💼 Management Samenvatting
Microsoft Teams beleidsregels vormen de basis voor governance, beveiliging en compliance binnen Teams-omgevingen. Dit artikel beschrijft hoe Nederlandse overheidsorganisaties alle typen Teams-beleidsregels systematisch kunnen beheren, configureren en monitoren om een veilige en gecontroleerde samenwerkingsomgeving te realiseren die voldoet aan de Nederlandse Baseline voor Veilige Cloud.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
36u (tech: 16u)
Van toepassing op:
✓ Microsoft Teams
✓ Microsoft 365
✓ Azure AD
✓ Microsoft 365
✓ Azure AD
Microsoft Teams is uitgegroeid tot het primaire samenwerkingsplatform voor moderne organisaties, waarbij dagelijks duizenden medewerkers communiceren, documenten delen en vergaderingen organiseren. Zonder systematisch beleidsbeheer ontstaan er echter aanzienlijke beveiligingsrisico's, governance-problemen en compliance-schendingen. Teams-beleidsregels bepalen wie toegang heeft tot welke functionaliteiten, hoe externe samenwerking wordt beheerd, welke apps kunnen worden geïnstalleerd en hoe communicatie wordt beveiligd. Zonder een gecentraliseerde aanpak voor het beheren van deze beleidsregels ontstaat een gefragmenteerd landschap waarin verschillende afdelingen eigen regels implementeren, wat leidt tot inconsistenties, beveiligingslekken en niet-naleving van organisatiebrede standaarden. Het ontbreken van een gestructureerd beleidsbeheerproces leidt tot verschillende kritieke problemen. Ten eerste ontstaat er beleidsdrift waarbij configuraties na verloop van tijd worden gewijzigd zonder documentatie of goedkeuring, waardoor oorspronkelijk beveiligde instellingen ongemerkt worden versoepeld. Dit kan gebeuren wanneer beheerders ad-hoc wijzigingen doorvoeren om snel een zakelijke behoefte op te lossen, zonder rekening te houden met de bredere beveiligingsimplicaties. Ten tweede ontstaat er beleidsconflict wanneer meerdere beleidsregels elkaar tegenspreken, bijvoorbeeld wanneer een gebruikerspolicy bepaalde functionaliteiten toestaat terwijl een teampolicy deze blokkeert, wat leidt tot onduidelijkheid en onverwachte gedragingen. Het derde probleem betreft de afwezigheid van compliance-bewijs. Auditors en toezichthouders vereisen dat organisaties kunnen aantonen welke beleidsregels actief zijn, wanneer deze zijn gewijzigd en wie deze wijzigingen heeft geautoriseerd. Zonder een centraal beheersysteem wordt dit bewijs lastig te leveren, wat kan leiden tot kritische auditbevindingen. Bovendien maken ad-hoc wijzigingen het moeilijk om de historie van beleidsconfiguraties te traceren, wat essentieel is voor incidentonderzoek en compliance-rapportage. Het vierde probleem is schaalbaarheid. In grote organisaties met honderden of duizenden teams en gebruikers wordt handmatig beleidsbeheer onbeheersbaar. Zonder geautomatiseerde processen voor het toewijzen, monitoren en bijwerken van beleidsregels ontstaan er hiaten waarbij nieuwe teams of gebruikers vergeten worden of verkeerde beleidsregels krijgen toegewezen. Dit leidt tot inconsistente beveiligingsniveaus waarbij sommige teams overbeveiligd zijn terwijl andere teams onvoldoende bescherming hebben. Tot slot leidt het ontbreken van gestructureerd beleidsbeheer tot verhoogde operationele kosten. Beheerders moeten handmatig controleren welke beleidsregels actief zijn, wijzigingen doorvoeren en rapportages genereren, wat tijdrovend en foutgevoelig is. Geautomatiseerde monitoring en remediatie kunnen deze last aanzienlijk verminderen en zorgen voor consistente naleving van beveiligingsstandaarden. Dit artikel biedt een complete aanpak voor het beheren van alle typen Teams-beleidsregels, inclusief messaging policies, meeting policies, app permission policies, calling policies, live event policies en andere relevante beleidsregels. Door een gestructureerd framework te implementeren met duidelijke rollen, processen en geautomatiseerde controles, kunnen organisaties ervoor zorgen dat hun Teams-omgeving beveiligd, gecontroleerd en compliant blijft.
PowerShell Modules Vereist
Primary API: Microsoft Teams PowerShell / Microsoft Graph
Connection:
Required Modules: MicrosoftTeams, Microsoft.Graph
Connection:
Connect-MicrosoftTeams / Connect-MgGraphRequired Modules: MicrosoftTeams, Microsoft.Graph
Implementatie
Teams-beleidsregels beheer omvat het volledige levenscyclusproces van het ontwerpen, configureren, toewijzen, monitoren en onderhouden van alle typen Microsoft Teams-beleidsregels binnen een organisatie. Dit artikel beschrijft een systematische aanpak die alle aspecten van beleidsbeheer afdekt, van initiële configuratie tot continue monitoring en compliance-rapportage. Het artikel begint met een overzicht van alle beschikbare Teams-beleidsregels en hun doeleinden. Messaging policies bepalen welke chat- en kanaalfunctionaliteiten beschikbaar zijn, zoals het gebruik van Giphy, stickers, memes en de mogelijkheid om berichten te verwijderen. Meeting policies controleren wie vergaderingen kan organiseren, welke functies beschikbaar zijn tijdens vergaderingen zoals opname, schermdeling en live transcripties, en hoe externe deelnemers worden beheerd. App permission policies bepalen welke apps gebruikers kunnen installeren en gebruiken binnen Teams, wat essentieel is voor het voorkomen van data-exfiltratie via onbetrouwbare derde partijen-apps. Calling policies beheren telefoonfunctionaliteiten, terwijl live event policies bepalen wie live events kan organiseren en welke instellingen daarbij gelden. De tweede component betreft de organisatorische structuur voor beleidsbeheer. Dit omvat de definitie van rollen en verantwoordelijkheden, waarbij duidelijk wordt wie beleidsregels mag ontwerpen, wie ze mag goedkeuren, wie ze technisch mag implementeren en wie verantwoordelijk is voor monitoring en rapportage. Daarnaast wordt er een beleidsclassificatieschema geïntroduceerd dat verschillende beveiligingsniveaus definieert, zoals 'Hoog Beveiligd' voor gevoelige afdelingen, 'Gemiddeld' voor standaard gebruikers en 'Open' voor externe samenwerking. Dit schema vormt de basis voor het automatisch toewijzen van beleidsregels op basis van gebruikers- of teamkenmerken. De derde component behandelt de technische implementatie van beleidsregels. Dit omvat het gebruik van PowerShell en Microsoft Graph API voor het bulk configureren en toewijzen van beleidsregels, het gebruik van groepsbeleid voor automatische toewijzing op basis van Azure AD-groepen, en de integratie met bestaande identity governance-processen. Het artikel beschrijft hoe organisaties kunnen starten met een baseline-configuratie die voldoet aan de minimale beveiligingsvereisten van de Nederlandse Baseline voor Veilige Cloud, waarna specifieke beleidsregels kunnen worden aangepast voor verschillende gebruikersgroepen of scenario's. De vierde component richt zich op monitoring en rapportage. Dit omvat geautomatiseerde controles die periodiek verifiëren of alle gebruikers en teams de juiste beleidsregels hebben toegewezen, of er geen onbevoegde wijzigingen zijn doorgevoerd, en of er beleidsconflicten bestaan. Rapporten worden gegenereerd voor verschillende stakeholders: technische beheerders krijgen gedetailleerde configuratierapporten, compliance-officers krijgen compliance-rapportages die aantonen welke beleidsregels actief zijn en hoe deze voldoen aan regelgevende vereisten, en bestuurders krijgen executive summaries die de algehele beveiligingspositie schetsen. De vijfde component behandelt wijzigingsbeheer. Alle wijzigingen aan beleidsregels moeten worden vastgelegd in een formeel wijzigingsproces dat goedkeuring vereist, impactanalyses uitvoert en communicatie richting gebruikers verzorgt. Het artikel beschrijft hoe dit proces kan worden geautomatiseerd met workflow-tools en hoe wijzigingen kunnen worden getest in een testomgeving voordat ze in productie worden gebracht. Tot slot behandelt het artikel compliance en auditaspecten. Het beschrijft hoe Teams-beleidsregels bijdragen aan naleving van AVG, BIO, ISO 27001 en NIS2-vereisten, welke bewijsstukken moeten worden verzameld voor audits, en hoe organisaties kunnen aantonen dat hun beleidsbeheerproces volwassen en effectief is.
Vereisten
Voor het succesvol implementeren van een gestructureerd Teams-beleidsregels beheersysteem moeten organisaties voldoen aan verschillende essentiële vereisten. Ten eerste is een duidelijk organisatiebreed beveiligingskader noodzakelijk dat definieert welke beveiligingsniveaus beschikbaar zijn en welke gebruikersgroepen of teams bij welk niveau horen. Dit kader moet worden ontwikkeld in samenwerking met informatiebeveiliging, compliance, risicomanagement en business stakeholders om ervoor te zorgen dat zakelijke behoeften worden ondersteund terwijl beveiligings- en compliance-vereisten worden nageleefd. Het kader moet expliciet maken hoe verschillende beveiligingsniveaus zich verhouden tot dataclassificaties, toegangsrechten en externe samenwerkingsvereisten.
Ten tweede is een solide Azure AD-structuur vereist met goed gedefinieerde beveiligingsgroepen die gebruikt kunnen worden voor automatische beleidstoewijzing. Organisaties moeten beschikken over een proces voor het beheren van deze groepen en een duidelijk inzicht hebben in welke gebruikers bij welke groepen horen. Daarnaast moeten Azure AD-kenmerken beschikbaar zijn voor het classificeren van gebruikers op basis van afdeling, functie, gevoeligheid of andere relevante criteria. Deze classificaties vormen de basis voor geautomatiseerde beleidstoewijzing waarbij gebruikers automatisch de juiste beleidsregels krijgen op basis van hun kenmerken.
Technisch gezien vereist het beheersysteem Microsoft Teams-licenties voor alle betrokken gebruikers, toegang tot Microsoft Teams Admin Center, en beheerdersaccounts met de juiste rollen zoals Teams Administrator of Global Administrator. Voor geavanceerde automatisering zijn PowerShell-modules vereist zoals MicrosoftTeams en Microsoft.Graph, evenals mogelijkheden om scripts uit te voeren in een beveiligde omgeving. Organisaties moeten ook beschikken over monitoring- en rapportage-oplossingen die kunnen worden geïntegreerd met Teams-beleidsregels, zoals Microsoft 365 Compliance Center, Azure Monitor of SIEM-systemen voor geavanceerde logaggregatie en analyse.
Organisatorisch is het essentieel dat er een formeel wijzigingsbeheerproces is ingericht voor het maken, wijzigen en verwijderen van beleidsregels. Dit proces moet goedkeuringsstappen bevatten, impactanalyses uitvoeren, testprocedures definiëren en communicatie richting gebruikers verzorgen. Daarnaast moet er een periodiek review-proces zijn waarin alle actieve beleidsregels worden geëvalueerd op effectiviteit, relevante en naleving van huidige beveiligingsstandaarden. Dit proces moet minimaal jaarlijks plaatsvinden, maar voor hoogrisico-omgevingen kan een hogere frequentie nodig zijn.
Tot slot is documentatie cruciaal. Alle beleidsregels moeten worden gedocumenteerd met duidelijk doel, configuratie-instellingen, toewijzingscriteria en compliance-onderbouwing. Deze documentatie vormt niet alleen de basis voor operationeel beheer, maar ook voor audits en compliance-rapportages. Organisaties moeten beschikken over een centraal documentatie-systeem waarin alle Teams-beleidsregels worden vastgelegd en bijgehouden, met versiebeheer en historie zodat veranderingen over tijd kunnen worden getraceerd.
Implementatie
De implementatie van een gestructureerd Teams-beleidsregels beheersysteem begint met een inventarisatiefase waarin alle bestaande Teams-beleidsregels worden gedocumenteerd en geanalyseerd. Beheerders verzamelen informatie over welke beleidsregels momenteel actief zijn, welke instellingen deze hebben, aan wie of welke teams deze zijn toegewezen, en wanneer deze voor het laatst zijn gewijzigd. Deze inventarisatie vormt de basis voor het identificeren van hiaten, inconsistenties en verbeteringsmogelijkheden. Tijdens deze fase worden ook alle ad-hoc configuraties en uitzonderingen gedocumenteerd, zodat duidelijk wordt welke wijzigingen nodig zijn om te komen tot een consistente en beheersbare situatie.
In de tweede fase wordt het beleidsclassificatieschema ontwikkeld. Organisaties definiëren verschillende beveiligingsniveaus, zoals 'Hoog Beveiligd' voor executives, CISO's en teams met gevoelige informatie, 'Gemiddeld' voor standaard medewerkers en projectteams, en 'Open' voor teams die externe samenwerking nodig hebben. Voor elk niveau worden specifieke beleidsinstellingen gedefinieerd die passen bij de beveiligingsvereisten. Bijvoorbeeld, hoogbeveiligde gebruikers krijgen restrictieve messaging policies zonder Giphy of stickers, meeting policies zonder anonieme deelname, en app permission policies die alleen Microsoft-apps toestaan. Standaard gebruikers krijgen gebalanceerde instellingen die functionaliteit en beveiliging combineren, terwijl externe samenwerkingsteams meer permissieve instellingen krijgen maar met strikte externe toegangscontroles.
De derde fase omvat het ontwerpen en configureren van de baseline-beleidsregels. Organisaties starten met het maken van een set standaardbeleidsregels die voldoen aan de minimale beveiligingsvereisten van de Nederlandse Baseline voor Veilige Cloud. Deze baseline wordt vervolgens gebruikt als uitgangspunt voor alle gebruikers, waarna specifieke beleidsregels worden aangemaakt voor uitzonderingsgevallen. Tijdens het ontwerp worden alle relevante beleidstypen geconfigureerd: messaging policies, meeting policies, app permission policies, calling policies, live event policies, en andere toepasselijke beleidsregels. Elke policy krijgt een beschrijvende naam die duidelijk maakt voor welk scenario deze is bedoeld, zoals 'Messaging Policy - Hoog Beveiligd' of 'Meeting Policy - Externe Samenwerking'.
In de vierde fase worden de beleidsregels toegewezen aan gebruikers en teams. Dit kan handmatig gebeuren via het Teams Admin Center voor kleinere organisaties, maar voor grotere organisaties wordt geautomatiseerde toewijzing aanbevolen op basis van Azure AD-groepen of gebruikerskenmerken. PowerShell-scripts kunnen worden gebruikt voor bulk-toewijzingen, waarbij gebruikers automatisch de juiste beleidsregels krijgen op basis van hun groepslidmaatschap of andere kenmerken. Het is belangrijk om te starten met een beperkte pilotgroep om te verifiëren dat de beleidsregels correct werken voordat organisatiebrede implementatie plaatsvindt. Tijdens de pilot worden gebruikers bevraagd over hun ervaringen en worden eventuele problemen of onverwachte gedragingen gedocumenteerd en opgelost.
De vijfde fase richt zich op het inrichten van monitoring en rapportage. Geautomatiseerde scripts worden geconfigureerd die periodiek, bijvoorbeeld wekelijks of maandelijks, controleren of alle gebruikers de juiste beleidsregels hebben toegewezen, of er ongeautoriseerde wijzigingen zijn doorgevoerd, en of er beleidsconflicten bestaan. Deze scripts genereren rapporten die worden gedeeld met relevante stakeholders. Voor technische beheerders worden gedetailleerde configuratierapporten gegenereerd, voor compliance-officers worden compliance-rapportages gemaakt die aantonen hoe beleidsregels bijdragen aan regelgevende vereisten, en voor bestuurders worden executive summaries gegenereerd die de algehele beveiligingspositie schetsen zonder technische details.
Tot slot wordt in de zesde fase het wijzigingsbeheerproces ingericht. Dit proces definieert hoe nieuwe beleidsregels worden aangemaakt, hoe bestaande beleidsregels worden gewijzigd, en hoe beleidsregels worden verwijderd wanneer ze niet meer nodig zijn. Elke wijziging vereist een formeel verzoek dat wordt beoordeeld door de verantwoordelijke functionaris, een impactanalyse die beschrijft welke gebruikers of teams worden beïnvloed, goedkeuring door informatiebeveiliging en compliance, en testen in een testomgeving voordat productie-implementatie plaatsvindt. Na implementatie worden gebruikers geïnformeerd over wijzigingen die van invloed zijn op hun dagelijks gebruik van Teams, en worden wijzigingen gedocumenteerd voor auditdoeleinden.
Gebruik PowerShell-script teams-policies.ps1 (functie Invoke-Remediation) – Het PowerShell-script automatiseert het monitoren en beheren van alle typen Teams-beleidsregels. Het script verbindt met de Teams API en Microsoft Graph, inventariseert alle actieve beleidsregels, controleert toewijzingen, identificeert hiaten en inconsistenties, en kan rapporteren over compliance-status. Het script ondersteunt ook geautomatiseerde toewijzing van baseline-beleidsregels aan gebruikers die momenteel geen specifieke policies hebben toegewezen..
Compliance en Auditing
Teams-beleidsregels beheer is direct gerelateerd aan meerdere compliance-vereisten in de Nederlandse en Europese wetgeving. De Algemene Verordening Gegevensbescherming (AVG) vereist in Artikel 32 passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies of vernietiging. Teams-beleidsregels vormen concrete technische maatregelen die bijdragen aan deze vereiste door te controleren wie toegang heeft tot welke functionaliteiten, hoe externe samenwerking wordt beheerd en welke apps kunnen worden geïnstalleerd. App permission policies voorkomen bijvoorbeeld dat onbetrouwbare derde partijen-apps toegang krijgen tot persoonsgegevens, terwijl messaging policies controleren hoe gevoelige informatie wordt gedeeld via chat en kanalen.
Voor overheidsorganisaties zijn Teams-beleidsregels essentieel voor naleving van de Baseline Informatiebeveiliging Overheid (BIO). BIO 9.01 vereist dat toegangsrechten worden beheerd en dat onbevoegde toegang wordt voorkomen, wat wordt ondersteund door het systematisch beheren van Teams-beleidsregels die bepalen wie welke functionaliteiten kan gebruiken. BIO 13.02 vereist dat externe toegang wordt gecontroleerd en gelogd, wat wordt ondersteund door meeting policies die anonieme deelname kunnen beperken en door externe toegangsbeleidsregels die controleren hoe externe gebruikers kunnen deelnemen aan teams. BIO 12.04 vereist systematisch beheer van informatie, wat wordt ondersteund door messaging policies die bepalen hoe lang berichten bewaard blijven en onder welke voorwaarden ze kunnen worden verwijderd.
De NIS2-richtlijn vereist dat essentiële en belangrijke entiteiten passende maatregelen nemen om beveiligingsrisico's te beheren, inclusief het beheren van toegang tot systemen en netwerken. Teams-beleidsregels beheer vormt een concrete invulling van deze vereiste door te zorgen voor consistente beveiligingsconfiguraties, gecontroleerde toegang tot functionaliteiten en monitoring van configuratiewijzigingen. ISO 27001 A.9.2.2 vereist dat organisaties toegangsrechten beoordelen en dat gebruikersrechten worden beheerd en gereviewd, wat wordt ondersteund door het periodieke review-proces van Teams-beleidsregels en de geautomatiseerde monitoring die verifieert of alle gebruikers de juiste policies hebben toegewezen.
Voor auditdoeleinden moeten organisaties kunnen aantonen welke Teams-beleidsregels actief zijn, wanneer deze zijn gewijzigd, wie deze wijzigingen heeft geautoriseerd, en hoe deze beleidsregels bijdragen aan compliance-vereisten. Het bijbehorende PowerShell-script genereert gedetailleerde rapporten die deze informatie bevatten, inclusief configuratie-instellingen, toewijzingsdetails en historie van wijzigingen. Deze rapporten kunnen worden opgenomen in auditdossiers en worden gebruikt voor compliance-rapportage aan toezichthouders. Daarnaast worden alle wijzigingen aan beleidsregels gelogd in audit logs die kunnen worden geraadpleegd voor forensische doeleinden en incidentonderzoek.
Monitoring
Continue monitoring van Teams-beleidsregels is essentieel om te verifiëren dat alle gebruikers en teams de juiste beleidsregels hebben toegewezen, dat er geen ongeautoriseerde wijzigingen zijn doorgevoerd, en dat de configuratie voldoet aan beveiligings- en compliance-vereisten. Het monitoringproces moet regelmatig controleren of alle gebruikers een geldig beleid hebben toegewezen voor elke relevante policy type, of er gebruikers zijn zonder toegewezen policies die dan het organisatiebrede standaardbeleid krijgen, en of er teams zijn met inconsistente of conflicterende beleidsregels.
Monitoring moet ook controleren op wijzigingen aan beleidsregels zelf. Wanneer een policy wordt gewijzigd, moet worden geverifieerd of deze wijziging is goedgekeurd volgens het wijzigingsbeheerproces, of de impactanalyse correct is uitgevoerd, en of gebruikers zijn geïnformeerd over wijzigingen die van invloed zijn op hun dagelijks gebruik. Het PowerShell-script voorziet in geautomatiseerde monitoring die de status van alle Teams-beleidsregels controleert, toewijzingen valideert, identificeert welke gebruikers of teams mogelijk niet-compliant zijn, en rapporteert over eventuele problemen of inconsistenties.
Regelmatige monitoring, bij voorkeur wekelijks of maandelijks afhankelijk van de risicoclassificatie en organisatiegrootte, zorgt ervoor dat wijzigingen in organisatiestructuur, nieuwe gebruikers of teams, en nieuwe compliance-vereisten tijdig worden opgepikt en verwerkt. Monitoring moet ook alert zijn op trends zoals een toename van het aantal uitzonderingen of wijzigingsverzoeken, wat kan wijzen op problemen met de baseline-configuratie of veranderende zakelijke behoeften. Deze trends moeten worden geanalyseerd en kunnen aanleiding zijn voor het herzien van de baseline-beleidsregels of het beleidsclassificatieschema.
Gebruik PowerShell-script teams-policies.ps1 (functie Invoke-Monitoring) – Controleren van alle Teams-beleidsregels configuratie, toewijzingen en compliance-status.
Remediatie
Wanneer monitoring aangeeft dat Teams-beleidsregels niet correct zijn geconfigureerd, ontbreken of inconsistent zijn, moet onmiddellijk worden overgegaan tot remediatie. Het remediatieproces begint met een analyse van de huidige situatie om te bepalen welke beleidsregels ontbreken, welke gebruikers of teams niet-compliant zijn, en welke wijzigingen nodig zijn om te komen tot een consistente en beveiligde configuratie. Voor gebruikers zonder toegewezen policies kan automatisch het organisatiebrede standaardbeleid worden toegewezen, terwijl voor teams met inconsistente configuraties een specifieke remediatieactie nodig is.
Het PowerShell-script kan worden gebruikt om automatisch baseline-beleidsregels toe te wijzen aan gebruikers die momenteel geen specifieke policies hebben. Het script valideert eerst of alle vereiste baseline-beleidsregels bestaan en zijn geconfigureerd volgens de organisatiestandaarden, waarna gebruikers zonder toewijzingen automatisch de juiste baseline-policies krijgen. Het script kan ook worden gebruikt om inconsistente toewijzingen te identificeren en te rapporteren, zodat beheerders handmatig kunnen ingrijpen wanneer nodig. Na remediatie moet altijd een verificatie worden uitgevoerd om te bevestigen dat de configuratie correct is toegepast en dat alle gebruikers en teams nu compliant zijn.
Gebruik PowerShell-script teams-policies.ps1 (functie Invoke-Remediation) – Automatisch toewijzen van baseline-beleidsregels en herstellen van inconsistente configuraties.
Compliance & Frameworks
- BIO: 9.01, 12.04, 13.02 - Toegangsrechtenbeheer, systematisch informatiebeheer en gecontroleerde externe toegang via Teams-beleidsregels
- ISO 27001:2022: A.9.2.2 - Beheer en review van gebruikersrechten via gestructureerd beleidsbeheer
- NIS2: Artikel - Beveiligingsmaatregelen voor toegangsbeheer en risicomanagement
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Teams Policies Management and Configuration
.DESCRIPTION
Controleert en beheert alle typen Microsoft Teams-beleidsregels om een gestructureerd en compliant beleidsbeheersysteem te realiseren.
Dit script inventariseert alle actieve Teams-beleidsregels, controleert toewijzingen, identificeert hiaten en inconsistenties,
en kan automatisch baseline-beleidsregels toewijzen aan gebruikers zonder specifieke toewijzingen.
.NOTES
Filename: teams-policies.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-01-27
Last Modified: 2025-01-27
Version: 1.0
Related JSON: content/m365/teams-collaboration/teams-policies.json
Category: teams-collaboration
Workload: m365
Requires: Microsoft Teams-licenties
Modules: MicrosoftTeams, Microsoft.Graph
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\teams-policies.ps1 -Monitoring
Controleert alle Teams-beleidsregels en rapporteert configuratie status
.EXAMPLE
.\teams-policies.ps1 -Remediation
Wijst automatisch baseline-beleidsregels toe aan gebruikers zonder toewijzingen
#>
#Requires -Version 5.1
#Requires -Modules MicrosoftTeams
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Monitoring,
[Parameter(Mandatory = $false)]
[switch]$Remediation,
[Parameter(Mandatory = $false)]
[switch]$Revert,
[Parameter(Mandatory = $false)]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
# ============================================================================
# HEADER
# ============================================================================
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "Teams Policies Management - M365" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================
" -ForegroundColor Cyan
# ============================================================================
# GLOBAL SETTINGS
# ============================================================================
$script:BaselinePolicyPrefix = "M365 Baseline"
# ============================================================================
# FUNCTIONS
# ============================================================================
function Connect-RequiredServices {
<#
.SYNOPSIS
Maakt verbinding met Microsoft Teams en optioneel Microsoft Graph
#>
try {
Write-Host "Verbinden met Microsoft Teams..." -ForegroundColor Gray
# Controleer of er al een Teams-sessie actief is
$existingTeamsSession = Get-PSSession | Where-Object {
$_.ConfigurationName -like "*Teams*" -and $_.State -eq "Opened"
}
if (-not $existingTeamsSession) {
Connect-MicrosoftTeams -ErrorAction Stop | Out-Null
Write-Host " Teams verbinding succesvol" -ForegroundColor Green
}
else {
Write-Host " Bestaande Teams sessie gevonden" -ForegroundColor Green
}
# Controleer of Microsoft Graph module beschikbaar is
if (Get-Module -ListAvailable -Name Microsoft.Graph) {
Write-Host "Verbinden met Microsoft Graph..." -ForegroundColor Gray
try {
$graphContext = Get-MgContext -ErrorAction SilentlyContinue
if (-not $graphContext) {
Connect-MgGraph -Scopes "Directory.Read.All", "User.Read.All", "Group.Read.All" -ErrorAction Stop -NoWelcome | Out-Null
Write-Host " Graph verbinding succesvol" -ForegroundColor Green
}
else {
Write-Host " Bestaande Graph sessie gevonden" -ForegroundColor Green
}
}
catch {
Write-Host " Waarschuwing: Microsoft Graph verbinding niet beschikbaar (optioneel)" -ForegroundColor Yellow
}
}
}
catch {
Write-Host " FOUT: Kan geen verbinding maken met Microsoft Teams" -ForegroundColor Red
Write-Host " Controleer of MicrosoftTeams module is geïnstalleerd" -ForegroundColor Yellow
Write-Host " Installeer met: Install-Module -Name MicrosoftTeams" -ForegroundColor Yellow
throw "Verbinding mislukt: $_"
}
}
function Get-TeamsPoliciesInventory {
<#
.SYNOPSIS
Inventariseert alle typen Teams-beleidsregels
#>
try {
Write-Host "Inventariseren van Teams-beleidsregels..." -ForegroundColor Gray
$inventory = @{
MessagingPolicies = @()
MeetingPolicies = @()
AppPermissionPolicies = @()
CallingPolicies = @()
LiveEventPolicies = @()
TeamsPolicies = @()
TeamsAppSetupPolicies = @()
TotalPolicies = 0
UsersWithoutPolicies = @()
}
# Messaging Policies
try {
$inventory.MessagingPolicies = Get-CsTeamsMessagingPolicy -ErrorAction SilentlyContinue
Write-Host " Messaging policies: $($inventory.MessagingPolicies.Count)" -ForegroundColor Gray
}
catch {
Write-Host " Waarschuwing: Kon messaging policies niet ophalen" -ForegroundColor Yellow
}
# Meeting Policies
try {
$inventory.MeetingPolicies = Get-CsTeamsMeetingPolicy -ErrorAction SilentlyContinue
Write-Host " Meeting policies: $($inventory.MeetingPolicies.Count)" -ForegroundColor Gray
}
catch {
Write-Host " Waarschuwing: Kon meeting policies niet ophalen" -ForegroundColor Yellow
}
# App Permission Policies
try {
$inventory.AppPermissionPolicies = Get-CsTeamsAppPermissionPolicy -ErrorAction SilentlyContinue
Write-Host " App permission policies: $($inventory.AppPermissionPolicies.Count)" -ForegroundColor Gray
}
catch {
Write-Host " Waarschuwing: Kon app permission policies niet ophalen" -ForegroundColor Yellow
}
# Calling Policies
try {
$inventory.CallingPolicies = Get-CsTeamsCallingPolicy -ErrorAction SilentlyContinue
Write-Host " Calling policies: $($inventory.CallingPolicies.Count)" -ForegroundColor Gray
}
catch {
Write-Host " Waarschuwing: Kon calling policies niet ophalen" -ForegroundColor Yellow
}
# Teams Policies (org-wide settings)
try {
$inventory.TeamsPolicies = Get-CsTeamsClientConfiguration -ErrorAction SilentlyContinue
Write-Host " Teams client configuration: $(if ($inventory.TeamsPolicies) { 'Gevonden' } else { 'Niet gevonden' })" -ForegroundColor Gray
}
catch {
Write-Host " Waarschuwing: Kon Teams client configuration niet ophalen" -ForegroundColor Yellow
}
# Bereken totaal
$inventory.TotalPolicies = $inventory.MessagingPolicies.Count +
$inventory.MeetingPolicies.Count +
$inventory.AppPermissionPolicies.Count +
$inventory.CallingPolicies.Count
Write-Host " Totaal beleidsregels gevonden: $($inventory.TotalPolicies)" -ForegroundColor Cyan
return $inventory
}
catch {
Write-Host " FOUT bij inventariseren: $_" -ForegroundColor Red
return $null
}
}
function Test-UsersPolicyAssignments {
<#
.SYNOPSIS
Controleert welke gebruikers beleidsregels hebben toegewezen
#>
try {
Write-Host "Controleren van gebruikersbeleidstoewijzingen..." -ForegroundColor Gray
# Haal een steekproef van gebruikers op (beperkt tot eerste 100 voor performance)
$users = Get-CsOnlineUser -ResultSize 100 -ErrorAction SilentlyContinue |
Where-Object { $_.AccountEnabled -eq $true }
if (-not $users) {
Write-Host " Geen gebruikers gevonden" -ForegroundColor Yellow
return @{
TotalUsers = 0
UsersWithMessagingPolicy = 0
UsersWithMeetingPolicy = 0
UsersWithAppPermissionPolicy = 0
UsersWithoutAllPolicies = @()
}
}
$usersWithMessaging = 0
$usersWithMeeting = 0
$usersWithAppPermission = 0
$usersWithoutAll = @()
foreach ($user in $users) {
$hasMessaging = $user.TeamsMessagingPolicy -ne $null
$hasMeeting = $user.TeamsMeetingPolicy -ne $null
$hasAppPermission = $user.TeamsAppPermissionPolicy -ne $null
if ($hasMessaging) { $usersWithMessaging++ }
if ($hasMeeting) { $usersWithMeeting++ }
if ($hasAppPermission) { $usersWithAppPermission++ }
# Gebruiker zonder alle drie de policies
if (-not $hasMessaging -or -not $hasMeeting -or -not $hasAppPermission) {
$usersWithoutAll += [PSCustomObject]@{
UserPrincipalName = $user.UserPrincipalName
DisplayName = $user.DisplayName
HasMessagingPolicy = $hasMessaging
HasMeetingPolicy = $hasMeeting
HasAppPermissionPolicy = $hasAppPermission
}
}
}
Write-Host " Gebruikers gecontroleerd: $($users.Count)" -ForegroundColor Gray
Write-Host " Met messaging policy: $usersWithMessaging" -ForegroundColor Gray
Write-Host " Met meeting policy: $usersWithMeeting" -ForegroundColor Gray
Write-Host " Met app permission policy: $usersWithAppPermission" -ForegroundColor Gray
Write-Host " Zonder alle policies: $($usersWithoutAll.Count)" -ForegroundColor $(if ($usersWithoutAll.Count -gt 0) { "Yellow" } else { "Green" })
return @{
TotalUsers = $users.Count
UsersWithMessagingPolicy = $usersWithMessaging
UsersWithMeetingPolicy = $usersWithMeeting
UsersWithAppPermissionPolicy = $usersWithAppPermission
UsersWithoutAllPolicies = $usersWithoutAll
}
}
catch {
Write-Host " FOUT bij controleren gebruikers: $_" -ForegroundColor Red
return @{
TotalUsers = 0
UsersWithMessagingPolicy = 0
UsersWithMeetingPolicy = 0
UsersWithAppPermissionPolicy = 0
UsersWithoutAllPolicies = @()
}
}
}
function Test-TeamsPoliciesCompliance {
<#
.SYNOPSIS
Bepaalt of Teams-beleidsregels voldoen aan baseline-vereisten
#>
try {
Write-Host "Controleren van compliance-status..." -ForegroundColor Gray
$inventory = Get-TeamsPoliciesInventory
if (-not $inventory) {
return @{
IsCompliant = $false
Status = "Fout bij inventariseren"
Details = "Kon beleidsregels niet ophalen"
}
}
$userAssignments = Test-UsersPolicyAssignments
$usersWithoutPolicies = $userAssignments.UsersWithoutAllPolicies
# Compliant als er minimaal beleidsregels zijn en gebruikers zijn toegewezen
$isCompliant = $inventory.TotalPolicies -gt 0 -and
$userAssignments.TotalUsers -gt 0 -and
($usersWithoutPolicies.Count / [Math]::Max($userAssignments.TotalUsers, 1)) -lt 0.1
$compliancePercentage = if ($userAssignments.TotalUsers -gt 0) {
[Math]::Round((($userAssignments.TotalUsers - $usersWithoutPolicies.Count) / $userAssignments.TotalUsers) * 100, 1)
} else {
0
}
return @{
IsCompliant = $isCompliant
Status = if ($isCompliant) { "Compliant" } else { "Non-Compliant" }
TotalPolicies = $inventory.TotalPolicies
CompliancePercentage = $compliancePercentage
UsersWithoutAllPolicies = $usersWithoutPolicies.Count
TotalUsersChecked = $userAssignments.TotalUsers
Details = "Beleidsregels: $($inventory.TotalPolicies), Compliance: $compliancePercentage%"
Inventory = $inventory
UserAssignments = $userAssignments
}
}
catch {
Write-Host " FOUT bij compliance-check: $_" -ForegroundColor Red
return @{
IsCompliant = $false
Status = "Fout"
Details = "Error: $_"
}
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert monitoring uit van alle Teams-beleidsregels
#>
try {
Connect-RequiredServices
$result = Test-TeamsPoliciesCompliance
Write-Host "`n Teams Beleidsregels Status:" -ForegroundColor Cyan
Write-Host " Status: $($result.Status)" -ForegroundColor $(if ($result.IsCompliant) { "Green" } else { "Yellow" })
Write-Host " Totaal beleidsregels: $($result.TotalPolicies)" -ForegroundColor White
Write-Host " Compliance percentage: $($result.CompliancePercentage)%" -ForegroundColor $(if ($result.CompliancePercentage -ge 90) { "Green" } elseif ($result.CompliancePercentage -ge 70) { "Yellow" } else { "Red" })
Write-Host " Gebruikers gecontroleerd: $($result.TotalUsersChecked)" -ForegroundColor White
Write-Host " Gebruikers zonder alle policies: $($result.UsersWithoutAllPolicies)" -ForegroundColor $(if ($result.UsersWithoutAllPolicies -gt 0) { "Yellow" } else { "Green" })
if ($result.Inventory) {
Write-Host "`n Beleidsregels overzicht:" -ForegroundColor Cyan
Write-Host " Messaging policies: $($result.Inventory.MessagingPolicies.Count)" -ForegroundColor Gray
Write-Host " Meeting policies: $($result.Inventory.MeetingPolicies.Count)" -ForegroundColor Gray
Write-Host " App permission policies: $($result.Inventory.AppPermissionPolicies.Count)" -ForegroundColor Gray
Write-Host " Calling policies: $($result.Inventory.CallingPolicies.Count)" -ForegroundColor Gray
}
Write-Host "`n Compliance-vereisten:" -ForegroundColor Cyan
Write-Host " • AVG Artikel 32 - Technische maatregelen" -ForegroundColor Gray
Write-Host " • BIO 9.01, 12.04, 13.02 - Toegangsbeheer" -ForegroundColor Gray
Write-Host " • ISO 27001 A.9.2.2 - Gebruikersrechtenbeheer" -ForegroundColor Gray
Write-Host " • NIS2 Artikel 21 - Beveiligingsmaatregelen" -ForegroundColor Gray
if (-not $result.IsCompliant) {
Write-Host "`n Aanbevelingen:" -ForegroundColor Yellow
Write-Host " • Configureer baseline-beleidsregels voor alle policy types" -ForegroundColor Gray
Write-Host " • Wijs beleidsregels toe aan gebruikers zonder toewijzingen" -ForegroundColor Gray
Write-Host " • Implementeer geautomatiseerd toewijzingsproces" -ForegroundColor Gray
Write-Host " • Voer periodieke reviews uit van beleidsregels" -ForegroundColor Gray
}
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT - Teams-beleidsregels zijn correct geconfigureerd" -ForegroundColor Green
exit 0
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT - Teams-beleidsregels vereisen aandacht!" -ForegroundColor Red
Write-Host " Gebruik -Remediation om baseline-beleidsregels toe te wijzen" -ForegroundColor Yellow
exit 1
}
}
catch {
Write-Host "`n[FAIL] FOUT: $_" -ForegroundColor Red
exit 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Wijst automatisch baseline-beleidsregels toe aan gebruikers zonder toewijzingen
#>
try {
Connect-RequiredServices
Write-Host "`nRemediatie van Teams-beleidsregels:" -ForegroundColor Yellow
Write-Host " Let op: Deze functie wijst alleen organisatiebrede standaardbeleidsregels toe" -ForegroundColor Yellow
Write-Host " Voor specifieke beleidsregels, gebruik het Teams Admin Center" -ForegroundColor Yellow
if ($WhatIf) {
Write-Host "`n[WhatIf] Zou baseline-beleidsregels status controleren" -ForegroundColor Yellow
$result = Test-TeamsPoliciesCompliance
Write-Host " Huidige status: $($result.Status)" -ForegroundColor Gray
Write-Host " Gebruikers zonder alle policies: $($result.UsersWithoutAllPolicies)" -ForegroundColor Gray
return
}
$result = Test-TeamsPoliciesCompliance
if ($result.IsCompliant) {
Write-Host "`n[OK] Geen remediatie nodig - configuratie is compliant" -ForegroundColor Green
return
}
Write-Host "`nHuidige situatie:" -ForegroundColor Cyan
Write-Host " Totaal beleidsregels: $($result.TotalPolicies)" -ForegroundColor White
Write-Host " Compliance percentage: $($result.CompliancePercentage)%" -ForegroundColor White
Write-Host " Gebruikers zonder alle policies: $($result.UsersWithoutAllPolicies)" -ForegroundColor Yellow
if ($result.UsersWithoutAllPolicies -gt 0) {
Write-Host "`n[INFO] Automatische toewijzing van beleidsregels:" -ForegroundColor Yellow
Write-Host " Microsoft Teams gebruikt organisatiebrede standaardbeleidsregels (Global)" -ForegroundColor Gray
Write-Host " wanneer gebruikers geen specifieke toewijzing hebben." -ForegroundColor Gray
Write-Host "`n Om specifieke beleidsregels toe te wijzen:" -ForegroundColor Yellow
Write-Host " 1. Ga naar Microsoft Teams Admin Center" -ForegroundColor Gray
Write-Host " 2. Navigeer naar de betreffende policy type (Messaging, Meeting, etc.)" -ForegroundColor Gray
Write-Host " 3. Wijs policies toe aan gebruikers of groepen" -ForegroundColor Gray
Write-Host "`n PowerShell alternatief:" -ForegroundColor Yellow
Write-Host " Grant-CsTeamsMessagingPolicy -Identity <user@domain.nl> -PolicyName <PolicyName>" -ForegroundColor Gray
Write-Host " Grant-CsTeamsMeetingPolicy -Identity <user@domain.nl> -PolicyName <PolicyName>" -ForegroundColor Gray
Write-Host " Grant-CsTeamsAppPermissionPolicy -Identity <user@domain.nl> -PolicyName <PolicyName>" -ForegroundColor Gray
}
Write-Host "`n[INFO] Remediatie voltooid. Controleer status met -Monitoring" -ForegroundColor Green
}
catch {
Write-Host "`n[FAIL] FOUT bij remediatie: $_" -ForegroundColor Red
exit 2
}
}
function Invoke-Revert {
<#
.SYNOPSIS
Keert wijzigingen terug (niet geïmplementeerd voor veiligheid)
#>
Write-Host "`nWaarschuwing: Revert vereist expliciete goedkeuring!" -ForegroundColor Red
Write-Host " Deze functie is niet geïmplementeerd voor veiligheidsredenen." -ForegroundColor Yellow
Write-Host " Gebruik het Teams Admin Center voor het beheren van beleidsregels." -ForegroundColor Yellow
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
if ($Revert) {
Invoke-Revert
}
elseif ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
Write-Host "Beschikbare parameters:" -ForegroundColor Yellow
Write-Host " -Monitoring : Controleer alle Teams-beleidsregels status" -ForegroundColor Gray
Write-Host " -Remediation : Rapporteer en adviseer over beleidstoewijzingen" -ForegroundColor Gray
Write-Host " -Revert : Revert wijzigingen (niet geïmplementeerd)" -ForegroundColor Gray
Write-Host " -WhatIf : Toon wat er zou gebeuren zonder wijzigingen" -ForegroundColor Gray
Write-Host "`nVoor meer informatie, zie:" -ForegroundColor Gray
Write-Host " content/m365/teams-collaboration/teams-policies.json" -ForegroundColor Gray
}
}
catch {
Write-Error "Error: $_"
throw
}
finally {
Write-Host "
========================================
" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Hoog - Zonder gestructureerd Teams-beleidsregels beheer ontstaat beleidsdrift, inconsistente beveiligingsconfiguraties, compliance-schendingen en governance-problemen. Organisaties kunnen niet aantonen welke beveiligingsmaatregelen actief zijn, wat leidt tot kritische auditbevindingen en verhoogde beveiligingsrisico's.
Management Samenvatting
Teams-beleidsregels beheer biedt een systematische aanpak voor het configureren, toewijzen, monitoren en onderhouden van alle typen Teams-beleidsregels. Essentieel voor governance, beveiliging en compliance met AVG, BIO en NIS2. Vereist: beveiligingskader, Azure AD-structuur, wijzigingsbeheerproces. Implementatie: 36 uur (16 technisch, 20 organisatorisch).
- Implementatietijd: 36 uur
- FTE required: 0.2 FTE