gray Write-Host " - Grant controls: Vereis multi-factor authenticatie" -ForegroundColor Gray Write-Host "" Write-Host "2. APPARAATBEOORDELING VOOR GASTGEBRUIKERS" -ForegroundColor Yellow Write-Host " - Configureer beleid dat alleen beheerde of compatibele apparaten toestaat" -ForegroundColor Gray Write-Host " - Voor gevoelige applicaties: Blokkeer niet-beheerde apparaten" -ForegroundColor Gray Write-Host " - Voor minder gevoelige resources: Sta toegang toe met aanvullende beperkingen" -ForegroundColor Gray Write-Host "" Write-Host "3. GEOGRAFISCHE BEPERKINGEN" -ForegroundColor Yellow Write-Host " - Configureer Named Locations voor toegestane regio's" -ForegroundColor Gray Write-Host " - Blokkeer toegang vanuit risicovolle locaties" -ForegroundColor Gray Write-Host " - Vereis aanvullende verificatie voor ongewone locaties" -ForegroundColor Gray Write-Host "" Write-Host "4. APPLICATIE-SPECIFIEKE BELEIDSREGELS" -ForegroundColor Yellow Write-Host " - Blokkeer gastgebruikers van on-premises resources" -ForegroundColor Gray Write-Host " - Vereis aanvullende verificatie voor gevoelige applicaties" -ForegroundColor Gray Write-Host " - Gebruik risk-based authentication voor adaptieve beveiliging" -ForegroundColor Gray Write-Host "" Write-Host "Zie het artikel voor gedetailleerde configuratie-instructies." -ForegroundColor Cyan } catch { Write-Error "Fout bij Conditional Access-configuratie: $_" exit 1 } } function Invoke-AccessReview { <# .SYNOPSIS Voert toegangsbeoordelingen uit voor gastgebruikers en identificeert verouderde toegang #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "GASTGEBRUIKER TOEGANGSBEOORDELING" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" try { if (-not $DebugMode) { Connect-RequiredServices } $guests = Get-GuestUsers $totalGuests = $guests.Count $guestsWithIssues = 0 $expiredGuests = 0 $inactiveGuests = 0 Write-Host "Totaal aantal gastgebruikers: $totalGuests" -ForegroundColor Cyan Write-Host "" foreach ($guest in $guests) { $securityCheck = Test-GuestUserSecurity -GuestUser $guest if ($securityCheck.HasExpiredAccess) { $expiredGuests++ Write-Host "WAARSCHUWING: $($guest.DisplayName) heeft verlopen toegang (>180 dagen)" -ForegroundColor Yellow } if ($securityCheck.IsInactive -and -not $securityCheck.HasExpiredAccess) { $inactiveGuests++ Write-Host "INFO: $($guest.DisplayName) is mogelijk inactief (>90 dagen)" -ForegroundColor Yellow } if ($securityCheck.HasExpiredAccess -or $securityCheck.IsInactive) { $guestsWithIssues++ } } Write-Host "" Write-Host "SAMENVATTING:" -ForegroundColor Cyan Write-Host " Gastgebruikers met verlopen toegang: $expiredGuests" -ForegroundColor $(if ($expiredGuests -gt 0) { "Red" } else { "Green" }) Write-Host " Mogelijk inactieve gastgebruikers: $inactiveGuests" -ForegroundColor $(if ($inactiveGuests -gt 0) { "Yellow" } else { "Green" }) Write-Host "" if ($guestsWithIssues -eq 0) { Write-Host "STATUS: OK - Alle gastgebruikers hebben actieve toegang" -ForegroundColor Green exit 0 } else { Write-Host "STATUS: WAARSCHUWING - $guestsWithIssues gastgebruiker(s) vereisen aandacht" -ForegroundColor Yellow exit 1 } } catch { Write-Error "Fout bij toegangsbeoordeling: $_" exit 1 } } function Invoke-Implementation { <# .SYNOPSIS Implementeert gastgebruiker toegangsbeleid configuratie #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "GASTGEBRUIKER TOEGANGSBELEID IMPLEMENTATIE" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" try { if (-not $DebugMode) { Connect-RequiredServices } Write-Host "[INFO] Gastgebruiker toegangsbeleid implementatie vereist handmatige configuratie" -ForegroundColor Yellow Write-Host "" Write-Host "De volgende stappen zijn vereist voor volledige implementatie:" -ForegroundColor Cyan Write-Host "" Write-Host "1. DIRECTORY-TOEGANGSNIVEAU CONFIGUREREN" -ForegroundColor Yellow Write-Host " - Configureer External Collaboration Settings in Entra ID" -ForegroundColor Gray Write-Host " - Stel gastgebruiker toegangsniveau in op 'Most restrictive'" -ForegroundColor Gray Write-Host " - Documenteer configuratie in configuration management database" -ForegroundColor Gray Write-Host "" Write-Host "2. CONDITIONAL ACCESS-BELEIDSREGELS CONFIGUREREN" -ForegroundColor Yellow Write-Host " - Configureer MFA-beleid voor alle gastgebruikers" -ForegroundColor Gray Write-Host " - Stel apparaatbeoordeling in voor gevoelige applicaties" -ForegroundColor Gray Write-Host " - Configureer geografische beperkingen indien nodig" -ForegroundColor Gray Write-Host "" Write-Host "3. RESOURCE-SPECIFIEKE BEPERKINGEN" -ForegroundColor Yellow Write-Host " - Configureer SharePoint sharing-instellingen voor gastgebruikers" -ForegroundColor Gray Write-Host " - Stel Teams Guest Access-beleidsregels in" -ForegroundColor Gray Write-Host " - Configureer Microsoft 365 Groups-beperkingen" -ForegroundColor Gray Write-Host "" Write-Host "4. TOEGANGSBEOORDELINGEN OPZETTEN" -ForegroundColor Yellow Write-Host " - Configureer automatische toegangsbeoordelingen voor gastgebruikers" -ForegroundColor Gray Write-Host " - Stel vervaldatums in voor nieuwe gastgebruikers" -ForegroundColor Gray Write-Host " - Plan regelmatige reviews (bijvoorbeeld elk kwartaal)" -ForegroundColor Gray Write-Host "" Write-Host "5. MONITORING EN AUDITING" -ForegroundColor Yellow Write-Host " - Configureer Azure AD Audit Log monitoring" -ForegroundColor Gray Write-Host " - Stel automatische waarschuwingen in voor verdachte activiteiten" -ForegroundColor Gray Write-Host " - Plan regelmatige rapportage over gastgebruikertoegang" -ForegroundColor Gray Write-Host "" Write-Host "Zie het artikel voor gedetailleerde implementatie-instructies." -ForegroundColor Cyan } catch { Write-Error "Fout bij implementatie: $_" exit 1 } } function Invoke-Monitoring { <# .SYNOPSIS Monitort gastgebruikertoegang en identificeert beveiligingsrisico's en compliance-problemen #> [CmdletBinding()] param() try { if (-not $DebugMode) { Connect-RequiredServices } Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "GASTGEBRUIKER TOEGANGSBELEID MONITORING" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" # Controleer directory-toegangsniveau $accessLevel = Get-GuestAccessLevel if ($accessLevel) { if ($accessLevel.IsMostRestrictive) { Write-Host "[OK] Directory-toegangsniveau: Meest restrictief geconfigureerd" -ForegroundColor Green } else { Write-Host "[WAARSCHUWING] Directory-toegangsniveau: Niet op meest restrictief niveau" -ForegroundColor Yellow Write-Host " Huidige rol ID: $($accessLevel.RoleId)" -ForegroundColor Gray Write-Host " Aanbevolen: Stel in op 'Most restrictive' (2af84b1e-32c8-42b7-82bc-daa82404023b)" -ForegroundColor Gray } } else { Write-Host "[WAARSCHUWING] Kon directory-toegangsniveau niet ophalen" -ForegroundColor Yellow } Write-Host "" # Controleer gastgebruikers $guests = Get-GuestUsers $totalGuests = $guests.Count Write-Host "TOTAAL AANTAL GASTGEBRUIKERS: $totalGuests" -ForegroundColor Cyan Write-Host "" $issues = @() foreach ($guest in $guests) { $securityCheck = Test-GuestUserSecurity -GuestUser $guest if ($securityCheck.HasExpiredAccess) { $issues += [PSCustomObject]@{ GuestName = $guest.DisplayName Issue = "Toegang verlopen (>180 dagen)" Severity = "High" } } if ($securityCheck.IsInactive -and -not $securityCheck.HasExpiredAccess) { $issues += [PSCustomObject]@{ GuestName = $guest.DisplayName Issue = "Mogelijk inactief (>90 dagen)" Severity = "Medium" } } } if ($issues.Count -eq 0) { Write-Host "STATUS: OK - Geen beveiligingsproblemen gedetecteerd" -ForegroundColor Green Write-Host "" Write-Host "Alle gastgebruikers hebben actieve toegang en directory-toegangsniveau is correct geconfigureerd." -ForegroundColor Green } else { Write-Host "STATUS: WAARSCHUWING - $($issues.Count) beveiligingsproblemen gedetecteerd" -ForegroundColor Yellow Write-Host "" Write-Host "GEDETECTEERDE PROBLEMEN:" -ForegroundColor Yellow foreach ($issue in $issues) { $color = if ($issue.Severity -eq "High") { "Red" } else { "Yellow" } Write-Host " [$($issue.Severity)] $($issue.GuestName): $($issue.Issue)" -ForegroundColor $color } Write-Host "" Write-Host "Voer remediatie uit om deze problemen op te lossen." -ForegroundColor Cyan } Write-Host "" Write-Host "========================================" -ForegroundColor Cyan if ($issues.Count -eq 0 -and $accessLevel -and $accessLevel.IsMostRestrictive) { exit 0 } else { exit 1 } } catch { Write-Error "Fout bij monitoring: $_" exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Identificeert en adresseert beveiligingsproblemen in gastgebruikertoegang #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "GASTGEBRUIKER TOEGANGSBELEID REMEDIATIE" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" try { if (-not $DebugMode) { Connect-RequiredServices } # Controleer directory-toegangsniveau $accessLevel = Get-GuestAccessLevel $remediationActions = @() if ($accessLevel -and -not $accessLevel.IsMostRestrictive) { $remediationActions += [PSCustomObject]@{ Component = "Directory-toegangsniveau" Action = "Configureer directory-toegangsniveau op 'Most restrictive' in External Collaboration Settings" Priority = "High" } } # Controleer gastgebruikers $guests = Get-GuestUsers foreach ($guest in $guests) { $securityCheck = Test-GuestUserSecurity -GuestUser $guest if ($securityCheck.HasExpiredAccess) { $remediationActions += [PSCustomObject]@{ Component = "Gastgebruiker: $($guest.DisplayName)" Action = "Review en verwijder toegang indien niet meer nodig, of verleng toegang met nieuwe vervaldatum" Priority = "High" } } if ($securityCheck.IsInactive -and -not $securityCheck.HasExpiredAccess) { $remediationActions += [PSCustomObject]@{ Component = "Gastgebruiker: $($guest.DisplayName)" Action = "Voer toegangsbeoordeling uit om te bepalen of toegang nog gerechtvaardigd is" Priority = "Medium" } } } if ($remediationActions.Count -eq 0) { Write-Host "Geen remediatie-acties vereist. Alle configuraties voldoen aan beveiligingsstandaarden." -ForegroundColor Green } else { Write-Host "REMEDIATIE-ACTIES:" -ForegroundColor Yellow Write-Host "" foreach ($action in $remediationActions) { $color = if ($action.Priority -eq "High") { "Red" } else { "Yellow" } Write-Host " [$($action.Priority)] $($action.Component)" -ForegroundColor $color Write-Host " → $($action.Action)" -ForegroundColor Gray Write-Host "" } Write-Host "Zie het artikel voor gedetailleerde remediatie-instructies." -ForegroundColor Cyan } } catch { Write-Error "Fout bij remediatie: $_" exit 1 } } # ================================================================================ # MAIN EXECUTION # ================================================================================ try { if ($Implementation) { Invoke-Implementation } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { # Default: Monitoring Invoke-Monitoring } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder effectief gastgebruikertoegangsbeleid kunnen externe partijen ongecontroleerde toegang krijgen tot organisatieresources, kunnen directory-informatie worden geënumeriseerd voor spearphishing-aanvallen, kunnen privilege escalation plaatsvinden wanneer gastgebruikers zichzelf toevoegen aan groepen, en kunnen gevoelige data worden gecompromitteerd. Compliance-schendingen ontstaan wanneer organisaties niet kunnen aantonen welke gastgebruikers toegang hebben gehad tot welke persoonsgegevens, wat leidt tot schending van AVG-vereisten en andere privacyregelgeving. Levenscyclusbeheer problemen ontstaan wanneer gastaccounts actief blijven lang nadat projecten zijn afgerond, wat resulteert in ongecontroleerde toegangspunten die kunnen worden misbruikt.

Management Samenvatting

Gastgebruiker toegangsbeleid omvat directory-toegangsniveaus, Conditional Access-beleidsregels, resource-specifieke beperkingen, en levenscyclusbeheer via toegangsbeoordelingen. Implementatie vereist ongeveer 32 uur voor configuratie, documentatie en training. Deze maatregel is essentieel voor organisaties die externe samenwerking faciliteren en voldoet aan BIO norm 09.01, AVG artikel 25, en ISO 27001 controle A.9.2.