💼 Management Samenvatting
Device Compliance Policies vormen het zenuwstelsel van modern endpointbeheer. Ze bepalen welke configuraties minimaal actief moeten zijn voordat een apparaat toegang krijgt tot Microsoft 365, Azure Virtual Desktop of lijnspecifieke SaaS-platformen. Voor de Nederlandse publieke sector is dit geen technische luxe; het is een wettelijke plicht onder BIO, AVG en NIS2. Door compliancebeleid centraal te orkestreren ontstaat een eenduidige norm voor encryptie, malwarebescherming, firmwareversies en jailbreakdetectie, ongeacht of een device eigendom is van de organisatie, een leverancier of een ketenpartner.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
260u (tech: 140u)
Van toepassing op:
✓ Windows 11
✓ Windows 10
✓ macOS
✓ iOS/iPadOS
✓ Android Enterprise
✓ Microsoft Intune
✓ Entra ID
✓ Windows 10
✓ macOS
✓ iOS/iPadOS
✓ Android Enterprise
✓ Microsoft Intune
✓ Entra ID
Incidentanalyses van het NCSC tonen aan dat veel ransomware-uitbraken beginnen bij een apparaat dat wekenlang buiten beheer stond, een verouderde OS-build gebruikte of waar Defender for Endpoint was uitgeschakeld. Zonder hard afgerekende Device Compliance Policies ontbreekt de technische onderbouwing om dat soort scenario’s te voorkomen, laat staan erover te rapporteren naar CIO’s, gemeenteraden of toezichthouders. Bovendien vormt compliance de schakel tussen endpointmaatregelen en Conditional Access. Als beleid niet consequent is ingericht, wordt toegang tot gevoelige dossiers gebaseerd op goed vertrouwen in plaats van aantoonbare toestand, met alle juridische risico’s van dien.
PowerShell Modules Vereist
Primary API: Microsoft Graph DeviceManagement API, Conditional Access API
Connection:
Required Modules: Microsoft.Graph.Authentication, Microsoft.Graph.DeviceManagement, Microsoft.Graph.Beta
Connection:
Connect-MgGraph -Scopes DeviceManagementConfiguration.Read.All,DeviceManagementManagedDevices.Read.All,Policy.Read.AllRequired Modules: Microsoft.Graph.Authentication, Microsoft.Graph.DeviceManagement, Microsoft.Graph.Beta
Implementatie
Dit artikel beschrijft hoe je Device Compliance Policies ontwerpt, implementeert, monitort en auditbestendig maakt binnen de Nederlandse Baseline voor Veilige Cloud. We behandelen bestuur en besluitvorming, detaileren de architectuur voor Intune en Graph-automatisering, leggen uit hoe operations en SOC samenwerken op basis van realtime telemetrie en sluiten af met een hoofdstuk over bewijsvoering, lessons learned en ketenafspraken. Het meegeleverde PowerShell-script voert assessments, monitoring en remediatie uit onder lokale debuginstellingen zodat teams wijzigingen veilig kunnen testen voordat ze productie raken.
Governance, mandaat en beleidscyclus
Een volwassen complianceprogramma begint bij bestuurlijke duidelijkheid. Het CISO-office beschrijft welke minimale beveiligingsmaatregelen nodig zijn per apparaatcategorie: encryptie via BitLocker of FileVault, meervoudige authenticatie, meervoudige antivirus, anti-tamper en maximale OS-leeftijd. Deze eisen worden rechtstreeks gekoppeld aan BIO 12.04 en NIS2 artikel 21, zodat bestuurders begrijpen dat het niet gaat om voorkeuren van werkplekbeheer maar om wettelijke verplichtingen. Het CIO-beraad bekrachtigt het beleid en koppelt KPI’s aan de portefeuilles van proceseigenaren. Daarmee ontstaat mandaat om apparaten af te koppelen wanneer zij niet voldoen, zelfs als het gaat om kritieke ketenprocessen zoals verkiezingssoftware of politie-ondersteuning.
Governance vereist ook dat beslissingen traceerbaar zijn. Elke wijziging aan een complianceprofiel doorloopt een CAB-procedure waarin risicoanalyse, businessimpact en fallbackscenario’s zijn uitgewerkt. De change bevat verwijzingen naar het scriptresultaat in LocalDebug-modus, zodat bestuurders zien welke controles worden uitgevoerd voordat een profiel live gaat. Daarnaast schrijft de governanceboard voor hoe uitzonderingen worden afgehandeld. Een proceseigenaar die tijdelijk een verouderde firmware nodig heeft, dient een verzoek in inclusief compensatiemaatregelen, einddatum en communicatieplan. Het besluit van de governanceboard wordt vastgelegd met referentie naar de betreffende Intune-policy en Conditional Access-regel.
Contractmanagement is een integraal onderdeel van governance. Verwerkersovereenkomsten verplichten leveranciers om dezelfde compliance-eisen toe te passen op beheerde devices, inclusief rapportage aan het patchboard en het toestaan van steekproeven. In multi-tenant scenario’s, zoals samenwerkingen tussen gemeenten en veiligheidsregio’s, worden gezamenlijke complianceprofielen gedefinieerd zodat incidentrespons en auditprocessen identiek lopen. Alle documentatie wordt opgeslagen in het ISMS, gekoppeld aan het dashboard dat de voortgang van elke maatregel toont en maandelijks aan de directie wordt gerapporteerd.
Tot slot waarborgt governance de koppeling met andere controles. Het beleid omschrijft welke Purview-labels een apparaat minimaal moet ondersteunen, welke Defender for Endpoint-sensoren verplicht zijn en hoe compliancegegevens worden gedeeld met Microsoft Sentinel. Hierdoor ontstaat een keten van maatregelen waarin bestuursorganen kunnen aantonen dat technische configuraties en organisatorische afspraken hand in hand gaan. De jaarlijkse directieverklaring verwijst rechtstreeks naar deze governanceketen, waardoor auditors precies weten waar bewijsstukken zich bevinden.
Governance sluit bovendien aan op privacy- en archiefverplichtingen. Het privacyteam borgt dat logbestanden alleen metadata bevatten en geen inhoudelijke documenten of persoonsgegevens opslaan. Tegelijk schrijft het archiefreglement voor hoe lang compliancebesluiten en scriptuitvoer bewaard blijven en welke retentielabels automatisch worden toegepast. Hierdoor kan de organisatie richting Autoriteit Persoonsgegevens en de Algemene Rekenkamer uitleggen hoe technische controles, bewijsvoering en privacybescherming elkaar versterken. Deze aanvullende afspraken zorgen ervoor dat compliancebeleid niet wordt teruggefloten vanwege onduidelijke dataverwerking.
Ten slotte investeert governance in vaardigheden en cultuur. Iedere proceseigenaar moet een gecertificeerde vervanger hebben die compliancewijzigingen kan begeleiden tijdens vakanties of crisissituaties. Opleidingsplannen beschrijven welke training beheerders, servicedeskmedewerkers en leveranciers minimaal volgen, inclusief kennistoetsen en praktijkopdrachten in een demo-tenant. De resultaten worden gedeeld in het patchboard zodat zichtbaar blijft welke teams hun verantwoordelijkheden serieus nemen. Door governance niet alleen op processen maar ook op menselijk kapitaal te richten, blijft het programma robuust bij personele wisselingen en reorganisaties.
Als sluitstuk presenteert de governanceboard elk kwartaal een volwassenheidsscore waarin beleidsdekking, auditbevindingen, training en leveranciersconformiteit samenkomen. Deze score is zichtbaar in een bestuurlijk dashboard naast financiële en projectindicatoren. Hierdoor wordt compliance net zo bespreekbaar als budget of capaciteit en krijgt het programma dezelfde prioriteit tijdens Board-of-Directors-vergaderingen. De continue zichtbaarheid maakt het eenvoudig om waar nodig aanvullende middelen vrij te maken.
Architectuur en Intune-configuratiepatronen
Gebruik PowerShell-script device-compliance-policies.ps1 (functie Invoke-EndpointComplianceAssessment) – Valideert via Microsoft Graph of alle complianceprofielen assignments hebben, of minimale OS-versies, encryptie en Defender-eisen zijn gezet en of Conditional Access compliantDevice regelt afdwingen..
De architectuur start met een taxonomie van deviceprofielen. Windows 11-werkplekken krijgen een profiel waarin Secure Boot, BitLocker, Defender for Endpoint, TPM 2.0 en firmwareversies worden afgedwongen. Voor iOS en Android gelden jailbreakdetectie, biometrische PIN’s, versleutelde opslag en verplicht bedrijfsprofiel. macOS krijgt FileVault, Gatekeeper en minimum OS-builds. Deze profielen worden als JSON in een Git-repository opgeslagen zodat wijzigingen peer review krijgen voordat ze via de Graph API worden gepubliceerd. Ontwerpers documenteren bovendien welke Intune filters en dynamische Entra ID-groepen gebruikt worden om toestellen in te delen naar risicoklasse, locatie of leverancier.
Een belangrijk ontwerpprincipe is dat compliance niet losstaat van andere policies. Voor elke compliance-eis is beschreven welke configuratie- of security baseline de technische instelling daadwerkelijk forceert. Zo verwijst het Windows-profiel naar een apparaatconfiguratie waarin BitLocker automatisch wordt beheerd, en naar Defender policies waarin Attack Surface Reduction is geactiveerd. Hierdoor kan het script controleren of een compliance-instelling wordt ondersteund door een concreet configuratie-object. Tevens worden staged deployments ingezet: wijzigingen komen eerst beschikbaar in een pilotring met meetbare metrics voordat ze de productiepopulatie bereiken.
Architecturen besteden aandacht aan offline en specialistische scenario’s. Devices op vitale locaties zonder internet ontvangen een lokaal beleid dat via Intune management extension wordt gesynchroniseerd wanneer verbinding mogelijk is. Edge devices aan de grens van OT-netwerken krijgen aparte filters en logginginstellingen om fout-negatieven te voorkomen. Voor leveranciersapparatuur wordt een federatief model opgesteld waarbij zij een eigen Intune-tenant beheren maar compliancegegevens via API’s aanleveren aan de primaire organisatie. Dit voorkomt dat schaduwbeheerders buiten beeld blijven.
Automatisering vormt de sluitsteen. Het script kan complianceprofielen exporteren, hashwaarden vergelijken en afwijkingen automatisch pull-requesten naar de Git-repository. Azure DevOps pipelines voeren Pester-tests uit op de JSON-configuraties en publiceren via Graph alleen als alle kwaliteitscontroles slagen. Deze pipeline schrijft zijn resultaten weg naar een controledossier inclusief tijdstempel, API-profielen en referentie naar de CAB. Zo wordt configuratiemanagement even herhaalbaar als softwareontwikkeling.
De architectuur houdt rekening met de manier waarop Intune compliance beoordeelt. Voor elk profiel worden de geëvalueerde instellingen gekoppeld aan een risico-impact waardoor dashboards precies laten zien waarom een apparaat non-compliant is. De mapping tussen compliance-instellingen en organisatorische risico’s (bijvoorbeeld spionagegevoelige data versus generieke kantoorwerkplekken) wordt onderhouden in een centrale catalogus. Hierdoor kan het script bij een afwijking direct aangeven wat de verwachte businessimpact is, inclusief een verwijzing naar het relevante risicodossier.
Ook geheimbeheer is ingebouwd. Policy-as-code pipelines gebruiken Key Vault om service-principals en API-secretwaarden te beschermen, terwijl rechten via Entra ID PIM worden uitgegeven met just-in-time toegang. Elke wijziging aan een pipeline wordt gelogd met commit-ID, reviewer en testresultaten. Dankzij deze discipline kunnen auditors exact volgen wie een complianceprofiel heeft aangepast, welke controles vooraf zijn uitgevoerd en hoe rollback plaatsvindt wanneer monitoring problemen signaleert. Architectuur en automatisering vormen zo één geheel.
Omdat architectuur nooit statisch is, beschrijft het ontwerp ook hoe nieuwe platformfeatures worden geëvalueerd. Zodra Microsoft een preview van verbeterde compliance-instellingen publiceert, draaien engineers deze in een aparte sandbox-tenant via het LocalDebug-scenario van het script. Bevindingen worden gedeeld met het governanceboard dat beslist of de instelling wordt opgenomen in de roadmap. Zo blijft de organisatie synchroon lopen met productinnovaties en blijft de architectuur toekomstvast.
Operaties, monitoring en SOC-integratie
Gebruik PowerShell-script device-compliance-policies.ps1 (functie Invoke-EndpointComplianceMonitoring) – Leest deviceCompliancePolicyStateSummaries en managedDevices, markeert achterstanden op basis van SLA’s, exporteert datasets en kan optioneel automatisch tickets openen..
Operations draait om zichtbaarheid per rol. Werkplekbeheerders gebruiken het script om dagelijks te controleren of minimaal 98% van de apparaten binnen de SLA valt. Resultaten worden naar Log Analytics en Power BI gestuurd zodat het patchboard per organisatieonderdeel ziet waar achterstanden ontstaan. Het SOC ontvangt dezelfde gegevens via Microsoft Sentinel, waar rules waarschuwen als het percentage niet-conforme apparaten boven een ingestelde drempel komt of als een specifieke compliance-instelling massaal wordt uitgeschakeld.
Het operationsproces is nauw verweven met ITSM. Wanneer het script een apparaat detecteert dat langer dan twee dagen non-compliant is, creëert het automatisch een ticket met relevante metadata zoals laatste syncdatum, toegewezen gebruiker, risk score uit Defender en toegepaste filters. Servicedesks hebben standaard draaiboeken waarin remote acties, gebruikerscommunicatie en escalaties zijn beschreven. Indien een apparaat statisch blijft, wordt de lijnmanager automatisch geïnformeerd zodat governance niet alleen op technisch niveau plaatsvindt.
Monitoring strekt zich uit tot Conditional Access. Het script controleert of policies bestaan die het `compliantDevice`-grantcontrol afdwingen op gevoelige applicaties zoals financiële systemen, burgerzakenportalen en SOC-tools. Wanneer een beleidswijziging wordt gedetecteerd, bijvoorbeeld een tijdelijke versoepeling voor een crisisteam, logt het script automatisch de besluitreferentie en verwacht het een bevestiging dat compensatiemaatregelen actief zijn. Deze feedback-loop voorkomt dat uitzonderingen een permanent karakter krijgen.
Tot slot wordt telemetrie gebruikt voor trendanalyses. De combinatie van Intune-data, Graph-exports en Defender-signalen laat zien welke devicefamilies structureel problemen hebben, welk deel van de vloot op het punt staat de OS-minimumversie te overschrijden en welke leveranciers hun SLA niet halen. Deze informatie voedt kwartaalreviews en budgetaanvragen voor hardwarevervanging, extra automatisering of aanvullende training. Operations wordt daarmee een strategisch stuurmiddel in plaats van een reactieve functie.
Incidentrespons is in draaiboeken uitgewerkt. Wanneer het NCSC een HIGH-waarschuwing publiceert, schakelt het operations-team direct naar een crisismodus waarin het script elk uur draait en resultaten via Teams en een Power BI-crisisdashboard deelt. Escalaties kennen vaste beslissingspunten: na twee uur zonder zichtbaar herstel beslist het patchboard over aanvullende maatregelen zoals netwerksegmentatie of het tijdelijk blokkeren van aanmeldingen vanuit specifieke regio’s. Zo ontstaat een gecontroleerd ritme tijdens hectische situaties.
Rapportage richting bestuurders krijgt dezelfde aandacht als technische monitoring. Maandelijks ontvangt het CIO-beraad een narratief rapport waarin de belangrijkste KPI’s worden vertaald naar risico’s voor dienstverlening, financiën en vertrouwen van burgers. Het rapport bevat heatmaps en trendgrafieken die rechtstreeks uit het script komen, inclusief links naar onderliggende datasets. Hierdoor kunnen bestuurders gefundeerde besluiten nemen over investeringen, uitzonderingen of versnelde hardwarevervanging.
Operations regelt tenslotte de backlog van verbeteracties. Bevindingen uit monitoring of SOC-sessies worden automatisch geregistreerd als Azure DevOps work items met eigenaar, prioriteit en verwachte opleverdatum. Het script kan de status van deze items uitlezen en naast compliancepercentages tonen zodat duidelijk is hoeveel technische schuld nog openstaat. Deze transparantie voorkomt dat structurele problemen onder het tapijt verdwijnen en stimuleert teams om verbeteringen tijdig op te leveren.
Onderdeel van operations is het regelmatig oefenen van failover-scenario’s. Teams simuleren bijvoorbeeld het verlies van Intune-connectiviteit of een foutieve policy-publicatie en gebruiken het script in LocalDebug-modus om te bevestigen dat herstelstappen werken. De lessons learned uit deze oefeningen worden vastgelegd en leiden tot geautomatiseerde controles in de pipeline, waardoor de organisatie aantoonbaar voorbereid is op verstoringen.
Assurance, audittrail en continue verbetering
Auditbestendigheid vraagt om reproduceerbare bewijsvoering. Elke assess-run van het script slaat resultaten op in een append-only opslaglocatie met SHA256-hash en verwijzing naar de gebruikte Graph-eindpunten. CAB-notulen, uitzonderingsformulieren en communicatie naar gebruikers worden gekoppeld aan hetzelfde dossier, zodat auditors binnen enkele minuten kunnen volgen hoe een beslissing tot stand kwam en welke technische acties daarop volgden. Deze aanpak versnelt zowel BIO-audits als onderzoeken door de Algemene Rekenkamer.
Assurance betekent ook dat ketenpartners kunnen aantonen dat zij voldoen aan de baseline. Daarom krijgen leveranciers een sjabloon waarin zij maandelijks een export uit hun eigen Intune-tenant aanleveren. Het script kan deze datasets inlezen, normaliseren en vergelijken met de centrale norm. Afwijkingen worden automatisch in ServiceNow geregistreerd, inclusief verantwoordelijke leverancier en afgesproken hersteltermijn. Hierdoor behoudt de hoofdorganisatie grip op externe apparaten zonder hun beheer volledig over te nemen.
Continue verbetering verloopt volgens het Plan-Do-Check-Act-principe. Iedere maand bespreekt het patchboard bevindingen uit monitoring, SOC-incidenten en auditobservaties. Verbeteracties krijgen een eigenaar, budget en opleverdatum en worden zichtbaar gemaakt in een roadmap die met bestuurders wordt gedeeld. Lessons learned uit calamiteiten of exercises worden vertaald naar nieuwe controls, zoals strengere minimumversies of additionele filters voor hoog-risicoketens.
Kennisdeling vindt plaats via de community van de Nederlandse Baseline voor Veilige Cloud. Organisaties publiceren referentieconfiguraties, scripts en dashboards, waardoor kleinere gemeenten of uitvoeringsorganisaties sneller volwassen worden. Door deze open samenwerking blijven maatregelen niet beperkt tot één tenant maar ontstaan landelijke standaarden die toezichthouders herkennen. Daarmee wordt compliance een collectieve inspanning in plaats van een individuele worsteling.
Assurance omvat ook zelfevaluaties. Elk kwartaal voert het team een interne review uit waarbij steekproeven uit drie willekeurige locaties worden geselecteerd. Voor ieder apparaat wordt aangetoond welke compliancepolicy actief was, welke gebruiker verantwoordelijk is en welk bewijs in het dossier zit. De bevindingen worden vertaald naar concrete verbeteracties met SMART-doelstellingen. Dit voorkomt dat verbetermaatregelen blijven hangen in abstracte aanbevelingen.
Daarnaast wordt de documentatie gestructureerd beheerd. Runbooks, scripts, beleidsdocumenten en lessons learned bevinden zich in één kennisplatform met versiebeheer. Elke wijziging vermeldt waarom de aanpassing nodig was, wie deze heeft goedgekeurd en hoe gebruikers zijn geïnformeerd. Hierdoor kunnen nieuwe teamleden snel instappen en blijft de organisatie bestand tegen personeelswisselingen.
Voor kritieke processen organiseert de organisatie een onafhankelijke review. Externe auditors of ketenpartners ontvangen toegang tot het kennisplatform in een readonly modus en gebruiken het script om steekproeven te draaien vanuit hun eigen referentietenant. Het vergelijkingsrapport toont verschilpercentages, waardoor objectief zichtbaar is of de interne administratie overeenkomt met de waarneming van derden. Dit versterkt het vertrouwen bij toezichthouders en politiek bestuur.
Tot slot wordt benchmarking ingezet. Via de community worden geanonimiseerde statistieken gedeeld over compliancepercentages, doorlooptijden en aantallen uitzonderingen. Iedere organisatie kan zijn score spiegelen aan vergelijkbare gemeenten, provincies of uitvoeringsdiensten en concrete verbeterdoelen formuleren. Deze gezonde competitie stimuleert continue verbetering en zorgt dat de Nederlandse Baseline voor Veilige Cloud zich ontwikkelt tot een levend stelsel in plaats van een statisch document.
De verbetercyclus sluit af met een opleidingsmoment. Nieuwe inzichten uit audits, benchmarks of incidenten worden verwerkt in microlearnings voor beheerders en lijnmanagers. Het script levert voorbeelddata waarmee docenten praktijkcases kunnen laten zien, zodat theorie en realiteit dicht bij elkaar blijven. Door structureel te investeren in kennis verankert de organisatie verbeteringen en blijft de assuranceketen duurzaam.
Compliance & Frameworks
- BIO: 12.04.01, 12.05.01, 12.06.01 - Borgt tijdige updates, configuratiebeheer en logging voor alle apparaten die overheidsprocessen ondersteunen.
- ISO 27001:2022: A.5.15, A.5.23, A.8.7, A.8.8 - Ondersteunt beleid voor mobiele apparatuur, kwetsbaarhedenbeheer en beveiliging van informatie tijdens verwerking.
- NIS2: Artikel - Verplicht risicobeheer, rapportage en ketenborging voor vitale en belangrijke entiteiten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Assessment, monitoring en remediatie van Intune Device Compliance Policies.
.DESCRIPTION
Verzamelt configuraties via Microsoft Graph, valideert assignments, minimale OS-versies en
conditional access afhankelijkheden, en biedt uitvoerbare instructies voor herstel.
.NOTES
Filename : device-compliance-policies.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Version : 1.0
Related : content/m365/endpoint-management/device-compliance-policies.json
.EXAMPLE
.\device-compliance-policies.ps1 -Assessment -LocalDebug
.EXAMPLE
.\device-compliance-policies.ps1 -Monitoring -ExportPath .\compliance-report.csv
.EXAMPLE
.\device-compliance-policies.ps1 -Remediation -WhatIf
#>
#Requires -Version 5.1
[CmdletBinding(DefaultParameterSetName = 'Assessment')]
param(
[Parameter(ParameterSetName = 'Assessment')]
[switch]$Assessment,
[Parameter(ParameterSetName = 'Monitoring')]
[switch]$Monitoring,
[Parameter(ParameterSetName = 'Monitoring')]
[string]$ExportPath,
[Parameter(ParameterSetName = 'Remediation')]
[switch]$Remediation,
[switch]$LocalDebug,
[switch]$WhatIf
)
Set-StrictMode -Version Latest
$ErrorActionPreference = 'Stop'
function Write-NbvcBanner {
param([string]$Title)
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Device Compliance Policies - $Title" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
}
function Initialize-NbvcEndpointComplianceContext {
if ($LocalDebug) {
Write-Verbose "LocalDebug actief: Graph-verbinding wordt overgeslagen."
return
}
$requiredModules = @('Microsoft.Graph.Authentication')
foreach ($module in $requiredModules) {
if (-not (Get-Module -ListAvailable -Name $module)) {
throw "Vereist PowerShell-module '$module' ontbreekt. Installeer het Microsoft Graph PowerShell SDK voordat je dit script uitvoert."
}
}
$context = Get-MgContext
if (-not $context) {
Write-Host "Verbinden met Microsoft Graph..." -ForegroundColor Yellow
$scopes = @(
'DeviceManagementConfiguration.Read.All',
'DeviceManagementManagedDevices.Read.All',
'DeviceManagementServiceConfig.Read.All',
'Policy.Read.All'
)
Connect-MgGraph -Scopes $scopes -ErrorAction Stop | Out-Null
$context = Get-MgContext
}
if ($context.ApiVersion -ne 'beta') {
Select-MgProfile -Name 'beta'
}
}
function Get-EndpointComplianceSampleData {
$now = Get-Date
return [pscustomobject]@{
Policies = @(
[pscustomobject]@{
displayName = 'Windows 11 Baseline'
platform = 'windows10'
osMinimumVersion = '10.0.22631.3527'
passwordRequired = $true
deviceThreatProtectionEnabled = $true
assignments = @(
[pscustomobject]@{ target = 'All-Windows' },
[pscustomobject]@{ target = 'VIP-Devices' }
)
},
[pscustomobject]@{
displayName = 'iOS BYOD'
platform = 'iOS'
osMinimumVersion = '17.0'
jailbreakDetectionEnabled = $true
assignments = @(
[pscustomobject]@{ target = 'All-iOS' }
)
}
)
PolicySummaries = @(
[pscustomobject]@{
setting = 'passwordRequired'
compliantDeviceCount = 1820
nonCompliantDeviceCount = 12
},
[pscustomobject]@{
setting = 'osMinimumVersion'
compliantDeviceCount = 1790
nonCompliantDeviceCount = 34
}
)
ManagedDevices = @(
[pscustomobject]@{
deviceName = 'Gemeente-LAP-0001'
operatingSystem = 'Windows 11'
complianceState = 'compliant'
lastSyncDateTime = $now.AddHours(-3)
ownerType = 'company'
userDisplayName = 'FG Gemeente'
},
[pscustomobject]@{
deviceName = 'WBNI-Inspectie-Tablet-08'
operatingSystem = 'Android'
complianceState = 'compliant'
lastSyncDateTime = $now.AddHours(-4)
ownerType = 'company'
userDisplayName = 'Inspecteur'
}
)
Filters = @(
[pscustomobject]@{
displayName = 'Win11-Secure'
platform = 'windows10AndLater'
assignmentFilterType = 'include'
rule = '(device.model -eq \"Surface Pro 10\")'
}
)
ConditionalAccess = @(
[pscustomobject]@{
displayName = 'CA-Kritieke-Apps'
state = 'enabled'
grantControls = @{
builtInControls = @('compliantDevice', 'mfa')
}
}
)
}
}
function Get-EndpointComplianceInventory {
Initialize-NbvcEndpointComplianceContext
if ($LocalDebug) {
return Get-EndpointComplianceSampleData
}
try {
$policies = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/deviceCompliancePolicies?`$expand=assignments" -ErrorAction Stop
$summaries = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/deviceCompliancePolicySettingStateSummaries" -ErrorAction Stop
$devices = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/managedDevices?`$select=deviceName,operatingSystem,ownerType,complianceState,lastSyncDateTime,userDisplayName&`$top=999" -ErrorAction Stop
$filters = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/assignmentFilters" -ErrorAction Stop
$conditionalAccess = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/identity/conditionalAccess/policies?`$filter=contains(grantControls/builtInControls,'compliantDevice')" -ErrorAction Stop
return [pscustomobject]@{
Policies = $policies.value
PolicySummaries = $summaries.value
ManagedDevices = $devices.value
Filters = $filters.value
ConditionalAccess = $conditionalAccess.value
}
}
catch {
throw "Kon compliance-inventaris niet ophalen: $($_.Exception.Message)"
}
}
function Invoke-EndpointComplianceAssessment {
Write-NbvcBanner -Title "Assessment"
$inventory = Get-EndpointComplianceInventory
$findings = @()
$policies = @($inventory.Policies)
if ($policies.Count -lt 2) {
$findings += "Er zijn minder dan twee actieve complianceprofielen gevonden."
}
foreach ($policy in $policies) {
$assignments = @($policy.assignments)
if (-not $assignments -or $assignments.Count -eq 0) {
$findings += "Profiel '$($policy.displayName)' heeft geen assignments."
}
if ($policy.PSObject.Properties['osMinimumVersion'] -and [string]::IsNullOrWhiteSpace($policy.osMinimumVersion)) {
$findings += "Profiel '$($policy.displayName)' heeft geen minimale OS-versie ingesteld."
}
if ($policy.PSObject.Properties['passwordRequired'] -and -not $policy.passwordRequired) {
$findings += "Profiel '$($policy.displayName)' staat toe dat er geen device-PIN/wachtwoord is ingesteld."
}
if ($policy.PSObject.Properties['deviceThreatProtectionEnabled'] -and -not $policy.deviceThreatProtectionEnabled) {
$findings += "Profiel '$($policy.displayName)' vereist geen Defender/ATP-integratie."
}
}
if (@($inventory.Filters).Count -eq 0) {
$findings += "Er zijn geen Intune assignment filters gevonden; dynamische targeting ontbreekt."
}
$enabledCa = @($inventory.ConditionalAccess | Where-Object { $_.state -eq 'enabled' })
if ($enabledCa.Count -eq 0) {
$findings += "Er is geen ingeschakelde Conditional Access policy gevonden die 'compliantDevice' afdwingt."
}
$now = Get-Date
$staleDevices = @(
$inventory.ManagedDevices | Where-Object {
$_.complianceState -ne 'compliant' -or
($_.PSObject.Properties['lastSyncDateTime'] -and
(($now - [datetime]$_.lastSyncDateTime).TotalHours -gt 48))
}
)
if ($staleDevices.Count -gt 0) {
$findings += "Er zijn $($staleDevices.Count) apparaten non-compliant of langer dan 48 uur zonder check-in."
}
if ($findings.Count -eq 0) {
Write-Host "COMPLIANT: Alle gecontroleerde onderdelen voldoen aan de baseline." -ForegroundColor Green
return 0
}
Write-Host "NON-COMPLIANT: $($findings.Count) bevinding(en) gevonden." -ForegroundColor Red
foreach ($finding in $findings) {
Write-Host " - $finding" -ForegroundColor Yellow
}
if ($staleDevices.Count -gt 0) {
Write-Host "`nVoorbeeld niet-conforme apparaten:" -ForegroundColor Cyan
$staleDevices | Select-Object deviceName, operatingSystem, complianceState, lastSyncDateTime |
Format-Table -AutoSize | Out-String | Write-Host
}
return 1
}
function Invoke-EndpointComplianceMonitoring {
param([string]$ExportPath)
Write-NbvcBanner -Title "Monitoring"
$inventory = Get-EndpointComplianceInventory
$totalDevices = @($inventory.ManagedDevices).Count
$nonCompliant = @($inventory.ManagedDevices | Where-Object { $_.complianceState -ne 'compliant' })
$stale = @($inventory.ManagedDevices | Where-Object {
$_.PSObject.Properties['lastSyncDateTime'] -and
((Get-Date) - [datetime]$_.lastSyncDateTime).TotalHours -gt 48
})
Write-Host ("Totaal apparaten: {0}" -f $totalDevices) -ForegroundColor Cyan
Write-Host ("Niet-conform: {0}" -f $nonCompliant.Count) -ForegroundColor Yellow
Write-Host ("Langer dan 48 uur geen check-in: {0}" -f $stale.Count) -ForegroundColor Yellow
$summaries = @($inventory.PolicySummaries)
if ($summaries.Count -gt 0) {
Write-Host "`nSetting-state samenvatting:" -ForegroundColor Cyan
$summaries |
Sort-Object -Property nonCompliantDeviceCount -Descending |
Select-Object -First 5 |
Format-Table setting, compliantDeviceCount, nonCompliantDeviceCount -AutoSize |
Out-String | Write-Host
}
if ($ExportPath) {
$directory = Split-Path -Parent $ExportPath
if ($directory -and -not (Test-Path $directory)) {
New-Item -ItemType Directory -Path $directory -Force | Out-Null
}
$inventory.ManagedDevices |
Select-Object deviceName, operatingSystem, complianceState, lastSyncDateTime, userDisplayName |
Export-Csv -Path $ExportPath -Encoding UTF8 -NoTypeInformation
Write-Host "Monitoringexport opgeslagen naar $ExportPath" -ForegroundColor Green
}
return ($nonCompliant.Count -gt 0 -or $stale.Count -gt 0) ? 1 : 0
}
function Invoke-EndpointComplianceRemediation {
Write-NbvcBanner -Title "Remediatie"
$steps = @(
"Herpubliceer missende assignments via Intune admin center > Endpoint security > Compliance policies en controleer filters.",
"Controleer per platform of osMinimumVersion en deviceThreatProtection-enabled waarden zijn ingevuld en overeenkomen met de baseline.",
"Gebruik het script in LocalDebug-modus om een CSV met niet-conforme apparaten te genereren en open automatisch ITSM-tickets.",
"Valideer of Conditional Access policies compliantDevice blijven afdwingen nadat uitzonderingen verlopen zijn.",
"Documenteer elke afwijking met risicoanalyse, einddatum en compensatiemaatregel in het controledossier."
)
foreach ($step in $steps) {
Write-Host " - $step" -ForegroundColor White
}
if ($WhatIf) {
Write-Host "`nWhatIf actief: geen wijzigingen aangebracht." -ForegroundColor Yellow
}
return 0
}
try {
switch ($PSCmdlet.ParameterSetName) {
'Assessment' {
exit (Invoke-EndpointComplianceAssessment)
}
'Monitoring' {
exit (Invoke-EndpointComplianceMonitoring -ExportPath $ExportPath)
}
'Remediation' {
exit (Invoke-EndpointComplianceRemediation)
}
default {
Write-Host "Gebruik -Assessment, -Monitoring of -Remediation (optioneel -LocalDebug, -ExportPath, -WhatIf)." -ForegroundColor Yellow
}
}
}
catch {
Write-Host "Onverwachte fout: $($_.Exception.Message)" -ForegroundColor Red
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder Device Compliance Policies blijft toegang gebaseerd op vertrouwen in plaats van feiten. Eén niet-gepatcht apparaat kan leiden tot laterale beweging, gijzelsoftware en verplichte meldingen aan AP en NCSC. Bestuurders kunnen dan niet aantonen dat zij passende maatregelen hebben genomen, met boetes of aanwijzingen tot gevolg.
Management Samenvatting
Leg compliance-eisen vast in Intune, automatiseer validatie via het script `code/m365/endpoint-management/device-compliance-policies.ps1`, koppel het resultaat aan Conditional Access en SOC-monitoring en borg audits met een gedocumenteerde beleidscyclus.
- Implementatietijd: 260 uur
- FTE required: 0.4 FTE