💼 Management Samenvatting
BitLocker-schijfversleuteling zorgt ervoor dat data op laptops, werkplekken en andere Windows endpoints onleesbaar is voor onbevoegden zodra een apparaat wordt gestolen, kwijtgeraakt of ongeautoriseerd wordt geopend. Door BitLocker centraal af te dwingen via Intune en Microsoft 365 ontstaat een eenduidige basislijn voor databescherming binnen de gehele organisatie.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
20u (tech: 12u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Intune
✓ Microsoft 365
✓ Windows 11
✓ Intune
✓ Microsoft 365
Zonder centraal afgedwongen schijfversleuteling lopen organisaties een aanzienlijk risico dat gevoelige informatie wordt buitgemaakt bij diefstal of verlies van apparaten. In veel omgevingen zijn BitLocker-instellingen historisch gegroeid, handmatig geconfigureerd of slechts gedeeltelijk uitgerold, waardoor er stille hiaten ontstaan: oudere apparaten zonder versleuteling, uitzonderingen voor specifieke afdelingen en apparaten die door migraties buiten beeld zijn geraakt. Voor overheidsorganisaties en vitale aanbieders is dit extra risicovol, omdat een verloren laptop al snel persoonsgegevens, beleidsdocumenten, vertrouwelijke beraadslagingen of onderzoeksdossiers kan bevatten. Wanneer de schijf niet is versleuteld, kan een aanvaller de disk uit het apparaat halen, deze in een ander systeem plaatsen en de data zonder noemenswaardige technische drempels uitlezen. Naast de directe schade – datalekken, reputatieschade, meldplichten richting AP en betrokkenen – leidt dit tot complexe forensische trajecten en een aantasting van het maatschappelijk vertrouwen in de organisatie.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze maatregel richt zich op het verplicht inschakelen en monitoren van BitLocker-schijfversleuteling op alle relevante Windows-clients die onder beheer staan van Intune en Microsoft 365. De kern bestaat uit drie onderdelen: het definiëren van een helder normenkader (welke apparaten moeten minimaal zijn versleuteld en welke cryptografische instellingen gelden), het technisch afdwingen van deze norm via Intune-compliancebeleid en configuratieprofielen, en het continu monitoren van de daadwerkelijke dekking en naleving. In de praktijk betekent dit dat nieuwe en bestaande apparaten automatisch worden beoordeeld op BitLocker-status, dat niet-versleutelde apparaten expliciet als non-compliant worden aangemerkt en dat gebruikers pas toegang krijgen tot gevoelige cloudbronnen wanneer de versleuteling volledig en volgens beleid is gerealiseerd. Daarmee wordt BitLocker niet langer een ‘nice to have’-instelling, maar een harde voorwaarde voor toegang tot de digitale werkomgeving.
Vereisten en Randvoorwaarden
Voordat BitLocker centraal en betrouwbaar kan worden afgedwongen, is het essentieel om de basisvoorwaarden zorgvuldig te organiseren. Allereerst moeten de endpoints waarop BitLocker wordt ingezet draaien op ondersteunde versies van Windows 10 of Windows 11, bij voorkeur in de Enterprise- of Education-editie, zodat alle beheer- en rapportagemogelijkheden beschikbaar zijn. Daarnaast moeten apparaten zijn ingeschreven in Microsoft Intune of een hybride variant van Endpoint Manager, zodat beleidsinstellingen centraal kunnen worden uitgerold en gecontroleerd. Een tweede belangrijke randvoorwaarde betreft de opslag van herstelsleutels: zonder een robuuste strategie voor het veilig opslaan, terugvinden en periodiek testen van BitLocker-herstelinformatie ontstaat het risico dat gebruikers of beheerders zichzelf buitensluiten, bijvoorbeeld na hardwarewijzigingen of bij het herstellen van een image. De praktijk wijst uit dat een centrale opslag in Azure AD / Entra ID, gekoppeld aan heldere procedures in de servicedesk, het meest betrouwbaar is. Verder moet er een duidelijke afbakening zijn welke apparaten verplicht moeten worden versleuteld – in de regel alle mobiele endpoints zoals laptops en tablets, maar in overheidscontext vaak ook vaste werkplekken waarop vertrouwelijke informatie wordt verwerkt. Tot slot is afstemming met CISO, privacy officer en lijnmanagement cruciaal: zij moeten akkoord zijn met de standaard dat een niet-versleuteld apparaat geen toegang krijgt tot kernsystemen, zelfs als dat tijdelijk tot weerstand of verstoringen leidt. Pas wanneer deze randvoorwaarden helder zijn belegd, heeft het zin om de technische configuratie in Intune en Microsoft 365 daadwerkelijk in te richten.
Technische Implementatie in Intune en Microsoft 365
Gebruik PowerShell-script bitlocker-encryption-enabled.ps1 (functie Invoke-Monitoring) – Controleert via Microsoft Graph of BitLocker-versleuteling en beleid voor alle in scope zijnde apparaten volgens de baseline zijn geconfigureerd..
De implementatie van BitLocker-schijfversleuteling begint met het definiëren van een Intune-compliancebeleid dat expliciet controleert of het systeemstation is versleuteld met BitLocker en of de herstelsleutel veilig is opgeslagen. Dit beleid wordt gekoppeld aan devicegroepen waarin alle relevante Windows-clients zijn opgenomen, bijvoorbeeld op basis van dynamische groepsregels of organisatorische eenheden. Parallel daaraan wordt een configuratieprofiel ingericht dat de gewenste BitLocker-instellingen afdwingt, zoals het verplicht gebruik van TPM, de minimale encryptiesterkte (bijvoorbeeld XTS-AES 256), het automatisch starten van versleuteling bij het inschakelen van het apparaat en de verplichte back-up van herstelsleutels naar Azure AD / Entra ID. In veel organisaties is het verstandig om de uitrol gefaseerd te doen: eerst een pilotgroep met representatieve gebruikers en hardware, daarna gefaseerde uitbreiding per organisatieonderdeel. Tijdens deze fasen wordt nauwlettend gemonitord of apparaten succesvol worden versleuteld, of de gebruikerservaring acceptabel is en of er uitzonderingen nodig zijn voor specifieke scenario’s, zoals lab- of testomgevingen. Door Conditional Access-beleid aan het compliancebeleid te koppelen, ontstaat een krachtig mechanisme: alleen apparaten die door Intune als compliant – en dus versleuteld – worden aangemerkt, krijgen toegang tot gevoelige Microsoft 365-bronnen zoals Exchange Online, SharePoint, Teams en maatwerkapplicaties. De combinatie van configuratieprofielen, compliancebeleid en Conditional Access vormt zo een sluitend raamwerk waarin BitLocker-versleuteling niet optioneel is, maar onlosmakelijk verbonden met toegang tot data.
Monitoring, Rapportage en Operationele Bewaking
Gebruik PowerShell-script bitlocker-encryption-enabled.ps1 (functie Invoke-Monitoring) – Genereert een overzicht van apparaten die niet voldoen aan de BitLocker-baseline en markeert deze voor opvolging..
Wanneer BitLocker als verplichte maatregel is geïmplementeerd, verschuift de aandacht van eenmalige inrichting naar structurele bewaking. In de dagelijkse operatie wil een CISO-team snel kunnen zien welk percentage van de endpoints daadwerkelijk versleuteld is, welke apparaten in een overgangssituatie zitten en waar structurele afwijkingen ontstaan. Intune en Microsoft Endpoint Manager bieden standaardrapportages waarmee de status van schijfversleuteling kan worden gevolgd, maar in volwassen omgevingen wordt dit vaak aangevuld met geautomatiseerde scripts en dashboards. Door bijvoorbeeld periodiek via Microsoft Graph een lijst op te halen van alle ingeschreven apparaten, inclusief BitLocker-compliance en encryptiestatus, kan een actueel beeld worden opgebouwd dat direct wordt gekoppeld aan risicoklassen en prioriteiten. Apparaten zonder volledige versleuteling worden zichtbaar gemaakt in rapportages naar management en in operationele overzichten voor het beheerteam. Belangrijk is dat monitoring niet alleen kijkt naar de binaire vraag ‘versleuteld of niet’, maar ook naar randvoorwaarden zoals de aanwezigheid van herstelcodes, de versie van het besturingssysteem en specifieke scenario’s waarin BitLocker tijdelijk is uitgeschakeld voor onderhoud. Door duidelijke drempelwaarden af te spreken – bijvoorbeeld dat minimaal 98 procent van alle endpoints permanent versleuteld moet zijn – kan monitoring direct worden vertaald naar stuurinformatie en verbeteracties. Problemen worden zo vroegtijdig gesignaleerd, in plaats van pas aan het licht te komen bij een audit of incident.
Remediatie bij Niet-Versleutelde of Afwijkende Apparaten
Gebruik PowerShell-script bitlocker-encryption-enabled.ps1 (functie Invoke-Remediation) – Biedt beheerders concrete stappen om niet-versleutelde endpoints alsnog in lijn te brengen met de BitLocker-baseline..
Geen enkele omgeving is statisch: hardware wordt vervangen, apparaten worden opnieuw geïnstalleerd, uitzonderingen worden tijdelijk toegestaan en gebruikers proberen soms beleidsinstellingen te omzeilen. Daarom is een helder remediatieproces onmisbaar. Wanneer monitoring laat zien dat een apparaat niet is versleuteld of niet voldoet aan de afgesproken BitLocker-parameters, moet direct duidelijk zijn wie verantwoordelijk is voor opvolging en binnen welke termijn dit moet zijn opgelost. Een veelgebruikte aanpak is om niet-versleutelde apparaten automatisch als non-compliant te markeren, waardoor Conditional Access de toegang tot gevoelige data beperkt, gecombineerd met gerichte communicatie naar de betreffende medewerker en het beheerteam. De remediatiestappen variëren van het opnieuw afdwingen van configuratieprofielen via Intune tot het handmatig begeleiden van de gebruiker bij het inschakelen van BitLocker, bijvoorbeeld wanneer hardware of gebruiksscenario’s complex zijn. In sommige gevallen blijkt dat bepaalde apparaten structureel niet aan de baseline kunnen voldoen, bijvoorbeeld door ontbrekende TPM-functionaliteit of legacy-applicaties; voor deze situaties is een expliciete uitzonderingsprocedure nodig, inclusief risicobeoordeling, tijdelijke maatregelen en een plan om de uitzondering zo snel mogelijk op te heffen. Door remediatie strak te organiseren en te documenteren, wordt BitLocker-versleuteling niet alleen ‘op papier’ geregeld, maar aantoonbaar geborgd in de dagelijkse praktijk.
Compliance, Audittrail en Aantoonbaarheid
Voor Nederlandse overheidsorganisaties en vitale aanbieders is het niet voldoende om BitLocker-technisch in te richten; zij moeten ook kunnen aantonen dat de maatregel structureel en organisatiebreed wordt toegepast. Toezichthouders en auditors vragen in de praktijk om duidelijk bewijs dat schijfversleuteling daadwerkelijk is uitgerold, dat uitzonderingen gecontroleerd zijn en dat incidenten rond verloren of gestolen apparatuur adequaat worden afgehandeld. Dit vraagt om een combinatie van technische logging, beheerprocedures en managementrapportages. In Intune en Microsoft 365 worden configuratie- en compliancewijzigingen standaard gelogd, maar pas wanneer deze logs worden gekoppeld aan formele procedures – bijvoorbeeld rond uitgifte en inname van apparatuur, datalekmeldingen en periodieke risicobeoordelingen – ontstaat een volledig auditspoor. Door BitLocker-status en -dekking op te nemen in reguliere security- en compliance-rapportages aan CISO en bestuur, wordt schijfversleuteling zichtbaar als een structurele beheersmaatregel in plaats van een eenmalig project. Bovendien kunnen bevindingen uit interne audits, pentests of externe beoordelingen worden gebruikt om de inrichting verder te verfijnen: bijvoorbeeld door strengere eisen te stellen aan cryptografische algoritmen of door aanvullende controles in te bouwen op endpoints met verhoogde risico’s. Zo groeit BitLocker uit tot een volwassen maatregel die aantoonbaar bijdraagt aan de naleving van AVG, BIO en andere relevante kaders, en die in de praktijk standhoudt wanneer zich een incident of toezichtonderzoek voordoet.
Compliance & Frameworks
- BIO: 12.06.01, 12.06.02 - Apparaatbeveiliging en bescherming van gegevens op eindpunten door middel van versleuteling.
- ISO 27001:2022: A.8.1, A.8.9, A.10.1 - Beveiliging van gebruikersapparatuur, configuratiebeheer en gebruik van cryptografische maatregelen.
- NIS2: Artikel - Technische en organisatorische maatregelen voor de bescherming van netwerk- en informatiesystemen, inclusief endpoint-versleuteling.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
BitLocker Encryption Enabled – Controle en Remediatie
.DESCRIPTION
Controleert via Microsoft Graph of BitLocker-schijfversleuteling is ingeschakeld op beheerde Windows-endpoints
en geeft richtlijnen voor remediatie waar dit nog niet het geval is.
.NOTES
Filename: bitlocker-encryption-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/m365/device-compliance/bitlocker-encryption-enabled.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[switch]$Monitoring,
[switch]$Remediation,
[switch]$Revert,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "BitLocker Encryption Enabled" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert BitLocker-versleuteling op beheerde Windows endpoints.
.OUTPUTS
Exit code 0 bij volledig compliant, 1 bij non-compliant, 2 bij fouten.
#>
try {
Write-Host "Monitoring BitLocker-status via Microsoft Graph..." -ForegroundColor Yellow
# Aanmelden op Microsoft Graph – verwacht modern authentication
Connect-MgGraph -Scopes "DeviceManagementConfiguration.Read.All","Device.Read.All" -ErrorAction Stop
# Ophalen van beheerde apparaten met relevante eigenschappen
$uri = "https://graph.microsoft.com/beta/deviceManagement/managedDevices?`$select=deviceName,operatingSystem,encryptionState,complianceState"
$devices = Invoke-MgGraphRequest -Method GET -Uri $uri -ErrorAction Stop
if (-not $devices.value) {
Write-Host "Geen beheerde apparaten gevonden in Intune. Controleer of de tenant correct is geconfigureerd." -ForegroundColor Yellow
exit 2
}
# Filter uitsluitend Windows-clients
$windowsDevices = $devices.value | Where-Object {
$_.operatingSystem -like "Windows*"
}
if (-not $windowsDevices) {
Write-Host "Er zijn geen Windows-apparaten gevonden om te beoordelen." -ForegroundColor Yellow
exit 0
}
# Aanname: encryptionState 'encrypted' is compliant, overige waarden zijn afwijkend
$nonEncrypted = $windowsDevices | Where-Object {
($_.encryptionState -ne "encrypted") -or (-not $_.encryptionState)
}
Write-Host "`nOverzicht BitLocker-status (Windows):" -ForegroundColor Cyan
Write-Host (" Totaal aantal apparaten : {0}" -f $windowsDevices.Count)
Write-Host (" Niet volledig versleuteld: {0}" -f $nonEncrypted.Count)
if ($nonEncrypted.Count -eq 0) {
Write-Host "`nCOMPLIANT: Alle beheerde Windows-endpoints zijn BitLocker-versleuteld volgens de baseline." -ForegroundColor Green
exit 0
}
else {
Write-Host "`nNON-COMPLIANT: Eén of meer Windows-endpoints voldoen niet aan de BitLocker-baseline." -ForegroundColor Red
Write-Host "Onderstaande apparaten vereisen opvolging:" -ForegroundColor Red
$nonEncrypted | Select-Object deviceName, operatingSystem, encryptionState, complianceState |
Format-Table -AutoSize | Out-String | Write-Host
exit 1
}
}
catch {
Write-Host "`nERROR tijdens BitLocker-monitoring: $_" -ForegroundColor Red
Write-Host "Controleer of:" -ForegroundColor Yellow
Write-Host " - De Microsoft.Graph-module is geïnstalleerd en up-to-date." -ForegroundColor Gray
Write-Host " - Je beschikt over de vereiste rechten (Intune / Device Management)." -ForegroundColor Gray
Write-Host " - De Graph-permissies voor Device Management zijn geaccepteerd." -ForegroundColor Gray
exit 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Geeft beheerders stappen om BitLocker centraal af te dwingen en niet-versleutelde endpoints te corrigeren.
#>
try {
Write-Host "Remediatie BitLocker-schijfversleuteling:" -ForegroundColor Yellow
Write-Host "De volgende stappen worden aanbevolen om endpoints compliant te maken:" -ForegroundColor Yellow
Write-Host "`n1. Richt BitLocker-configuratieprofielen in Intune in:" -ForegroundColor Cyan
Write-Host " - Endpoint Manager admin center -> Apparaten -> Configuratieprofielen." -ForegroundColor Gray
Write-Host " - Maak of gebruik een profiel voor BitLocker met minimaal XTS-AES 256." -ForegroundColor Gray
Write-Host " - Dwing back-up van BitLocker-herstelsleutels naar Azure AD / Entra ID af." -ForegroundColor Gray
Write-Host "`n2. Definieer een compliancebeleid voor BitLocker:" -ForegroundColor Cyan
Write-Host " - Apparaten -> Compliance-beleid -> Beleidsregels." -ForegroundColor Gray
Write-Host " - Voeg een regel toe die vereist dat het systeemstation is versleuteld." -ForegroundColor Gray
Write-Host " - Markeer apparaten zonder volledige versleuteling als Niet-compatibel." -ForegroundColor Gray
Write-Host "`n3. Koppel Conditional Access aan device compliance:" -ForegroundColor Cyan
Write-Host " - Azure AD / Entra ID -> Beveiliging -> Voorwaardelijke toegang." -ForegroundColor Gray
Write-Host " - Maak een beleid dat toegang tot gevoelige apps alleen toestaat vanaf compliant apparaten." -ForegroundColor Gray
Write-Host "`n4. Herstel bestaande niet-versleutelde apparaten:" -ForegroundColor Cyan
Write-Host " - Gebruik Intune-rapportages of dit script (met -Monitoring) om niet-versleutelde endpoints te identificeren." -ForegroundColor Gray
Write-Host " - Start BitLocker-versleuteling via Intune-profielen of begeleid gebruikers stap voor stap." -ForegroundColor Gray
Write-Host " - Controleer na afloop of herstelcodes correct zijn opgeslagen en het apparaat als compliant wordt weergegeven." -ForegroundColor Gray
if ($WhatIf) {
Write-Host "`nWhatIf is ingeschakeld: er zijn geen wijzigingen aangebracht, alleen advies getoond." -ForegroundColor Yellow
}
exit 0
}
catch {
Write-Host "ERROR tijdens remediatie-aanwijzingen: $_" -ForegroundColor Red
exit 2
}
}
function Invoke-Revert {
<#
.SYNOPSIS
Beschrijft hoe een tijdelijke versoepeling kan worden doorgevoerd, bijvoorbeeld in uitzonderingssituaties.
#>
try {
Write-Host "Revert / tijdelijke versoepeling BitLocker-baseline:" -ForegroundColor Yellow
Write-Host "Let op: het afzwakken van BitLocker-eisen vergroot direct het risico op datalekken." -ForegroundColor Yellow
Write-Host "`nMogelijke stappen (alleen na expliciet CISO- en managementbesluit):" -ForegroundColor Cyan
Write-Host " - Pas het Intune-compliancebeleid aan om specifieke groepen tijdelijk uit te zonderen." -ForegroundColor Gray
Write-Host " - Documenteer de businessreden, risicoafweging en einddatum van de uitzondering." -ForegroundColor Gray
Write-Host " - Houd een apart overzicht bij van apparaten waarop BitLocker (tijdelijk) niet wordt afgedwongen." -ForegroundColor Gray
exit 0
}
catch {
Write-Host "ERROR tijdens revert-informatie: $_" -ForegroundColor Red
exit 2
}
}
try {
if ($Revert) {
Invoke-Revert
}
elseif ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
Write-Host "Gebruik: -Monitoring | -Remediation | -Revert (optioneel met -WhatIf voor remediatie-advies)" -ForegroundColor Yellow
}
}
catch {
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Wanneer BitLocker niet centraal is afgedwongen, is verlies of diefstal van een enkel apparaat voldoende om grote hoeveelheden gevoelige informatie prijs te geven. Aanvallers kunnen een onversleutelde schijf eenvoudig uitlezen, waardoor persoonsgegevens, vertrouwelijke documenten en interne strategieën op straat komen te liggen. Dit leidt vrijwel zeker tot meldingen bij de Autoriteit Persoonsgegevens en betrokkenen, aanzienlijke reputatieschade en mogelijk bestuurlijke sancties. Bovendien wordt in audits zichtbaar dat de organisatie basismaatregelen voor endpoint-beveiliging niet op orde heeft, wat het vertrouwen van bestuur, toezichthouders en maatschappij aantast.
Management Samenvatting
BitLocker-schijfversleuteling op alle relevante Windows-endpoints is een harde randvoorwaarde voor moderne informatiebeveiliging. Door BitLocker via Intune en Microsoft 365 verplicht te stellen, te koppelen aan device compliance en Conditional Access, en de dekking actief te monitoren, wordt het risico op datalekken bij verlies of diefstal van apparatuur drastisch verlaagd. De investering in inrichting en beheer is beperkt ten opzichte van de potentiële schade en sluit direct aan op AVG-, BIO- en NIS2-eisen.
- Implementatietijd: 20 uur
- FTE required: 0.1 FTE