L1 BIO 9.01 ISO A.5.1 CIS 5.3

Successieplanning Voor Microsoft 365 Governance En Beveiliging

📅 2025-01-15
⏱️ 25 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Successieplanning voor Microsoft 365 governance en beveiliging is een structurele aanpak om ervoor te zorgen dat kritieke kennis, verantwoordelijkheden en toegangsrechten worden overgedragen wanneer sleutelpersonen de organisatie verlaten of van functie wisselen. Voor Nederlandse overheidsorganisaties is dit essentieel omdat beveiligingsfuncties vaak afhankelijk zijn van specifieke expertise en omdat BIO, AVG en NIS2 vereisen dat organisaties kunnen aantonen dat beveiligingsprocessen niet afhankelijk zijn van individuele personen. Zonder effectieve successieplanning ontstaat het risico dat kritieke beveiligingsconfiguraties onbeheerd blijven, dat incidentrespons wordt vertraagd omdat niemand weet hoe systemen werken, en dat compliance-verplichtingen niet worden nageleefd omdat kennis verloren gaat.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
200u (tech: 80u)
Van toepassing op:
M365
Publieke Sector
Overheidsorganisaties

Zonder successieplanning ontstaan er verschillende risico's die de beveiligingspostuur en continuïteit van de organisatie kunnen ondermijnen. Wanneer een CISO, security officer of beheerder met kritieke kennis de organisatie verlaat, kan dit leiden tot kennisverlies over specifieke configuraties, incidentresponsprocedures of compliance-aanpak. Dit vertraagt de respons op incidenten, maakt het moeilijk om audits uit te voeren en kan leiden tot configuratiefouten wanneer nieuwe medewerkers systemen moeten overnemen zonder adequate documentatie. Bovendien kunnen toegangsrechten onbeheerd blijven wanneer accounts niet tijdig worden uitgeschakeld of overgedragen, wat beveiligingsrisico's creëert. BIO, AVG en NIS2 stellen expliciet dat organisaties moeten aantonen dat beveiligingsprocessen niet afhankelijk zijn van individuele personen en dat kennis structureel wordt geborgd. Een effectieve successieplanning maakt het mogelijk om deze verantwoordelijkheid invulling te geven door kritieke rollen te identificeren, kennis te documenteren, overdrachtsprocessen te formaliseren en toegangsrechten te beheren. Bovendien helpt successieplanning om continuïteit te waarborgen tijdens transitieperiodes en om nieuwe medewerkers sneller productief te maken door gestructureerde kennisoverdracht.

PowerShell Modules Vereist
Primary API: Microsoft 365 Defender, Microsoft Purview en Microsoft Graph
Connection: Connect-MgGraph; Connect-IPPSSession
Required Modules: Microsoft.Graph, ExchangeOnlineManagement

Implementatie

Dit artikel beschrijft hoe u een successieplanning voor Microsoft 365 governance en beveiliging ontwikkelt die geschikt is voor de context van Nederlandse overheidsorganisaties. De planning omvat het identificeren van kritieke rollen en functies, het documenteren van kennis en verantwoordelijkheden, het formaliseren van overdrachtsprocessen, het beheren van toegangsrechten en het waarborgen van continuïteit tijdens transitieperiodes. De kern is dat successieplanning niet alleen reactief is voor wanneer iemand vertrekt, maar proactief wordt ingebed in reguliere governanceprocessen zodat kennis continu wordt gedeeld en gedocumenteerd. Het artikel behandelt de opzet van het successieplanningproces, de rol van verschillende stakeholders, de koppeling met toegangsbeheer en compliance-vereisten, en de manier waarop PowerShell-scripts kunnen worden ingezet om successieplanning te ondersteunen met actuele tenantdata over rollen, toegangsrechten en configuraties.

Identificatie van kritieke rollen en kennis

Een effectieve successieplanning begint bij het identificeren van welke rollen en functies kritiek zijn voor Microsoft 365 governance en beveiliging, en welke kennis en verantwoordelijkheden bij deze rollen horen. Voor Nederlandse overheidsorganisaties zijn dit typisch rollen zoals CISO, security officer, compliance officer, identity and access management specialist, incident response coordinator, en Microsoft 365 beheerder. Elke rol heeft specifieke verantwoordelijkheden, toegangsrechten en kennis die essentieel zijn voor de beveiligingspostuur van de organisatie. Het is belangrijk om niet alleen te kijken naar formele functietitels, maar ook naar de daadwerkelijke verantwoordelijkheden en expertise die personen hebben opgebouwd tijdens hun werkzaamheden. Soms heeft een medewerker met een algemene functietitel specifieke expertise ontwikkeld die kritiek is voor bepaalde configuraties of processen.

Voor elke kritieke rol moet worden gedocumenteerd welke kennis en expertise nodig is, welke toegangsrechten en beheerdersrollen bij de rol horen, welke configuraties en processen de rol beheert, en welke compliance-verantwoordelijkheden de rol heeft. Dit documentatieproces helpt om duidelijk te maken wat er nodig is om de rol effectief uit te voeren, en vormt de basis voor kennisoverdracht en training van opvolgers. Bovendien helpt het om te identificeren waar kennis mogelijk te veel geconcentreerd is bij één persoon, wat een risico vormt voor continuïteit. Door deze documentatie expliciet te maken ontstaat inzicht in afhankelijkheden en kunnen maatregelen worden genomen om kennis te spreiden en te borgen.

Het identificeren van kritieke rollen en kennis is een continu proces dat periodiek moet worden herzien, bijvoorbeeld jaarlijks of wanneer er significante wijzigingen zijn in de organisatie, technologie of bedreigingen. Nieuwe rollen kunnen kritiek worden wanneer nieuwe technologieën worden geïmplementeerd of wanneer compliance-vereisten veranderen. Bestaande rollen kunnen minder kritiek worden wanneer processen worden geautomatiseerd of wanneer kennis wordt gespreid over meerdere personen. Door dit proces te formaliseren en te borgen in de governance-structuur ontstaat een duurzaam raamwerk dat meegroeit met de organisatie en de omgeving.

Kennisdocumentatie en kennisoverdracht

Kennisdocumentatie is essentieel voor successieplanning omdat het ervoor zorgt dat kritieke informatie niet verloren gaat wanneer personen de organisatie verlaten. Documentatie moet zowel procedureel als technisch zijn: procedures beschrijven hoe bepaalde processen worden uitgevoerd, terwijl technische documentatie beschrijft hoe systemen zijn geconfigureerd en waarom bepaalde keuzes zijn gemaakt. Voor Microsoft 365 governance en beveiliging betekent dit bijvoorbeeld het documenteren van conditional access policies en de onderbouwing waarom bepaalde regels zijn geconfigureerd, het documenteren van incidentresponsprocedures en de ervaringen die zijn opgedaan tijdens eerdere incidenten, en het documenteren van compliance-aanpak en de manier waarop wordt voldaan aan BIO, AVG en NIS2-vereisten.

Kennisoverdracht is het proces waarbij kennis wordt overgedragen van ervaren medewerkers naar nieuwe medewerkers of opvolgers. Dit kan gebeuren door middel van formele training, mentoring, job shadowing, of door het gezamenlijk uitvoeren van taken. Effectieve kennisoverdracht vereist dat zowel de kennisgever als de kennisnemer tijd en ruimte hebben om het proces te doorlopen, en dat er duidelijke doelen en verwachtingen zijn over wat er moet worden overgedragen. Voor kritieke rollen is het belangrijk om kennisoverdracht niet alleen te plannen wanneer iemand vertrekt, maar ook proactief in te bedden in reguliere werkprocessen zodat kennis continu wordt gedeeld en nieuwe medewerkers geleidelijk kunnen worden opgeleid.

Het documenteren en overdragen van kennis is een investering die tijd en capaciteit vereist, maar die essentieel is voor continuïteit en risicobeheer. Zonder adequate documentatie en kennisoverdracht ontstaat het risico dat kritieke processen niet kunnen worden voortgezet wanneer sleutelpersonen vertrekken, dat fouten worden gemaakt omdat nieuwe medewerkers niet beschikken over de benodigde context en ervaring, en dat compliance-verplichtingen niet worden nageleefd omdat kennis over vereisten en aanpak verloren gaat. Door kennisdocumentatie en kennisoverdracht te formaliseren en te borgen in de governance-structuur ontstaat een duurzaam raamwerk dat continuïteit waarborgt en risico's verlaagt.

Toegangsrechten en rolbeheer

Toegangsrechten en rolbeheer zijn kritieke aspecten van successieplanning omdat onbeheerde toegangsrechten beveiligingsrisico's creëren en omdat nieuwe medewerkers de juiste toegangsrechten nodig hebben om hun verantwoordelijkheden uit te voeren. Wanneer een medewerker de organisatie verlaat, moeten alle toegangsrechten en beheerdersrollen tijdig worden uitgeschakeld of overgedragen. Dit omvat niet alleen Microsoft 365-beheerdersrollen zoals Global Administrator of Security Administrator, maar ook toegang tot specifieke systemen, applicaties en gegevens. Het is belangrijk om een proces te hebben dat automatisch wordt geactiveerd wanneer een medewerker vertrekt, zodat toegangsrechten niet onbeheerd blijven.

Voor nieuwe medewerkers of opvolgers moeten de juiste toegangsrechten worden toegekend op basis van hun rol en verantwoordelijkheden. Dit vereist dat duidelijk is welke toegangsrechten bij welke rollen horen, en dat er een proces is voor het aanvragen, goedkeuren en toekennen van toegangsrechten. Het principe van least privilege moet worden toegepast: medewerkers krijgen alleen de toegangsrechten die zij nodig hebben om hun werkzaamheden uit te voeren, en niet meer. Dit verlaagt het risico op misbruik en maakt het gemakkelijker om toegangsrechten te beheren en te controleren.

Periodieke toegangsbeoordelingen zijn essentieel om ervoor te zorgen dat toegangsrechten actueel blijven en dat medewerkers alleen toegang hebben tot wat zij nodig hebben. Deze beoordelingen moeten worden uitgevoerd voor alle kritieke rollen en moeten worden gedocumenteerd voor auditdoeleinden. Het script dat bij dit artikel hoort ondersteunt dit proces door actuele gegevens te verzamelen over rollen, toegangsrechten en configuraties, zodat duidelijk is wie toegang heeft tot wat en of deze toegang nog steeds nodig is. Door toegangsrechten en rolbeheer te formaliseren en te automatiseren ontstaat een duurzaam raamwerk dat beveiligingsrisico's verlaagt en compliance-vereisten ondersteunt.

Overdrachtsprocessen en continuïteit

Overdrachtsprocessen beschrijven de stappen die moeten worden genomen wanneer een medewerker de organisatie verlaat of van functie wisselt, en zorgen ervoor dat kennis, verantwoordelijkheden en toegangsrechten op een gestructureerde manier worden overgedragen. Een effectief overdrachtsproces begint ruim voordat de medewerker daadwerkelijk vertrekt, zodat er voldoende tijd is voor kennisoverdracht en training. Het proces omvat typisch stappen zoals het identificeren van opvolgers of tijdelijke vervangers, het plannen van kennisoverdrachtsessies, het documenteren van lopende zaken en verantwoordelijkheden, het overdragen van toegangsrechten en beheerdersrollen, en het evalueren van het overdrachtsproces om lessen te leren voor toekomstige overdrachten.

Continuïteit tijdens transitieperiodes is essentieel om ervoor te zorgen dat beveiligingsprocessen en -configuraties niet worden verwaarloosd wanneer er een overgang is tussen medewerkers. Dit vereist dat er altijd minimaal twee personen zijn die kennis hebben van kritieke processen en configuraties, zodat wanneer één persoon vertrekt de andere persoon de continuïteit kan waarborgen. Voor zeer kritieke rollen kan het nodig zijn om een tijdelijke vervanger aan te stellen of om externe expertise in te schakelen tijdens de transitieperiode. Het is belangrijk om deze continuïteitsmaatregelen proactief te plannen en niet te wachten tot het moment dat iemand daadwerkelijk vertrekt.

Het evalueren van overdrachtsprocessen is belangrijk om te leren van ervaringen en om processen te verbeteren voor toekomstige overdrachten. Na elke overdracht moet worden geëvalueerd wat goed ging, wat beter kon, en welke lessen kunnen worden getrokken voor toekomstige overdrachten. Deze evaluaties moeten worden gedocumenteerd en gedeeld met relevante stakeholders, zodat de organisatie als geheel kan leren en verbeteren. Door overdrachtsprocessen te formaliseren, te documenteren en periodiek te evalueren ontstaat een duurzaam raamwerk dat continuïteit waarborgt en risico's verlaagt tijdens transitieperiodes.

Automatisering met PowerShell voor successieplanning

Gebruik PowerShell-script succession-planning.ps1 (functie Invoke-SuccessionPlanningReport) – Genereert een successieplanningrapport met overzichten van kritieke rollen, toegangsrechten, beheerdersaccounts en configuraties die gebruikt kunnen worden voor het identificeren van afhankelijkheden, het plannen van kennisoverdracht en het beheren van toegangsrechten. Ondersteunt DebugMode voor lokaal testen zonder cloudverbinding..

Het monitoren en beheren van successieplanning vereist regelmatige verzameling en analyse van gegevens over rollen, toegangsrechten en configuraties in Microsoft 365. Handmatige dataverzameling is foutgevoelig, tijdrovend en moeilijk te standaardiseren, waardoor het lastig is om consistente overzichten te maken en afhankelijkheden te identificeren. Door PowerShell-scripts te gebruiken ontstaat een geautomatiseerd proces dat periodiek kan worden uitgevoerd, bijvoorbeeld als onderdeel van een geplande taak of via een DevOps-pipeline. Het script verzamelt gegevens over beheerdersrollen en hun leden, toegangsrechten en configuraties, en presenteert deze in een gestructureerd rapportobject. Dit rapport kan worden geëxporteerd naar JSON of CSV voor gebruik in Power BI, Excel of andere analysetools, of kan direct worden gebruikt in managementrapportages en successieplanningprocessen.

Het script ondersteunt een DebugMode waarin geen verbinding wordt gemaakt met Microsoft 365 en waarin voorbeelddata wordt teruggegeven. Dit is essentieel voor lokale ontwikkeling en tests, bijvoorbeeld wanneer dashboards of rapportages worden ontwikkeld zonder directe toegang tot productie-tenants. In productiemodus kan het script worden geïntegreerd in een geautomatiseerde workflow waarbij de resultaten periodiek worden verzameld, opgeslagen en geanalyseerd. De logbestanden van de uitvoering en de gegenereerde rapporten vormen onderdeel van de audittrail en kunnen worden gebruikt om aan te tonen welke gegevens ten grondslag lagen aan successieplanningbeslissingen en toegangsbeoordelingen. Door automatisering op deze manier te combineren met successieplanning ontstaat een duurzaam raamwerk waarin objectieve data de basis vormt voor besluitvorming en waarbij afhankelijkheden en risico's transparant en aantoonbaar zijn.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Genereert een successieplanningrapport voor Microsoft 365 governance en beveiliging. .DESCRIPTION Dit script verzamelt gegevens over kritieke rollen, toegangsrechten, beheerdersaccounts en configuraties in Microsoft 365 die gebruikt kunnen worden voor successieplanning binnen de Nederlandse publieke sector. Het richt zich op het identificeren van afhankelijkheden, het plannen van kennisoverdracht en het beheren van toegangsrechten. In DebugMode worden geen cloudverbindingen gemaakt en wordt voorbeelddata teruggegeven zodat het script lokaal getest kan worden zonder toegang tot een tenant. .NOTES Filename: succession-planning.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-15 Version: 1.0 Related JSON: content/m365/governance/succession-planning.json Category: governance Workload: m365 .LINK https://github.com/m365-tenant-best-practise .EXAMPLE .\succession-planning.ps1 -DebugMode Voert een lokale testrun uit met voorbeelddata zonder verbinding met Microsoft 365. .EXAMPLE .\succession-planning.ps1 Haalt live gegevens op uit Microsoft 365 (indien gemachtigd) en retourneert een successieplanningrapport voor evaluatie van kritieke rollen en toegangsrechten. .EXAMPLE .\succession-planning.ps1 | ConvertTo-Json -Depth 5 Exporteert het rapport naar JSON-formaat voor gebruik in dashboards of documentgeneratie. #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph, ExchangeOnlineManagement [CmdletBinding()] param( [Parameter(HelpMessage = "Voer een lokale debug-run uit met voorbeelddata, zonder cloudverbinding.")] [switch]$DebugMode ) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Succession Planning (M365)" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Connect-M365SuccessionContext { <# .SYNOPSIS Maakt verbinding met Microsoft Graph en Exchange Online. .DESCRIPTION Gebruikt Connect-MgGraph voor Graph API en Connect-ExchangeOnline voor compliance-/ rapportagecmdlets. Maakt GEEN verbinding wanneer DebugMode is ingeschakeld. #> [CmdletBinding()] param() if ($DebugMode) { Write-Host "DebugMode: er wordt geen verbinding gemaakt met Microsoft 365." -ForegroundColor Yellow return } Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Gray Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.All","User.Read.All" -ErrorAction Stop | Out-Null Write-Host "Verbinding maken met Exchange Online (voor compliance/security-rapportages)..." -ForegroundColor Gray Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop | Out-Null } function Get-M365CriticalRoles { <# .SYNOPSIS Haalt kritieke beheerdersrollen en hun leden op. .OUTPUTS PSCustomObject met overzicht van kritieke rollen en hun toewijzingen. #> [CmdletBinding()] param() if ($DebugMode) { return [PSCustomObject]@{ GlobalAdministrators = @( @{ UserPrincipalName = "admin1@example.nl"; DisplayName = "Jan Jansen"; AssignedDate = "2023-01-15" } @{ UserPrincipalName = "admin2@example.nl"; DisplayName = "Piet Pietersen"; AssignedDate = "2022-06-20" } ) SecurityAdministrators = @( @{ UserPrincipalName = "security1@example.nl"; DisplayName = "Klaas Klaassen"; AssignedDate = "2023-03-10" } ) PrivilegedRoleAdministrators = @( @{ UserPrincipalName = "admin1@example.nl"; DisplayName = "Jan Jansen"; AssignedDate = "2023-01-15" } ) ExchangeAdministrators = @( @{ UserPrincipalName = "exchange1@example.nl"; DisplayName = "Maria de Vries"; AssignedDate = "2023-05-12" } ) SharePointAdministrators = @( @{ UserPrincipalName = "sharepoint1@example.nl"; DisplayName = "Henk Hendriks"; AssignedDate = "2023-02-28" } ) TotalCriticalRoleAssignments = 6 RolesWithSingleMember = 2 } } Write-Host "Ophalen van kritieke beheerdersrollen..." -ForegroundColor Gray $criticalRoles = @( "Global Administrator", "Security Administrator", "Privileged Role Administrator", "Exchange Administrator", "SharePoint Administrator" ) $roleData = @{} $allAssignments = @() $singleMemberRoles = @() foreach ($roleName in $criticalRoles) { try { $role = Get-MgDirectoryRole -Filter "displayName eq '$roleName'" -ErrorAction SilentlyContinue if ($role) { $members = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -ErrorAction SilentlyContinue $memberDetails = @() foreach ($member in $members) { try { $user = Get-MgUser -UserId $member.Id -Property UserPrincipalName,DisplayName -ErrorAction SilentlyContinue if ($user) { $memberDetails += [PSCustomObject]@{ UserPrincipalName = $user.UserPrincipalName DisplayName = $user.DisplayName AssignedDate = $null # Graph API biedt dit niet direct, vereist aanvullende queries } $allAssignments += $user.UserPrincipalName } } catch { Write-Host "Kon gebruiker $($member.Id) niet ophalen: $_" -ForegroundColor Yellow } } $roleData[$roleName] = $memberDetails if ($memberDetails.Count -eq 1) { $singleMemberRoles += $roleName } } } catch { Write-Host "Kon rol $roleName niet ophalen: $_" -ForegroundColor Yellow } } # Converteer hashtable naar named properties voor consistentie $result = [PSCustomObject]@{ GlobalAdministrators = $roleData["Global Administrator"] SecurityAdministrators = $roleData["Security Administrator"] PrivilegedRoleAdministrators = $roleData["Privileged Role Administrator"] ExchangeAdministrators = $roleData["Exchange Administrator"] SharePointAdministrators = $roleData["SharePoint Administrator"] TotalCriticalRoleAssignments = ($allAssignments | Select-Object -Unique | Measure-Object).Count RolesWithSingleMember = $singleMemberRoles.Count } return $result } function Get-M365AccessRightsOverview { <# .SYNOPSIS Haalt overzicht op van toegangsrechten en configuraties. .OUTPUTS PSCustomObject met toegangsrechten, conditional access en compliance-configuraties. #> [CmdletBinding()] param() if ($DebugMode) { return [PSCustomObject]@{ TotalAdminAccounts = 12 AdminAccountsWithMfa = 12 ConditionalAccessPolicies = 15 ServicePrincipalsWithAdminRights = 3 CustomRolesConfigured = 2 PrivilegedAccessGroups = 1 } } Write-Host "Ophalen van toegangsrechten en configuratie-overzicht..." -ForegroundColor Gray # Admin accounts (vereenvoudigd) $adminRoles = @( "Global Administrator", "Security Administrator", "Privileged Role Administrator", "Exchange Administrator", "SharePoint Administrator", "Compliance Administrator", "Application Administrator" ) $adminIds = @() foreach ($roleName in $adminRoles) { try { $role = Get-MgDirectoryRole -Filter "displayName eq '$roleName'" -ErrorAction SilentlyContinue if ($role) { $members = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -ErrorAction SilentlyContinue $adminIds += $members.Id } } catch { Write-Host "Kon rol $roleName niet ophalen: $_" -ForegroundColor Yellow } } $totalAdmins = ($adminIds | Select-Object -Unique | Measure-Object).Count # MFA voor admins $users = Get-MgUser -All -Property Id,UserPrincipalName,StrongAuthenticationMethods -ErrorAction SilentlyContinue $adminsWithMfa = 0 foreach ($adminId in ($adminIds | Select-Object -Unique)) { $user = $users | Where-Object { $_.Id -eq $adminId } if ($user -and $user.StrongAuthenticationMethods -and $user.StrongAuthenticationMethods.Count -gt 0) { $adminsWithMfa++ } } # Conditional Access Policies $caPolicies = @() try { $caPolicies = Get-MgIdentityConditionalAccessPolicy -ErrorAction SilentlyContinue } catch { Write-Host "Kon Conditional Access policies niet ophalen: $_" -ForegroundColor Yellow } # Service principals met admin rechten (vereenvoudigd) $servicePrincipals = @() try { $servicePrincipals = Get-MgServicePrincipal -All -Property AppId,DisplayName,AppRoles -ErrorAction SilentlyContinue } catch { Write-Host "Kon service principals niet ophalen: $_" -ForegroundColor Yellow } $servicePrincipalsWithAdminRights = ($servicePrincipals | Where-Object { $_.AppRoles -and ($_.AppRoles | Where-Object { $_.Value -like "*Admin*" }) } | Measure-Object).Count # Custom roles (vereenvoudigd, vereist specifieke API-calls) $customRolesCount = 0 # Privileged Access Groups (vereenvoudigd) $privilegedGroups = 0 return [PSCustomObject]@{ TotalAdminAccounts = $totalAdmins AdminAccountsWithMfa = $adminsWithMfa ConditionalAccessPolicies = ($caPolicies | Measure-Object).Count ServicePrincipalsWithAdminRights = $servicePrincipalsWithAdminRights CustomRolesConfigured = $customRolesCount PrivilegedAccessGroups = $privilegedGroups } } function Get-M365KnowledgeDependencies { <# .SYNOPSIS Identificeert potentiële kennisafhankelijkheden op basis van roltoewijzingen. .OUTPUTS PSCustomObject met overzicht van afhankelijkheden en risico's. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [pscustomobject]$CriticalRoles ) if ($DebugMode) { return [PSCustomObject]@{ SinglePointOfFailureRoles = @("Exchange Administrator", "SharePoint Administrator") UsersWithMultipleCriticalRoles = @( @{ UserPrincipalName = "admin1@example.nl"; Roles = @("Global Administrator", "Privileged Role Administrator") } ) RolesWithoutBackup = 2 RiskScore = 7 } } Write-Host "Analyseren van kennisafhankelijkheden..." -ForegroundColor Gray $singlePointOfFailure = @() $usersWithMultipleRoles = @{} $rolesWithoutBackup = 0 # Analyseer rollen met slechts één lid if ($CriticalRoles.RolesWithSingleMember -gt 0) { if ($CriticalRoles.ExchangeAdministrators.Count -eq 1) { $singlePointOfFailure += "Exchange Administrator" $rolesWithoutBackup++ } if ($CriticalRoles.SharePointAdministrators.Count -eq 1) { $singlePointOfFailure += "SharePoint Administrator" $rolesWithoutBackup++ } if ($CriticalRoles.SecurityAdministrators.Count -eq 1) { $singlePointOfFailure += "Security Administrator" $rolesWithoutBackup++ } } # Identificeer gebruikers met meerdere kritieke rollen $allUsers = @{} $roleNames = @("GlobalAdministrators", "SecurityAdministrators", "PrivilegedRoleAdministrators", "ExchangeAdministrators", "SharePointAdministrators") foreach ($roleProp in $roleNames) { $members = $CriticalRoles.$roleProp if ($members) { foreach ($member in $members) { if (-not $allUsers.ContainsKey($member.UserPrincipalName)) { $allUsers[$member.UserPrincipalName] = @() } $allUsers[$member.UserPrincipalName] += $roleProp } } } $multipleRoleUsers = @() foreach ($user in $allUsers.Keys) { if ($allUsers[$user].Count -gt 1) { $multipleRoleUsers += [PSCustomObject]@{ UserPrincipalName = $user Roles = $allUsers[$user] } } } # Eenvoudige risicoscore (0-10) $riskScore = 0 if ($rolesWithoutBackup -gt 0) { $riskScore += 3 } if ($multipleRoleUsers.Count -gt 2) { $riskScore += 2 } if ($CriticalRoles.TotalCriticalRoleAssignments -lt 5) { $riskScore += 2 } if ($singlePointOfFailure.Count -gt 2) { $riskScore += 3 } return [PSCustomObject]@{ SinglePointOfFailureRoles = $singlePointOfFailure UsersWithMultipleCriticalRoles = $multipleRoleUsers RolesWithoutBackup = $rolesWithoutBackup RiskScore = [Math]::Min($riskScore, 10) } } function Get-M365SuccessionRecommendations { <# .SYNOPSIS Genereert aanbevelingen voor successieplanning op basis van geanalyseerde gegevens. .OUTPUTS Array van aanbevelingsobjecten met prioriteit en onderbouwing. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [pscustomobject]$CriticalRoles, [Parameter(Mandatory = $true)] [pscustomobject]$AccessRights, [Parameter(Mandatory = $true)] [pscustomobject]$Dependencies ) $recommendations = @() # Aanbevelingen op basis van single points of failure if ($Dependencies.RolesWithoutBackup -gt 0) { $recommendations += [PSCustomObject]@{ Priority = "High" Category = "Continuïteit" Title = "Implementeer backup voor kritieke rollen" Description = "Er zijn $($Dependencies.RolesWithoutBackup) kritieke rollen met slechts één lid. Dit vormt een risico voor continuïteit wanneer deze persoon de organisatie verlaat." ExpectedImpact = "Verlaagt het risico op kennisverlies en verhoogt de continuïteit" } } # Aanbevelingen op basis van gebruikers met meerdere rollen if ($Dependencies.UsersWithMultipleCriticalRoles.Count -gt 2) { $recommendations += [PSCustomObject]@{ Priority = "Medium" Category = "Risicospreiding" Title = "Spreid kritieke rollen over meerdere personen" Description = "Er zijn $($Dependencies.UsersWithMultipleCriticalRoles.Count) gebruikers met meerdere kritieke rollen. Overweeg rollen te spreiden om afhankelijkheden te verlagen." ExpectedImpact = "Verlaagt het risico op kennisconcentratie bij individuele personen" } } # Aanbevelingen op basis van MFA-dekking if ($AccessRights.AdminAccountsWithMfa -lt $AccessRights.TotalAdminAccounts) { $recommendations += [PSCustomObject]@{ Priority = "High" Category = "Toegangsbeveiliging" Title = "Zorg dat alle beheerdersaccounts MFA hebben" Description = "Niet alle beheerdersaccounts hebben MFA geconfigureerd. Dit verhoogt het risico op accountcompromisering." ExpectedImpact = "Verhoogt de beveiliging van beheerdersaccounts aanzienlijk" } } # Aanbevelingen op basis van risicoscore if ($Dependencies.RiskScore -ge 7) { $recommendations += [PSCustomObject]@{ Priority = "High" Category = "Algemeen" Title = "Herzie successieplanning en kennisborging" Description = "De risicoscore voor kennisafhankelijkheden is $($Dependencies.RiskScore) op een schaal van 10. Dit wijst op significante risico's voor continuïteit." ExpectedImpact = "Helpt bij het identificeren en verlagen van kritieke afhankelijkheden" } } if ($recommendations.Count -eq 0) { $recommendations += [PSCustomObject]@{ Priority = "Info" Category = "Algemeen" Title = "Huidige configuratie voldoet aan basisvereisten" Description = "De huidige roltoewijzingen en toegangsrechten voldoen aan de basisvereisten voor successieplanning. Blijf periodiek monitoren en evalueren." ExpectedImpact = "Continue verbetering en monitoring van successieplanning" } } return $recommendations } function Invoke-SuccessionPlanningReport { <# .SYNOPSIS Genereert een successieplanningrapport voor Microsoft 365 governance. .DESCRIPTION Combineert gegevens over kritieke rollen, toegangsrechten en afhankelijkheden tot één rapportobject dat gebruikt kan worden voor successieplanning en kennisborging. .OUTPUTS PSCustomObject met: - GeneratedAt - DebugMode - CriticalRoles - AccessRights - KnowledgeDependencies - Recommendations - Summary #> [CmdletBinding()] param() Connect-M365SuccessionContext $criticalRoles = Get-M365CriticalRoles $accessRights = Get-M365AccessRightsOverview $dependencies = Get-M365KnowledgeDependencies -CriticalRoles $criticalRoles $recommendations = Get-M365SuccessionRecommendations -CriticalRoles $criticalRoles -AccessRights $accessRights -Dependencies $dependencies $summary = @() $summary += "Kritieke rollen: $($criticalRoles.TotalCriticalRoleAssignments) toewijzingen, $($criticalRoles.RolesWithSingleMember) rollen met slechts één lid" $summary += "Toegangsrechten: $($accessRights.TotalAdminAccounts) beheerdersaccounts, $($accessRights.AdminAccountsWithMfa) met MFA" $summary += "Afhankelijkheden: Risicoscore $($dependencies.RiskScore)/10, $($dependencies.RolesWithoutBackup) rollen zonder backup" $summary += "Aanbevelingen: $($recommendations.Count) aanbevelingen gegenereerd" return [PSCustomObject]@{ ScriptName = "succession-planning.ps1" GeneratedAt = Get-Date DebugMode = [bool]$DebugMode CriticalRoles = $criticalRoles AccessRights = $accessRights KnowledgeDependencies = $dependencies Recommendations = $recommendations Summary = $summary } } try { $report = Invoke-SuccessionPlanningReport $report exit 0 } catch { Write-Error "Fout tijdens het genereren van het successieplanningrapport: $_" exit 1 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan } # Exitcodes: # 0 = Rapport succesvol gegenereerd # 1 = Fout tijdens uitvoering

Risico zonder implementatie

Risico zonder implementatie
High: Zonder effectieve successieplanning voor Microsoft 365 governance en beveiliging ontstaat het risico dat kritieke kennis verloren gaat wanneer sleutelpersonen vertrekken, dat toegangsrechten onbeheerd blijven, dat incidentrespons wordt vertraagd, en dat compliance-verplichtingen niet worden nageleefd omdat kennis over vereisten en aanpak ontbreekt. BIO, AVG en NIS2 vereisen dat organisaties kunnen aantonen dat beveiligingsprocessen niet afhankelijk zijn van individuele personen.

Management Samenvatting

Ontwikkel een successieplanning voor Microsoft 365 governance en beveiliging die kritieke rollen identificeert, kennis documenteert, overdrachtsprocessen formaliseert, toegangsrechten beheert en continuïteit waarborgt tijdens transitieperiodes. Zo ontstaat een proactieve, doordachte aanpak die bijdraagt aan het verlagen van risico's, het voldoen aan wettelijke verplichtingen en het waarborgen van continuïteit wanneer sleutelpersonen de organisatie verlaten of van functie wisselen.