💼 Management Samenvatting
App Protection Policies (APP) vormen de digitale brandwerende muren rond gegevens die zich op mobiele en hybride eindpunten bevinden. In de Nederlandse Baseline voor Veilige Cloud zijn ze de enige maatregel die garandeert dat ambtenaren veilig kunnen werken zodra ze buiten een beheerd device of netwerk stappen. Door datawiping, conditional launch en gegevensversleuteling direct binnen applicaties af te dwingen, sluiten APP's de gaten die ontstaan wanneer apparaten eigendom van medewerkers zijn of tijdelijk worden gedeeld in ketensamenwerkingen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
92u (tech: 60u)
Van toepassing op:
✓ iOS/iPadOS
✓ Android Enterprise
✓ Windows 11
✓ Windows 10
✓ macOS
✓ Microsoft 365 Apps
✓ Android Enterprise
✓ Windows 11
✓ Windows 10
✓ macOS
✓ Microsoft 365 Apps
De BIO, AVG en NIS2 vereisen aantoonbare beheersing van persoonsgegevens, staatsgeheimen en crisisinformatie, ongeacht waar de data zich bevindt. Zonder APP's kan een gecompromitteerde smartphone alsnog documenten exporteren, screenshots delen of tokens hergebruiken binnen niet-goedgekeurde apps. Recente onderzoeken van de IBD tonen aan dat meer dan 40 procent van de BYOD-incidenten voortkomt uit gebrek aan containerisatie en datalekpreventie binnen apps. APP's maken het mogelijk om beleid te koppelen aan dataclassificatie en scenario's zoals verkiezingen, inspecties en politietrainingsdagen, zodat bestuurders kunnen aantonen dat gevoelige gegevens nooit onversleuteld buiten de applicatiecontainer verschijnen.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph.DeviceAppManagement, Microsoft.Graph.Beta.DeviceAppManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceAppManagement, Microsoft.Graph.Beta.DeviceAppManagement
Implementatie
Dit artikel beschrijft hoe publieke organisaties APP's positioneren als integraal onderdeel van Zero Trust. We werken uit hoe governance beslislijnen vastlegt, hoe architecten platform-specifieke instellingen ontwerpen, hoe operations-teams toezicht houden op naleving en hoe auditors bewijs krijgen dat beleid daadwerkelijk werkt. Elk hoofdstuk koppelt beleid aan scripts, rapportages en remediatie, waardoor lezers concreet zien hoe APP's een aantoonbare controle worden.
Governance en beleidssturing
Governance rondom App Protection Policies begint bij het vaststellen van een bestuurlijke norm: alle gegevens met het label Dienstvertrouwelijk of hoger worden uitsluitend ontsloten via applicaties die Intune APP afdwingen. De CIO bekrachtigt deze norm als verplichte maatregel binnen het informatiebeveiligingsbeleid, zodat programma's voor hybride werken, crisisbeheersing en burgerinteractie dezelfde spelregels hanteren. Het CISO-office vertaalt de norm naar concrete beleidsuitspraken over encryptie, clipboardcontrole, offline toegang en maximale veroudering van tokens. Hierdoor ontstaat een kader waarmee beslissingen over apps, leveranciers en samenwerkingen direct gekoppeld worden aan de Baseline.
Juridische en privacyteams verankeren APP-eisen in verwerkersovereenkomsten en convenanten met ketenpartners. Wanneer externe partijen toegang krijgen tot gedeelde dossiers, wordt in het contract opgenomen dat alleen ondersteunde platforms mogen worden gebruikt en dat logging gedurende zeven jaar beschikbaar blijft. Tegelijkertijd bepalen functionarissen gegevensbescherming hoe uitzonderingen worden beoordeeld, welke compenserende maatregelen verplicht zijn en hoe bewoners van privacygevoelige dossiers worden geïnformeerd. Deze governance zorgt ervoor dat app-beleid niet alleen een technische configuratie is, maar een aantoonbare verplichting richting toezichthouders.
De operationele aansturing vindt plaats via een APP-steering committee waarin CISO-office, werkplekbeheer, SOC, privacy en communicatie zijn vertegenwoordigd. Het comité bewaakt een gezamenlijke backlog met verbeteringen zoals de introductie van biometrische pincode-eisen of het verbreden van conditional launch naar nieuwe cloud-apps. De groep bepaalt ook welke KPI's aan bestuurders worden gerapporteerd, bijvoorbeeld het percentage actieve apparaten dat binnen tien minuten compliant is na inschrijving. Door deze sturing worden APP-wijzigingen niet langer ad-hoc doorgevoerd, maar volgen ze dezelfde besluitvormingscyclus als andere kritieke maatregelen.
Budgettering en capaciteitsplanning zijn integraal onderdeel van deze governance. Financiën maakt onderscheid tussen implementatiecapaciteit voor nieuwe beleidsregels, operationele monitoring via scripts en licentiekosten voor Intune-suite. Hierdoor kunnen organisaties scenario's zoals verkiezingen of noodhulp vooraf van middelen voorzien, inclusief extra servicedeskbezetting voor BYOD-vragen. Tevens wordt vastgelegd dat elke beleidswijziging wordt getest in een gecontroleerde pilot met representatieve gebruikersgroepen, zodat lessons learned direct beschikbaar zijn voordat uitrol naar duizenden medewerkers plaatsvindt.
Tot slot stuurt governance op samenwerking binnen de Rijksbrede community. Organisaties delen referentieconfiguraties, incidentlessen en auditbevindingen via de kennisbank van de Nederlandse Baseline voor Veilige Cloud. Daarmee ontstaat een praktijk waarin nieuwe dreigingsinformatie snel wordt vertaald naar concrete APP-instellingen. De governancecyclus eindigt altijd met een formele toets waarbij bestuurders een sign-off geven dat beleid, documentatie en monitoring aansluiten op de actuele dreigingsinschatting. Zo blijft duidelijk dat APP's niet alleen een Intune-functie zijn, maar een bestuurlijk geborgde controle die bewezen effectief is tegen datalekken en beleidsmatige aansprakelijkheid.
Architectuur en technische configuratie
Gebruik PowerShell-script app-protection-policies.ps1 (functie Invoke-AppProtectionAssessment) – Controleert via Microsoft Graph of voor elk platform actuele App Protection Policies bestaan, of assignments en app-targeting aansluiten op dataclassificaties en of kritieke instellingen zoals encryptie, conditional launch en data transfer-limieten zijn afgedwongen..
Het architectuurontwerp beschrijft een lagenmodel waarin data, identiteit en applicatiegedrag elkaar versterken. Voor iOS en Android worden platform-specifieke APP's opgesteld met uniforme basisinstellingen: minimale OS-versie, verplichte biometrische ontgrendeling, bedrijfsidentiteit voor TLS-certificaten en volledige encryptie van opslag in de appcontainer. Voor Windows en macOS worden Windows Information Protection of Defender for Endpoint-appcontroles geïntegreerd zodat dezelfde beleidsregels gelden voor Office-apps, Edge en specifieke line-of-business apps die via MSIX worden gedistribueerd. Door alle profielen aan dezelfde baseline-ID te koppelen, kan elk script of dashboard exact aantonen welk beleid hoort bij welke dataclassificatie.
Conditional launch vormt het hart van de technische configuratie. Architecten definiëren thresholds voor jailbreak-detectie, root status, minimum patchniveau en maximale offline periode voordat tokens worden ingetrokken. Vervolgens beschrijven zij hoe acties zoals block, wipe selective en warn worden ingezet op basis van risicoprofielen. Deze parameters worden afgestemd op SOC-playbooks, zodat een hoge risicoscore automatisch leidt tot een waarschuwing in Sentinel en een update van het incidentdossier. Het ontwerp vermeldt expliciet hoe PIN-complexiteit, biometrische fallback en time-outwaarden per gebruikersgroep verschillen, zodat ministers, inspecteurs en buitendienstteams elk een passend risico-profiel krijgen.
Assignments en app-targeting worden volledig geautomatiseerd. Entra ID dynamische groepen selecteren apparaten op basis van eigendom, organisatorische eenheid, vertrouwelijkheidslabel en applicatiegebruik. Intune-filters richten zich op specifieke appversies of beheerde identiteiten. Het ontwerp beschrijft hoe Graph-automatisering dagelijks controleert of elke policy minstens een actieve assignment heeft, of gedeelde apparaten in vergaderruimtes niet per ongeluk BYOD-profielen ontvangen en of nieuwe apps automatisch aan de relevante APP worden toegevoegd. Hierdoor verdwijnt menselijke foutgevoeligheid en blijft de dekking continu op niveau.
Integratie met andere beveiligingslagen krijgt veel aandacht. DLP-regels in Purview, gevoelige labels in SharePoint en Conditional Access policies worden vertaald naar dezelfde dataclassificaties, zodat app- en cloudbeleid elkaar niet tegenspreken. Architecten leggen vast hoe signalen van Defender for Cloud Apps of Microsoft Sentinel worden gebruikt om APP's tijdelijk aan te scherpen wanneer een regionaal dreigingsniveau stijgt. Daarnaast worden API-koppelingen beschreven voor ServiceNow en GitOps, zodat configuratie-exporten automatisch in het ISMS terechtkomen met handtekeningen en hashwaardes.
Validatie- en uitrolprocessen zijn tenslotte volledig gescript. Elk wijzigingsvoorstel krijgt testscenario's voor offline gebruik, combinatie met derde-partij VPN's, toepassing op medewerkers met beperkingen en impact op ondersteuningsprocessen. De architectuur schrijft voor hoe Feature Flags en staged roll-outs worden ingezet: eerst een referentiegroep in LocalDebug-modus, daarna 5 procent van de productiepopulatie en pas na meetbare succescriteria de rest. Door elke stap te loggen in de scriptmodule ontstaat een reproduceerbare keten die audits en lessons learned vereenvoudigt.
Operations, monitoring en respons
Gebruik PowerShell-script app-protection-policies.ps1 (functie Invoke-AppProtectionOperations) – Levert dagelijkse rapportages over policy-dekking, niet-compliant apps, offline apparaten en beleidswijzigingen, inclusief CSV-export en koppeling met ITSM-incidenten..
Operations start met betrouwbare telemetrie. Het script verzamelt gegevens uit Graph-endpoints zoals managedAppStatuses, deviceAppManagement/mobileAppConfigurations en policyDeviceStateSummary en verrijkt deze met Defender-signalen. Het team vertaalt de data naar indicatoren per platform, per app en per classificatie. Hierdoor ziet men binnen enkele minuten of een nieuwe versie van Outlook correct de bedrijfscontainer gebruikt of dat een BYOD-gebruiker de maximale jailbreak-drempel overschrijdt. Deze inzichten worden gedeeld via Microsoft Teams-kanalen zodat proceseigenaren meteen kunnen handelen.
Dashboards in Microsoft Fabric tonen bestuurders en teamleiders de kerncijfers: percentage compliant gebruikers, aantal selectieve wipes per week, gemiddelde tijd tot remediatie en concentratie van uitzonderingen per organisatieonderdeel. De dashboards combineren APP-telemetrie met dataclassificaties en projecten, zodat zichtbaar is welke programma's extra aandacht vragen. Daarnaast worden automatische meldingen verstuurd wanneer KPI's buiten bandbreedtes vallen; de melding bevat een link naar het scriptresultaat en het bijbehorende ITSM-ticket, waardoor de context nooit zoekraakt.
Incidentrespons is nauw verweven met operations. Wanneer het script detecteert dat meerdere gebruikers dezelfde niet-goedgekeurde app proberen te verbinden, wordt automatisch een containment-stap gestart: Conditional Access blokkeert de applicatie, Defender for Cloud Apps markeert de sessies als hoog risico en het SOC krijgt een draaiboek om gebruikers te informeren. Tegelijkertijd slaat het script forensische metadata op zoals apparaatmodel, OS-versie en IP-adres, zodat nader onderzoek versneld kan plaatsvinden. Deze workflow houdt de responstijd onder de drempels die NIS2 voorschrijft.
Capaciteits- en leveranciersmanagement zijn onderdeel van de dagelijkse operatie. Het operations-team stemt wekelijks af met softwareleveranciers over SDK-updates, testresultaten en openstaande bugs die de werking van APP's kunnen hinderen. Servicelevelafspraken leggen vast hoe snel patches beschikbaar moeten zijn wanneer bijvoorbeeld een nieuwe Android-versie een policy-instelling verbreekt. Het team gebruikt de scriptuitvoer om werkvoorraad te plannen: welke cases kunnen automatisch worden opgelost via remediatiescripts en welke vragen om handmatige interventie of communicatiecampagnes.
Tot slot voorziet operations in gebruikerscommunicatie en adoptie. Zodra het script signaleert dat een groep gebruikers tegen blokkades aanloopt, wordt automatisch een uitlegbericht verstuurd met stappen om compliant te worden, inclusief verwijzing naar het selfserviceportaal. Lessons learned worden toegevoegd aan het kennisportaal en opgenomen in het onboardingprogramma voor nieuwe medewerkers. Zo blijft naleving niet alleen een technische aangelegenheid maar een voortdurend dialoog met de organisatie.
Audittrail en continue verbetering
Auditability is vanaf dag één ingebouwd. Elke wijziging aan een App Protection Policy wordt via GitOps vastgelegd met versie, eigenaar, CAB-referentie en hash van het JSON-payload dat naar Intune is gepusht. Het script slaat deze exports op in een append-only SharePoint-bibliotheek met retentiebeleid conform Archiefwet en voorziet elke upload van een digitale handtekening. Hierdoor kunnen auditors exact reconstrueren welke instelling gold tijdens een incident en wie het besluit heeft goedgekeurd.
Bewijsvoering gaat verder dan configuraties. Het programma verzamelt correspondentie met ketenpartners, ServiceNow-tickets over uitzonderingen, rapportages over selective wipe-acties en trainingsregistraties voor beheerders. Deze documenten worden gekoppeld aan dataclassificaties en bewaartermijnen zodat privacy en compliance elkaar niet bijten. Door dezelfde metadata-structuur te gebruiken als in het ISMS, kunnen auditors zonder extra tooling door dossiers navigeren en controles uitvoeren op volledigheid.
De continue verbetercyclus volgt Plan-Do-Check-Act. Elk kwartaal organiseert het team een maturity review waarin willekeurig drie maanden aan telemetrie opnieuw wordt geanalyseerd. Daarbij wordt gekeken naar effectiviteit van automatisering, snelheid van uitzonderingsafhandeling, bescherming tegen nieuwe dreigingen en tevredenheid van eindgebruikers. Bevindingen worden vertaald naar concrete verbeteracties met eigenaar, deadline en budgetimpact, die vervolgens in het ISMS en het portfolio van de CIO worden opgenomen. Door deze ritmiek hebben bestuurders altijd zicht op de vooruitgang.
Training en kennisdeling zijn verplichte onderdelen van het verbeterprogramma. Nieuwe beheerders doorlopen een LocalDebug-lab waarin zij leren hoe de scriptmodule data verzamelt, hoe rapportages naar Fabric worden gestuurd en hoe remediatie werk. Daarnaast zijn er kwartaalwebinars met andere instellingen binnen de Nederlandse Baseline voor Veilige Cloud waarin incidentcases worden besproken en waarin gezamenlijke standaarden worden afgestemd. Op die manier vergroot de sector collectief haar paraatheid.
Tot slot wordt de effectiviteit van APP-beleid gekoppeld aan risicoregisters en strategische roadmaps. Wanneer nieuwe wetgeving of dreigingsinformatie zich aandient, wordt direct vastgelegd welke APP-instelingen moeten worden aangescherpt, wat de impact is op gebruikerservaring en welke investeringen nodig zijn. Door deze koppeling kunnen bestuurders aantonen dat zij proactief handelen en dat er een heldere lijn loopt van risicoanalyse naar concrete configuratie en monitoring. Dat maakt APP's tot een volwassen stuurinstrument, niet slechts een technische feature.
Compliance & Frameworks
- BIO: 12.04.01, 12.07.01, 12.09.01 - Borgt logische toegangsbeveiliging en bescherming van informatie bij mobiel werken binnen overheidsprocessen.
- ISO 27001:2022: A.5.15, A.8.28, A.8.29 - Ondersteunt beleid voor toegangscontrole, gegevensmaskering en beveiliging van applicaties en mobiele apparaten.
- NIS2: Artikel - Eist passende technische en organisatorische maatregelen voor het beheren van risico's in netwerk- en informatiesystemen, inclusief mobiele applicaties.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Baseline-assessment, operationsmonitoring en remediatie voor Intune App Protection Policies.
.DESCRIPTION
Verifieert of App Protection Policies voor alle mobiele en hybride platformen voldoen aan de Nederlandse Baseline voor Veilige Cloud,
controleert assignments, conditional launch-parameters en dekking van bedrijfsapps, en biedt operationele rapportages plus remediatie-instructies.
.NOTES
Filename : app-protection-policies.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Version : 1.0
Related : content/m365/device-management/app-protection-policies.json
.EXAMPLE
.\app-protection-policies.ps1 -Assessment -LocalDebug
.EXAMPLE
.\app-protection-policies.ps1 -Operations -ExportPath .\app-protection-status.csv
#>
#Requires -Version 5.1
[CmdletBinding(DefaultParameterSetName = 'Assessment')]
param(
[Parameter(ParameterSetName = 'Assessment')]
[switch]$Assessment,
[Parameter(ParameterSetName = 'Operations')]
[switch]$Operations,
[Parameter(ParameterSetName = 'Remediation')]
[switch]$Remediation,
[switch]$LocalDebug,
[string]$ExportPath,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Intune App Protection Policies" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Initialize-AppProtectionContext {
if ($LocalDebug) {
Write-Verbose "LocalDebug ingeschakeld: er wordt geen verbinding met Microsoft Graph gemaakt."
return
}
$requiredModules = @(
'Microsoft.Graph.DeviceAppManagement',
'Microsoft.Graph.Beta.DeviceAppManagement'
)
foreach ($moduleName in $requiredModules) {
if (-not (Get-Module -ListAvailable -Name $moduleName)) {
throw "Vereiste module '$moduleName' ontbreekt. Installeer deze voordat je het script zonder -LocalDebug uitvoert."
}
}
$context = Get-MgContext
if (-not $context) {
Write-Host "Verbinden met Microsoft Graph..." -ForegroundColor Yellow
Connect-MgGraph -Scopes @(
'DeviceManagementApps.Read.All',
'DeviceManagementApps.ReadWrite.All',
'DeviceManagementConfiguration.Read.All'
) -ErrorAction Stop | Out-Null
$context = Get-MgContext
}
if ($context.ApiVersion -ne 'beta') {
Select-MgProfile -Name 'beta'
}
}
function Get-AppProtectionSampleData {
$now = Get-Date
return [pscustomobject]@{
Policies = @(
[pscustomobject]@{
DisplayName = 'NL-Bestuurlijk-iOS'
Platform = 'iOS'
MinimumOS = '17.4'
PinRequired = $true
DataEncryption = 'deviceLock'
OfflineGracePeriod = 12
AssignmentCount = 3
TargetedAppCount = 6
LastModified = $now.AddDays(-2)
},
[pscustomobject]@{
DisplayName = 'NL-Bestuurlijk-Android'
Platform = 'Android'
MinimumOS = '14'
PinRequired = $true
DataEncryption = 'deviceLock'
OfflineGracePeriod = 8
AssignmentCount = 3
TargetedAppCount = 5
LastModified = $now.AddDays(-1)
},
[pscustomobject]@{
DisplayName = 'NL-Shared-Windows'
Platform = 'Windows'
MinimumOS = '11 23H2'
PinRequired = $true
DataEncryption = 'aipLabel'
OfflineGracePeriod = 4
AssignmentCount = 2
TargetedAppCount = 4
LastModified = $now.AddHours(-6)
},
[pscustomobject]@{
DisplayName = 'NL-Research-macOS'
Platform = 'macOS'
MinimumOS = '14.4'
PinRequired = $true
DataEncryption = 'fileSystem'
OfflineGracePeriod = 6
AssignmentCount = 1
TargetedAppCount = 3
LastModified = $now.AddDays(-3)
}
)
ManagedApps = @(
[pscustomobject]@{ displayName = 'Microsoft Outlook'; platform = 'iOS'; version = '4.2410' },
[pscustomobject]@{ displayName = 'Microsoft Teams'; platform = 'Android'; version = 'e-2024.15' }
)
}
}
function Get-AppProtectionInventory {
Initialize-AppProtectionContext
if ($LocalDebug) {
return Get-AppProtectionSampleData
}
$uris = @(
"https://graph.microsoft.com/beta/deviceAppManagement/iosManagedAppProtections?`$expand=assignments,apps",
"https://graph.microsoft.com/beta/deviceAppManagement/androidManagedAppProtections?`$expand=assignments,apps",
"https://graph.microsoft.com/beta/deviceAppManagement/windowsManagedAppProtections?`$expand=assignments,apps",
"https://graph.microsoft.com/beta/deviceAppManagement/macosManagedAppProtections?`$expand=assignments,apps"
)
$policies = @()
foreach ($uri in $uris) {
try {
$response = Invoke-MgGraphRequest -Method GET -Uri $uri -ErrorAction Stop
}
catch {
Write-Warning "Kon gegevens van $uri niet ophalen: $_"
continue
}
if (-not $response.value) {
continue
}
foreach ($policy in $response.value) {
$assignments = if ($policy.PSObject.Properties['assignments']) { @($policy.assignments) } else { @() }
$apps = if ($policy.PSObject.Properties['apps']) { @($policy.apps) } elseif ($policy.PSObject.Properties['applications']) { @($policy.applications) } else { @() }
$platform = switch -Regex ($policy.'@odata.type') {
'ios' { 'iOS'; break }
'android' { 'Android'; break }
'windows' { 'Windows'; break }
'mac' { 'macOS'; break }
default { 'Onbekend' }
}
$policies += [pscustomobject]@{
DisplayName = $policy.displayName
Platform = $platform
MinimumOS = if ($policy.PSObject.Properties['minimumRequiredOsVersion']) { $policy.minimumRequiredOsVersion } else { $policy.minimumRequiredSdkVersion }
PinRequired = if ($policy.PSObject.Properties['pinRequired']) { [bool]$policy.pinRequired } else { $true }
DataEncryption = if ($policy.PSObject.Properties['dataEncryptionType']) { $policy.dataEncryptionType } else { $policy.allowedDataStorageLocations -join ',' }
OfflineGracePeriod = if ($policy.PSObject.Properties['periodOfflineBeforeAccessCheck']) { [int]$policy.periodOfflineBeforeAccessCheck } elseif ($policy.PSObject.Properties['periodOfflineBeforeWipeIsEnforced']) { [int]$policy.periodOfflineBeforeWipeIsEnforced } else { 12 }
AssignmentCount = $assignments.Count
TargetedAppCount = $apps.Count
LastModified = if ($policy.PSObject.Properties['lastModifiedDateTime']) { [datetime]$policy.lastModifiedDateTime } else { $null }
Raw = $policy
}
}
}
$managedApps = @()
try {
$managedResponse = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceAppManagement/managedAppStatuses?`$top=999" -ErrorAction Stop
if ($managedResponse.value) {
$managedApps = $managedResponse.value
}
}
catch {
Write-Warning "Kon managed app-statussen niet ophalen: $_"
}
return [pscustomobject]@{
Policies = $policies
ManagedApps = $managedApps
}
}
function Invoke-AppProtectionAssessment {
try {
$inventory = Get-AppProtectionInventory
$issues = @()
$policies = @($inventory.Policies)
if ($policies.Count -eq 0) {
$issues += "Er zijn geen App Protection Policies gevonden."
}
$requiredPlatforms = @('iOS', 'Android', 'Windows', 'macOS')
foreach ($platform in $requiredPlatforms) {
if (-not ($policies | Where-Object { $_.Platform -eq $platform })) {
$issues += "Platform $platform heeft geen actieve App Protection Policy."
}
}
foreach ($policy in $policies) {
if ($policy.AssignmentCount -eq 0) {
$issues += "Policy '$($policy.DisplayName)' heeft geen assignments."
}
if ($policy.TargetedAppCount -eq 0) {
$issues += "Policy '$($policy.DisplayName)' target geen apps."
}
if (-not $policy.PinRequired) {
$issues += "Policy '$($policy.DisplayName)' vereist geen PIN of biometrie."
}
if (-not $policy.DataEncryption) {
$issues += "Policy '$($policy.DisplayName)' specificeert geen encryptie."
}
if ($policy.OfflineGracePeriod -gt 24) {
$issues += "Policy '$($policy.DisplayName)' laat offline gebruik langer dan 24 uur toe."
}
if (-not $policy.MinimumOS) {
$issues += "Policy '$($policy.DisplayName)' heeft geen minimum OS-versie."
}
}
if ($issues.Count -eq 0) {
Write-Host "COMPLIANT: alle gecontroleerde App Protection Policies voldoen aan de baseline." -ForegroundColor Green
return 0
}
Write-Host "NON-COMPLIANT: $($issues.Count) aandachtspunten gevonden." -ForegroundColor Red
$issues | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
return 1
}
catch {
Write-Host "ERROR tijdens App Protection Assessment: $_" -ForegroundColor Red
return 2
}
}
function Invoke-AppProtectionOperations {
param(
[string]$ExportPath
)
try {
$inventory = Get-AppProtectionInventory
$summary = foreach ($policy in $inventory.Policies) {
$status = "OK"
if ($policy.AssignmentCount -eq 0 -or $policy.TargetedAppCount -eq 0) {
$status = "Actie nodig"
}
elseif ($policy.OfflineGracePeriod -gt 24) {
$status = "Graceperiode te lang"
}
[pscustomobject]@{
Policy = $policy.DisplayName
Platform = $policy.Platform
Assignments = $policy.AssignmentCount
TargetedApps = $policy.TargetedAppCount
OfflineHours = $policy.OfflineGracePeriod
MinimumOS = $policy.MinimumOS
LastModified = $policy.LastModified
Status = $status
}
}
if (-not $summary) {
Write-Host "Geen policies gevonden voor rapportage." -ForegroundColor Yellow
return 1
}
$summary | Format-Table -AutoSize | Out-String | Write-Host
if ($ExportPath) {
$directory = Split-Path -Parent $ExportPath
if ($directory -and -not (Test-Path $directory)) {
New-Item -ItemType Directory -Path $directory -Force | Out-Null
}
$summary | Export-Csv -Path $ExportPath -NoTypeInformation -Encoding UTF8
Write-Host "Rapport geëxporteerd naar $ExportPath" -ForegroundColor Green
}
$attention = $summary | Where-Object { $_.Status -ne 'OK' }
if ($attention.Count -gt 0) {
Write-Host "`nPolicies met aandacht:" -ForegroundColor Yellow
$attention | Format-Table -AutoSize | Out-String | Write-Host
return 1
}
return 0
}
catch {
Write-Host "ERROR tijdens App Protection Operations: $_" -ForegroundColor Red
return 2
}
}
function Invoke-AppProtectionRemediation {
try {
Write-Host "Remediatiestappen voor App Protection Policies:" -ForegroundColor Cyan
Write-Host "1. Controleer of elke dataclassificatie een toegewezen policy heeft voor iOS, Android, Windows en macOS." -ForegroundColor Gray
Write-Host "2. Verifieer conditional launch-instellingen en verkort offline graceperiodes tot maximaal 24 uur voor vertrouwelijke data." -ForegroundColor Gray
Write-Host "3. Valideer encryptieopties, clipboardrestricties en pin-complexiteit via een representatieve pilot in LocalDebug-modus." -ForegroundColor Gray
Write-Host "4. Automatiseer assignments met Entra ID dynamische groepen en controleer resultaten met dit script in Operations-modus." -ForegroundColor Gray
Write-Host "5. Documenteer wijzigingen in het ISMS, inclusief CAB-referentie, communicatie naar gebruikers en eventuele uitzonderingen." -ForegroundColor Gray
if ($WhatIf) {
Write-Host "`nWhatIf actief: er zijn geen wijzigingen aangebracht." -ForegroundColor Yellow
}
return 0
}
catch {
Write-Host "ERROR tijdens remediatie-instructies: $_" -ForegroundColor Red
return 2
}
}
try {
switch ($PSCmdlet.ParameterSetName) {
'Assessment' {
$exitCode = Invoke-AppProtectionAssessment
exit $exitCode
}
'Operations' {
$exitCode = Invoke-AppProtectionOperations -ExportPath $ExportPath
exit $exitCode
}
'Remediation' {
$exitCode = Invoke-AppProtectionRemediation
exit $exitCode
}
default {
Write-Host "Gebruik -Assessment, -Operations of -Remediation (optioneel -LocalDebug, -ExportPath, -WhatIf)." -ForegroundColor Yellow
}
}
}
catch {
Write-Host "Onverwachte fout: $_" -ForegroundColor Red
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder APP's ontbreekt elke mogelijkheid om gegevens op BYOD en mobiele apparaten af te schermen. Een enkel gecompromitteerd toestel kan complete dossiers exfiltreren, waardoor AVG-boetes, NIS2-sancties en politieke schade vrijwel onvermijdelijk zijn.
Management Samenvatting
Voer App Protection Policies centraal aan zodat elk apparaat, beheerd of niet, dezelfde dataclassificatieregels volgt. Combineer governance, geautomatiseerde configuratie en Graph-monitoring om audits te doorstaan en incidenten te voorkomen.
- Implementatietijd: 92 uur
- FTE required: 0.4 FTE