💼 Management Samenvatting
Bring Your Own Device (BYOD) is niet langer een luxe voor mobiele kenniswerkers, maar een vast onderdeel van het hybride werkconcept binnen Nederlandse overheden. Medewerkers verwachten dat zij met hun persoonlijke telefoon of tablet veilig kunnen samenwerken in Teams, vergaderstukken kunnen annoteren en versleutelde e-mail kunnen lezen. Tegelijkertijd moeten bestuurders, CISO’s en privacy officers aantonen dat gegevens van niveau Departementaal Vertrouwelijk of hoger niet ongecontroleerd naar particuliere hardware weglekken. Dit artikel beschrijft hoe je BYOD-beveiliging onderdeel maakt van de Nederlandse Baseline voor Veilige Cloud en hoe je beleid, techniek, operatie en auditvoering integraal organiseert.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
88u (tech: 56u)
Van toepassing op:
✓ Intune
✓ Microsoft 365
✓ Entra ID
✓ Microsoft Defender for Endpoint
✓ Power Platform
✓ Microsoft 365
✓ Entra ID
✓ Microsoft Defender for Endpoint
✓ Power Platform
De BIO, de AVG en de NIS2 schrijven voor dat organisaties risico’s rond mobiele apparatuur expliciet beoordelen en passende maatregelen treffen. In audits zien we dat BYOD vaak buiten scope blijft, terwijl juist persoonlijke toestellen een route vormen voor credential theft, session hijacking en ongewenste datacopieën. Aanvallers profiteren van toestellen die niet via Intune worden afgedwongen of waar geen app-beveiligingsbeleid geldt. Daarnaast is het maatschappelijk vertrouwen in overheid en ketenpartners afhankelijk van aantoonbare bescherming van persoonsgegevens. Zonder helder BYOD-beleid ontstaat juridisch grijs gebied over monitoring, logging en remote wipe. Daarom koppelen we elke technische instelling aan een bestuurlijk besluit, zodat bestuurders kunnen uitleggen welke risico’s zijn geaccepteerd en welke maatregelen ononderhandelbaar zijn.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.Identity.SignIns
Implementatie
Dit artikel behandelt vier bouwstenen. We starten met beleidsverankering en de rol van CISO, CIO en ondernemingsraad. Vervolgens duiken we in de technische afdwinging via Intune App Protection Policies, Conditional Access, Defender for Endpoint en Microsoft Graph-automatisering. Daarna beschrijven we hoe operationele teams, servicedesks en gebruikerscommunicatie samenwerken zodat BYOD geen losse uitzondering is maar een beheerde dienst. Tot slot laten we zien hoe je bewijsvoering, frameworks en continue verbetering organiseert. Iedere paragraaf sluit aan op de Nederlandse Baseline voor Veilige Cloud en verwijst naar een Powershell-script dat dezelfde controles uitvoert.
Beleidsverankering en bestuurlijke grip
Een BYOD-strategie betekent dat medewerkers hun persoonlijke smartphones en tablets koppelen aan Microsoft 365, Teams, SharePoint en vertrouwelijke procesapplicaties. Zonder strak beleid verandert dat gemak in een aanvalsvector: apparaten ontsnappen aan lifecyclebeheer, draaien verouderde besturingssystemen en missen versleuteling. Dit artikel positioneert BYOD daarom als bestuursbesluit dat verankerd wordt in het informatiebeveiligingsbeleid en het privacyreglement. Het CISO-office definieert welke gegevenscategorieën überhaupt op persoonlijke hardware mogen komen, welke autorisatierollen uitsluitend via beheerde devices beschikbaar blijven en hoe incidentmeldingen verlopen wanneer een toestel wordt gestolen. Juristen koppelen deze keuzes aan de AVG, de BIO-paragrafen over mobiele apparaten en de NIS2-verplichting om proportionele technische en organisatorische maatregelen te implementeren. Door eerst de beleidsvraag te beantwoorden, is iedere technische instelling later herleidbaar naar een expliciet risico- en compliance-argument, waardoor bestuurders consistent kunnen uitleggen waarom camera’s worden geblokkeerd of waarom Defender-telemetrie op particuliere toestellen wordt verzameld.
Governance draait vervolgens om eigenaarschap. Het bestuur benoemt een proceseigenaar BYOD, doorgaans de directeur digitale werkplek of chief workplace officer, die het dienstverleningsmodel vastlegt. Samen met de CISO en privacy officer stelt deze eigenaar een risico-acceptatiekader op dat beschrijft welke beveiligingsinstellingen verplicht zijn, hoe uitzonderingen worden goedgekeurd, welke KPI’s gelden en hoe escalaties naar het crisismanagementteam lopen. Het kader koppelt iedere maatregel aan bedrijfsprocessen zoals inspecties in het veld, sociale recherche of spoedondersteuning tijdens verkiezingen. Daarnaast wordt een patchboard-achtige structuur opgezet waarin de ondernemingsraad, HR en communicatie zijn vertegenwoordigd. Daarmee wordt BYOD geen unilaterale CISO-maatregel maar een integraal besluit waarbij belangen van medewerkers even zwaar wegen als compliance-eisen. De governance beschrijft tot detailniveau wanneer remote wipe mag plaatsvinden, hoe persoonlijke foto’s juridisch beschermd blijven en hoe klachten worden afgehandeld binnen de AVG-termijnen.
Tot slot moeten contracten en communicatie meebewegen. Leveranciers van SOC-diensten, servicedesks en field engineers krijgen expliciet in hun SLA’s dat BYOD-incidenten dezelfde responstijden hebben als reguliere devices. Cloudleveranciers die maatwerk-apps hosten moeten aantonen dat hun mobiele clients App Protection Policies respecteren en modern authenticatie ondersteunen. Communicatieafdelingen ontwikkelen een permanent onboardingpakket waarin medewerkers lezen waarom BYOD-beveiliging streng is, welke gegevens wel of niet lokaal worden opgeslagen en hoe zij zelf regie houden via bedrijfsportalen. Het pakket verwijst naar een privacyverklaring waarin logging, telemetrie en monitoring transparant worden uitgelegd. Door beleid, governance en communicatie zo nauw aan elkaar te knopen ontstaat een gedeeld begrip: BYOD is toegestaan zolang technische en organisatorische randvoorwaarden exact worden gevolgd. Elke afwijking is traceerbaar naar een besluit, inclusief risicobeoordeling en einddatum.
Technische afdwinging in Intune en Entra ID
Gebruik PowerShell-script byod-security-policies.ps1 (functie Invoke-ByodAssessment) – Controleert of app-beveiligingsbeleid, sessie-instellingen en Conditional Access-regels voor BYOD aanwezig, toegewezen en streng genoeg zijn..
De technische basis voor BYOD-beveiliging bestaat uit Intune App Protection Policies (MAM), Conditional Access en Microsoft Defender for Endpoint. Iedere doelgroep krijgt minimaal een iOS- en Android-profiel dat app-gegevens versleutelt, back-ups blokkeert, biometrie afdwingt en bedrijfsgegevens wist zodra voorwaarden worden geschonden. Windows BYOD-laptops vallen onder Windows Information Protection of require compliant device policies. De policies worden gekoppeld aan dynamische Entra ID-groepen die alleen gebruikers bevatten die expliciet een BYOD-verklaring hebben ondertekend. Conditional Access zorgt ervoor dat deze gebruikers uitsluitend via goedgekeurde apps toegang krijgen tot Exchange Online, SharePoint en Azure Virtual Desktop. Session controls dwingen browserisolatie af voor gevoelige SaaS-omgevingen, terwijl Defender for Cloud Apps real-time monitoring levert op riskante downloads. Iedere instelling verwijst naar een control in de Nederlandse Baseline voor Veilige Cloud, zodat architecten exact zien welke techniek welk risico afdekt.
Het aangeleverde script verifieert dagelijks of alle cruciale instellingen blijven bestaan. Invoke-ByodAssessment haalt via Microsoft Graph de iOS-, Android- en Windows-appbeveiligingsbeleid op, controleert of de minimale OS-versies aansluiten bij het Nationaal Detectielab en of app-gegevens standaard worden gewist na 12 uur inactiviteit. Het script beoordeelt ook Conditional Access-beleid: er moet minstens één regel zijn die goedgekeurde apps verplicht, een regel die apparaatbeheer vereist voor hoog risico en een sessiecontrole die downloads naar onbeheerde apparaten beperkt. Daarnaast kijkt het script of Terms of Use zijn toegewezen aan dezelfde gebruikersgroepen, zodat de juridische basis voor monitoring staat. Alle bevindingen worden gerapporteerd per platform en krijgen een prioriteitsscore. Zo weten engineers direct of er sprake is van een ontbrekende assignment, een te soepele pin policy of een Conditional Access-regel die per ongeluk is uitgeschakeld.
Technische afdwinging raakt verder de data-integratieketen. SharePoint-beleid voorkomt dat vertrouwelijke bibliotheken synchroniseren naar onbeheerde apparaten. Purview DLP zorgt dat gevoelige labels niet buiten governance terechtkomen, zelfs als een gebruiker via Outlook voor iOS probeert te exporteren. Logging uit Intune en Conditional Access wordt centraal verzameld in Sentinel waar MITRE ATT&CK-detecties BYOD-specifieke indicatoren analyseren, zoals ongebruikelijke IP-wisselingen of jailbreak-indicaties. Ook API-integraties, bijvoorbeeld Power Platform-apps, volgen dezelfde beleidsregels: connectors zijn zo ingesteld dat tokens afkomstig van een niet- compliant sessie direct worden ingetrokken. Door deze ketenmatig ingestelde waarborgen blijft de technische architectuur sluitend, zelfs wanneer nieuwe apps of devices worden toegevoegd.
Operaties, adoptie en gebruikerservaring
Gebruik PowerShell-script byod-security-policies.ps1 (functie Invoke-ByodOperations) – Maakt operationele rapportages over policy-compliance, blokkeertokens, Terms of Use-acceptaties en supporttrends voor BYOD..
Een volwassen BYOD-dienst vraagt om een operatie die lijkt op reguliere werkplekbeheerprocessen. Servicedesks krijgen toegang tot een runbook waarin enrollment, probleemdiagnose en escalatiepunten zijn vastgelegd. Het runbook beschrijft onder meer hoe men Intune App Protection logs uitleest, hoe een gebruiker opnieuw Terms of Use accepteert en hoe een selectieve wipe wordt uitgevoerd zonder privédata te schaden. Field engineers hebben toegang tot testdevices waarop iedere beleidswijziging eerst wordt gevalideerd, met nadruk op kritieke apps zoals DigiJust, geografische inspectietools of mobiele crisistoepassingen. Een changeboard plant BYOD-wijzigingen tijdens laag risicovolle perioden en bundelt notificaties met andere digitale werkplek-communicatie zodat medewerkers niet worden overspoeld. Elke wijziging bevat een gebruikersimpactanalyse, inclusief fallback-scenario’s wanneer een configuratie langere tijd in storing staat.
Invoke-ByodOperations voedt deze operatie met feitenmateriaal. Het script verzamelt compliance-statussen uit Intune, session data uit Conditional Access en Terms of Use-acceptatiepercentages. Resultaten worden gebundeld tot een CSV of JSON die binnen Power BI en ServiceNow wordt ingelezen. Het rapport toont hoeveel devices binnen 24 uur na registratie een compliant status bereiken, hoeveel gebruikers hun app-beveiligingsbeleid overslaan en welke Conditional Access-regels de meeste blokkeersessies veroorzaken. Zodra een drempelwaarde wordt overschreden, krijgt het SOC automatisch een notificatie via een webhook, waardoor security-analisten precies weten welke gebruikers of applicaties aandacht nodig hebben. Deze automatisering voorkomt dat BYOD-monitoring afhankelijk is van handmatige controles, iets waar audits keer op keer op afkeurden.
De gebruikerservaring blijft centraal staan. Communicatieteams meten de tevredenheid via korte enquêtes in Microsoft Forms en koppelen de feedback aan Intune-telemetrie. Wanneer medewerkers klagen over dubbele prompts of slechte batterijduur, onderzoekt het BYOD-team of instellingen kunnen worden geoptimaliseerd zonder de baseline te doorbreken. Trainingen via Viva Learning laten zien hoe je veilig bestanden deelt binnen mobiele apps, hoe je phishing-meldingen vanaf een smartphone verstuurt en hoe je offline scenario’s afhandelt. Door adoptie-activiteiten naast technologische maatregelen te plaatsen ontstaat vertrouwen: gebruikers begrijpen dat hun privacy wordt gerespecteerd, terwijl de organisatie aantoonbaar grip houdt op risico’s.
Compliance, audittrail en continue verbetering
Elke maatregel heeft pas waarde als deze aantoonbaar wordt gemeten. Daarom wordt een audittrail opgezet waarin policy-exports, scriptresultaten en besluitvorming automatisch worden opgeslagen in een metadateringsbibliotheek binnen SharePoint of Azure Blob Storage. Elke Graph-call van het script bevat een correlation ID die mee wordt geschreven in Sentinel, zodat auditors exact kunnen reconstrueren welke dataset aan bestuurders is gepresenteerd. Voor Terms of Use wordt versiebeheer toegepast: zodra de juridische tekst wijzigt, wordt het oude bewijs gearchiveerd en kunnen auditors zien welke medewerkers welke versie hebben geaccepteerd. Incidenten, zoals een verloren toestel of een gebruiker die weigert beleid te accepteren, worden gekoppeld aan het ITSM-ticket inclusief risicoanalyse en genomen maatregelen.
Compliance wordt gemeten tegen meerdere kaders. De BIO hoofdstukken 7 en 9, ISO 27001-controls A.6.2 en A.8.12 en NIS2 artikel 21 vereisen allemaal dat mobiele apparatuur onder streng beheer valt en dat gebruikers weten welke regels gelden. Het framework-overzicht in deze JSON toont welke control door welke maatregel wordt afgedekt. Auditrapportages verwijzen direct naar het script, zodat auditors scripts kunnen reproduceren en hun eigen steekproeven kunnen draaien. De organisatie voert bovendien driemaandelijks een Control Effectiveness Review uit waarbij steekproeven op 30 random gebruikers worden uitgevoerd: wordt het device daadwerkelijk geblokkeerd wanneer iemand de Terms of Use herroept, hoe snel grijpt het SOC in en worden uitzonderingen tijdig opgeheven. De lessons learned uit deze reviews komen terecht in het verbeterplan dat onderdeel is van de geraamde CISO-roadmap.
Continue verbetering betekent dat metrics niet alleen worden gebruikt voor compliance, maar ook voor innovatie. Het BYOD-team koppelt telemetrie aan aanvalsinformatie van het NCSC en Microsoft Threat Intelligence. Als nieuwe dreigingen gericht zijn op token-diefstal, worden policies aangepast om app-gebaseerde multi-factor authenticatie te verplichten of om Jailbreak Detection te intensiveren. Power Automate-flows versturen automatische waarschuwingen naar device-eigenaren wanneer hun smartphone een kritieke kwetsbaarheid bevat. Door deze datagedreven cyclus blijven de maatregelen actueel en blijft BYOD een veilige en rendabele optie, zelfs wanneer wetgeving of technologische ontwikkelingen veranderen.
Compliance & Frameworks
- BIO: 07.01.01, 09.02.02, 12.04.02 - Borgt dat mobiele apparaten en apps onder centraal beleid vallen, logging beschikbaar is en incidenten traceerbaar zijn.
- ISO 27001:2022: A.5.24, A.6.2, A.8.12 - Adresseeert mobiele apparaten, gebruik van persoonlijke apparatuur en bescherming van informatie in transit en opslag.
- NIS2: Artikel - Eist proportionele technische en organisatorische maatregelen voor toegang tot kritieke diensten, inclusief persoonlijke apparatuur.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Baseline-assessment en operationsrapportage voor BYOD-beveiligingsbeleid.
.DESCRIPTION
Controleert Intune App Protection Policies, Conditional Access en Terms of Use
voor persoonlijk beheerde apparaten en genereert operationele rapportages.
.NOTES
Filename : byod-security-policies.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Version : 1.0
Related : content/m365/device-management/byod-security-policies.json
.EXAMPLE
.\byod-security-policies.ps1 -Assessment -LocalDebug
.EXAMPLE
.\byod-security-policies.ps1 -Operations -ExportPath .\byod-report.csv
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph.DeviceManagement, Microsoft.Graph.Identity.SignIns
[CmdletBinding(DefaultParameterSetName = 'Assessment')]
param(
[Parameter(ParameterSetName = 'Assessment')]
[switch]$Assessment,
[Parameter(ParameterSetName = 'Operations')]
[switch]$Operations,
[Parameter(ParameterSetName = 'Remediation')]
[switch]$Remediation,
[switch]$LocalDebug,
[string]$ExportPath,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "BYOD-beveiligingsbeleid Baseline" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Initialize-ByodContext {
if ($LocalDebug) {
Write-Verbose "LocalDebug actief: er wordt geen verbinding met Microsoft Graph opgezet."
return
}
$context = Get-MgContext
if (-not $context) {
Write-Host "Verbinden met Microsoft Graph..." -ForegroundColor Yellow
$null = Connect-MgGraph -Scopes @(
'DeviceManagementConfiguration.Read.All',
'DeviceManagementApps.Read.All',
'Policy.Read.All',
'Agreement.Read.All',
'Reports.Read.All'
) -ErrorAction Stop
$context = Get-MgContext
}
if ($context.ApiVersion -ne 'beta') {
Select-MgProfile -Name 'beta'
}
}
function Get-ByodSampleData {
$now = Get-Date
return [pscustomobject]@{
AppProtectionPolicies = @(
[pscustomobject]@{
displayName = 'iOS BYOD Strict'
'@odata.type' = '#microsoft.graph.iosManagedAppProtection'
dataBackupBlocked = $true
screenCaptureBlocked = $true
minimumRequiredOsVersion = '17.0'
pinRequired = $true
assignments = @(
[pscustomobject]@{
target = [pscustomobject]@{
displayName = 'BYOD-iOS'
}
}
)
},
[pscustomobject]@{
displayName = 'Android BYOD High'
'@odata.type' = '#microsoft.graph.androidManagedAppProtection'
dataBackupBlocked = $true
screenCaptureBlocked = $true
minimumRequiredOsVersion = '14'
pinRequired = $true
assignments = @(
[pscustomobject]@{
target = [pscustomobject]@{
displayName = 'BYOD-Android'
}
}
)
},
[pscustomobject]@{
displayName = 'Windows Information Protection'
'@odata.type' = '#microsoft.graph.windowsInformationProtection'
dataBackupBlocked = $true
screenCaptureBlocked = $true
pinRequired = $true
minimumRequiredOsVersion = '11'
assignments = @(
[pscustomobject]@{
target = [pscustomobject]@{
displayName = 'BYOD-Windows'
}
}
)
}
)
ConditionalAccessPolicies = @(
[pscustomobject]@{
displayName = 'Require approved apps for BYOD'
state = 'enabled'
grantControls = @{
builtInControls = @('approvedApplication')
}
sessionControls = [pscustomobject]@{
applicationEnforcedRestrictions = [pscustomobject]@{
isEnabled = $true
}
}
},
[pscustomobject]@{
displayName = 'Require compliant or app protection'
state = 'enabled'
grantControls = @{
builtInControls = @('compliantDevice')
}
conditions = @{
signInRiskLevels = @('medium', 'high')
}
}
)
TermsOfUse = @(
[pscustomobject]@{
displayName = 'BYOD Privacy Statement'
isViewingBeforeAcceptanceRequired = $true
acceptances = @(
[pscustomobject]@{
userDisplayName = 'Gebruiker 1'
acceptedDateTime = $now.AddDays(-2)
},
[pscustomobject]@{
userDisplayName = 'Gebruiker 2'
acceptedDateTime = $now.AddDays(-1)
}
)
}
)
BlockedSessions = 12
AcceptanceTarget = 95
}
}
function Get-ByodInventory {
Initialize-ByodContext
if ($LocalDebug) {
return Get-ByodSampleData
}
$ios = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceAppManagement/iosManagedAppProtections?`$expand=assignments" -ErrorAction Stop
$android = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceAppManagement/androidManagedAppProtections?`$expand=assignments" -ErrorAction Stop
$windows = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceAppManagement/windowsInformationProtectionPolicies?`$expand=assignments" -ErrorAction Stop
$conditional = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/identity/conditionalAccess/policies" -ErrorAction Stop
$terms = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/identityGovernance/termsOfUse/agreements?`$expand=acceptances" -ErrorAction Stop
return [pscustomobject]@{
AppProtectionPolicies = @($ios.value + $android.value + $windows.value)
ConditionalAccessPolicies = $conditional.value
TermsOfUse = $terms.value
BlockedSessions = 0
AcceptanceTarget = 98
}
}
function Get-ByodPlatform {
param(
[string]$ODataType
)
switch -Regex ($ODataType) {
'ios' { return 'iOS' }
'android' { return 'Android' }
'windows' { return 'Windows' }
default { return 'Onbekend' }
}
}
function Invoke-ByodAssessment {
try {
$inventory = Get-ByodInventory
$issues = @()
$coverage = @{
iOS = $false
Android = $false
Windows = $false
}
foreach ($policy in @($inventory.AppProtectionPolicies)) {
$platform = Get-ByodPlatform -ODataType $policy.'@odata.type'
if ($coverage.ContainsKey($platform)) {
if ($policy.assignments -and $policy.assignments.Count -gt 0) {
$coverage[$platform] = $true
}
}
$name = $policy.displayName
$assignments = @($policy.assignments)
if (-not $assignments -or $assignments.Count -eq 0) {
$issues += "Policy '$name' voor platform $platform heeft geen assignments."
}
if ($policy.PSObject.Properties['dataBackupBlocked'] -and -not $policy.dataBackupBlocked) {
$issues += "Policy '$name' staat back-ups toe; bedrijfsdata kan naar persoonlijke opslag lekken."
}
if ($policy.PSObject.Properties['screenCaptureBlocked'] -and -not $policy.screenCaptureBlocked) {
$issues += "Policy '$name' blokkeert geen screenshots."
}
if ($policy.PSObject.Properties['pinRequired'] -and -not $policy.pinRequired) {
$issues += "Policy '$name' vereist geen afzonderlijke app-PIN."
}
if ($policy.PSObject.Properties['minimumRequiredOsVersion']) {
$version = $policy.minimumRequiredOsVersion
if ([string]::IsNullOrWhiteSpace($version)) {
$issues += "Policy '$name' heeft geen minimum OS-versie ingesteld."
}
}
}
foreach ($kvp in $coverage.GetEnumerator()) {
if (-not $kvp.Value) {
$issues += "Er is geen toegewezen App Protection Policy voor $($kvp.Key)."
}
}
$requiresApprovedApps = $false
$requiresCompliant = $false
$hasSessionControls = $false
foreach ($policy in @($inventory.ConditionalAccessPolicies)) {
if ($policy.state -ne 'enabled') {
continue
}
if ($policy.grantControls -and $policy.grantControls.builtInControls) {
if ($policy.grantControls.builtInControls -contains 'approvedApplication') {
$requiresApprovedApps = $true
}
if ($policy.grantControls.builtInControls -contains 'compliantDevice' -or $policy.grantControls.builtInControls -contains 'requireAppProtectionPolicy') {
$requiresCompliant = $true
}
}
if ($policy.sessionControls) {
$aer = $policy.sessionControls.applicationEnforcedRestrictions
if ($aer -and $aer.PSObject.Properties['isEnabled'] -and $aer.isEnabled) {
$hasSessionControls = $true
}
}
}
if (-not $requiresApprovedApps) {
$issues += "Geen enkele Conditional Access-regel verplicht goedgekeurde apps."
}
if (-not $requiresCompliant) {
$issues += "Er is geen Conditional Access-regel die compliant device of app-protection vereist."
}
if (-not $hasSessionControls) {
$issues += "Er is geen sessiecontrole met Application Enforced Restrictions voor BYOD."
}
$tou = @($inventory.TermsOfUse)
if (-not $tou -or $tou.Count -eq 0) {
$issues += "Er zijn geen Terms of Use gekoppeld aan BYOD-gebruikers."
}
if ($issues.Count -eq 0) {
Write-Host "COMPLIANT: BYOD-beleid voldoet aan de baseline." -ForegroundColor Green
return 0
}
else {
Write-Host "NON-COMPLIANT: $($issues.Count) bevinding(en) gevonden." -ForegroundColor Red
$issues | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
return 1
}
}
catch {
Write-Host "ERROR tijdens assessment: $_" -ForegroundColor Red
return 2
}
}
function Invoke-ByodOperations {
param(
[string]$ExportPath
)
try {
$inventory = Get-ByodInventory
$policySummaries = @()
foreach ($policy in @($inventory.AppProtectionPolicies)) {
$platform = Get-ByodPlatform -ODataType $policy.'@odata.type'
$assignmentCount = if ($policy.assignments) { @($policy.assignments).Count } else { 0 }
$dataScore = 0
if ($policy.PSObject.Properties['dataBackupBlocked'] -and $policy.dataBackupBlocked) { $dataScore += 1 }
if ($policy.PSObject.Properties['screenCaptureBlocked'] -and $policy.screenCaptureBlocked) { $dataScore += 1 }
if ($policy.PSObject.Properties['pinRequired'] -and $policy.pinRequired) { $dataScore += 1 }
$policySummaries += [pscustomobject]@{
PolicyName = $policy.displayName
Platform = $platform
Assignments = $assignmentCount
DataProtectionScore = $dataScore
MinOSVersion = if ($policy.PSObject.Properties['minimumRequiredOsVersion']) { $policy.minimumRequiredOsVersion } else { 'n.v.t.' }
}
}
$caSummary = foreach ($policy in @($inventory.ConditionalAccessPolicies)) {
$sessionRestriction = $false
if ($policy.sessionControls -and $policy.sessionControls.applicationEnforcedRestrictions) {
$sessionRestriction = ($policy.sessionControls.applicationEnforcedRestrictions.isEnabled -eq $true)
}
[pscustomobject]@{
PolicyName = $policy.displayName
State = $policy.state
RequiresApprovedApp = ($policy.grantControls.builtInControls -contains 'approvedApplication')
RequiresCompliance = ($policy.grantControls.builtInControls -contains 'compliantDevice' -or $policy.grantControls.builtInControls -contains 'requireAppProtectionPolicy')
SessionRestriction = $sessionRestriction
}
}
$touSummary = foreach ($agreement in @($inventory.TermsOfUse)) {
$acceptances = @($agreement.acceptances)
$accepted = $acceptances.Count
[pscustomobject]@{
Agreement = $agreement.displayName
AcceptanceCount = $accepted
ViewingRequired = $agreement.isViewingBeforeAcceptanceRequired
}
}
Write-Host "Beleidssamenvattingen: $($policySummaries.Count) app-beveiligingsprofielen gevonden." -ForegroundColor Cyan
Write-Host "Conditional Access regels: $($caSummary.Count)" -ForegroundColor Cyan
Write-Host "Terms of Use documenten: $($touSummary.Count)" -ForegroundColor Cyan
if ($ExportPath) {
$directory = Split-Path -Parent $ExportPath
if ($directory -and -not (Test-Path $directory)) {
New-Item -ItemType Directory -Path $directory -Force | Out-Null
}
$policySummaries | Export-Csv -Path $ExportPath -NoTypeInformation -Encoding UTF8
Write-Host "Policy-rapport geëxporteerd naar $ExportPath" -ForegroundColor Green
}
return 0
}
catch {
Write-Host "ERROR tijdens operations-rapportage: $_" -ForegroundColor Red
return 2
}
}
function Invoke-ByodRemediation {
try {
Write-Host "Remediatie-aanwijzingen voor BYOD:" -ForegroundColor Yellow
Write-Host "1. Maak per platform een Intune App Protection Policy met strikte dataloss-instellingen en wijs deze toe aan dynamische Entra ID-groepen." -ForegroundColor Gray
Write-Host "2. Controleer Conditional Access en zorg dat approved apps, compliant devices of app protection verplicht zijn inclusief session restrictions." -ForegroundColor Gray
Write-Host "3. Publiceer Terms of Use waarin monitoring en selectieve wipe worden uitgelegd en koppel acceptaties aan dezelfde groepen." -ForegroundColor Gray
Write-Host "4. Automatiseer dagelijkse controles met deze scriptoutput en archiveer resultaten voor audits." -ForegroundColor Gray
if ($WhatIf) {
Write-Host "`nWhatIf actief: er zijn geen wijzigingen aangebracht." -ForegroundColor Yellow
}
return 0
}
catch {
Write-Host "ERROR tijdens remediatie-instructies: $_" -ForegroundColor Red
return 2
}
}
try {
switch ($PSCmdlet.ParameterSetName) {
'Assessment' {
$exitCode = Invoke-ByodAssessment
exit $exitCode
}
'Operations' {
$exitCode = Invoke-ByodOperations -ExportPath $ExportPath
exit $exitCode
}
'Remediation' {
$exitCode = Invoke-ByodRemediation
exit $exitCode
}
default {
Write-Host "Gebruik -Assessment, -Operations of -Remediation (optioneel -LocalDebug, -ExportPath, -WhatIf)." -ForegroundColor Yellow
}
}
}
catch {
Write-Host "Onverwachte fout: $_" -ForegroundColor Red
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder strikt BYOD-beleid kunnen persoonlijke apparaten ongemerkt data kopiëren, tokens laten uitlekken of malware binnenbrengen. Een datalek raakt direct de AVG en BIO, waardoor meldplichten, sancties en politieke verantwoording volgen.
Management Samenvatting
Leg BYOD vast als bestuurlijke keuze, dwing app-beveiligingsbeleid en Conditional Access af via Microsoft Graph-geautomatiseerde controles, en zorg voor een aantoonbare audittrail. Zo bied je medewerkers flexibiliteit terwijl vertrouwelijke data beschermd blijft.
- Implementatietijd: 88 uur
- FTE required: 0.4 FTE