💼 Management Samenvatting
Privileged Access Governance is het veiligheidsanker van iedere overheidstentant omdat één fout in beheerdersmachtigingen onmiddellijk kan uitmonden in ketenbrede ontwrichting.
Aanbeveling
IMPLEMENT
Risico zonder
Very High
Risk Score
9/10
Implementatie
270u (tech: 150u)
Van toepassing op:
✓ Microsoft Entra ID
✓ Microsoft 365
✓ Azure
✓ Microsoft Defender
✓ Windows Server
✓ Microsoft 365
✓ Azure
✓ Microsoft Defender
✓ Windows Server
Nederlandse bestuurslagen moeten aantonen dat beheerders slechts tijdelijk toegang krijgen, dat activiteiten worden gelogd en dat escalaties direct kunnen worden teruggedraaid. BIO, AVG en NIS2 vragen expliciete bewijsvoering. Zonder strak bestuur rond privileges ontstaan wildgroei, blijven schaduwaccounts bestaan en wordt aansprakelijkheid onwerkbaar bij parlementaire onderzoeken.
PowerShell Modules Vereist
Primary API: Microsoft Graph beta endpoints voor Privileged Identity Management, Azure Resource Graph, Microsoft Defender for Cloud API
Connection:
Required Modules: Microsoft.Graph.Beta, Microsoft.Graph.Identity.SignIns, Az.Accounts, Az.Resources, Defender
Connection:
Gebruik Connect-MgGraph -Scopes 'RoleManagement.Read.All','Directory.Read.All' en Connect-AzAccount voor hybride workloads; voer scripts lokaal uit in DebugMode voor tests.Required Modules: Microsoft.Graph.Beta, Microsoft.Graph.Identity.SignIns, Az.Accounts, Az.Resources, Defender
Implementatie
Dit artikel beschrijft een volledige lifecycle voor privileged access: van bestuurlijke verankering en architectuurkeuzes tot operationele controles, rapportage en ketenborging. Elk onderdeel sluit aan op de Nederlandse Baseline voor Veilige Cloud en verwijst naar het PowerShell-script dat lokale debugruns ondersteunt en maturiteitsscores levert voor audittrail en besluitvorming.
Bestuurlijke ordening, mandaat en cultuur
Privileged access raakt rechtstreeks aan bestuurlijke verantwoordelijkheid omdat het toegang geeft tot registers van burgers, financiële systemen en vitale infrastructuur. De collegebesluiten, ministeriële mandaten of directiebesluiten moeten ondubbelzinnig vastleggen dat alle beheeraccounts via Privileged Identity Management of vergelijkbare workflows worden aangestuurd. Dat besluit bevat de juridische basis voor logging, bewaartermijnen en het opleggen van sancties wanneer iemand buiten de afgesproken processen om privileges gebruikt. Zonder deze bestuurlijke basis blijft privileged access beheer een IT-issue, terwijl het juist een integraal onderdeel van risicomanagement is. De Nederlandse Baseline voor Veilige Cloud vereist daarom dat bestuurders expliciet tekenen voor de manier waarop hoge rechten worden verstrekt, ingetrokken en gemonitord.
Mandaat alleen is niet voldoende; governance moet worden vertaald naar structurele overlegvormen. Een Privileged Access Board met vertegenwoordigers van CISO-office, CIO-staf, HR, juridische zaken, privacy, operations en externe ketenpartners bepaalt de roadmap, behandelt uitzonderingen en bewaakt indicatoren. Iedere vergadering begint met een update over aantal permanente rollen, vrijstellingen, openstaande escalaties en lessons learned uit incidenten. Het bestuur koppelt deze inzichten aan de risicokaart van de organisatie zodat zichtbaar blijft welke diensten afhankelijk zijn van specifieke beheerders. Door privileged access in dezelfde cyclus te behandelen als financiën en beleid, blijft het onderwerp een vast onderdeel van portefeuille-overleggen in plaats van een reactieve maatregel na een audit.
Een duidelijke RACI-matrix voorkomt dat verantwoordelijkheden diffuus worden. Proceseigenaren bepalen welke systemen onder hun verantwoordelijkheid vallen en welke kritieke taken privileged access vereisen. Security officers stellen eisen op het gebied van logging, monitoring en retentie. Het identity-team beheert de technische configuraties, terwijl auditors onafhankelijke verificaties uitvoeren. HR fungeert als controlepunt bij in-, door- en uitstroom zodat privileges automatisch worden stopgezet wanneer een medewerker van functie verandert. Deze ketenafspraken worden vastgelegd in service level agreements en worden jaarlijks herzien. Door rollen aan KPI’s te koppelen, bijvoorbeeld percentage via PIM actieve sessies of duur van goedkeuringsflows, ontstaat een meetbare cultuur waarin elke schakel weet welk gedrag wordt verwacht.
Privileged access governance moet bovendien verbonden zijn met aanbestedingen en leveranciersmanagement. Elke externe partij die beheerwerkzaamheden uitvoert, moet contractueel verplicht gebruikmaken van just-in-time-toegang, vastgelegde apparaten en toezicht. Binnen raamcontracten worden clauses opgenomen over bewijslevering: leveranciers moeten logbestanden, PIM-audits en bewijs van hun eigen segregatieroutes aanleveren binnen 24 uur na verzoek. Deze eisen worden gekoppeld aan boeteclausules en exit-strategieën, zodat een leverancier die zich niet houdt aan de spelregels, direct kan worden vervangen zonder dat kritieke diensten stilvallen. Door contractmanagement te integreren in privileged access governance voorkomt de organisatie dat technische controles worden uitgehold door commerciële uitzonderingen.
Cultuur is het sluitstuk. Medewerkers met hoge rechten volgen verplichte leerpaden waarin zij leren hoe hun handelen onder toezicht staat, welke juridische plichten gelden en hoe zij incidenten rapporteren. Oefenscenario’s behandelen situaties zoals politieke druk om vrijstellingen te geven, crisissituaties waarbij privileges tijdelijk moeten worden opgeschaald, of ketenpartners die versneld toegang eisen tijdens verkiezingen. Reflecties uit deze oefeningen worden gedeeld met management zodat verbeteringen direct zichtbaar zijn. Door cultuurprogramma’s te koppelen aan mensgerichte indicatoren, bijvoorbeeld percentage behaalde certificeringen of evaluaties na oefeningen, ontstaat een volwassen governancebenadering waarin techniek, gedrag en bestuurlijke verantwoordelijkheid elkaar versterken.
Architectuurprincipes, segregatie van taken en scriptgestuurde borging
Privileged access architectuur begint bij een scherp referentiemodel dat identiteiten, apparaten, sessies en workloads in afzonderlijke lagen beschrijft. Microsoft Entra ID vormt het hart van de identiteitslaag, waarbij elke rol via PIM wordt geactiveerd en multifactor-authenticatie verplicht is. Apparaten worden gecertificeerd als Privileged Access Workstations met hardwarematige beveiliging, Conditional Access policies en netwerkisolatie. Workloads worden verdeeld over administratieve vlakken: tenantbeheer, securitybeheer, platformbeheer en applicatiebeheer hebben elk eigen rolcollecties en goedkeuringstrajecten. Deze architectuur wordt niet als theoretisch model bewaard; hij is vastgelegd als Infrastructure-as-Code zodat alle aanpassingen via pull requests en dubbele goedkeuring verlopen. Daarmee ontstaat een auditbare keten tussen ontwerp, configuratie en uitvoering.
Gebruik PowerShell-script index.ps1 (functie Invoke-PrivilegedAccessAssessment) – Het script valideert lokaal of PIM-configuraties, just-in-time patronen, break-glass-accounts en reviewcycli voldoen aan de Nederlandse Baseline voor Veilige Cloud. In DebugMode worden voorbeelddatasets gebruikt zodat testen maximaal vijftien seconden duren zonder productieverbindingen..
Segregatie van taken vereist meer dan rolbeschrijvingen; het vraagt technische afdwinging. Iedere beheeractie wordt gekoppeld aan een dedicated account dat slechts één domein mag bedienen. Een Azure-architect die landing zones beheert, kan geen security policies wijzigen zonder aparte workflow. Change-, incident- en probleemmanagementsystemen ontvangen automatisch metadata over het gebruikte account, het goedkeuringspad en de reden van de activering. Hierdoor kunnen reviewers achteraf controleren of een privilege terecht is ingezet. Door telemetry uit PIM, Intune en Microsoft Defender te combineren in een data lake ontstaat een integraal beeld van alle sessies. Analisten kunnen zo realtime patronen herkennen zoals beheerders die buiten kantooruren inloggen vanaf niet-goedgekeurde apparaten of privileges die langer openstaan dan toegestaan.
Break-glass-accounts krijgen een uniek regime. Ze worden fysiek gescheiden, gebruiken zeer lange wachtwoorden opgeslagen in een kluis met viervoudig toezicht en hebben geen beveiligingsinstellingen die automatisch verlopen. Elke maand voert het securityteam een gecontroleerde test uit waarbij de toegang wordt geverifieerd en de logging wordt gecontroleerd op volledigheid. Het script ondersteunt deze exercities door sampledata te genereren waarmee teams de volledige keten kunnen doorlopen zonder daadwerkelijk een productieaccount te openen. Wanneer DebugMode is uitgeschakeld, leest het script echte exports in en vergelijkt het de resultaten met lokaal gedefinieerde streefwaarden. Elk verschil leidt tot een aanbeveling zodat technische maatregelen voortdurend worden aangescherpt.
Architectuurprincipes gelden ook voor hybride scenario’s. On-premises Active Directory wordt ingekapseld via tieringmodellen waarbij Tier 0 uitsluitend via PAW’s bereikbaar is, Tier 1 beperkt wordt tot servers en applicaties, en Tier 2 alle werkplekken omvat. Replicatieaccounts worden gemonitord op afwijkend gedrag met Defender for Identity. In OT-omgevingen worden jumpservers voorzien van hardwarematige smartcardlezers, opgenomen in dezelfde loggingketen en dagelijks gevalideerd op patchniveau. Door cloud en on-premises governance te koppelen in één scriptgestuurde waarheidsbron ontstaat een uniforme aanpak. Het artikel biedt templates waarmee organisaties snel kunnen beoordelen of hun architectuur daadwerkelijk voldoet aan Zero Trust-principes en of aanvullende segmentatie nodig is voor bijvoorbeeld verkiezingsprocessen, noodcommunicatie of belastingaangifteseizoenen.
Tot slot moet architectuur expliciet rekening houden met keteneigenaren. Iedere systeemketen krijgt een toegewezen architect die verantwoordelijk is voor privilege mapping. Wanneer een nieuw SaaS-platform wordt aangesloten, wordt eerst vastgesteld welke beheerdersrechten nodig zijn, hoe logging wordt teruggeleid naar het centrale SIEM en hoe privileges worden ingetrokken wanneer contracten eindigen. Deze intake wordt ondersteund door het script dat checklists en maturiteitsscores oplevert. Zo blijft segregatie een levend principe in plaats van een momentopname tijdens implementatie.
Operationele controles, monitoring en herstel
Operationele teams vertalen governance naar dagelijkse routines. Elk begin van de dag start met een controle van PIM-activaties, lopende privileges en openstaande reviewtaken. Het SOC bekijkt afwijkende sessies via Microsoft Sentinel, terwijl het identity-team controleert of alle periodieke access reviews binnen tien dagen na escalatie zijn afgerond. Resultaten worden gedeeld met proceseigenaren zodat zij weten welke aanvragen hun processen beïnvloeden. Deze cyclus is gedocumenteerd in runbooks die uitlegbaar zijn voor auditors en bestuurders. Wanneer indicatoren afwijken, bijvoorbeeld wanneer een privilege langer dan twee uur openstaat, start automatisch een incident met prioriteit Hoog. Door deze discipline ontstaat een voorspelbare operatie waarin afwijkingen direct zichtbaar worden.
Monitoring gaat verder dan alerts op individuele gebeurtenissen; het richt zich op trends. Dashboards tonen hoeveel privileges proactief zijn ingetrokken, hoeveel sessies vanaf niet-goedgekeurde apparaten zijn geblokkeerd en hoeveel break-glass-tests succesvol zijn uitgevoerd. De dashboards combineren data uit Graph, Defender for Cloud en Intune, aangevuld met HR-informatie over functieovergangen. Hierdoor kunnen teams verbanden leggen tussen personeelswisselingen en privilegewijzigingen. De dashboards voeden ook de rapportage aan bestuurders: iedere maand krijgen zij een narratief dat uitlegt waarom bepaalde indicatoren stijgen of dalen, welke maatregelen worden genomen en welke risico’s resteren. De focus ligt op begrijpelijke taal zodat besluitvormers direct kunnen ingrijpen.
Herstelprocessen zijn even belangrijk als preventie. Wanneer een privilege misbruikt wordt of een account wordt gecompromitteerd, moet de organisatie binnen minuten terug kunnen keren naar een veilige staat. Daarom bestaat er een volledig getest herstelplan waarin beschreven staat hoe sessies worden beëindigd, welke logging moet worden veiliggesteld, hoe forensische teams worden opgestart en hoe bestuurders worden geïnformeerd. Het plan voorziet in redundante beheerpaden zodat een organisatie nooit afhankelijk is van één identiteitsprovider of één device. Jaarlijkse oefeningen met scenario’s zoals ransomware, insider threats of ketenmisbruik tonen aan dat het herstelplan werkt. Bevindingen uit deze oefeningen worden gekoppeld aan het script, zodat verbeterpunten automatisch verschijnen in maturity-rapporten.
Automatisering beperkt menselijke fouten. Change pipelines bevatten kwaliteitshekken die controleren of scripts in foutloze staat worden aangeboden. Wanneer een engineer een nieuwe privilege flow wil publiceren, wordt het script in WhatIf-modus uitgevoerd tijdens de pipeline. Als de maturity-score daalt of als een controle faalt, blokkeert de pipeline de release. Hierdoor wordt privileged access governance ingebed in DevSecOps. Operators kunnen bovendien lokale debugruns uitvoeren met synthetische data zodat zij nieuwe scenario’s kunnen oefenen zonder productiegegevens te gebruiken. Deze aanpak voldoet aan de eis dat testen maximaal vijftien seconden duren omdat datasets compact blijven.
Communicatie met gebruikers rond privilegeaanvragen verloopt via gestandaardiseerde sjablonen. Aanvragers ontvangen context over waarom aanvullende stappen nodig zijn, welke autorisaties betrokken zijn en welke bewijslast zij moeten aanleveren. Wanneer een aanvraag wordt geweigerd of vertraagd, wordt automatisch een toelichting gestuurd zodat frustratie afneemt. Dezelfde sjablonen worden hergebruikt richting ketenpartners en leveranciers. Door communicatie expliciet te maken, wordt de kans kleiner dat gebruikers proberen processen te omzeilen. Alle correspondentie wordt opgeslagen in het bewijsregister zodat auditors kunnen nagaan hoe besluiten tot stand zijn gekomen.
Audittrail, compliance en ketenbrede borging
Auditors eisen een sluitende keten van bewijs. Daarom hanteert de organisatie een centraal bewijsregister waarin alle PIM-exporten, break-glass-testverslagen, change-logs en reviewrapporten worden opgeslagen met hashwaarden. Elk bestand bevat metadata over herkomst, datum, gebruikte scopes en verantwoordelijke personen. Het bewijsregister is gekoppeld aan het informatiebeheerplan zodat retenties voldoen aan Archiefwet en AVG. Auditors kunnen hierdoor binnen enkele minuten controleren of een privilege terecht is verstrekt, of de goedkeuring tijdig is gegeven en of logging compleet is. Deze transparantie versnelt audits en voorkomt discussies over datakwaliteit.
Compliancekaders worden vertaald naar concrete controledoelen. BIO 9.1 wordt gekoppeld aan policy’s die aantonen dat toegang wordt verleend op basis van rol en tijd. ISO 27001 A.5.18 en A.8.2 krijgen mappings naar de wijze waarop privileges worden gereviewd en hoe integriteit van logging wordt beschermd. AVG artikel 32 krijgt een expliciete paragraaf waarin staat hoe persoonsgegevens van beheerders worden verwerkt en geanonimiseerd waar mogelijk. NIS2 artikel 21 wordt gedekt door het aantoonbare vermogen om beheerdersrechten binnen minuten te beperken wanneer een incident zich voordoet. Door deze mappings centraal vast te leggen kan iedere audit of toezichtvraag snel worden beantwoord met concrete documenten en rapporten.
Ketenborging vraagt om afspraken buiten de eigen organisatie. Regionale samenwerkingsverbanden, shared service centra en leveranciers moeten dezelfde normen hanteren. Daarom wordt een interbestuurlijke catalogus opgesteld waarin vereist wordt dat ketenpartners privileges registreren in een uniform formaat, dat logging wordt gedeeld via beveiligde kanalen en dat incidentmeldingen binnen twee uur worden doorgezet naar betrokken partijen. Het script ondersteunt deze samenwerking door importprofielen voor partnerdata te bevatten, waardoor maturity-rapporten ook ketencomponenten meenemen. Zo ontstaat één risicobeeld voor de hele keten, essentieel wanneer voorzieningen zoals DigiD, Omgevingswet-systemen of verkiezingsinfrastructuur onder toezicht staan.
Transparantie richting bestuurders en toezichthouders wordt geborgd via kwartaalrapportages. Deze rapporten bevatten een narratief dat uitlegt welke verbeteringen zijn gerealiseerd, welke incidenten zich hebben voorgedaan en hoe afwijkingen zijn opgelost. Grafieken tonen trends maar worden altijd begeleid door tekstuele duiding zodat niet-specialisten begrijpen wat de cijfers betekenen. Het rapport bevat tevens maturity-scores uit het script en een uitsplitsing naar beleidsdomeinen zoals belastingen, zorg of openbare orde. Zo kan ieder domein gericht investeren in extra controles wanneer het risico stijgt. Door dezelfde rapportages publiek samen te vatten (waar mogelijk) wordt vertrouwen opgebouwd bij burgers en volksvertegenwoordigers.
Continue verbetering krijgt vorm via een roadmap waarin technische upgrades, procesoptimalisaties en mensgerichte interventies zijn opgenomen. Elk item bevat bewijs dat het is gevalideerd in het script, een eigenaar, budgetindicatie en verwachte impact op risico’s. Post-incident reviews leveren input voor nieuwe roadmapitems en worden gedeeld met ketenpartners zodat ook zij kunnen leren. Door deze verbetercyclus strak te koppelen aan privileged access governance blijft het programma adaptief en klaar voor nieuwe eisen, bijvoorbeeld aanvullende BIO-profielen of Europese regelgeving rond digitale identiteit. Het resultaat is een duurzaam stelsel waarin privileges altijd aantoonbaar gecontroleerd, beperkt en verantwoord worden.
Compliance & Frameworks
- BIO: 9.1, 9.2, 12.1, 12.2 - De BIO vereist aantoonbaar toegangsbeheer, logging en incidentafhandeling; het programma documenteert iedere stap en koppelt controles aan measurable KPI’s.
- ISO 27001:2022: A.5.18, A.5.30, A.8.2, A.8.3 - ISO 27001 vraagt beheer van privileges, scheiding van taken en loggingbescherming. De beschreven aanpak levert beleids- en technische referenties die auditors direct kunnen testen.
- NIS2: Artikel - NIS2 verlangt dat essentiële en belangrijke entiteiten kritieke toegang beperken, kwalificeren en monitoren. De lifecycle in dit artikel toont hoe dat praktisch wordt uitgevoerd en gedocumenteerd.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Beoordeelt privileged access governance volgens de Nederlandse Baseline voor Veilige Cloud.
.DESCRIPTION
Dit script hoort bij content/security/privileged-access/index.json en controleert of tijdelijke
rechten, break-glass-accounts, reviewcycli en ketenafspraken aantoonbaar zijn ingericht.
In DebugMode worden uitsluitend lokale voorbeelddatasets gebruikt zodat iedere test minder dan
vijftien seconden duurt en zonder cloudverbinding kan plaatsvinden.
.NOTES
Filename: index.ps1
Folder: code/security/privileged-access
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-27
Last Modified: 2025-11-27
Version: 1.0
Related JSON: content/security/privileged-access/index.json
.LINK
https://github.com/microsoft/m365-tenant-best-practise
.EXAMPLE
.\index.ps1 -Assessment -DebugMode
Voert de maturiteitscontrole uit met sampledata en toont aanbevelingen.
.EXAMPLE
.\index.ps1 -Blueprint -WhatIf
Genereert een verbeterplan op basis van drempelwaarden zonder echte wijzigingen.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()]
[switch]$Assessment,
[Parameter()]
[switch]$Blueprint,
[Parameter()]
[switch]$WhatIf,
[Parameter()]
[switch]$DebugMode,
[Parameter()]
[string]$OutputPath = ".\artifacts\privileged-access-report.json"
)
if (-not $Assessment -and -not $Blueprint) {
$Assessment = $true
}
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Write-PrivilegedAccessBanner {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Privileged Access Governance" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
}
function Test-RequiredModules {
[CmdletBinding()]
param()
$modules = @('Microsoft.Graph.Beta', 'Microsoft.Graph.Identity.SignIns', 'Az.Accounts', 'Az.Resources', 'Defender')
foreach ($module in $modules) {
if (-not (Get-Module -ListAvailable -Name $module)) {
Write-Warning "Module $module ontbreekt. Installeer of importeer deze voordat productiecontroles worden uitgevoerd."
}
}
}
function Connect-PrivilegedAccessServices {
[CmdletBinding()]
param()
if ($DebugMode) {
Write-Verbose "DebugMode actief: er worden geen serviceverbindingen gelegd."
return
}
Test-RequiredModules
Write-Host "Maak verbinding via Connect-MgGraph en Connect-AzAccount met de juiste scopes voordat u verdergaat." -ForegroundColor Yellow
}
function Get-PrivilegedAccessSampleData {
[CmdletBinding()]
param()
return [PSCustomObject]@{
PIMActivationsPercent = 0.82
PermanentRoleAssignments = 14
BreakGlassTestDays = 33
AccessReviewCompletion = 0.71
PawCompliancePercent = 0.77
SessionDurationMinutes = 94
SupplierEvidenceCoverage = 0.58
IncidentContainmentMinutes= 28
BlueprintCoveragePercent = 0.64
TrainingCompletionPercent = 0.81
}
}
function Test-PrivilegedAccessMaturity {
[CmdletBinding()]
param()
$data = Get-PrivilegedAccessSampleData
$issues = @()
if ($data.PIMActivationsPercent -lt 0.9) {
$issues += "Minder dan 90% van de beheerhandelingen verloopt via tijdelijke PIM-activaties."
}
if ($data.PermanentRoleAssignments -gt 5) {
$issues += "Er zijn meer dan vijf permanente beheerdersrollen actief; consolideer en herzie vrijstellingen."
}
if ($data.BreakGlassTestDays -gt 30) {
$issues += "Break-glass-accounts zijn langer dan dertig dagen niet getest."
}
if ($data.AccessReviewCompletion -lt 0.85) {
$issues += "Access reviews worden in minder dan 85% van de gevallen tijdig afgerond."
}
if ($data.PawCompliancePercent -lt 0.9) {
$issues += "Minder dan 90% van de privileged sessies vindt plaats vanaf gecertificeerde PAW's."
}
if ($data.SessionDurationMinutes -gt 60) {
$issues += "Gemiddelde sessieduur overschrijdt zestig minuten; pas time-outs aan."
}
if ($data.SupplierEvidenceCoverage -lt 0.8) {
$issues += "Minder dan 80% van de leveranciers levert aantoonbare privileged access evidence aan."
}
if ($data.IncidentContainmentMinutes -gt 20) {
$issues += "Containment van misbruik duurt langer dan twintig minuten."
}
if ($data.BlueprintCoveragePercent -lt 0.9) {
$issues += "Minder dan 90% van de platforms volgt het privileged access referentiemodel."
}
if ($data.TrainingCompletionPercent -lt 0.95) {
$issues += "Niet alle beheerders hebben de verplichte cultuur- en compliance-training afgerond."
}
[PSCustomObject]@{
ScriptName = 'code/security/privileged-access/index.ps1'
Timestamp = Get-Date
PIMActivationsPercent = "{0:P0}" -f $data.PIMActivationsPercent
PermanentRoleAssignments = $data.PermanentRoleAssignments
BreakGlassTestDays = $data.BreakGlassTestDays
AccessReviewCompletion = "{0:P0}" -f $data.AccessReviewCompletion
PawCompliancePercent = "{0:P0}" -f $data.PawCompliancePercent
SessionDurationMinutes = $data.SessionDurationMinutes
SupplierEvidenceCoverage = "{0:P0}" -f $data.SupplierEvidenceCoverage
IncidentContainmentMinutes= $data.IncidentContainmentMinutes
BlueprintCoveragePercent = "{0:P0}" -f $data.BlueprintCoveragePercent
TrainingCompletionPercent = "{0:P0}" -f $data.TrainingCompletionPercent
Issues = $issues
IsCompliant = ($issues.Count -eq 0)
OverallScore = [math]::Max(0, 100 - ($issues.Count * 7))
Recommendations = if ($issues.Count -eq 0) { @("Privileged access governance voldoet aan de Nederlandse Baseline voor Veilige Cloud.") } else { $issues }
}
}
function Invoke-PrivilegedAccessAssessment {
[CmdletBinding()]
param()
$result = Test-PrivilegedAccessMaturity
Write-Host "PIM activaties : $($result.PIMActivationsPercent)" -ForegroundColor White
Write-Host "Permanente rollen : $($result.PermanentRoleAssignments)" -ForegroundColor White
Write-Host "Break-glass test (dagen) : $($result.BreakGlassTestDays)" -ForegroundColor White
Write-Host "Access reviews afgerond : $($result.AccessReviewCompletion)" -ForegroundColor White
Write-Host "PAW-dekking : $($result.PawCompliancePercent)" -ForegroundColor White
Write-Host "Gemiddelde sessieduur (min) : $($result.SessionDurationMinutes)" -ForegroundColor White
Write-Host "Leveranciersbewijs : $($result.SupplierEvidenceCoverage)" -ForegroundColor White
Write-Host "Containmenttijd (min) : $($result.IncidentContainmentMinutes)" -ForegroundColor White
Write-Host "Referentiemodel-dekking : $($result.BlueprintCoveragePercent)" -ForegroundColor White
Write-Host "Training voltooiing : $($result.TrainingCompletionPercent)" -ForegroundColor White
if ($result.IsCompliant) {
Write-Host "`nPrivileged access governance voldoet aan de gestelde normen." -ForegroundColor Green
}
else {
Write-Host "`nVerbetermaatregelen noodzakelijk:" -ForegroundColor Yellow
$result.Recommendations | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
}
return $result
}
function Invoke-PrivilegedAccessBlueprint {
[CmdletBinding()]
param()
$result = Test-PrivilegedAccessMaturity
$actions = @()
if ($result.Recommendations -match "PIM") {
$actions += "Breid Conditional Access en PIM policies uit zodat alle beheerrollen just-in-time worden geactiveerd."
}
if ($result.Recommendations -match "permanente") {
$actions += "Herzie alle permanente rollen, voeg einddata toe en migreer naar tijdelijke activaties."
}
if ($result.Recommendations -match "Break-glass") {
$actions += "Plan wekelijks een gecontroleerde break-glass-test en documenteer de loggingresultaten."
}
if ($result.Recommendations -match "Access reviews") {
$actions += "Automatiseer herinneringen en escalaties zodat reviewers binnen tien dagen afronden."
}
if ($result.Recommendations -match "PAW") {
$actions += "Label alle beheerdevices als PAW, dwing compliance af en blokkeer niet-goedgekeurde apparaten."
}
if ($result.Recommendations -match "sessieduur") {
$actions += "Verkort sessietime-outs en verplicht justificatie bij verlenging boven zestig minuten."
}
if ($result.Recommendations -match "Leveranciers") {
$actions += "Leg contractueel vast dat leveranciers maandelijkse privileged access evidence aanleveren."
}
if ($result.Recommendations -match "Containment") {
$actions += "Oefen response-scripts zodat containment binnen twintig minuten standaard haalbaar is."
}
if ($result.Recommendations -match "referentiemodel") {
$actions += "Implementeer het privileged access blueprint in alle platformlandingzones en blokkeer afwijkingen."
}
if ($result.Recommendations -match "training") {
$actions += "Verplicht jaarlijkse hercertificering en blokkeer privileges wanneer training ontbreekt."
}
if ($actions.Count -eq 0) {
Write-Host "Geen blueprint-actie vereist." -ForegroundColor Green
return $result
}
Write-Host "`nBlueprint aanbevelingen:" -ForegroundColor Cyan
foreach ($action in $actions) {
if ($WhatIf) {
Write-Host "WhatIf: $action" -ForegroundColor Yellow
}
else {
Write-Host $action -ForegroundColor Gray
}
}
return $result
}
function Save-PrivilegedAccessReport {
[CmdletBinding()]
param(
[Parameter(Mandatory)]
[pscustomobject]$Data
)
$directory = Split-Path -Parent $OutputPath
if (-not (Test-Path $directory)) {
New-Item -ItemType Directory -Path $directory -Force | Out-Null
}
$Data | ConvertTo-Json -Depth 5 | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host "`nRapport opgeslagen naar $OutputPath" -ForegroundColor Green
}
Write-PrivilegedAccessBanner
Connect-PrivilegedAccessServices
try {
$result = if ($Blueprint) {
Invoke-PrivilegedAccessBlueprint
}
else {
Invoke-PrivilegedAccessAssessment
}
Save-PrivilegedAccessReport -Data $result
return $result
}
catch {
Write-Error "Fout tijdens privileged access beoordeling: $_"
exit 1
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Very High: Zonder integraal beheer van hoge rechten zijn ketenvoorzieningen kwetsbaar voor misbruik en kunnen bestuurders geen verantwoording afleggen aan Kamer, Raad of toezichthouders.
Management Samenvatting
Veranker privileged access bestuurlijk, segmenteer architectuur, automatiseer controles en gebruik het script om maturiteit realtime te meten zodat audits, ketenpartners en bestuurders op dezelfde feiten kunnen sturen.
- Implementatietijd: 270 uur
- FTE required: 0.7 FTE