BIO 09.02 ISO A.5.18

Azure AD: Privileged Identity Management Voor Azure AD-rollen Configureren

📅 2025-01-20
⏱️ 25 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Privileged Identity Management voor Azure AD-rollen elimineert permanente bevoorrechte toegang door tijdsbeperkte, goedkeuringsgebaseerde, just-in-time verhoging van Azure AD-beheerdersrollen te implementeren. Gebruikers ontvangen alleen beheerdersrechten wanneer dit daadwerkelijk noodzakelijk is, voor maximaal acht uur, na een goedkeuringsworkflow, met verplichte meervoudige authenticatie en volledige auditlogging van alle bevoorrechte verhogingen.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
140u (tech: 60u)
Van toepassing op:
Azure AD
Entra ID
Microsoft 365

Permanente bevoorrechte toegang vormt een ernstige beveiligingsrisico voor Nederlandse overheidsorganisaties die gevoelige gegevens verwerken. Wanneer een beheerdersaccount wordt gecompromitteerd, heeft de aanvaller onbeperkte toegang tot kritieke systemen en data. Gebruikers met permanente beheerdersrechten behouden deze privileges ook wanneer zij geen beheerdertaken uitvoeren, wat een buitensporig blootstellingsvenster creëert. Bovendien ontbreekt accountability over wanneer beheerdersrechten worden gebruikt versus normale werkzaamheden, en interne dreigingen hebben continu verhoogde toegang tot gevoelige bronnen. Privileged Identity Management lost deze problemen op door geschikte toewijzingen in plaats van actieve toewijzingen te gebruiken, waarbij gebruikers geen beheerdersrechten hebben totdat zij een activering aanvragen. Activeringen zijn tijdsbeperkt tot maximaal acht uur en worden automatisch gedeactiveerd. Goedkeuringsworkflows zorgen ervoor dat managers of het beveiligingsteam elke verhoging moeten goedkeuren. Meervoudige authenticatie is verplicht bij elke activering, en een rechtvaardiging is verplicht om een audittrail te creëren waarom beheerders toegang nodig is. Ten slotte worden waarschuwingen gegenereerd wanneer bevoorrechte rollen worden geactiveerd, waardoor het beveiligingsteam direct op de hoogte wordt gesteld.

PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.Identity.Governance

Implementatie

Deze control implementeert Privileged Identity Management voor Azure AD-rollen, met name Globale beheerder, Beveiligingsbeheerder, Exchange-beheerder, SharePoint-beheerder en andere hoog-privilege rollen. De configuratie omvat het omzetten van permanente toewijzingen naar geschikte toewijzingen, waarbij gebruikers de rol kunnen aanvragen wanneer nodig maar standaard geen actieve rechten hebben. Meervoudige authenticatie is verplicht voor elke activering om te voorkomen dat gecompromitteerde accounts eenvoudig kunnen escaleren. Voor hoog-impact rollen zoals Globale beheerder en Beveiligingsbeheerder is goedkeuring door een manager of beveiligingsteam vereist voordat de rol wordt geactiveerd. De maximale activeringsduur is vastgesteld op acht uur om het blootstellingsvenster te minimaliseren, waarna de rechten automatisch worden ingetrokken. Bij elke activeringsaanvraag is een schriftelijke rechtvaardiging vereist die wordt vastgelegd in de auditlogs, zodat duidelijk is waarom beheerders toegang nodig is. Het beveiligingsteam ontvangt een waarschuwing wanneer een bevoorrechte rol wordt geactiveerd, waardoor real-time monitoring mogelijk is. Ten slotte worden wekelijkse toegangsbeoordelingen uitgevoerd om te controleren of geschikte toewijzingen nog steeds gerechtvaardigd zijn. Gebruikers activeren een rol via de Azure Portal door te navigeren naar PIM, vervolgens Mijn rollen te selecteren en de gewenste rol te activeren. Na goedkeuring ontvangen zij een tijdelijke toewijzing voor de aangevraagde duur.

Governance en Kaders voor PIM-implementatie

Een effectief programma voor Privileged Identity Management begint bij een helder governancekader dat expliciet vastlegt wie verantwoordelijk is voor het beheren van geprivilegieerde rollen, welke processen moeten worden gevolgd, en welke beveiligingsstandaarden moeten worden gehanteerd. Voor Nederlandse overheidsorganisaties betekent dit dat de verantwoordelijkheid voor PIM-implementatie niet alleen bij IT ligt, maar expliciet wordt belegd bij IT Security, compliance officers, en het hoger management. Het bestuur of de directie moet formeel vastleggen welke beveiligingsstandaarden gelden voor geprivilegieerde toegang, welke rollen als kritiek worden beschouwd, en welke goedkeuringsprocessen moeten worden gevolgd. Deze bestuurlijke keuzes vormen de basis voor het activeringsproces, de beveiligingsbeoordeling, en de benodigde investeringen in zowel techniek als organisatie. Zonder expliciet eigenaarschap en bestuurlijke dekking verzanden PIM-implementaties vaak in een ad-hoc activiteit zonder structurele governance.

De Baseline Informatiebeveiliging Overheid (BIO) schrijft voor dat organisaties passende maatregelen moeten treffen voor toegangscontrole en authenticatie, wat direct van toepassing is op geprivilegieerde rollen die toegang hebben tot kritieke systemen en gegevens. BIO norm 09.02 vereist specifiek time-limited privileged access, waarbij bevoorrechte toegang alleen wordt verleend voor de duur die noodzakelijk is voor het uitvoeren van specifieke taken. Dit betekent in de praktijk dat er een gestructureerd proces moet zijn voor het beoordelen en goedkeuren van rolactivaties, dat alle rolactivaties worden gedocumenteerd, en dat regelmatig wordt gecontroleerd of rollen nog actief worden gebruikt en of de toegekende machtigingen nog steeds passend zijn. Voor organisaties die moeten voldoen aan de AVG is het essentieel om te kunnen aantonen welke rollen toegang hebben tot persoonsgegevens en hoe deze toegang wordt beheerd.

Een volwassen governance-structuur omvat een stuurgroep of security committee dat het PIM-beleid goedkeurt, prioriteiten bepaalt voor beveiligingsbeoordelingen, en de resultaten van security reviews beoordeelt. Daaronder functioneren een PIM-coördinator of CISO, security officers die beveiligingsbeoordelingen uitvoeren, compliance officers die controleren op naleving van regelgeving, en IT-beheerders die de technische implementatie uitvoeren. Voor elke rolactivatie wordt een security review uitgevoerd waarbij wordt geëvalueerd of de gevraagde rol passend is, of er al een bestaande rol dezelfde functionaliteit biedt, of de rol voldoet aan organisatorische beveiligingsstandaarden, en of het rol lifecycle management is gedefinieerd met eigenaar en onderhoudsplan. Door deze governance vooraf te organiseren, voorkomt u onduidelijkheid tijdens het activeringsproces en creëert u draagvlak voor de vaak tijdsintensieve beveiligingsbeoordelingen.

Een cruciaal onderdeel van governance is de documentatie van beleid en kaders rond PIM-implementatie. Organisaties leggen in een beleidsdocument vast welke rollen als kritiek worden beschouwd, hoe security reviews worden uitgevoerd, welke goedkeuringsprocessen moeten worden gevolgd, en hoe wordt omgegaan met verweesde rollen. Daarnaast moet een centraal register worden bijgehouden van alle geprivilegieerde rollen, inclusief informatie over eigenaar, machtigingen, doel, onderhoudsplan, en laatste review-datum. Dit register vormt een belangrijk auditbewijs richting toezichthouders en accountants en maakt het mogelijk om trends te herkennen in terugkerende beveiligingsproblemen of structurele knelpunten in het PIM-beheer.

Vereisten en Voorbereiding

De implementatie van Privileged Identity Management voor Azure AD-rollen vereist een grondige voorbereiding waarbij zowel technische als organisatorische aspecten zorgvuldig moeten worden geëvalueerd. Het succes van deze beveiligingsmaatregel hangt direct samen met de volledigheid van de voorbereiding, omdat het ontbreken van essentiële componenten kan leiden tot vertragingen, operationele verstoringen of onvolledige implementaties die de beveiligingsdoelstellingen niet volledig realiseren. Nederlandse overheidsorganisaties dienen daarom een gestructureerde aanpak te volgen waarbij alle vereisten systematisch worden geïnventariseerd, geëvalueerd en geadresseerd voordat de daadwerkelijke implementatie wordt gestart.

De primaire technische vereiste betreft Azure AD Premium P2 licenties, die verplicht zijn voor het gebruik van Privileged Identity Management functionaliteit. Deze licenties vormen de fundamentele basis waarop het gehele PIM-systeem draait, en zonder deze licenties is het onmogelijk om de beveiligingsmaatregel te implementeren. Organisaties moeten ervoor zorgen dat voldoende licenties beschikbaar zijn voor alle gebruikers die bevoorrechte rollen zullen activeren, evenals voor de personen die de PIM-configuratie zullen beheren en onderhouden. Het is essentieel om een grondige analyse uit te voeren waarbij het huidige aantal gebruikers met bevoorrechte toegang wordt vergeleken met het aantal beschikbare licenties, zodat duidelijk wordt hoeveel extra licenties moeten worden aangeschaft. Deze analyse moet ook rekening houden met toekomstige groei en de mogelijkheid dat aanvullende gebruikers in de toekomst bevoorrechte toegang nodig hebben.

Voor de configuratie van PIM zijn specifieke beheerdersrechten vereist die verder gaan dan standaard beheerdersrechten. De persoon die de implementatie uitvoert moet beschikken over globale beheerdersrechten of Privileged rol Administrator rechten in Azure Active Directory, omdat PIM-configuratie wijzigingen aan rollen en toewijzingen vereist die niet beschikbaar zijn voor standaard beheerders of gebruikers met beperkte rechten. Deze rechten zijn noodzakelijk om de PIM-functionaliteit in te schakelen, rolinstellingen te configureren, goedkeurders aan te wijzen en de initiële conversie van permanente naar geschikte toewijzingen uit te voeren. Het is sterk aanbevolen om deze configuratietaken uit te voeren vanuit een beveiligd beheerdersaccount dat specifiek is toegewezen voor beveiligingsimplementaties, in plaats van dagelijkse beheerdersaccounts te gebruiken.

Voordat PIM wordt geconfigureerd, moet een volledige en gedetailleerde inventarisatie worden uitgevoerd van alle huidige bevoorrechte roltoewijzingen in de Azure AD-omgeving. Deze inventarisatie vormt de basis voor alle verdere beslissingen en moet daarom uiterst nauwkeurig en compleet zijn. De inventarisatie moet alle actieve toewijzingen documenteren, inclusief Globale beheerder, Beveiligingsbeheerder, Exchange-beheerder, SharePoint-beheerder en andere hoog-privilege rollen. Voor elke toewijzing moet worden vastgelegd welke gebruiker de rol heeft toegewezen gekregen, wanneer de toewijzing is gemaakt, en wie de toewijzing heeft uitgevoerd. Bovendien moet worden gedocumenteerd of de toewijzing permanent is of tijdelijk, en indien tijdelijk, wanneer deze verloopt. Deze informatie is essentieel om te bepalen welke toewijzingen moeten worden omgezet naar geschikte toewijzingen in PIM en welke mogelijk kunnen worden verwijderd als onderdeel van het least-privilege principe.

Een goedkeuringsworkflow moet worden gedefinieerd en gedocumenteerd voordat PIM wordt geïmplementeerd, omdat dit een kritieke component is van het beveiligingsmodel die direct invloed heeft op zowel de beveiliging als de gebruikerservaring. De organisatie moet duidelijk bepalen wie verantwoordelijk is voor het goedkeuren van activeringen van verschillende roltypen, waarbij rekening wordt gehouden met de impact en het risico van elke rol. Voor hoog-impact rollen zoals Globale beheerder en Beveiligingsbeheerder is meestal goedkeuring vereist van een manager, IT-leidinggevende of lid van het beveiligingsteam, terwijl rollen met lagere impact mogelijk automatisch kunnen worden goedgekeurd of een vereenvoudigde goedkeuringsworkflow kunnen hebben. De workflow moet duidelijk maken wie goedkeuring verleent voor welke rollen, wat de verwachte goedkeuringstijd is onder normale omstandigheden, en hoe escalaties moeten worden afgehandeld wanneer een goedkeurder niet beschikbaar is of niet tijdig reageert.

Implementatie Stappenplan

De implementatie van Privileged Identity Management voor Azure AD-rollen vereist een gestructureerde en gefaseerde aanpak die zorgvuldige planning, uitgebreid testen en een geleidelijke rollout combineert om risico's voor operationele continuïteit te minimaliseren. Deze methodiek zorgt ervoor dat eventuele problemen tijdig worden geïdentificeerd en opgelost voordat de volledige implementatie wordt voltooid, waardoor organisaties kunnen profiteren van de beveiligingsvoordelen zonder onnodige verstoringen in hun dagelijkse operaties. De implementatie bestaat uit zes opeenvolgende fasen die elk specifieke doelen hebben en die moeten worden voltooid voordat de volgende fase kan beginnen.

De eerste fase betreft de discovery en inventarisatie, waarin alle Azure AD-roltoewijzingen worden geëxporteerd, geanalyseerd en gecategoriseerd. Deze fase vormt de fundamentele basis voor alle verdere beslissingen en moet daarom uiterst grondig worden uitgevoerd. De fase begint met het uitvoeren van PowerShell-opdrachten zoals Get-MgDirectoryRoleMember om een volledig en accuraat overzicht te verkrijgen van alle huidige roltoewijzingen in de Azure AD-omgeving. De focus ligt primair op het identificeren van permanente bevoorrechte toewijzingen, met name voor rollen zoals Globale beheerder, Beveiligingsbeheerder, Exchange-beheerder en SharePoint-beheerder, omdat deze rollen de hoogste impact hebben op beveiliging en operationele continuïteit. Deze toewijzingen moeten worden gecategoriseerd op basis van verschillende criteria, waaronder de frequentie waarmee de rol daadwerkelijk wordt gebruikt, de kritiekheid van de systemen waartoe toegang wordt verleend, en de vraag of de gebruiker de bevoorrechte rechten werkelijk nodig heeft voor zijn dagelijkse werkzaamheden.

De tweede fase omvat de technische configuratie van PIM voor Azure AD-rollen, waarbij alle benodigde instellingen worden geconfigureerd volgens de beveiligingsvereisten en best practices. Deze fase begint met het inschakelen van Privileged Identity Management voor Azure AD-rollen in de Azure Portal, wat een eenmalige actie is die moet worden uitgevoerd door een globale beheerder met de benodigde rechten. Na het inschakelen moeten de rolinstellingen worden geconfigureerd per roltype, waarbij specifieke beveiligingsvereisten worden toegepast die zijn afgestemd op het risico en de impact van elke rol. Voor de Globale beheerder-rol, die de hoogste privileges biedt en daarom het grootste risico vormt, moeten goedkeuring, meervoudige authenticatie, rechtvaardiging en een maximale activeringsduur van acht uur worden vereist. Voor de Beveiligingsbeheerder-rol, die specifiek gericht is op beveiligingsconfiguratie en daarom een hoog risico vormt, moeten goedkeuring, meervoudige authenticatie en rechtvaardiging worden vereist, met een maximale activeringsduur van acht uur. Voor rollen met lagere impact zoals Exchange-beheerder of SharePoint-beheerder kunnen meervoudige authenticatie en rechtvaardiging worden vereist zonder goedkeuring, met een maximale activeringsduur van acht uur.

De derde fase betreft een pilot-implementatie met een beperkte maar representatieve groep gebruikers die fungeert als testgroep voor het nieuwe PIM-systeem. Deze pilotgroep moet zorgvuldig worden samengesteld en moet bestaan uit vijf tot tien beheerders die representatief zijn voor de volledige gebruikerspopulatie in termen van functie, verantwoordelijkheden en frequentie van bevoorrechte toegang. De pilotgroep moet gebruikers bevatten die regelmatig bevoorrechte toegang nodig hebben, zodat zij het nieuwe activeringsproces kunnen testen onder realistische omstandigheden. Hun permanente toewijzingen moeten worden omgezet naar geschikte toewijzingen in PIM, waarbij zij de nieuwe activeringsworkflow moeten testen en feedback moeten geven over hun ervaringen.

De vierde fase omvat de volledige rollout naar alle gebruikers met bevoorrechte toegang, waarbij het PIM-systeem wordt uitgerold naar de gehele organisatie. Tijdens deze fase moeten alle bevoorrechte toewijzingen systematisch worden omgezet naar geschikte toewijzingen in PIM, waarbij elke conversie zorgvuldig wordt uitgevoerd om ervoor te zorgen dat gebruikers nog steeds toegang hebben tot de systemen die zij nodig hebben, maar nu via het nieuwe activeringsproces. Permanente toewijzingen moeten worden verwijderd met uitzondering van break-glass accounts die zijn aangewezen voor noodsituaties waarbij onmiddellijke toegang vereist is zonder te wachten op goedkeuring. Deze break-glass accounts moeten echter uiterst beperkt zijn, moeten worden beschermd met extra beveiligingsmaatregelen zoals hardware security keys, en moeten regelmatig worden geauditeerd om te controleren of zij daadwerkelijk alleen in noodsituaties worden gebruikt.

Gebruik PowerShell-script azure-ad-pim-roles-configured.ps1 (functie Invoke-Implementation) – Implementeert PIM-configuratie voor Azure AD-rollen.

Monitoring en Toegangsbeoordelingen

Gebruik PowerShell-script azure-ad-pim-roles-configured.ps1 (functie Invoke-Monitoring) – Monitort PIM-activaties en toegangsbeoordelingen.

Effectieve monitoring van PIM-activaties is essentieel om te garanderen dat beveiligingsrisico's tijdig worden gedetecteerd en dat compliance-vereisten worden nageleefd. Monitoring moet zowel proactief als reactief gebeuren om een volledig beeld te krijgen van de beveiligingsstatus van alle geprivilegieerde rolactivaties in de tenant. Proactieve monitoring omvat het regelmatig controleren van alle rolactivaties op beveiligingsproblemen zoals ongebruikelijke activatiepatronen, activaties buiten kantooruren, of activaties van meerdere rollen door dezelfde gebruiker in korte tijd. Reactieve monitoring omvat het analyseren van audit logs om verdachte activiteiten te detecteren, zoals mislukte activeringspogingen of pogingen tot ongeautoriseerde toegang.

PIM-waarschuwingen moeten worden geconfigureerd voor kritieke gebeurtenissen die onmiddellijke aandacht vereisen, zoals activeringen van de Globale beheerder-rol die de hoogste privileges biedt en daarom het grootste risico vormt. Deze waarschuwingen moeten onmiddellijk worden gemeld aan het beveiligingsteam via e-mail, SMS of een geïntegreerd security operations center systeem, zodat zij direct kunnen reageren op verdachte activiteiten. Mislukte activeringspogingen moeten ook worden gecontroleerd en geauditeerd omdat deze kunnen wijzen op privilege escalation pogingen door externe aanvallers die proberen toegang te krijgen tot bevoorrechte accounts, of door interne dreigingen die proberen hun rechten te escaleren zonder autorisatie.

Toegangsbeoordelingen vormen een essentieel onderdeel van het continue beveiligingsproces en moeten worden geconfigureerd in PIM op kwartaalbasis, waarbij resource owners en management worden aangewezen als reviewers die verantwoordelijk zijn voor het beoordelen van toegang binnen hun domein. Het doel van deze beoordelingen is om te controleren of gebruikers nog steeds de bevoorrechte toegang nodig hebben die zij hebben toegewezen gekregen, of dat hun verantwoordelijkheden zijn veranderd en zij deze toegang niet langer nodig hebben. Wanneer reviewers niet reageren op beoordelingsverzoeken binnen een redelijke termijn, moet automatisch worden ingesteld dat toegang wordt verwijderd na een bepaalde periode, typisch dertig dagen, om ervoor te zorgen dat onbeantwoorde beoordelingen niet resulteren in ongerechtvaardigde toegang die blijft bestaan.

Compliance en Framework Mapping

Privileged Identity Management voor Azure AD-rollen is essentieel voor naleving van verschillende internationale en nationale beveiligingsstandaarden en -richtlijnen die relevant zijn voor Nederlandse overheidsorganisaties. Deze control helpt organisaties te voldoen aan zowel verplichte als aanbevolen beveiligingsvereisten die zijn opgesteld door toezichthouders, standaardisatie-organisaties en brancheorganisaties. Voor Nederlandse overheidsorganisaties is compliance niet alleen een kwestie van best practices, maar vaak een wettelijke verplichting die directe gevolgen kan hebben voor de organisatie wanneer deze niet wordt nageleefd.

De Baseline Informatiebeveiliging Overheid (BIO) schrijft voor dat organisaties passende maatregelen moeten treffen voor toegangscontrole en authenticatie. BIO norm 09.02 vereist specifiek time-limited privileged access, waarbij bevoorrechte toegang alleen wordt verleend voor de duur die noodzakelijk is voor het uitvoeren van specifieke taken. Privileged Identity Management is een directe implementatie van deze norm, omdat het permanente toegang elimineert en in plaats daarvan tijdsbeperkte activeringen implementeert met automatische intrekking na verloop van tijd. Naleving van BIO-vereisten is verplicht voor alle Nederlandse overheidsorganisaties, en niet-naleving kan leiden tot aanbevelingen van toezichthouders zoals de Autoriteit Persoonsgegevens, mogelijke auditbevindingen tijdens interne of externe audits, en in ernstige gevallen zelfs tot bestuurlijke maatregelen.

ISO 27001:2022 bevat verschillende controles die relevant zijn voor Privileged Identity Management, waaronder A.5.18 en A.9.4.3, die beide betrekking hebben op toegangsbeheer en privileged access management. Controle A.5.18 betreft toegangsrechtenmanagement en vereist dat organisaties een proces hebben voor het beheren van toegangsrechten gedurende de gehele levenscyclus van gebruikersaccounts. Controle A.9.4.3 betreft privileged access management en vereist dat organisaties het gebruik van privileged access controls beperken en controleren, waarbij zij moeten zorgen dat bevoorrechte toegang alleen wordt verleend wanneer dit noodzakelijk is en dat alle gebruik van bevoorrechte toegang wordt geauditeerd. Privileged Identity Management implementeert beide controles door het elimineren van permanente bevoorrechte toegang, het vereisen van goedkeuring voor activeringen, het implementeren van volledige auditlogging van alle privileged access activiteiten, en het automatisch intrekken van toegang na verloop van tijd.

De NIS2-richtlijn, die is geïmplementeerd in Nederlandse wetgeving via de Wet beveiliging netwerk- en informatiesystemen, bevat artikel 21 dat betrekking heeft op cybersecuritymaatregelen, waaronder privileged toegangsbeheer. Deze richtlijn is van toepassing op essentiële en belangrijke entiteiten in verschillende sectoren, waaronder de publieke sector, en vereist dat deze organisaties passende technische en organisatorische maatregelen implementeren om cybersecurity-risico's te beheren. Privileged Identity Management is een belangrijke technische maatregel die organisaties helpen te voldoen aan deze vereisten door het aanvalsoppervlak te minimaliseren, privileged access te controleren en te monitoren, en door te zorgen dat bevoorrechte toegang alleen wordt verleend wanneer dit noodzakelijk is.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Azure AD: Privileged Identity Management voor Azure AD-rollen configureren .DESCRIPTION Controleert en implementeert Privileged Identity Management voor Azure AD-rollen. Elimineert permanente bevoorrechte toegang door just-in-time activering te implementeren met goedkeuringsworkflows, meervoudige authenticatie en tijdsbeperkingen. .NOTES Filename: azure-ad-pim-roles-configured.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/identity-access/azure-ad-pim-roles-configured.json .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\azure-ad-pim-roles-configured.ps1 -Monitoring Controleert of PIM correct is geconfigureerd voor Azure AD-rollen .EXAMPLE .\azure-ad-pim-roles-configured.ps1 -Remediation Converteert permanente toewijzingen naar geschikte toewijzingen in PIM .EXAMPLE .\azure-ad-pim-roles-configured.ps1 -Implementation Implementeert volledige PIM-configuratie voor Azure AD-rollen #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph.Identity.Governance [CmdletBinding()] param( [Parameter()] [switch]$WhatIf, [Parameter()] [switch]$Monitoring, [Parameter()] [switch]$Remediation, [Parameter()] [switch]$Implementation, [Parameter()] [switch]$DebugMode ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' # Configuratie $CriticalRoles = @( "Global Administrator", "Security Administrator", "Exchange Administrator", "SharePoint Administrator", "User Administrator", "Application Administrator" ) $MaxActivationDurationHours = 8 $RequireApproval = $true $RequireMFA = $true $RequireJustification = $true function Connect-RequiredServices { <# .SYNOPSIS Verbindt met benodigde Microsoft services #> [CmdletBinding()] param() Write-Verbose "Controleren van Microsoft Graph verbinding..." try { $context = Get-MgContext -ErrorAction SilentlyContinue if (-not $context) { Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory", "Directory.Read.All", "AuditLog.Read.All" -ErrorAction Stop Write-Host "Verbonden met Microsoft Graph" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Microsoft Graph" } } catch { Write-Error "Kon niet verbinden met Microsoft Graph: $_" throw } } function Get-PermanentRoleAssignments { <# .SYNOPSIS Haalt alle permanente roltoewijzingen op .OUTPUTS Array van permanente roltoewijzingen #> [CmdletBinding()] param() Write-Verbose "Ophalen van permanente roltoewijzingen..." try { if ($DebugMode) { Write-Host "DebugMode: Simuleert permanente roltoewijzingen" -ForegroundColor Yellow return @( [PSCustomObject]@{ RoleDisplayName = "Global Administrator" UserPrincipalName = "admin@example.com" AssignmentType = "Permanent" } ) } $permanentAssignments = @() # Haal alle directory rollen op $roles = Get-MgDirectoryRole -All -ErrorAction SilentlyContinue foreach ($role in $roles) { if ($role.DisplayName -in $CriticalRoles) { $members = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -All -ErrorAction SilentlyContinue foreach ($member in $members) { $user = Get-MgUser -UserId $member.Id -ErrorAction SilentlyContinue if ($user) { $permanentAssignments += [PSCustomObject]@{ RoleDisplayName = $role.DisplayName RoleId = $role.Id UserPrincipalName = $user.UserPrincipalName UserId = $user.Id AssignmentType = "Permanent" } } } } } return $permanentAssignments } catch { Write-Warning "Fout bij ophalen permanente roltoewijzingen: $_" return @() } } function Test-PIMConfiguration { <# .SYNOPSIS Test of PIM correct is geconfigureerd voor Azure AD-rollen .OUTPUTS PSCustomObject met compliance resultaten #> [CmdletBinding()] param() Write-Verbose "Controleren van PIM-configuratie..." $results = @{ IsCompliant = $false PermanentAssignments = @() PIMEnabled = $false Issues = @() } try { # Controleer of PIM is ingeschakeld (vereist handmatige verificatie) Write-Host " ⚠️ PIM-configuratie vereist handmatige verificatie in Azure Portal" -ForegroundColor Yellow Write-Host " Controleer in Azure Portal:" -ForegroundColor Gray Write-Host " - Azure AD > Privileged Identity Management" -ForegroundColor Gray Write-Host " - Azure AD roles > Settings" -ForegroundColor Gray Write-Host " - Controleer per rol:" -ForegroundColor Gray Write-Host " * Activation maximum duration: $MaxActivationDurationHours uur" -ForegroundColor Gray Write-Host " * Require approval: $RequireApproval" -ForegroundColor Gray Write-Host " * Require MFA: $RequireMFA" -ForegroundColor Gray Write-Host " * Require justification: $RequireJustification" -ForegroundColor Gray # Haal permanente toewijzingen op $permanentAssignments = Get-PermanentRoleAssignments if ($permanentAssignments.Count -gt 0) { Write-Host "`n ❌ Gevonden permanente roltoewijzingen:" -ForegroundColor Red foreach ($assignment in $permanentAssignments) { Write-Host " - $($assignment.RoleDisplayName): $($assignment.UserPrincipalName)" -ForegroundColor Red } $results.PermanentAssignments = $permanentAssignments $results.Issues += "Permanente roltoewijzingen gevonden die moeten worden omgezet naar geschikte toewijzingen in PIM" } else { Write-Host "`n ✅ Geen permanente roltoewijzingen gevonden" -ForegroundColor Green } # Bepaal compliance status $results.IsCompliant = ($permanentAssignments.Count -eq 0) if (-not $results.IsCompliant) { Write-Host "`n ❌ NON-COMPLIANT - Permanente roltoewijzingen moeten worden omgezet naar PIM" -ForegroundColor Red } else { Write-Host "`n ✅ COMPLIANT - Alle kritieke rollen zijn geconfigureerd via PIM" -ForegroundColor Green } return $results } catch { Write-Error "Fout bij controleren PIM-configuratie: $_" throw } } function Invoke-Monitoring { <# .SYNOPSIS Monitort de compliance status van PIM-configuratie #> [CmdletBinding()] param() Write-Host "`nMonitoring: PIM voor Azure AD-rollen" -ForegroundColor Yellow Write-Host "=====================================" -ForegroundColor Yellow $result = Test-PIMConfiguration Write-Host "`nResultaten:" -ForegroundColor Cyan Write-Host " Permanente toewijzingen: $($result.PermanentAssignments.Count)" -ForegroundColor $(if ($result.PermanentAssignments.Count -eq 0) { "Green" } else { "Red" }) if ($result.Issues.Count -gt 0) { Write-Host "`n Geïdentificeerde problemen:" -ForegroundColor Yellow foreach ($issue in $result.Issues) { Write-Host " - $issue" -ForegroundColor Yellow } } if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT - PIM is correct geconfigureerd" -ForegroundColor Green exit 0 } else { Write-Host "`n❌ NON-COMPLIANT - Actie vereist" -ForegroundColor Red Write-Host " Gebruik -Remediation om permanente toewijzingen om te zetten" -ForegroundColor Yellow exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Converteert permanente toewijzingen naar geschikte toewijzingen in PIM #> [CmdletBinding()] param() Write-Host "`nRemediatie: PIM-configuratie voor Azure AD-rollen" -ForegroundColor Yellow Write-Host "===================================================" -ForegroundColor Yellow $permanentAssignments = Get-PermanentRoleAssignments if ($permanentAssignments.Count -eq 0) { Write-Host " Geen permanente toewijzingen gevonden" -ForegroundColor Green exit 0 } Write-Host "`nGevonden permanente toewijzingen: $($permanentAssignments.Count)" -ForegroundColor Cyan if ($WhatIf) { Write-Host "`n[WhatIf] Zou de volgende acties uitvoeren:" -ForegroundColor Yellow foreach ($assignment in $permanentAssignments) { Write-Host " - Converteer $($assignment.RoleDisplayName) voor $($assignment.UserPrincipalName) naar geschikte toewijzing in PIM" -ForegroundColor Yellow } Write-Host "`n Let op: Deze conversie moet handmatig worden uitgevoerd in Azure Portal" -ForegroundColor Yellow Write-Host " Navigeer naar: Azure AD > Privileged Identity Management > Azure AD roles" -ForegroundColor Gray Write-Host " Selecteer de rol en converteer permanente toewijzingen naar eligible" -ForegroundColor Gray exit 0 } Write-Host "`n⚠️ WAARSCHUWING: Conversie van permanente naar geschikte toewijzingen" -ForegroundColor Yellow Write-Host " moet handmatig worden uitgevoerd in Azure Portal om risico's te minimaliseren." -ForegroundColor Yellow Write-Host "`n Volg deze stappen:" -ForegroundColor Cyan Write-Host " 1. Navigeer naar Azure Portal > Azure AD > Privileged Identity Management" -ForegroundColor Gray Write-Host " 2. Selecteer 'Azure AD roles'" -ForegroundColor Gray Write-Host " 3. Selecteer de rol die moet worden geconfigureerd" -ForegroundColor Gray Write-Host " 4. Ga naar 'Assignments' en selecteer permanente toewijzingen" -ForegroundColor Gray Write-Host " 5. Converteer naar 'Eligible' toewijzingen" -ForegroundColor Gray Write-Host " 6. Configureer rolinstellingen:" -ForegroundColor Gray Write-Host " - Activation maximum duration: $MaxActivationDurationHours uur" -ForegroundColor Gray Write-Host " - Require approval: $RequireApproval" -ForegroundColor Gray Write-Host " - Require MFA: $RequireMFA" -ForegroundColor Gray Write-Host " - Require justification: $RequireJustification" -ForegroundColor Gray Write-Host "`n Te converteren toewijzingen:" -ForegroundColor Cyan foreach ($assignment in $permanentAssignments) { Write-Host " - $($assignment.RoleDisplayName): $($assignment.UserPrincipalName)" -ForegroundColor Gray } exit 0 } function Invoke-Implementation { <# .SYNOPSIS Implementeert volledige PIM-configuratie voor Azure AD-rollen #> [CmdletBinding()] param() Write-Host "`nImplementatie: PIM voor Azure AD-rollen" -ForegroundColor Yellow Write-Host "=========================================" -ForegroundColor Yellow Write-Host "`n⚠️ PIM-configuratie vereist handmatige stappen in Azure Portal" -ForegroundColor Yellow Write-Host "`n Implementatiestappen:" -ForegroundColor Cyan Write-Host " 1. Zorg dat Azure AD Premium P2 licenties beschikbaar zijn" -ForegroundColor Gray Write-Host " 2. Schakel PIM in via Azure Portal > Azure AD > Privileged Identity Management" -ForegroundColor Gray Write-Host " 3. Configureer rolinstellingen voor elke kritieke rol:" -ForegroundColor Gray Write-Host " - Global Administrator: Goedkeuring + MFA + Rechtvaardiging + 8 uur max" -ForegroundColor Gray Write-Host " - Security Administrator: Goedkeuring + MFA + Rechtvaardiging + 8 uur max" -ForegroundColor Gray Write-Host " - Exchange/SharePoint Administrator: MFA + Rechtvaardiging + 8 uur max" -ForegroundColor Gray Write-Host " 4. Converteer permanente toewijzingen naar geschikte toewijzingen" -ForegroundColor Gray Write-Host " 5. Configureer goedkeurders voor rollen die goedkeuring vereisen" -ForegroundColor Gray Write-Host " 6. Test het activeringsproces met een pilotgroep" -ForegroundColor Gray Write-Host " 7. Configureer PIM-waarschuwingen voor activaties" -ForegroundColor Gray Write-Host " 8. Stel periodieke toegangsbeoordelingen in (kwartaal)" -ForegroundColor Gray Write-Host "`n Gebruik -Remediation om permanente toewijzingen te identificeren" -ForegroundColor Yellow exit 0 } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "PIM voor Azure AD-rollen" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # Connect to services (indien nodig) if (-not $DebugMode) { Connect-RequiredServices } # Execute based on parameters if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } elseif ($Implementation) { Invoke-Implementation } else { # Default: Compliance check $result = Test-PIMConfiguration if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT" -ForegroundColor Green } else { Write-Host "`n❌ NON-COMPLIANT" -ForegroundColor Red Write-Host "`nRun met -Monitoring voor gedetailleerde rapportage" -ForegroundColor Yellow Write-Host "Run met -Remediation om permanente toewijzingen te converteren" -ForegroundColor Yellow Write-Host "Run met -Implementation voor implementatie-instructies" -ForegroundColor Yellow } return $result } } catch { Write-Error "Error: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Kritiek – Zonder PIM hebben gebruikers permanente bevoorrechte toegang, wat een ernstig beveiligingsrisico vormt. Bij accountcompromittering heeft een aanvaller onbeperkte toegang tot kritieke systemen en data. Dit kan leiden tot volledige compromittering van de IT-infrastructuur, datalekken, en niet-naleving van BIO, ISO 27001 en NIS2.

Management Samenvatting

Implementeer Privileged Identity Management voor Azure AD-rollen om permanente bevoorrechte toegang te elimineren. Configureer just-in-time activering met goedkeuring, meervoudige authenticatie en tijdsbeperkingen. Implementatie: 140 uur. Kritieke beveiligingsmaatregel voor alle organisaties met Azure AD.