BIO 9.01 ISO A.9.2.2

Teams: Levenscyclusbeheer Geconfigureerd

šŸ“… 2025-01-27
ā€¢
ā±ļø 12 minuten lezen
ā€¢
šŸ”“ Must-Have

šŸ’¼ Management Samenvatting

Levenscyclusbeheer voor Microsoft Teams vormt de kern van effectieve Teams-governance en zorgt ervoor dat teams worden aangemaakt, beheerd, gearchiveerd en verwijderd volgens gestructureerde processen en beleidsregels. Zonder adequaat levenscyclusbeheer ontstaan verweesde teams, ongecontroleerde teamproliferatie, hoge opslagkosten, beveiligingsrisico's en compliance-problemen die de effectiviteit van Teams als samenwerkingsplatform ernstig ondermijnen.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
40u (tech: 16u)
Van toepassing op:
āœ“ Microsoft Teams
āœ“ Microsoft 365

Microsoft Teams heeft zich ontwikkeld tot het primaire samenwerkingsplatform voor moderne organisaties, waarbij dagelijks nieuwe teams worden aangemaakt voor projecten, afdelingen en initiatieven. Zonder gestructureerd levenscyclusbeheer ontstaan echter binnen 12 tot 24 maanden aanzienlijke problemen die productiviteit, beveiliging en naleving ernstig kunnen schaden. Verweesde teams ontstaan wanneer de oorspronkelijke teameigenaar uit dienst treedt, van rol verandert of de organisatie verlaat zonder eigendomsrechten over te dragen aan andere teamleden. Dit resulteert in teams die niemand kan beheren, waarbij leden niet kunnen worden toegevoegd of verwijderd, instellingen niet kunnen worden gewijzigd, en teams niet kunnen worden gearchiveerd of verwijderd wanneer ze niet meer nodig zijn. Verweesde teams behouden toegang voor voormalige medewerkers die mogelijk nog gastgebruikers of externe partners hebben, waardoor beveiligingsrisico's ontstaan waarbij onbevoegde personen toegang behouden tot bedrijfsgegevens zonder dat iemand dit kan monitoren of voorkomen. Ongecontroleerde teamproliferatie ontstaat wanneer gebruikers duplicaatteams aanmaken omdat zij niet kunnen vinden of een relevant team al bestaat, of wanneer teams worden aangemaakt voor korte projecten maar nooit worden verwijderd na voltooiing. Organisaties zien binnen een jaar duizenden teams ontstaan zonder duidelijke structuur, waarbij gebruikers lid zijn van 50 tot 100 of meer teams wat meldingsmoeheid en informatieoverload veroorzaakt. Opslagkosten groeien exponentieel omdat elk team een aparte SharePoint-site heeft met gigabytes aan gedupliceerde inhoud, verouderde documenten en onnodige bestanden die nooit worden opgeschoond. Beveiligingsrisico's stapelen zich op wanneer teams worden gebruikt voor gevoelige projecten maar niet worden verwijderd na voltooiing, waardoor vertrouwelijke informatie toegankelijk blijft voor personen die niet langer bij het project betrokken zijn. Gastgebruikers behouden toegang tot teams zonder periodieke beoordeling, en externe partners hebben blijvende toegang tot bedrijfsgegevens zelfs nadat samenwerkingsprojecten zijn beƫindigd. Compliance-problemen ontstaan omdat bewaarbeleidsregels niet consistent worden toegepast op teams, juridische bewaarplicht mist teams die relevant zijn voor rechtszaken omdat teams onopgemerkt worden verwijderd, en gegevensresidencyvereisten worden geschonden wanneer teams spontaan worden aangemaakt zonder governance. Productiviteitsproblemen ontstaan wanneer gebruikers overweldigd zijn door te veel teams en niet kunnen vinden welk team zij nodig hebben voor hun huidige werkzaamheden. Belangrijke meldingen verdrinken in ruis van inactieve teams, vergaderingsuitnodigingen komen van onduidelijke teams zonder context, en zoekresultaten zijn vervuild met inhoud van irrelevante of verouderde teams. Organisaties hebben geen zicht op welke teams actief zijn versus verlaten, welke teams worden gebruikt voor belangrijke projecten versus experimentele initiatieven, en welke teams moeten worden gearchiveerd of verwijderd om kosten te besparen en beveiliging te verbeteren. Levenscyclusbeheer lost al deze problemen fundamenteel op door geautomatiseerde processen te implementeren die teams regelmatig beoordelen op hun voortdurende relevantie, eigendomsoverdracht afdwingen wanneer eigenaren uit dienst treden, automatische archivering activeren voor inactieve teams, en gestructureerde verwijderingsprocessen waarborgen die compliance-vereisten respecteren. Door levenscyclusbeheer centraal te beheren en te automatiseren, krijgen organisaties volledige controle over hun Teams-omgeving terwijl zij gebruikers de flexibiliteit bieden die zij nodig hebben voor effectieve samenwerking.

PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.Groups, MicrosoftTeams

Implementatie

Levenscyclusbeheer voor Microsoft Teams omvat een uitgebreide set processen en beleidsregels die de volledige levenscyclus van teams regelen vanaf aanmaak tot uiteindelijke verwijdering. Het levenscyclusbeheerraamwerk bestaat uit meerdere geĆÆntegreerde componenten die elk een specifiek aspect van teambeheer afdekken. Eigendomsbeheer vormt de eerste pijler van levenscyclusbeheer en zorgt ervoor dat elk team minimaal twee actieve eigenaren heeft om verweesde teams te voorkomen en redundantie te waarborgen. Teameigenaren zijn verantwoordelijk voor het beheer van toegang, het beoordelen van activiteit, het reageren op governance-overtredingen, en het archiveren of verwijderen van teams wanneer zij niet meer nodig zijn. Wanneer een teameigenaar uit dienst treedt, controleert het systeem automatisch of de persoon teameigenaar is van een of meer teams en dwingt eigendomsoverdracht af voordat het account wordt uitgeschakeld. Dit voorkomt dat teams verweesd raken zonder eigenaren die kunnen ingrijpen wanneer problemen ontstaan of wanneer toegangsbeoordelingen nodig zijn. Automatische vervalbeleidsregels implementeren vervalmechanismen die ervoor zorgen dat teams regelmatig worden beoordeeld op hun voortdurende relevantie voor de organisatie. Teams ontvangen automatische verlengingsverzoeken na een configuratieperiode van 6 tot 12 maanden, waarbij teameigenaren expliciet moeten bevestigen dat het team nog actief is, dat de ledenlijst bijgewerkt is, en dat het team nog steeds nodig is voor de organisatie. Dit proces helpt organisaties om inactieve of verouderde teams te identificeren voordat ze problemen veroorzaken. Teams die niet reageren op verlengingsverzoeken ontvangen na 30 dagen een waarschuwing en worden vervolgens automatisch gearchiveerd in een alleen-lezen status waarbij alle functionaliteit wordt bewaard maar nieuwe activiteit wordt voorkomen. Archivering is een kritieke fase in levenscyclusbeheer omdat gearchiveerde teams nog toegankelijk zijn voor informatiezoekopdrachten en eDiscovery-doeleinden, maar geen nieuwe gesprekken, bestanden of vergaderingen kunnen hebben. Dit voorkomt dat inactieve teams onnodig resources verbruiken terwijl belangrijke historische informatie behouden blijft voor compliance- en auditdoeleinden. Na een aanvullende periode van 90 dagen in archiefstatus kunnen teams permanent worden verwijderd na definitieve goedkeuring door IT-beheer of compliance officers, wat zorgvuldige beoordeling waarborgt voordat permanente verwijdering plaatsvindt. Activiteitsmonitoring gebruikt geavanceerde analytics om teamactiviteit te meten en inactieve teams te identificeren die kandidaten zijn voor archivering. Activiteitsindicatoren omvatten berichten in kanalen, bestandsuploads en -wijzigingen, vergaderingen die worden gehouden, apps die worden gebruikt, en algemene gebruikersbetrokkenheid. Teams zonder activiteit gedurende 90 dagen worden geĆÆdentificeerd als inactief en kunnen automatisch worden gearchiveerd na notificatie van teameigenaren. Gastgebruikerslevenscyclus beheert externe toegang door driemaandelijkse beoordelingen verplicht te stellen waarbij teameigenaren expliciet moeten bevestigen dat gastgebruikers nog steeds toegang nodig hebben voor hun werkzaamheden. Gastgebruikers die niet actief zijn of waarvan de toegang niet is bevestigd worden automatisch verwijderd uit teams om beveiligingsrisico's te verminderen. Gegevensretentie en verwijdering zorgen ervoor dat teams worden verwijderd volgens gestructureerde processen die compliance-vereisten respecteren. Voordat een team wordt verwijderd, worden alle relevante gegevens geĆ«xporteerd en gearchiveerd volgens bewaarbeleidsregels, worden teameigenaren en belanghebbenden geĆÆnformeerd over de geplande verwijdering, en wordt een wachttijd ingesteld van minimaal 30 dagen om permanente verwijdering te voorkomen wanneer teams nog nodig zijn. Nalevingsintegratie waarborgt dat bewaarbeleidsregels worden toegepast op teams op basis van hun gevoeligheidsclassificatie, wat helpt organisaties te voldoen aan juridische bewaarplicht en regelgevingsvereisten. eDiscovery-functionaliteiten maken het mogelijk om te zoeken in alle teams inclusief gearchiveerde teams voor juridische of compliance-doeleinden, wat essentieel is wanneer organisaties moeten reageren op rechtszaken of audits. Auditlogboekregistratie legt alle teamaanmaak-, archiverings-, en verwijderingsgebeurtenissen vast om een volledig audit trail te bieden van alle levenscyclusactiviteiten. Geautomatiseerde workflows verminderen de handmatige werklast voor IT-beheerders door automatische eigendomsoverdracht, archivering, en notificatieprocessen te implementeren die ervoor zorgen dat levenscyclusbeheer consistent wordt toegepast zonder constante handmatige interventie.

Vereisten

Voordat levenscyclusbeheer voor Microsoft Teams kan worden geĆÆmplementeerd, moeten organisaties voldoen aan een aantal kritieke vereisten die de basis vormen voor succesvolle implementatie en beheer. Ten eerste is een Microsoft Teams-licentie vereist voor alle gebruikers die onderdeel uitmaken van het levenscyclusbeheerproces. Zonder de juiste licenties kunnen levenscyclusprocessen niet worden geautomatiseerd en kunnen gebruikers geen gebruik maken van Teams-functionaliteiten. Het is belangrijk om te verifiĆ«ren dat alle betrokken gebruikers over de juiste licenties beschikken voordat levenscyclusbeheer wordt geconfigureerd. Ten tweede moeten organisaties beschikken over een duidelijk levenscyclusbeheerkader dat definieert welke processen nodig zijn voor verschillende teamtypen en hoe deze processen zijn afgestemd op organisatorische behoeften, beveiligingsvereisten en compliance-verplichtingen. Dit kader moet worden ontwikkeld in samenwerking met business stakeholders, informatiebeveiliging, compliance officers en IT-beheer om ervoor te zorgen dat levenscyclusprocessen zakelijke behoeften ondersteunen terwijl beveiligings- en compliance-vereisten worden nageleefd.

Daarnaast is een solide Azure AD-structuur essentieel, waarbij gebruikers correct zijn georganiseerd en teameigenaars duidelijk zijn geĆÆdentificeerd. Teameigenaars vormen de kern van levenscyclusbeheer omdat zij verantwoordelijk zijn voor het beoordelen van teamactiviteit, het beheren van toegang, en het initiĆ«ren van archiverings- of verwijderingsprocessen wanneer teams niet meer nodig zijn. Organisaties moeten beschikken over een proces voor het identificeren en bijhouden van teameigenaars, waarbij eigendomsoverdracht wordt afgedwongen wanneer eigenaren uit dienst treden of van rol veranderen. Dit proces moet transparant zijn en alle wijzigingen moeten worden vastgelegd voor auditdoeleinden. Tot slot vereist de implementatie uitgebreide test- en acceptatiefases met representatieve teamtypen om te verifiĆ«ren dat levenscyclusprocessen correct werken en geen onbedoelde neveneffecten hebben op actieve teams of gebruikers.

  1. Microsoft Teams-licenties voor alle betrokken gebruikers
  2. Levenscyclusbeheerkader met definities van processen per teamtype
  3. Azure AD-structuur met geĆÆdentificeerde teameigenaars
  4. Proces voor eigendomsoverdracht wanneer eigenaren uit dienst treden
  5. Test- en acceptatieplan met representatieve teamtypen
  6. Documentatie van levenscyclusprocessen voor auditdoeleinden
  7. Microsoft Graph API-toegang voor geautomatiseerde levenscyclusbeheerprocessen

Implementatie

De implementatie van levenscyclusbeheer voor Microsoft Teams begint met het ontwikkelen van een levenscyclusbeheerkader dat verschillende processen definieert op basis van teamtypen en organisatorische behoeften. Organiseer workshops met stakeholders van verschillende afdelingen om te bepalen welke levenscyclusprocessen nodig zijn voor verschillende teamtypen. Projectteams hebben bijvoorbeeld mogelijk korte levenscycli van 3 tot 6 maanden met automatische archivering na projectvoltooiing, terwijl afdelingsteams permanente teams zijn die alleen worden gearchiveerd wanneer afdelingen worden opgeheven of gereorganiseerd. Executieteams hebben mogelijk zeer restrictieve levenscyclusprocessen waarbij alleen specifieke personen teams kunnen archiveren of verwijderen om te voorkomen dat belangrijke strategische teams per ongeluk worden verwijderd. Documenteer deze vereisten in een centraal register dat dient als basis voor de technische implementatie.

In de tweede fase worden eigendomsvereisten geconfigureerd die ervoor zorgen dat elk team minimaal twee actieve eigenaren heeft. Maak een proces waarbij nieuwe teams automatisch worden geconfigureerd met meerdere eigenaren, en implementeer automatische controles die waarschuwen wanneer teams minder dan twee eigenaren hebben. Configureer automatische eigendomsoverdracht wanneer teameigenaars uit dienst treden door Azure AD-lifecycle events te gebruiken die triggers activeren wanneer gebruikersaccounts worden uitgeschakeld. Deze triggers moeten controleren of de gebruiker teameigenaar is en automatisch eigendomsrechten overdragen aan andere teamleden of beheerders voordat het account wordt uitgeschakeld. Test dit proces grondig in een testomgeving om te verifiƫren dat eigendomsoverdracht correct werkt zonder teams te verwezen of toegang te verliezen.

De derde fase omvat het configureren van automatische vervalbeleidsregels die teams regelmatig beoordelen op hun voortdurende relevantie. Configureer vervalbeleidsregels via Azure AD Groups waarbij teams automatische verlengingsverzoeken ontvangen na een configuratieperiode van 6 tot 12 maanden. Deze verlengingsverzoeken moeten teameigenaars vragen om expliciet te bevestigen dat het team nog actief is, dat de ledenlijst bijgewerkt is, en dat het team nog steeds nodig is. Teams die niet reageren op verlengingsverzoeken moeten na 30 dagen een waarschuwing ontvangen en vervolgens automatisch worden gearchiveerd. Configureer archiveringsinstellingen via Microsoft Graph API of Teams Admin Center zodat gearchiveerde teams in een alleen-lezen status worden geplaatst waarbij alle functionaliteit wordt bewaard maar nieuwe activiteit wordt voorkomen. Test vervalbeleidsregels grondig met testteams om te verifiƫren dat het proces correct werkt en geen actieve teams per ongeluk archiveert.

In de vierde fase wordt activiteitsmonitoring geconfigureerd die teams identificeert die kandidaten zijn voor archivering op basis van gebrek aan activiteit. Implementeer monitoring via Microsoft Graph API die teamactiviteit meet aan de hand van berichten, bestandsuploads, vergaderingen en gebruikersbetrokkenheid. Configureer drempelwaarden voor inactiviteit, bijvoorbeeld 90 dagen zonder activiteit, waarna teams automatisch worden geĆÆdentificeerd als inactief. Stel geautomatiseerde notificaties in die teameigenaars waarschuwen wanneer teams inactief worden, en geef eigenaars de mogelijkheid om teams opnieuw te activeren als zij nog nodig zijn. Implementeer een wachttijd van minimaal 30 dagen tussen identificatie als inactief en daadwerkelijke archivering om te voorkomen dat teams per ongeluk worden gearchiveerd tijdens vakantieperioden of seizoensgebonden inactiviteit.

De vijfde fase bestaat uit het configureren van gastgebruikerslevenscyclus die externe toegang beheert door driemaandelijkse beoordelingen verplicht te stellen. Implementeer geautomatiseerde workflows die teameigenaars notificeren wanneer gastgebruikers 90 dagen in teams zijn zonder activiteit of bevestiging van voortdurende toegang. Configureer automatische verwijdering van gastgebruikers die niet actief zijn of waarvan de toegang niet is bevestigd na de beoordelingsperiode. Dit proces helpt om beveiligingsrisico's te verminderen door te voorkomen dat externe gebruikers blijvende toegang behouden tot teams wanneer zij niet langer betrokken zijn bij projecten of samenwerking. Test gastgebruikerslevenscyclus met testteams die externe gasten bevatten om te verifiƫren dat het proces correct werkt en geen actieve gastgebruikers per ongeluk verwijdert.

Tot slot richt de zesde fase gestructureerde verwijderingsprocessen in die ervoor zorgen dat teams worden verwijderd volgens compliance-vereisten. Implementeer een goedkeuringsworkflow waarbij teams niet automatisch kunnen worden verwijderd zonder expliciete goedkeuring van IT-beheer of compliance officers. Voordat een team wordt verwijderd, moeten alle relevante gegevens worden geĆ«xporteerd en gearchiveerd volgens bewaarbeleidsregels, moeten teameigenaars en belanghebbenden worden geĆÆnformeerd over de geplande verwijdering met een minimum wachttijd van 30 dagen, en moeten alle gastgebruikers worden verwijderd. Configureer auditlogboekregistratie die alle verwijderingsgebeurtenissen vastlegt voor compliance- en auditdoeleinden. Test verwijderingsprocessen met testteams om te verifiĆ«ren dat gegevens correct worden gearchiveerd en dat verwijdering niet ongedaan kan worden gemaakt zonder juiste processen.

Gebruik PowerShell-script lifecycle-management.ps1 (functie Invoke-Remediation) ā€“ Het PowerShell-script automatiseert het controleren en configureren van levenscyclusbeheer voor Microsoft Teams. Het script verbindt met de Microsoft Graph API, identificeert verweesde teams, controleert eigendomsvereisten, monitort teamactiviteit, en kan automatische archiveringsprocessen initiĆ«ren op basis van goedgekeurde levenscyclusbeheerkaders..

Compliance

Levenscyclusbeheer voor Microsoft Teams is direct gerelateerd aan meerdere compliance-vereisten in de Nederlandse en Europese wetgeving. De Algemene Verordening Gegevensbescherming (AVG) vereist in Artikel 32 passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies of vernietiging. Levenscyclusbeheer vormt een concrete technische maatregel die voorkomt dat gevoelige persoonsgegevens toegankelijk blijven voor onbevoegde personen door verweesde teams te voorkomen en teams te archiveren of verwijderen wanneer zij niet meer nodig zijn. Bovendien vereist de AVG in Artikel 17 het recht op vergetelheid waarbij persoonsgegevens moeten worden verwijderd wanneer zij niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld. Levenscyclusbeheer ondersteunt dit recht door gestructureerde verwijderingsprocessen die ervoor zorgen dat teams met persoonsgegevens worden verwijderd wanneer zij niet meer nodig zijn, terwijl bewaarvereisten worden gerespecteerd.

Voor overheidsorganisaties is levenscyclusbeheer essentieel voor naleving van de Archiefwet, die eist dat belangrijke overheidsinformatie wordt bewaard volgens bewaartermijnen terwijl niet-relevante informatie wordt verwijderd. Levenscyclusbeheer helpt organisaties te voldoen aan deze vereisten door teams te archiveren die belangrijke informatie bevatten terwijl teams zonder belangrijke informatie worden verwijderd volgens gestructureerde processen. BIO 9.01 vereist dat toegangsrechten worden beheerd en dat onbevoegde toegang wordt voorkomen, wat wordt ondersteund door eigendomsbeheer dat verweesde teams voorkomt en gastgebruikerslevenscyclus die externe toegang beheert. BIO 13.02 vereist dat externe communicatie wordt gecontroleerd en gelogd, wat wordt ondersteund door gastgebruikerslevenscyclus die externe toegang monitort en beheert.

De NIS2-richtlijn vereist dat essentiƫle en belangrijke entiteiten passende maatregelen nemen om beveiligingsrisico's te beheren, inclusief het beheren van toegang tot systemen en netwerken. Levenscyclusbeheer biedt een concrete manier om deze vereisten in te vullen door verweesde teams te voorkomen die beveiligingsrisico's kunnen vormen en door teams te archiveren of verwijderen wanneer zij niet meer nodig zijn. ISO 27001 A.9.2.2 vereist dat organisaties toegangsrechten beoordelen en dat externe gebruikersrechten worden beheerd en gereviewd, wat wordt ondersteund door eigendomsbeheer en gastgebruikerslevenscyclus. ISO 27001 A.12.3.1 vereist dat organisaties procedures hebben voor informatieverwijdering, wat wordt ondersteund door gestructureerde verwijderingsprocessen die deel uitmaken van levenscyclusbeheer.

Monitoring

Continue monitoring van levenscyclusbeheer voor Microsoft Teams is essentieel om te verifiƫren dat levenscyclusprocessen correct worden toegepast en dat er geen verweesde teams of ongecontroleerde teamproliferatie ontstaat. Het monitoringproces moet regelmatig controleren of alle teams minimaal twee actieve eigenaren hebben, of vervalbeleidsregels correct worden afgedwongen, of inactieve teams tijdig worden gearchiveerd, en of gastgebruikers regelmatig worden beoordeeld en verwijderd wanneer zij niet meer nodig zijn. Daarnaast moet worden gemonitord of levenscyclusprocessen correct werken en of er geen onbedoelde neveneffecten zijn op actieve teams of gebruikers.

Het PowerShell-script voorziet in geautomatiseerde monitoring die de status van alle teams controleert, eigendomsvereisten valideert, teamactiviteit monitort, en rapporteert over eventuele verweesde teams, inactieve teams, of teams zonder adequate eigenaren. Het script genereert gedetailleerde rapporten die kunnen worden gebruikt voor auditdoeleinden en compliance-rapportage aan toezichthouders. Regelmatige monitoring, bij voorkeur maandelijks of kwartaal, zorgt ervoor dat levenscyclusprocessen tijdig worden opgepikt en verwerkt. Monitoring moet ook controleren of nieuwe teams automatisch worden geconfigureerd met meerdere eigenaren en of vervalbeleidsregels correct worden afgedwongen. Teams-beheercentrumrapporten kunnen worden gebruikt om teamactiviteitspatronen te analyseren en te verifiƫren dat levenscyclusprocessen correct werken.

Gebruik PowerShell-script lifecycle-management.ps1 (functie Invoke-Monitoring) ā€“ Controleren van levenscyclusbeheer configuratie en status voor Microsoft Teams.

Remediatie

Wanneer monitoring aangeeft dat levenscyclusbeheer niet correct is geconfigureerd of dat er verweesde teams, inactieve teams of teams zonder adequate eigenaren zijn, moet onmiddellijk worden overgegaan tot remediatie. Het remediatieproces begint met een analyse van de huidige situatie om te bepalen welke teams verweesd zijn, welke teams inactief zijn, en welke teams aanvullende eigenaren nodig hebben. Vervolgens wordt het goedgekeurde levenscyclusbeheerkader geraadpleegd om te bepalen welke acties moeten worden ondernomen, waarna de wijzigingen worden doorgevoerd via het formele change management-proces.

Het PowerShell-script kan worden gebruikt om automatisch verweesde teams te identificeren en eigendomsrechten over te dragen aan andere teamleden of beheerders, inactieve teams te archiveren volgens goedgekeurde levenscyclusbeheerkaders, en aanvullende eigenaren toe te voegen aan teams die minder dan twee eigenaren hebben. Het script valideert eerst of alle vereiste voorwaarden zijn voldaan, waarna de wijzigingen worden doorgevoerd en teameigenaars worden geĆÆnformeerd over de genomen acties. Na remediatie moet altijd een verificatie worden uitgevoerd om te bevestigen dat de configuratie correct is toegepast en dat levenscyclusprocessen daadwerkelijk werken. Daarnaast moet worden gecontroleerd of de remediatie geen onbedoelde neveneffecten heeft gehad op actieve teams of gebruikers. Gebruikers moeten worden geĆÆnformeerd over wijzigingen in teamstatus, vooral wanneer teams worden gearchiveerd of wanneer eigendomsrechten worden overgedragen.

Gebruik PowerShell-script lifecycle-management.ps1 (functie Invoke-Remediation) ā€“ Herstellen van levenscyclusbeheer configuratie voor Microsoft Teams.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Teams Lifecycle Management Configured .DESCRIPTION Controleert en configureert levenscyclusbeheer voor Microsoft Teams om verweesde teams te voorkomen, ongecontroleerde teamproliferatie tegen te gaan, en gestructureerde archiverings- en verwijderingsprocessen te waarborgen. Maakt het mogelijk om teams automatisch te beheren vanaf aanmaak tot verwijdering volgens goedgekeurde levenscyclusbeheerkaders. .NOTES Filename: lifecycle-management.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/m365/teams/lifecycle-management.json Requires: Microsoft Teams-licenties, Microsoft Graph API-toegang Modules: Microsoft.Graph.Groups, MicrosoftTeams .EXAMPLE .\lifecycle-management.ps1 -Monitoring Controleert of levenscyclusbeheer is geconfigureerd en identificeert verweesde teams .EXAMPLE .\lifecycle-management.ps1 -Remediation Configureert levenscyclusbeheer op basis van standaardinstellingen #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph.Groups, MicrosoftTeams [CmdletBinding()] param( [Parameter(Mandatory = $false)] [switch]$Monitoring, [Parameter(Mandatory = $false)] [switch]$Remediation, [Parameter(Mandatory = $false)] [switch]$Revert, [Parameter(Mandatory = $false)] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Teams Lifecycle Management" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Connect-RequiredServices { <# .SYNOPSIS Maakt verbinding met Microsoft Graph en Microsoft Teams #> try { Write-Host "Verbinden met Microsoft Graph..." -ForegroundColor Gray # Controleer of er al een sessie actief is $existingSession = Get-MgContext -ErrorAction SilentlyContinue if ($null -eq $existingSession) { Connect-MgGraph -Scopes "Group.ReadWrite.All", "Team.ReadWrite.All", "User.Read.All" -ErrorAction Stop | Out-Null Write-Host " Verbinding succesvol" -ForegroundColor Green } else { Write-Host " Bestaande sessie gevonden" -ForegroundColor Green } Write-Host "Verbinden met Microsoft Teams..." -ForegroundColor Gray # Controleer of er al een Teams-sessie actief is $existingTeamsSession = Get-PSSession | Where-Object { $_.ConfigurationName -eq "Microsoft.Exchange" -and $_.State -eq "Opened" } if (-not $existingTeamsSession) { Connect-MicrosoftTeams -ErrorAction Stop | Out-Null Write-Host " Verbinding succesvol" -ForegroundColor Green } else { Write-Host " Bestaande sessie gevonden" -ForegroundColor Green } } catch { Write-Host " FOUT: Kan geen verbinding maken met Microsoft Graph of Teams" -ForegroundColor Red Write-Host " Controleer of Microsoft.Graph.Groups en MicrosoftTeams modules zijn geĆÆnstalleerd" -ForegroundColor Yellow Write-Host " Installeer met: Install-Module -Name Microsoft.Graph.Groups, MicrosoftTeams" -ForegroundColor Yellow throw "Verbinding mislukt: $_" } } function Test-LifecycleManagementConfigured { <# .SYNOPSIS Controleert of levenscyclusbeheer is geconfigureerd en identificeert problemen #> try { Write-Host "Controleren van levenscyclusbeheer configuratie..." -ForegroundColor Gray # Haal alle Microsoft 365 Groups op die Teams zijn $allGroups = Get-MgGroup -Filter "resourceProvisioningOptions/any(x:x eq 'Team')" -All -ErrorAction SilentlyContinue if ($null -eq $allGroups -or $allGroups.Count -eq 0) { return @{ IsCompliant = $false TotalTeams = 0 OrphanedTeams = 0 TeamsWithoutOwners = 0 InactiveTeams = 0 Status = "Geen teams gevonden" Details = "Geen Microsoft 365 Groups met Teams-functionaliteit gevonden" } } $totalTeams = $allGroups.Count $orphanedTeams = 0 $teamsWithoutOwners = 0 $teamsWithoutEnoughOwners = 0 $problemTeams = @() foreach ($group in $allGroups) { # Haal team-owners op $owners = Get-MgGroupOwner -GroupId $group.Id -ErrorAction SilentlyContinue # Filter alleen gebruikers (geen service principals) $userOwners = $owners | Where-Object { $_.AdditionalProperties.'@odata.type' -eq '#microsoft.graph.user' } if ($null -eq $userOwners -or $userOwners.Count -eq 0) { $orphanedTeams++ $problemTeams += @{ TeamId = $group.Id TeamName = $group.DisplayName Issue = "Geen eigenaren" } } elseif ($userOwners.Count -lt 2) { $teamsWithoutEnoughOwners++ $problemTeams += @{ TeamId = $group.Id TeamName = $group.DisplayName Issue = "Minder dan 2 eigenaren ($($userOwners.Count))" } } # Controleer of team actief is (vereenvoudigde check - laatste activiteit zou beter zijn) # Voor nu controleren we alleen of team niet gearchiveerd is try { $team = Get-Team -GroupId $group.Id -ErrorAction SilentlyContinue if ($null -ne $team -and $team.Archived -eq $true) { # Gearchiveerde teams tellen we niet als probleem voor lifecycle management } } catch { # Team bestaat mogelijk niet als Team-object, alleen als Group } } $teamsWithoutOwners = $orphanedTeams + $teamsWithoutEnoughOwners # Bepaal compliance status # Compliant als alle teams minimaal 2 eigenaren hebben $isCompliant = $teamsWithoutOwners -eq 0 return @{ IsCompliant = $isCompliant TotalTeams = $totalTeams OrphanedTeams = $orphanedTeams TeamsWithoutOwners = $teamsWithoutOwners TeamsWithoutEnoughOwners = $teamsWithoutEnoughOwners Status = if ($isCompliant) { "Geconfigureerd" } else { "Niet compliant" } Details = "Gevonden: $totalTeams teams, $teamsWithoutOwners teams zonder voldoende eigenaren" ProblemTeams = $problemTeams } } catch { Write-Host " FOUT bij controleren: $_" -ForegroundColor Red return @{ IsCompliant = $false TotalTeams = 0 OrphanedTeams = 0 TeamsWithoutOwners = 0 Status = "Fout bij controleren" Details = "Error: $_" } } } function Invoke-Monitoring { <# .SYNOPSIS Voert monitoring uit van levenscyclusbeheer configuratie #> try { Connect-RequiredServices $result = Test-LifecycleManagementConfigured Write-Host "`n Levenscyclusbeheer Status:" -ForegroundColor Cyan Write-Host " Status: $($result.Status)" -ForegroundColor $( if ($result.IsCompliant) { "Green" } else { "Yellow" } ) Write-Host " Totaal aantal teams: $($result.TotalTeams)" -ForegroundColor White Write-Host " Teams zonder eigenaren: $($result.OrphanedTeams)" -ForegroundColor $( if ($result.OrphanedTeams -eq 0) { "Green" } else { "Red" } ) Write-Host " Teams zonder voldoende eigenaren: $($result.TeamsWithoutEnoughOwners)" -ForegroundColor $( if ($result.TeamsWithoutEnoughOwners -eq 0) { "Green" } else { "Yellow" } ) if ($result.ProblemTeams -and $result.ProblemTeams.Count -gt 0) { Write-Host "`n Teams met problemen:" -ForegroundColor Cyan $result.ProblemTeams | Select-Object -First 10 | ForEach-Object { Write-Host " - $($_.TeamName) ($($_.Issue))" -ForegroundColor Yellow } if ($result.ProblemTeams.Count -gt 10) { Write-Host " ... en $($result.ProblemTeams.Count - 10) meer teams" -ForegroundColor Yellow } } Write-Host "`n Beveiligingsvoordelen:" -ForegroundColor Cyan Write-Host " ā€¢ Voorkomt verweesde teams zonder eigenaren" -ForegroundColor Gray Write-Host " ā€¢ Waarborgt minimale eigendomsvereisten (2 eigenaren)" -ForegroundColor Gray Write-Host " ā€¢ Ondersteunt geautomatiseerde archiveringsprocessen" -ForegroundColor Gray Write-Host " ā€¢ Compliance met AVG Artikel 32" -ForegroundColor Gray Write-Host " ā€¢ Voldoet aan BIO 9.01" -ForegroundColor Gray Write-Host " ā€¢ Ondersteunt NIS2-vereisten" -ForegroundColor Gray Write-Host "`n Opmerking: Levenscyclusbeheer vereist:" -ForegroundColor Gray Write-Host " ā€¢ Microsoft Teams-licenties voor alle gebruikers" -ForegroundColor Gray Write-Host " ā€¢ Goedgekeurd levenscyclusbeheerkader" -ForegroundColor Gray Write-Host " ā€¢ Azure AD-structuur met geĆÆdentificeerde teameigenaars" -ForegroundColor Gray Write-Host " ā€¢ Microsoft Graph API-toegang" -ForegroundColor Gray if ($result.IsCompliant) { Write-Host "`n[OK] COMPLIANT - Levenscyclusbeheer is correct geconfigureerd" -ForegroundColor Green exit 0 } else { Write-Host "`n[FAIL] NON-COMPLIANT - Levenscyclusbeheer is niet correct geconfigureerd!" -ForegroundColor Red Write-Host " Actie vereist: Configureer levenscyclusbeheer en los verweesde teams op" -ForegroundColor Yellow exit 1 } } catch { Write-Host "`n[FAIL] FOUT: $_" -ForegroundColor Red exit 2 } } function Invoke-Remediation { <# .SYNOPSIS Configureert levenscyclusbeheer en lost problemen op .DESCRIPTION Let op: Deze functie vereist vooraf goedgekeurde levenscyclusbeheerkaders en groepstoewijzingen. Implementeer eerst levenscyclusprocessen volgens het goedgekeurde ontwerp voordat deze functie wordt gebruikt. #> try { Connect-RequiredServices Write-Host "`nWaarschuwing: Levenscyclusbeheer configuratie vereist:" -ForegroundColor Yellow Write-Host " ā€¢ Goedgekeurd levenscyclusbeheerkader" -ForegroundColor Yellow Write-Host " ā€¢ Azure AD-structuur met geĆÆdentificeerde teameigenaars" -ForegroundColor Yellow Write-Host " ā€¢ Compliance goedkeuring" -ForegroundColor Yellow Write-Host "`nDeze functie kan alleen bestaande configuratie controleren en rapporteren." -ForegroundColor Yellow Write-Host "Voor het oplossen van verweesde teams, gebruik de Microsoft Teams Admin Center of PowerShell cmdlets." -ForegroundColor Yellow if ($WhatIf) { Write-Host "`n[WhatIf] Zou levenscyclusbeheer status controleren en rapporteren" -ForegroundColor Yellow $result = Test-LifecycleManagementConfigured Write-Host " Huidige status: $($result.Status)" -ForegroundColor Gray Write-Host " Teams zonder voldoende eigenaren: $($result.TeamsWithoutOwners)" -ForegroundColor Gray return } # Controleer huidige status $result = Test-LifecycleManagementConfigured if ($result.IsCompliant) { Write-Host "`n[OK] Levenscyclusbeheer is al correct geconfigureerd" -ForegroundColor Green return } Write-Host "`nHuidige configuratie:" -ForegroundColor Cyan Write-Host " Totaal teams: $($result.TotalTeams)" -ForegroundColor White Write-Host " Teams zonder eigenaren: $($result.OrphanedTeams)" -ForegroundColor White Write-Host " Teams zonder voldoende eigenaren: $($result.TeamsWithoutEnoughOwners)" -ForegroundColor White if ($result.ProblemTeams -and $result.ProblemTeams.Count -gt 0) { Write-Host "`n[INFO] Teams met problemen gevonden. Handmatige actie vereist:" -ForegroundColor Yellow Write-Host " 1. Identificeer geschikte eigenaren voor verweesde teams" -ForegroundColor Gray Write-Host " 2. Voeg eigenaren toe via Microsoft Teams Admin Center of PowerShell" -ForegroundColor Gray Write-Host " 3. Configureer automatische eigendomsoverdracht voor toekomstige teams" -ForegroundColor Gray Write-Host "`nVoor het toevoegen van eigenaren:" -ForegroundColor Gray Write-Host " Add-TeamUser -GroupId <TeamId> -User <UserId> -Role Owner" -ForegroundColor Gray Write-Host "`nZie: https://learn.microsoft.com/en-us/microsoftteams/teams-lifecycle-overview" -ForegroundColor Gray return } Write-Host "`n[INFO] Remediatie voltooid. Controleer status met -Monitoring" -ForegroundColor Green } catch { Write-Host "`n[FAIL] FOUT bij remediatie: $_" -ForegroundColor Red Write-Host " Controleer of alle vereisten zijn voldaan" -ForegroundColor Yellow exit 2 } } function Invoke-Revert { <# .SYNOPSIS Keert levenscyclusbeheer configuratie terug .DESCRIPTION Let op: Het terugdraaien van levenscyclusbeheer is een kritieke actie die alleen mag worden uitgevoerd na expliciete goedkeuring van CISO en compliance. Deze functie verwijdert geen teams, maar rapporteert alleen de huidige status. #> try { if ($WhatIf) { Write-Host "`n[WhatIf] Zou levenscyclusbeheer status rapporteren" -ForegroundColor Yellow Write-Host " Waarschuwing: Revert vereist expliciete goedkeuring!" -ForegroundColor Red return } Write-Host "`nWaarschuwing: Revert van levenscyclusbeheer vereist:" -ForegroundColor Red Write-Host " ā€¢ Expliciete goedkeuring van CISO en compliance" -ForegroundColor Red Write-Host " ā€¢ Documentatie van de reden voor revert" -ForegroundColor Red Write-Host " ā€¢ Impactanalyse op compliance-vereisten" -ForegroundColor Red Write-Host "`nDeze functie is niet geĆÆmplementeerd voor veiligheidsredenen." -ForegroundColor Yellow Write-Host "Gebruik de Microsoft Teams Admin Center voor het beheren van levenscyclusprocessen." -ForegroundColor Yellow } catch { Write-Host "`n[FAIL] FOUT: $_" -ForegroundColor Red exit 2 } } # Main execution try { if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } elseif ($Revert) { Invoke-Revert } else { Write-Host "Gebruik:" -ForegroundColor Yellow Write-Host " -Monitoring Controleer levenscyclusbeheer status" -ForegroundColor Gray Write-Host " -Remediation Rapporteer levenscyclusbeheer configuratie" -ForegroundColor Gray Write-Host " -Revert Revert levenscyclusbeheer (vereist goedkeuring)" -ForegroundColor Gray Write-Host "`nVoor meer informatie, zie:" -ForegroundColor Gray Write-Host " content/m365/teams/lifecycle-management.json" -ForegroundColor Gray } } catch { Write-Host "`n[FAIL] Onverwachte fout: $_" -ForegroundColor Red exit 2 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: High - Zonder adequaat levenscyclusbeheer ontstaan verweesde teams, ongecontroleerde teamproliferatie, hoge opslagkosten, beveiligingsrisico's en compliance-problemen die de effectiviteit van Teams als samenwerkingsplatform ernstig ondermijnen. Organisaties zien binnen 12 tot 24 maanden duizenden teams ontstaan zonder duidelijke structuur, waarbij gebruikers lid zijn van 50 tot 100 of meer teams wat meldingsmoeheid veroorzaakt. Verweesde teams behouden toegang voor voormalige medewerkers en externe partners zonder dat iemand dit kan monitoren of voorkomen. Compliance-problemen ontstaan omdat bewaarbeleidsregels niet consistent worden toegepast en juridische bewaarplicht teams mist die relevant zijn voor rechtszaken.

Management Samenvatting

Levenscyclusbeheer voor Microsoft Teams regelt de volledige levenscyclus van teams vanaf aanmaak tot verwijdering. Essentieel voor het voorkomen van verweesde teams, ongecontroleerde teamproliferatie en compliance-problemen. Vereist: Teams-licenties, levenscyclusbeheerkader, Azure AD-structuur. Implementatie: 40 uur (16 technisch, 24 organisatorisch).