💼 Management Samenvatting
Hybride verbonden apparaten vormen de ruggengraat van Rijkswerkplekken, gemeentelijke inspectiediensten en ketenpartners die zowel on-premises als cloudresources ontsluiten; zonder een specifiek beveiligingsprogramma voor deze endpoints ontstaat een directe kloof in de Nederlandse Baseline voor Veilige Cloud.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
88u (tech: 60u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows Server 2022
✓ Microsoft Intune
✓ Microsoft Defender for Endpoint
✓ Windows 11
✓ Windows Server 2022
✓ Microsoft Intune
✓ Microsoft Defender for Endpoint
Hybride join scenario’s combineren lokale domeinwaarden met Entra ID-identiteiten en vragen daardoor om extra toezicht op certificaten, conditional access, kwetsbaarheden en logging, omdat één misser in deze keten leidt tot privilege escalation of bestandsversleuteling binnen zowel het datacenter als Microsoft 365.
PowerShell Modules Vereist
Primary API: Microsoft Graph en Defender for Endpoint API
Connection:
Required Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.Security
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.Security
Implementatie
Dit artikel beschrijft een compleet raamwerk voor governance, configuratie, monitoring en remediatie van hybride endpoints, inclusief een script dat assessments, bewaking en herstelacties automatiseert en auditbestendig vastlegt.
Strategie, Governance en Scope
Hybride endpointbeveiliging begint met een bestuurlijke opdracht waarin het CIO-stelsel expliciet vastlegt dat elk apparaat dat zowel domein- als Entra ID-verbindingen onderhoudt, binnen de Nederlandse Baseline voor Veilige Cloud valt. Het besluit definieert welke diensten onder deze maatregel vallen, van Rijksbreed Werkplek tot gemeentelijke inspectietablets op buitennetwerken. Door de beleidsintentie te koppelen aan concrete doelstellingen voor beschikbaarheid en integriteit, ontstaat een meetbaar kader waarmee bestuurders later kunnen toetsen of hybride apparaten daadwerkelijk dezelfde bescherming krijgen als cloud-only endpoints.
Governance vereist vervolgens een multidisciplinair team waarin werkplekbeheer, identiteitsbeheer, SOC, privacy en inkoop plaatsnemen. Zij onderhouden een gezamenlijke product backlog waarin alle hybride controles staan beschreven, inclusief verantwoordelijken, budget en afhankelijkheden richting projecten. Het team gebruikt dezelfde ritmes als het securityboard: maandelijks rapporteren over implementaties, kwartaalreviews voor volwassenheid en halfjaarlijkse bijstelling van KPI’s. Omdat hybride endpoints vaak legacy afhankelijkheden kennen, worden uitzonderingen expliciet gekoppeld aan risicoregisters, zodat bestuurders kunnen beslissen of tijdelijke dispensaties verantwoord zijn.
Een accurate scope is onmisbaar. Organisaties inventariseren alle apparaten met een hybride join via Intune, Active Directory en CMDB’s, inclusief tijdelijke laptops voor crisisteams en OT-werkstations die toch cloudrapportages versturen. Elk apparaat krijgt een dataclassificatie en wordt gekoppeld aan een proceseigenaar. Die eigenaar ondertekent dat het apparaat de vereiste maatregelen toepast, zoals BitLocker, Credential Guard, Defender for Endpoint onboarding en lokale firewallprofielen. Door deze stap al tijdens de inventarisatie wettelijk te verankeren in Archiefwet-waardige dossiers, is later aantoonbaar welke keuzes zijn gemaakt.
De juridische borging bouwt voort op kaders uit de BIO en NIS2. Beleidsdocumenten koppelen hybride apparaten expliciet aan BIO-maatregelen 12.04 en 12.05 en beschrijven hoe logging wordt gemuteerd naar een centrale voorziening. Tegelijkertijd worden afspraken gemaakt met privacy officers voor situaties waarin hybride apparaten persoonsgegevens verwerken buiten de reguliere kantoortijd, bijvoorbeeld bij inspecties op locatie. Deze afspraken bevatten concrete bewaartermijnen, gebruiksprofielen en procedures voor dataminimalisatie zodat AVG-risico’s beheersbaar blijven.
Tot slot wordt governance vertaald naar contractmanagement. In uitbestedingsrelaties krijgen leveranciers dezelfde verplichtingen als interne teams, inclusief deelname aan het hybride change board en rapportage over complianceratio’s. Service level agreements bevatten drempels voor patchlatentie, encryptiepercentages en incidentrespons, waarbij boetebepalingen automatisch ingaan wanneer hybride apparaten buiten de afgesproken marges vallen. Zo blijft de volledige keten bestuurbaar en is duidelijk wie verantwoordelijk is zodra een apparaat zowel on-premises als cloud toegang biedt.
Technische Baseline en Assessment
Gebruik PowerShell-script device-security-hybrid.ps1 (functie Invoke-HybridSecurityAssessment) – Valideert of hybride apparaten voldoen aan join-eisen, encryptiestandaarden, Defender-statussen en synchrone updates volgens de Nederlandse Baseline voor Veilige Cloud..
De technische baseline begint bij het afdwingen van hybride join via Azure AD Connect en Intune enrollment profiles. Elk apparaat moet aantoonbaar beschikken over een geldig computer-certificaat, moderne TLS-instellingen en automatische registratie in Entra ID. De assessmentfunctie in het script controleert deze waarden door Graph-data te vergelijken met Intune managementinformatie. Apparaten zonder actuele join-type of met een verlopen certificaat worden onmiddellijk gemarkeerd als non-compliant, waardoor beheerders niet meer handmatig hoeven te filteren.
Parallel daaraan gelden harde eisen voor platformconfiguratie. Windows 10 en 11 endpoints moeten BitLocker met XTS-AES 256 gebruiken, Secure Boot inschakelen en Credential Guard actief hebben. Voor servers die hybride workloads draaien, schrijft het beleid minimaal TLS 1.2 en exploit guard profielen voor. Het artikel beschrijft stap voor stap hoe deze instellingen via Intune templates, Group Policy en ConfigMgr worden afgedwongen, inclusief testen op ontwikkelomgevingen die met LocalDebug draaien zodat storing in productie wordt voorkomen.
Defender for Endpoint vormt de standaard voor detectie. Het script haalt deviceThreatProtectionState en malwarecijfers op om te controleren of sensoren actief zijn, EDR in block mode draait en of realtime bescherming niet handmatig is uitgeschakeld. Zodra een apparaat meer dan drie actieve malwaremeldingen bevat of de Defender status onbekend is, registreert de functie een issue inclusief bindende opvolgactie. Elke zoekslag wordt voorzien van een tijdstempel en hashwaarde zodat de uitkomst als auditbewijs kan worden opgeslagen.
Updates en certificaatketens zijn eveneens onderdeel van de baseline. Het artikel beschrijft hoe Windows Update for Business-ringen afgestemd worden op ketenkritische applicaties en hoe ADCS- of Intune-certificaatsjablonen automatisch worden verlengd. Het assessmentscript vergelijkt buildnummers en patchniveaus met vooraf ingestelde drempels en controleert of certificaten binnen dertig dagen verlopen. Hiermee kunnen organisaties aantonen dat hybride endpoints niet achterlopen op cloud-only werkplekken, een cruciale eis tijdens Rijksinspecties.
Tot slot is er aandacht voor authenticatieketens. Hybride apparaten moeten FIPS-compatibele sleutelopslag gebruiken, PRT-vernieuwing binnen 14 uur uitvoeren en geen lokale administratieve accounts zonder PIM registreren. De assessmentfunctie combineert gegevens uit Intune en Entra ID om afwijkingen te signaleren en genereert een rapport dat direct naar het securityboard kan worden gestuurd. Hierdoor is het duidelijk welke teams actie moeten ondernemen om de baseline te herstellen.
Realtime Bewaking en Ketenintegratie
Gebruik PowerShell-script device-security-hybrid.ps1 (functie Invoke-HybridSecurityMonitoring) – Levert een overzicht van hybride apparaten, compliancepercentages, Defender-waarschuwingen en exporteert bewijsbestanden voor SOC- en auditdoeleinden..
Monitoring volgt dezelfde keten als het Nationaal Responsraamwerk: Intune en Defender leveren ruwe data, Sentinel correleert gebeurtenissen en het SOC genereert runbooks. Het script bundelt deze gegevens elke nacht, toetst de uitkomsten aan vooraf ingestelde KPI’s en schrijft optioneel een CSV weg in een SharePoint-bibliotheek met retentie. Hierdoor blijft bewaking schaalbaar, zelfs bij duizenden endpoints verdeeld over verschillende bestuurslagen.
De bewakingsfunctie berekent de verhouding tussen hybride en niet-hybride apparaten, controleert of minimaal 98 procent binnen 24 uur synchroniseert en markeert elk apparaat dat offline raakt nadat een kritieke waarschuwing is gegeven. Deze signalen worden via webhooks doorgezet naar het ITSM-systeem zodat operationele teams niet afhankelijk zijn van losse mails. Dezelfde data voedt dashboards voor het securityboard, waardoor bestuurders realtime zicht hebben op risico’s.
Integratie met netwerkbeveiliging is essentieel. Het artikel legt uit hoe Conditional Access policies een blokkerende regel bevatten die alleen hybride apparaten met succesvolle compliance-check toegang verleent tot gevoelige SaaS-diensten. Tevens worden firewall- en VPN-logboeken gekoppeld zodat afwijkende geografische aanmeldingen direct een incidenttrigger vormen. Deze keten zorgt ervoor dat hybride endpoints niet ongemerkt buiten de gestelde kaders kunnen opereren.
Het SOC gebruikt Microsoft Sentinel of Splunk om de CSV-exporten te verrijken met dreigingsinformatie. Wanneer Defender for Endpoint een medium- of high-severity melding afgeeft op een hybride apparaat, corrigeert het script de status in de monitoringuitvoer en zet automatisch een taak klaar voor het incident response team. Door deze gesloten feedbackloop zijn onderzoek, communicatie en herstel exact vastgelegd, wat de auditlast aanzienlijk verlaagt.
Ook leveranciers worden meegenomen in de monitoringketen. Contracten verplichten hen om dezelfde rapportagestructuur te hanteren en toegang te geven tot de exportbestanden zodat gezamenlijke processen getest kunnen worden tijdens crisis- of continuïteitsoefeningen. De organisatie kan hierdoor aantonen dat hybridescenario’s in de gehele keten getest en bewaakt worden, een eis die toezichthouders steeds vaker opnemen in rapportages.
Remediatie, Continu Verbeteren en Audit
Gebruik PowerShell-script device-security-hybrid.ps1 (functie Invoke-HybridRemediationGuide) – Geeft stap-voor-stap herstelacties, afhankelijkheden en documentatievereisten voor hybride endpoints inclusief WhatIf-simulatie..
Een helder remediatieproces voorkomt dat hybride apparaten te lang buiten de baseline vallen. Zodra het script een kritieke afwijking detecteert, maakt het ITSM automatisch een ticket aan met de context, drempelwaarde en eigenaar. Het werkplekteam volgt een runbook waarin staat hoe opnieuw wordt geregistreerd bij Entra ID, hoe BitLocker-keys worden gecontroleerd en hoe lokale beheerdersrechten tijdelijk worden ingetrokken. Door deze werkwijze zijn acties reproduceerbaar en wordt menselijke interpretatie tot een minimum beperkt.
De `Invoke-HybridRemediationGuide`-functie ondersteunt teams met concrete aanwijzingen. In WhatIf-modus doorlopen beheerders trainingen zonder wijzigingen door te voeren, terwijl tijdens echte incidenten automatisch wordt gelogd welke stappen zijn uitgevoerd. Elke remedie koppelt aan het risicoregister, zodat bestuurders exact zien welk risico tijdelijk hoger is en wanneer het weer op het oorspronkelijke niveau ligt.
Continu verbeteren betekent dat lessons learned structureel terugkomen in het baseline-ontwerp. Na elk incident worden de drempelwaarden van monitoring herijkt, wordt gekeken of nieuwe Intune- of Defender-functionaliteit benut kan worden en wordt beoordeeld of leveranciersafspraken nog aansluiten. Het artikel beschrijft hoe table-top oefening met crisisorganisaties wordt ingezet om hybriede scenario’s te testen en hoe resultaten worden ingebouwd in architectuurdossiers.
Auditbestendigheid komt voort uit gedetailleerde bewijsvoering. Rapportages bevatten hashwaarden, ondertekeningen van proceseigenaren en verwijzingen naar de betreffende BIO- of NIS2-artikelen. Bewijsstukken worden minimaal zeven jaar bewaard in een door de Archiefwet goedgekeurde omgeving. Bij steekproeven van Rijksauditdiensten kan direct worden aangetoond welke apparaten wanneer zijn hersteld, inclusief verwijzigingen naar exportbestanden en scriptlogboeken.
Tot slot wordt remediatie gekoppeld aan verandermanagement. Elke structurele wijziging aan hybride controls doorloopt een change-proces waarin beveiliging, privacy en operations gezamenlijk toetsen of de voorgestelde wijziging het gewenste effect heeft. Door dit proces in dezelfde workflowtool te plaatsen als de scriptuitvoer ontstaat één bron van waarheid die auditteams vertrouwen. Daarmee is het volledige lifecyclebeheer van hybride endpoints aantoonbaar volwassen.
Compliance & Frameworks
- BIO: 12.04.01, 12.05.01, 12.07.01 - Borgt dat beheer, wijzigingsproces en logging van hybride endpoints aantoonbaar onder toezicht staan.
- ISO 27001:2022: A.5.23, A.8.8, A.8.9 - Ondersteunt configuratiebeheer, kwetsbaarheidsbeheer en continue verbetering van technische controles.
- NIS2: Artikel - Verplicht organisaties om hybride endpoints te voorzien van technische en organisatorische maatregelen die de bedrijfscontinuïteit waarborgen.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Hybride endpointbeveiliging – assessment, monitoring en remediatie.
.DESCRIPTION
Controleert de beveiligingsstatus van hybride gekoppelde Windows-apparaten,
bewaakt realtime signalen uit Intune en Defender for Endpoint en levert
remediatie-instructies volgens de Nederlandse Baseline voor Veilige Cloud.
.NOTES
Filename : device-security-hybrid.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Version : 1.0
Related : content/m365/endpoint/device-security-hybrid.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph.DeviceManagement
#Requires -Modules Microsoft.Graph.Security
[CmdletBinding(DefaultParameterSetName = 'Assessment')]
param(
[Parameter(ParameterSetName = 'Assessment')]
[switch]$Assessment,
[Parameter(ParameterSetName = 'Monitoring')]
[switch]$Monitoring,
[Parameter(ParameterSetName = 'Remediation')]
[switch]$Remediation,
[switch]$LocalDebug,
[string]$ExportPath,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Hybride Endpointbeveiliging" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Initialize-HybridEndpointContext {
if ($LocalDebug) {
Write-Verbose "LocalDebug actief: Graph-verbinding wordt overgeslagen."
return
}
$context = Get-MgContext
if (-not $context) {
Write-Host "Verbinden met Microsoft Graph..." -ForegroundColor Yellow
Connect-MgGraph -Scopes @(
'DeviceManagementManagedDevices.Read.All',
'DeviceManagementConfiguration.Read.All',
'SecurityEvents.Read.All'
) -ErrorAction Stop | Out-Null
$context = Get-MgContext
}
if ($context.ApiVersion -ne 'beta') {
Select-MgProfile -Name 'beta'
}
}
function Invoke-PagedGraphRequest {
param(
[Parameter(Mandatory = $true)]
[string]$Uri
)
$results = @()
$nextLink = $Uri
do {
$response = Invoke-MgGraphRequest -Method GET -Uri $nextLink -ErrorAction Stop
if ($response.value) {
$results += $response.value
}
else {
$results += $response
}
$nextLink = $response.'@odata.nextLink'
}
while ($nextLink)
return $results
}
function Get-HybridSampleData {
$now = Get-Date
return [pscustomobject]@{
Devices = @(
[pscustomobject]@{
deviceName = 'RWS-HYB-001'
userDisplayName = 'Inspecteur Rijkswaterstaat'
operatingSystem = 'Windows 11'
joinType = 'hybridAzureADJoined'
complianceState = 'compliant'
lastSyncDateTime = $now.AddHours(-6)
isEncrypted = $true
deviceThreatProtectionState= 'active'
windowsActiveMalwareCount = 0
osVersion = '10.0.22631.2861'
},
[pscustomobject]@{
deviceName = 'Gemeente-HYB-044'
userDisplayName = 'Teamleider Vergunningen'
operatingSystem = 'Windows 10'
joinType = 'hybridAzureADJoined'
complianceState = 'nonCompliant'
lastSyncDateTime = $now.AddHours(-36)
isEncrypted = $false
deviceThreatProtectionState= 'inactive'
windowsActiveMalwareCount = 2
osVersion = '10.0.19045.4651'
},
[pscustomobject]@{
deviceName = 'ILT-HYB-017'
userDisplayName = 'Auditor ILT'
operatingSystem = 'Windows 11'
joinType = 'azureADJoined'
complianceState = 'compliant'
lastSyncDateTime = $now.AddHours(-20)
isEncrypted = $true
deviceThreatProtectionState= 'active'
windowsActiveMalwareCount = 0
osVersion = '10.0.22621.3740'
}
)
Alerts = @(
[pscustomobject]@{
id = 'alert-1'
deviceDisplayName = 'Gemeente-HYB-044'
severity = 'high'
status = 'active'
classification = 'truePositive'
lastUpdateDateTime= $now.AddHours(-1)
}
)
}
}
function Get-HybridDeviceInventory {
Initialize-HybridEndpointContext
if ($LocalDebug) {
return Get-HybridSampleData
}
$deviceUri = "https://graph.microsoft.com/beta/deviceManagement/managedDevices?`$select=deviceName,userDisplayName,operatingSystem,joinType,complianceState,lastSyncDateTime,isEncrypted,deviceRegistrationState,deviceType,windowsActiveMalwareCount,deviceThreatProtectionState,osVersion,azureADRegistered&`$top=999"
$devices = Invoke-PagedGraphRequest -Uri $deviceUri
$alerts = @()
try {
$alertUri = "https://graph.microsoft.com/beta/security/alerts?`$filter=serviceSource eq 'microsoftDefenderForEndpoint'&`$select=id,deviceDisplayName,severity,status,classification,lastUpdateDateTime&`$top=200"
$alerts = Invoke-PagedGraphRequest -Uri $alertUri
}
catch {
Write-Verbose "Kon Defender-waarschuwingen niet ophalen: $_"
}
return [pscustomobject]@{
Devices = $devices
Alerts = $alerts
}
}
function Get-HybridDevicesSubset {
param(
[Parameter(Mandatory = $true)]
[array]$Devices
)
return @(
$Devices | Where-Object {
$_.joinType -eq 'hybridAzureADJoined' -or
$_.deviceRegistrationState -match 'Hybrid' -or
($_.PSObject.Properties['azureADRegistered'] -and $_.azureADRegistered)
}
)
}
function Invoke-HybridSecurityAssessment {
try {
$inventory = Get-HybridDeviceInventory
$devices = @($inventory.Devices)
if ($devices.Count -eq 0) {
Write-Host "Er zijn geen beheerde apparaten gevonden." -ForegroundColor Yellow
return 2
}
$hybridDevices = Get-HybridDevicesSubset -Devices $devices
$issues = New-Object System.Collections.Generic.List[string]
if ($hybridDevices.Count -eq 0) {
$issues.Add('Geen hybride endpoints aangetroffen in de tenant.') | Out-Null
}
else {
$ratio = [math]::Round(($hybridDevices.Count / $devices.Count) * 100, 2)
if ($ratio -lt 80) {
$issues.Add("Slechts $ratio% van de gemonitorde apparaten is hybride gekoppeld; streefwaarde 90%.") | Out-Null
}
$nonEncrypted = $hybridDevices | Where-Object {
$_.PSObject.Properties['isEncrypted'] -and -not [bool]$_.isEncrypted
}
if ($nonEncrypted.Count -gt 0) {
$issues.Add("$($nonEncrypted.Count) hybride endpoints missen schijfversleuteling.") | Out-Null
}
$staleSync = $hybridDevices | Where-Object {
$_.PSObject.Properties['lastSyncDateTime'] -and
((Get-Date) - [datetime]$_.lastSyncDateTime).TotalHours -gt 24
}
if ($staleSync.Count -gt 0) {
$issues.Add("$($staleSync.Count) hybride endpoints hebben langer dan 24 uur niet gesynchroniseerd.") | Out-Null
}
$threatIssues = $hybridDevices | Where-Object {
$_.PSObject.Properties['deviceThreatProtectionState'] -and
($_.deviceThreatProtectionState -notin @('active','fullProtection'))
}
if ($threatIssues.Count -gt 0) {
$issues.Add("$($threatIssues.Count) hybride endpoints missen een actieve Defender-bescherming.") | Out-Null
}
$malware = $hybridDevices | Where-Object {
$_.PSObject.Properties['windowsActiveMalwareCount'] -and
[int]$_.windowsActiveMalwareCount -gt 0
}
if ($malware.Count -gt 0) {
$issues.Add("$($malware.Count) hybride endpoints hebben actieve malwarecases volgens Defender.") | Out-Null
}
$nonCompliant = $hybridDevices | Where-Object { $_.complianceState -ne 'compliant' }
if ($nonCompliant.Count -gt 0) {
$issues.Add("$($nonCompliant.Count) hybride endpoints staan als non-compliant geregistreerd in Intune.") | Out-Null
}
}
if ($issues.Count -eq 0) {
Write-Host "COMPLIANT: hybride endpoints voldoen aan de basiscontroles." -ForegroundColor Green
return 0
}
else {
Write-Host "NON-COMPLIANT: $($issues.Count) aandachtspunten gevonden." -ForegroundColor Red
$issues | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
return 1
}
}
catch {
Write-Host "ERROR tijdens hybride assessment: $_" -ForegroundColor Red
return 2
}
}
function Invoke-HybridSecurityMonitoring {
param(
[string]$ExportPath
)
try {
$inventory = Get-HybridDeviceInventory
$devices = @($inventory.Devices)
if ($devices.Count -eq 0) {
Write-Host "Geen apparaatdata beschikbaar." -ForegroundColor Yellow
return 2
}
$hybridDevices = Get-HybridDevicesSubset -Devices $devices
$alerts = @($inventory.Alerts)
$hybridCount = $hybridDevices.Count
$compliantCount = ($hybridDevices | Where-Object { $_.complianceState -eq 'compliant' }).Count
$encryptedCount = ($hybridDevices | Where-Object { $_.PSObject.Properties['isEncrypted'] -and [bool]$_.isEncrypted }).Count
$hybridRatio = if ($devices.Count -eq 0) { 0 } else { [math]::Round(($hybridCount / $devices.Count) * 100, 2) }
$compliantRatio = if ($hybridCount -eq 0) { 0 } else { [math]::Round(($compliantCount / $hybridCount) * 100, 2) }
$encryptedRatio = if ($hybridCount -eq 0) { 0 } else { [math]::Round(($encryptedCount / $hybridCount) * 100, 2) }
Write-Host ("Hybride dekking : {0}% ({1}/{2})" -f $hybridRatio, $hybridCount, $devices.Count) -ForegroundColor Cyan
Write-Host ("Compliant ratio : {0}% ({1}/{2})" -f $compliantRatio, $compliantCount, $hybridCount) -ForegroundColor Cyan
Write-Host ("Encryptie ratio : {0}% ({1}/{2})" -f $encryptedRatio, $encryptedCount, $hybridCount) -ForegroundColor Cyan
$staleDevices = $hybridDevices | Where-Object {
$_.PSObject.Properties['lastSyncDateTime'] -and
((Get-Date) - [datetime]$_.lastSyncDateTime).TotalHours -gt 24
}
if ($staleDevices.Count -gt 0) {
Write-Host "$($staleDevices.Count) hybride endpoints hebben een achterstallige synchronisatie." -ForegroundColor Yellow
}
else {
Write-Host "Alle hybride endpoints synchroniseren binnen 24 uur." -ForegroundColor Green
}
if ($alerts.Count -gt 0) {
Write-Host "$($alerts.Count) actieve Defender-waarschuwingen voor hybride apparaten." -ForegroundColor Red
}
else {
Write-Host "Geen actieve Defender-waarschuwingen gevonden." -ForegroundColor Green
}
$report = $hybridDevices | ForEach-Object {
[pscustomobject]@{
DeviceName = $_.deviceName
User = $_.userDisplayName
JoinType = $_.joinType
Compliance = $_.complianceState
Encrypted = $_.isEncrypted
LastSync = $_.lastSyncDateTime
ThreatState = $_.deviceThreatProtectionState
MalwareCount = $_.windowsActiveMalwareCount
OSVersion = $_.osVersion
}
}
if ($ExportPath) {
$directory = Split-Path -Parent $ExportPath
if ($directory -and -not (Test-Path $directory)) {
New-Item -ItemType Directory -Path $directory -Force | Out-Null
}
$report | Export-Csv -Path $ExportPath -NoTypeInformation -Encoding UTF8
Write-Host "Rapport geëxporteerd naar $ExportPath" -ForegroundColor Green
}
$needsAttention = ($staleDevices.Count -gt 0) -or ($alerts.Count -gt 0)
return $needsAttention ? 1 : 0
}
catch {
Write-Host "ERROR tijdens monitoring: $_" -ForegroundColor Red
return 2
}
}
function Invoke-HybridRemediationGuide {
try {
Write-Host "Remediatie-instructies voor hybride endpoints:" -ForegroundColor Yellow
Write-Host "1. Forceer een Intune-sync en verifieer hybride join met 'dsregcmd /status' of het Graph-rapport." -ForegroundColor Gray
Write-Host "2. Controleer BitLocker-status, herstelkeys en activeer Credential Guard voordat toegang wordt hersteld." -ForegroundColor Gray
Write-Host "3. Herstel Defender for Endpoint sensor, voer een volledige scan uit en sluit het incident pas nadat malwarecount nul is." -ForegroundColor Gray
Write-Host "4. Documenteer acties en herbevestig Conditional Access policies via het change-proces." -ForegroundColor Gray
if ($WhatIf) {
Write-Host "WhatIf actief: stappen zijn uitsluitend ter simulatie uitgevoerd." -ForegroundColor Yellow
}
return 0
}
catch {
Write-Host "ERROR tijdens remediatie-instructies: $_" -ForegroundColor Red
return 2
}
}
try {
switch ($PSCmdlet.ParameterSetName) {
'Assessment' {
$exitCode = Invoke-HybridSecurityAssessment
exit $exitCode
}
'Monitoring' {
$exitCode = Invoke-HybridSecurityMonitoring -ExportPath $ExportPath
exit $exitCode
}
'Remediation' {
$exitCode = Invoke-HybridRemediationGuide
exit $exitCode
}
default {
Write-Host "Gebruik -Assessment, -Monitoring of -Remediation (optioneel -LocalDebug, -ExportPath, -WhatIf)." -ForegroundColor Yellow
}
}
}
catch {
Write-Host "Onverwachte fout: $_" -ForegroundColor Red
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder een specifiek hybride endpointprogramma ontstaat een gat tussen on-premises en cloudbeveiliging waardoor ransomware of credential theft vrijwel onbelemmerd beide werelden kan compromitteren.
Management Samenvatting
Standaardiseer governance, configuratie, monitoring en remediatie voor hybride apparaten en automatiseer controles met Microsoft Graph zodat de veiligheidseisen van de Nederlandse Baseline voor Veilige Cloud aantoonbaar worden gehaald.
- Implementatietijd: 88 uur
- FTE required: 0.4 FTE