💼 Management Samenvatting
Mobiel devicebeheer vormt de ruggengraat van moderne hybride werkplekken binnen de Nederlandse overheid. Microsoft Intune biedt één controlepunt voor smartphones, tablets en laptops en maakt het mogelijk om compliant apparaten te registreren, configuraties af te dwingen en gevoelige data af te schermen zonder de gebruikerservaring te verstoren. Door MDM expliciet te positioneren binnen de Nederlandse Baseline voor Veilige Cloud ontstaat een integraal kader waarin technische maatregelen, beleid en bewijsvoering elkaar versterken.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
140u (tech: 80u)
Van toepassing op:
✓ Microsoft Intune
✓ Windows 10
✓ Windows 11
✓ iOS/iPadOS
✓ Android Enterprise
✓ macOS
✓ Windows 10
✓ Windows 11
✓ iOS/iPadOS
✓ Android Enterprise
✓ macOS
Zonder strak georganiseerd devicebeheer ontstaan gaten in de digitale verdedigingslinie. Niet-geregistreerde apparaten hebben vaak verouderde patches, ontbrekende encryptie en draaien schaduw-apps buiten zicht van het SOC. Aanvallers misbruiken deze endpoints om tokens te stelen, sessies over te nemen of data te exfiltreren via ongecontroleerde apps. Daarnaast vraagt de BIO om aantoonbare controle op hardware, software en configuraties; NIS2 en de Archiefwet vereisen dat uitzonderingen traceerbaar zijn en dat beveiligingsincidenten kunnen worden herleid tot device-instellingen. Onvoldoende MDM-governance leidt daarmee niet alleen tot operationele risico’s, maar ook tot bestuurlijke aansprakelijkheid wanneer bestuurders niet kunnen bewijzen dat apparaten onder beheer staan.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.Beta.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.Beta.DeviceManagement
Implementatie
Dit artikel beschrijft hoe je een integraal MDM-programma opzet voor Microsoft 365. We behandelen de governance-structuur, de technische architectuur van Intune en Microsoft Graph, operationele monitoring, bewijslast richting auditors en de automatisering die nodig is om duizenden apparaten consistent te beheren. Alle voorbeelden zijn gericht op Nederlandse publieke organisaties, waardoor termen als BIO, Woo, AVG en Rijksbrede beveiligingslijnen direct worden meegenomen.
Strategische Governance en Visie
Een volwassen MDM-programma start met een bestuurde visie die mobile endpoints gelijkwaardig behandelt aan traditionele werkplekken. De CIO stelt dat ieder apparaat dat toegang vraagt tot Rijksdata eerst moet voldoen aan de controles uit de Nederlandse Baseline voor Veilige Cloud. Die visie vertaalt zich naar heldere kaders: gelaagde beveiliging, minimale privileges, verplicht gebruik van moderne authenticatie en een nul-tolerantiebeleid voor onbekende apparaten. Door deze principes vast te leggen in het informatiebeveiligingsbeleid en het changeproces van de organisatie ontstaat een juridisch mandaat om apparaten te blokkeren totdat ze aantoonbaar compliant zijn.
Het CISO-office richt een MDM-stuurgroep in met vertegenwoordigers van werkplekbeheer, security operations, privacy, procurement en communicatie. Deze groep bewaakt het risicoprofiel, prioriteert wijzigingen, accepteert uitzonderingen en rapporteert maandelijks aan de directie. Hierdoor worden beslissingen over BYOD, leveranciersintegraties of noodpatches vastgelegd met hun risicoafweging. De stuurgroep zorgt bovendien dat MDM-afspraken aansluiten op bredere trajecten rond identiteitsbeheer, applicatieportfolio’s en sourcing, zodat de hele keten in balans blijft.
Het governance-model beschrijft per apparaatcategorie welke registratiepaden toegestaan zijn (Autopilot, Apple ADE, Android Enterprise, bulk enrollment), welke minimumvereisten gelden (encryptie, antivirus, OS-versie) en hoe uitzonderingen worden afgehandeld. BYOD wordt bijvoorbeeld alleen toegestaan voor lage vertrouwelijkheidsniveaus, waarbij data uitsluitend via App Protection Policies beschikbaar komt. Dienstapparaten worden geregistreerd via zero-touch processen en krijgen automatisch de juiste configuraties op basis van hun Entra ID-dynamische groepen. Door deze spelregels te koppelen aan BIO-paragrafen en NIS2-verplichtingen ontstaat een herleidbaar systeem van normstelling.
Tot slot definieert het governancekader stuurinformatie en rapportagecycli. Denk aan KPI’s voor het percentage compliant apparaten, doorlooptijden van enrollment, aantallen jailbreak/root-detecties en de tijd tussen incidentmelding en apparaatblokkade. Deze KPI’s worden gevisualiseerd in Power BI en besproken in CAB- en securityboard-vergaderingen. Door de combinatie van visie, mandaat, rollen en meetbaarheid wordt MDM een aanwijsbare controlemaatregel in plaats van een losse technische dienst.
Architectuur en Configuratie van Intune
Gebruik PowerShell-script mobile-device-management.ps1 (functie Invoke-MdmAssessment) – Controleert via Microsoft Graph of enrollment-profielen, compliance policies en configuratieprofielen zijn toegewezen conform de baseline..
De technische architectuur leunt op Intune als centrale policy-engine, gekoppeld aan Entra ID voor dynamische groepen en aan Defender for Endpoint voor risicosignalen. Apparaten worden ingedeeld in logische segmenten zoals dienstlaptops, specialistische tablets, BYOD en kritieke OT-clients. Elke groep krijgt eigen compliance policies waarin OS-minimumversies, encryptie, code-integriteit, jailbreakdetectie en veilige wachtwoordinstellingen zijn vastgelegd. Configuratieprofielen leggen daarnaast zaken vast als firewallregels, certificaatuitgifte, Wi-Fi-profielen en applicatie whitelists. Door policies op te bouwen uit Settings Catalog-items en deze versie te beheren in Git kan iedere wijziging worden herleid.
Enrollment wordt geautomatiseerd met Windows Autopilot, Apple Automated Device Enrollment en Android Enterprise Zero-Touch. Deze kanalen zorgen ervoor dat apparaten vanaf de eerste opstart rechtstreeks aan de organisatie worden gekoppeld en niet buiten MDM om geconfigureerd kunnen worden. Zodra het serienummer is geregistreerd, krijgt het apparaat automatisch het juiste enrollment-profiel, waardoor gebruikers geen complexe stappen hoeven te doorlopen. De baseline eist dat enrollmentprofielen MFA afdwingen tijdens de eerste login en dat apparaten pas productienetwerken bereiken zodra compliance is bevestigd.
De Intune-architectuur wordt aangevuld met endpoint security profielen (Attack Surface Reduction, antivirus, firewall) en App Protection Policies voor scenario’s waarin BYOD is toegestaan. Apparaatlabels worden gevoed door Azure Monitor en Defender-signalen, zodat risicovolle apparaten automatisch worden doorgestuurd naar een strengere policyset. Alle configuraties worden blootgesteld via Microsoft Graph, waardoor het script zowel configuratiefouten als ontbrekende assignments kan detecteren. Door Graph te gebruiken kunnen instellingen ook automatisch worden vergeleken met het referentiemodel in de Nederlandse Baseline voor Veilige Cloud.
Documenteer de volledige architectuur in het bedrijfsbrede architectuurregister. Beschrijf dataflows tussen Intune, Entra ID, Defender, ITSM en het CMDB-systeem, inclusief versleutelingslagen en logging. Dit maakt duidelijk hoe gegevens zich bewegen, welke systemen verantwoordelijk zijn voor het afdwingen van beleidsregels en op welke plekken audittrail-data wordt opgeslagen. Hierdoor begrijpen auditors en leveranciers precies hoe MDM technisch is geïmplementeerd.
Operaties, Monitoring en Respons
Gebruik PowerShell-script mobile-device-management.ps1 (functie Invoke-MdmOperations) – Levert een overzicht van compliance-achterstanden per platform, exporteert resultaten en signaleert apparaten met verouderde check-ins..
Operationele teams bewaken enrollment, compliance en incidentrespons in dagelijkse ritmes. Intune-dashboarding geeft een eerste signaal, maar wordt aangevuld met Graph-rapporten naar Log Analytics en het datawarehouse. Elke nacht worden compliancecijfers, root- of jailbreakindicaties, malwaremeldingen en check-in-tijden verzameld. Het SOC stelt drempels in: bijvoorbeeld maximaal twee procent apparaten die langer dan zeven dagen offline zijn of meer dan tien toestellen met een hoge risicocategorie. Zodra een grens wordt overschreden, creëert het script automatisch een ticket in het ITSM-systeem met bijgevoegde CSV uit de operations-run.
De servicedesk ontvangt playbooks voor veelvoorkomende scenario’s zoals mislukte enrollments, geblokkeerde apps of verloren apparaten. Deze playbooks verwijzen naar selfservice-communicatie, remote wipe-instructies en escalatiepaden. Werkplekbeheerders voeren wekelijks een operationeel overleg waarin enrollmentfouten, applicatieconflicten en uitzonderingsverzoeken worden besproken. Besluiten worden geregistreerd met verwijzing naar het betreffende device en de genomen compensatiemaatregelen, zodat de audittrail intact blijft.
Monitoring stopt niet bij technische signalen. Het governance-team ontvangt maandelijkse rapportages waarin compliancepercentages, gemiddelde tijd tot remediation, aantallen BYOD-gebruikers en activiteiten per leverancier zijn opgenomen. Deze rapporten worden gespiegeld aan NCSC-adviezen en recente dreigingsinformatie, zodat het beleid tijdig kan worden aangescherpt. Voor kritieke functies, zoals calamiteitencommunicatie of crisisbeheersing, geldt een versnelde escalatielijn waarbij het CMT binnen één uur inzicht krijgt in de status van hun apparaten.
Tijdens incidenten wordt het MDM-platform ingezet als containment-mechanisme. Zodra een apparaat verdacht gedrag vertoont, kan het SOC via Intune een remote lock of wipe uitvoeren, certificaten intrekken en Conditional Access in quarantaine zetten. Alle acties worden gelogd en gekoppeld aan het betreffende incidentnummer, waardoor juridische en forensische teams achteraf precies zien welke stappen wanneer zijn uitgevoerd.
Compliance, Bewijslast en Verbetering
Gebruik PowerShell-script mobile-device-management.ps1 (functie Invoke-MdmRemediation) – Genereert gerichte remediatiestappen voor ontbrekende policies, niet-toegewezen profielen en apparaten buiten de baseline..
De BIO, AVG, Woo en NIS2 vragen om aantoonbaarheid. Daarom wordt elk beleidsobject in Intune gekoppeld aan een controlreferentie. Compliance policies krijgen bijvoorbeeld een metadata-label met BIO 9.01 of ISO 27001 A.8.8. Het script leest deze labels uit en controleert of alle controls minimaal één actief beleidsobject hebben. Exportbestanden worden digitaal ondertekend en opgeslagen in een SharePoint-site met retentiebeleid van zeven jaar, zodat auditors kunnen herleiden welke instellingen golden op een bepaalde datum.
Voor elk auditspoor is vooraf vastgelegd welke bewijzen verplicht zijn: CAB-notulen voor beleidswijzigingen, configuratie-exporten voor technische instellingen, ITSM-tickets voor uitzonderingen en rapportages voor managementinformatie. Door dezelfde datasets ook te gebruiken voor interne self-assessments ontstaat vertrouwen in de kwaliteit van de informatie. Auditors kunnen steekproeven nemen waarbij ze een apparaat-ID kiezen en vervolgens onmiddellijk zien welke policyversies, compliancegeschiedenis en incidentafhandelingen eraan gekoppeld zijn.
Continue verbetering wordt ingericht via een driemaandelijkse maturiteitsreview. Tijdens deze review worden lessons learned uit incidenten, gebruikersfeedback en leveranciersaudits vertaald naar verbeteracties. Denk aan het uitbreiden van App Protection Policies, versnellen van automatische blokkades of herontwerpen van BYOD-procedures. Het script ondersteunt deze cyclus door per control te rapporteren welke afwijkingen vaker terugkomen en welke teams verantwoordelijk zijn voor herstel. Zo blijft het MDM-programma aansluiten op veranderende dreigingen en wetgeving.
Compliance & Frameworks
- BIO: 9.01, 12.04, 12.05 - Borgt registratie van informatievoorziening, beheer van apparatuur en continue monitoring van werkplekken.
- ISO 27001:2022: A.5.7, A.8.8, A.5.18 - Ondersteunt lifecyclebeheer van bedrijfsmiddelen, beveiliging van mobiele apparaten en wijzigingscontrole.
- NIS2: Artikel - Eist risicobeheermaatregelen, incidentrespons en rapportage voor essentiële en belangrijke entiteiten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Baseline-assessment en operationsrapportage voor Microsoft 365 Mobile Device Management.
.DESCRIPTION
Controleert compliance policies, configuratieprofielen, enrollment-configuraties en
managed devices via Microsoft Graph. Levert tevens operationele overzichten en
remediatierichtlijnen volgens de Nederlandse Baseline voor Veilige Cloud.
.NOTES
Filename : mobile-device-management.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Version : 1.0
Related : content/m365/device-management/mobile-device-management.json
.EXAMPLE
.\mobile-device-management.ps1 -Assessment -LocalDebug
.EXAMPLE
.\mobile-device-management.ps1 -Operations -ExportPath .\mdm-status.csv
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph.DeviceManagement
[CmdletBinding(DefaultParameterSetName = 'Assessment')]
param(
[Parameter(ParameterSetName = 'Assessment')]
[switch]$Assessment,
[Parameter(ParameterSetName = 'Operations')]
[switch]$Operations,
[Parameter(ParameterSetName = 'Remediation')]
[switch]$Remediation,
[switch]$LocalDebug,
[string]$ExportPath,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Mobile Device Management Baseline" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Initialize-MdmContext {
if ($LocalDebug) {
Write-Verbose "LocalDebug actief: er wordt geen verbinding met Microsoft Graph opgezet."
return
}
$context = Get-MgContext
if (-not $context) {
Write-Host "Verbinden met Microsoft Graph..." -ForegroundColor Yellow
$null = Connect-MgGraph -Scopes @(
'DeviceManagementManagedDevices.Read.All',
'DeviceManagementConfiguration.Read.All',
'DeviceManagementServiceConfig.Read.All'
) -ErrorAction Stop
$context = Get-MgContext
}
if ($context.ApiVersion -ne 'beta') {
Select-MgProfile -Name 'beta'
}
}
function Get-MdmSampleData {
$now = Get-Date
return [pscustomobject]@{
CompliancePolicies = @(
[pscustomobject]@{
displayName = 'Windows 11 baseline'
platforms = @('windows10AndLater')
assignments = @('EntraID:MDM-Windows')
passwordRequiredType = 'deviceDefault'
},
[pscustomobject]@{
displayName = 'iOS/iPadOS baseline'
platforms = @('iOS')
assignments = @('EntraID:MDM-iOS')
jailbreakDetectionEnabled = $true
}
)
ConfigurationProfiles = @(
[pscustomobject]@{
displayName = 'Windows 11 Settings Catalog'
assignments = @('EntraID:MDM-Windows')
},
[pscustomobject]@{
displayName = 'Android Enterprise policy'
assignments = @('EntraID:MDM-Android')
}
)
EnrollmentConfigurations = @(
[pscustomobject]@{
displayName = 'Autopilot - laptops'
assignments = @('EntraID:Autopilot-Prod')
},
[pscustomobject]@{
displayName = 'Apple ADE - iPads'
assignments = @('EntraID:Ade-iPads')
}
)
ManagedDevices = @(
[pscustomobject]@{
deviceName = 'RWS-LAP-0101'
operatingSystem = 'Windows 11'
complianceState = 'compliant'
lastSyncDateTime = $now.AddDays(-1)
managementAgent = 'intuneClient'
},
[pscustomobject]@{
deviceName = 'Gemeente-iPad-07'
operatingSystem = 'iOS'
complianceState = 'compliant'
lastSyncDateTime = $now.AddDays(-2)
managementAgent = 'mdm'
}
)
}
}
function Get-MdmInventory {
Initialize-MdmContext
if ($LocalDebug) {
return Get-MdmSampleData
}
$compliance = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/deviceCompliancePolicies?`$expand=assignments" -ErrorAction Stop
$config = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations?`$expand=assignments" -ErrorAction Stop
$enrollment = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/deviceEnrollmentConfigurations?`$expand=assignments" -ErrorAction Stop
$devices = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/managedDevices?`$select=deviceName,operatingSystem,lastSyncDateTime,complianceState,managementAgent,enrollmentType&`$top=999" -ErrorAction Stop
return [pscustomobject]@{
CompliancePolicies = $compliance.value
ConfigurationProfiles = $config.value
EnrollmentConfigurations = $enrollment.value
ManagedDevices = $devices.value
}
}
function Invoke-MdmAssessment {
try {
$inventory = Get-MdmInventory
$issues = @()
$policies = @($inventory.CompliancePolicies)
if (-not $policies -or $policies.Count -eq 0) {
$issues += "Er zijn geen compliance policies gevonden."
}
else {
foreach ($policy in $policies) {
$assignments = @()
if ($policy.PSObject.Properties['assignments']) {
$assignments = @($policy.assignments)
}
if ($assignments.Count -eq 0) {
$issues += "Compliance policy '$($policy.displayName)' heeft geen assignments."
}
}
}
$configurations = @($inventory.ConfigurationProfiles)
if (-not $configurations -or $configurations.Count -eq 0) {
$issues += "Er zijn geen configuratieprofielen gevonden."
}
else {
foreach ($profile in $configurations) {
$assignments = @()
if ($profile.PSObject.Properties['assignments']) {
$assignments = @($profile.assignments)
}
if ($assignments.Count -eq 0) {
$issues += "Configuratieprofiel '$($profile.displayName)' heeft geen assignments."
}
}
}
$enrollments = @($inventory.EnrollmentConfigurations)
if (-not $enrollments -or $enrollments.Count -eq 0) {
$issues += "Geen enrollment-configuraties gevonden (Autopilot/ADE/Android Enterprise)."
}
else {
foreach ($enrollment in $enrollments) {
$assignments = @()
if ($enrollment.PSObject.Properties['assignments']) {
$assignments = @($enrollment.assignments)
}
if ($assignments.Count -eq 0) {
$issues += "Enrollment-configuratie '$($enrollment.displayName)' heeft geen toegewezen scope."
}
}
}
$devices = @($inventory.ManagedDevices)
if (-not $devices -or $devices.Count -eq 0) {
$issues += "Er zijn geen managed devices geregistreerd."
}
else {
$nonCompliant = $devices | Where-Object { $_.complianceState -ne 'compliant' }
$staleDevices = $devices | Where-Object {
$lastSync = if ($_.PSObject.Properties['lastSyncDateTime']) { [datetime]$_.lastSyncDateTime } else { $null }
if (-not $lastSync) { return $true }
return ((Get-Date) - $lastSync).TotalDays -gt 7
}
$deviceCount = $devices.Count
if ($deviceCount -gt 0) {
$noncompliantPercentage = if ($nonCompliant.Count -gt 0) { [math]::Round(($nonCompliant.Count / $deviceCount) * 100, 2) } else { 0 }
if ($noncompliantPercentage -gt 2) {
$issues += "Meer dan 2% van de apparaten is non-compliant ($noncompliantPercentage%)."
}
if ($staleDevices.Count -gt 0) {
$issues += "$($staleDevices.Count) apparaten hebben langer dan zeven dagen niet gesynchroniseerd."
}
}
}
if ($issues.Count -eq 0) {
Write-Host "COMPLIANT: alle gecontroleerde onderdelen voldoen aan de baseline." -ForegroundColor Green
return 0
}
else {
Write-Host "NON-COMPLIANT: $($issues.Count) aandachtspunten gevonden." -ForegroundColor Red
$issues | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
return 1
}
}
catch {
Write-Host "ERROR tijdens assessment: $_" -ForegroundColor Red
return 2
}
}
function Invoke-MdmOperations {
param(
[string]$ExportPath
)
try {
$inventory = Get-MdmInventory
$devices = @($inventory.ManagedDevices)
if ($devices.Count -eq 0) {
Write-Host "Geen apparaten gevonden voor rapportage." -ForegroundColor Yellow
return 1
}
$now = Get-Date
$report = foreach ($device in $devices) {
$lastSync = if ($device.PSObject.Properties['lastSyncDateTime']) { [datetime]$device.lastSyncDateTime } else { $null }
$daysSinceSync = if ($lastSync) { [math]::Round(($now - $lastSync).TotalDays, 1) } else { [double]::PositiveInfinity }
[pscustomobject]@{
DeviceName = $device.deviceName
OperatingSystem = $device.operatingSystem
ComplianceState = if ($device.PSObject.Properties['complianceState']) { $device.complianceState } else { 'unknown' }
DaysSinceSync = $daysSinceSync
ManagementAgent = if ($device.PSObject.Properties['managementAgent']) { $device.managementAgent } else { 'unknown' }
EnrollmentType = if ($device.PSObject.Properties['enrollmentType']) { $device.enrollmentType } else { 'unknown' }
}
}
$nonCompliant = $report | Where-Object { $_.ComplianceState -ne 'compliant' -or $_.DaysSinceSync -gt 7 }
$grouped = $report | Group-Object -Property OperatingSystem | Sort-Object -Property Count -Descending
Write-Host ("Totaal apparaten: {0}" -f $report.Count) -ForegroundColor Cyan
foreach ($group in $grouped) {
$percent = [math]::Round(($group.Count / $report.Count) * 100, 2)
Write-Host (" - {0}: {1} ({2}%)" -f $group.Name, $group.Count, $percent) -ForegroundColor Gray
}
Write-Host ("Achterstanden >7 dagen of non-compliant: {0}" -f $nonCompliant.Count) -ForegroundColor Yellow
if ($ExportPath) {
$directory = Split-Path -Parent $ExportPath
if ($directory -and -not (Test-Path $directory)) {
New-Item -ItemType Directory -Path $directory -Force | Out-Null
}
$report | Export-Csv -Path $ExportPath -NoTypeInformation -Encoding UTF8
Write-Host "Rapport geëxporteerd naar $ExportPath" -ForegroundColor Green
}
return ($nonCompliant.Count -gt 0) ? 1 : 0
}
catch {
Write-Host "ERROR tijdens operations-rapportage: $_" -ForegroundColor Red
return 2
}
}
function Invoke-MdmRemediation {
try {
Write-Host "Remediatieadvies Mobile Device Management:" -ForegroundColor Yellow
Write-Host "1. Controleer of elke compliance policy minimaal één scope assignment heeft en gekoppeld is aan de juiste platformgroepen." -ForegroundColor Gray
Write-Host "2. Valideer enrollment-configuraties (Autopilot, ADE, Android Enterprise) en koppel ontbrekende serienummers of DEP-profielen." -ForegroundColor Gray
Write-Host "3. Los non-compliant apparaten op via remote acties (sync, retire, wipe) en registreer uitzonderingen in het ITSM-systeem met einddatum." -ForegroundColor Gray
Write-Host "4. Werk configuratieprofielen bij zodat versleuteling, firewall en applicatie whitelists afdwingbaar blijven voor alle platformen." -ForegroundColor Gray
Write-Host "5. Exporteer statusrapportages en deel deze met het MDM-stuurgroep of patchboard voor bestuurlijke goedkeuring." -ForegroundColor Gray
if ($WhatIf) {
Write-Host "`nWhatIf actief: er zijn geen wijzigingen aangebracht." -ForegroundColor Yellow
}
return 0
}
catch {
Write-Host "ERROR tijdens remediatie-instructies: $_" -ForegroundColor Red
return 2
}
}
try {
switch ($PSCmdlet.ParameterSetName) {
'Assessment' {
$exitCode = Invoke-MdmAssessment
exit $exitCode
}
'Operations' {
$exitCode = Invoke-MdmOperations -ExportPath $ExportPath
exit $exitCode
}
'Remediation' {
$exitCode = Invoke-MdmRemediation
exit $exitCode
}
default {
Write-Host "Gebruik -Assessment, -Operations of -Remediation (optioneel -LocalDebug, -ExportPath, -WhatIf)." -ForegroundColor Yellow
}
}
}
catch {
Write-Host "Onverwachte fout: $_" -ForegroundColor Red
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder centraal MDM-beleid blijven BYOD- en dienstapparaten buiten zicht, waardoor encryptie, patching en malwarecontrole niet aantoonbaar zijn. Dit verhoogt de kans op ransomware, lekken van staatsgeheime informatie en non-compliance met BIO, AVG en NIS2.
Management Samenvatting
Richt Intune in als centrale MDM-dienst met duidelijke governance, geautomatiseerde enrollment, strikte compliance policies en een volledige audittrail. Maak gebruik van Microsoft Graph en scripts om afwijkingen vroeg te detecteren en onmiddellijk te remediëren.
- Implementatietijd: 140 uur
- FTE required: 0.6 FTE