💼 Management Samenvatting
Het beperken van Global Administrator-roltoewijzingen tot maximaal vijf accounts volgt het least privilege-principe en minimaliseert het aanvalsoppervlak voor de meest krachtige beheerdersrol in Azure en Microsoft 365. Deze restrictie is essentieel voor het reduceren van het risico op volledige tenant-overname bij accountcompromittering.
Aanbeveling
LIMITEER GLOBAL ADMINS TOT 5
Risico zonder
Critical
Risk Score
9/10
Implementatie
4u (tech: 2u)
Van toepassing op:
✓ Azure
De Global Administrator-rol beschikt over onbeperkte machtigingen binnen de volledige Azure AD-tenant en alle Microsoft 365-services, wat betekent dat wanneer een Global Administrator-account wordt gecompromitteerd, dit resulteert in een volledige overname van de tenant waarbij aanvallers onbeperkte toegang verkrijgen tot alle gegevens, configuraties en resources. Elk extra Global Administrator-account vergroot het aanvalsoppervlak proportioneel omdat er meer doelwitten ontstaan voor phishing-aanvallen, diefstal van inloggegevens, social engineering en insider threats. Onderzoek toont aan dat organisaties regelmatig tien tot twintig of meer Global Administrators hebben, waarbij veel van deze accounts zelden of nooit worden gebruikt voor daadwerkelijk administratief werk maar wel permanent verhoogde privileges behouden. Dit buitensporige aantal ontstaat door het fenomeen van permission creep, waarbij accounts Global Administrator-rechten ontvangen voor eenmalige taken maar deze rechten nooit worden ingetrokken. Daarnaast is er vaak sprake van een gebrek aan granulaire roltoewijzing waarbij beheerders de Global Administrator-rol krijgen terwijl een meer specifieke rol zoals Security Administrator of User Administrator voldoende zou zijn voor hun dagelijkse werkzaamheden. Bovendien bestaat er onduidelijkheid over wie daadwerkelijk Global Administrator-rechten nodig heeft voor hun functioneren. Deze situatie verhoogt het risico dat een gecompromitteerd account beschikt over Global Administrator-privileges en creëert complianceproblemen omdat auditors moeten kunnen verifiëren dat privileged access passend en noodzakelijk is. Het beperken tot maximaal vijf Global Administrators volgt de richtlijnen van de CIS Azure Foundations Benchmark en dwingt organisaties om zorgvuldig te overwegen wie deze onbeperkte privileges daadwerkelijk nodig heeft. Meer granulaire beheerdersrollen zoals Security Administrator voor het beheren van beveiligingsbeleid, User Administrator voor het beheren van gebruikersaccounts, SharePoint Administrator voor het beheren van SharePoint en OneDrive, of Exchange Administrator voor het beheren van e-mailsystemen bieden voldoende machtigingen voor specifieke administratieve taken zonder onbeperkte tenant-brede privileges. Deze aanpak minimaliseert het aantal sleutels tot het koninkrijk en vermindert de impactradius bij accountcompromittering aanzienlijk.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph
Implementatie
Deze maatregel verifieert en handhaaft dat er maximaal vijf gebruikersaccounts de Global Administrator-rol toegewezen hebben gekregen binnen de Azure AD-tenant door middel van geautomatiseerde controles en handmatige verificaties. De verificatie vindt plaats via de Microsoft Graph API door alle roltoewijzingen voor de Global Administrator-rol op te halen met behulp van de rol template ID 62e90394-69f5-4237-9190-012177145e10 en het aantal accounts te tellen om te waarborgen dat de limiet niet wordt overschreden. Accounts die moeten worden meegeteld zijn alle gebruikersaccounts met een permanente Global Administrator-toewijzing plus in aanmerking komende toewijzingen via Privileged Identity Management, omdat beide vormen van toegang het aanvalsoppervlak vergroten en moeten worden beheerd. Het aanbevolen minimum is drie tot vijf accounts voor adequate dekking waarbij minimaal twee accounts nodig zijn voor redundantie bij vakantie of ziekte van beheerders, zodat er altijd voldoende beheerders beschikbaar zijn voor kritieke situaties. Drie tot vijf accounts bieden operationele flexibiliteit zonder buitensporige rechten, en meer dan vijf wijst op over-inrichting en moet worden gereduceerd via rolconsolidatie waarbij accounts worden hertoegewezen naar meer specifieke rollen. De vijf accounts moeten toegewijde beheerdersaccounts zijn die niet worden gebruikt voor dagelijkse werkzaamheden, break-glass noodtoegangsaccounts waarvan minimaal twee permanent Global Administrator blijven voor disaster recovery doeleinden, en operationele Global Administrators waarvan maximaal drie waarbij indien mogelijk Privileged Identity Management just-in-time activering wordt gebruikt in plaats van permanente toewijzing. Voor alle andere administratieve taken moeten meer granulaire Azure AD-rollen worden gebruikt zoals Security Administrator voor het configureren van beveiligingsbeleid, User Administrator voor het beheren van gebruikers en groepen, SharePoint Administrator voor SharePoint en OneDrive, Exchange Administrator voor Exchange Online, Compliance Administrator voor compliance functionaliteiten, en aangepaste rollen voor zeer specifieke vereisten. Bij implementatie moeten huidige Global Administrator-toewijzingen worden geaudit door een security team, accounts zonder legitieme zakelijke noodzaak moeten worden hertoegewezen naar passende granulaire rollen, en een formeel goedkeuringsproces moet worden geïmplementeerd voor toekomstige Global Administrator-toewijzingen waarbij zakelijke rechtvaardiging en goedkeuring op directieniveau vereist zijn. Deze maatregel kost vier uur voor de initiële audit en hertoewijzing van rollen plus twee uur voor procesdocumentatie, resulteert in een aanzienlijk gereduceerd aanvalsoppervlak door het minimaliseren van het aantal accounts met onbeperkte privileges, en is verplicht voor compliance met CIS Azure Foundations controle 1.2.1 niveau 1.
Vereisten
Voor de implementatie van deze beveiligingsmaatregel is een actieve Entra ID tenant vereist als fundamentele voorwaarde. Entra ID, voorheen bekend als Azure Active Directory, vormt de technische basis voor identiteits- en toegangsbeheer binnen Microsoft 365 en Azure omgevingen en biedt de infrastructuur die nodig is voor het beheren van beheerdersrollen en toegangsrechten. De tenant moet volledig geconfigureerd zijn en operationeel functioneren voordat de beperking van Global Administrator-rollen kan worden geïmplementeerd, omdat deze maatregel direct ingrijpt op de roltoewijzingen binnen het identiteitssysteem. Organisaties moeten beschikken over ten minste één account met Global Administrator-rechten om de initiële configuratie en audit uit te voeren, omdat alleen accounts met deze hoogste bevoegdheden wijzigingen kunnen aanbrengen in roltoewijzingen. Het is essentieel dat dit account wordt gebruikt voor de implementatie en daarna wordt beoordeeld of deze nog steeds Global Administrator-rechten nodig heeft of kan worden gedowngraded naar een meer specifieke rol die voldoende machtigingen biedt voor de dagelijkse werkzaamheden. Daarnaast is toegang tot de Microsoft Graph API vereist voor het uitvoeren van verificaties en het beheren van roltoewijzingen, omdat deze API de programmatische interface biedt voor het opvragen van roltoewijzingen en het uitvoeren van wijzigingen. Organisaties die Privileged Identity Management willen gebruiken voor just-in-time activering van Global Administrator-rechten, moeten PIM geconfigureerd hebben binnen hun Entra ID tenant met de juiste licenties en instellingen. Voor organisaties die nog geen PIM hebben geconfigureerd, is het sterk aan te raden om dit te implementeren als onderdeel van deze maatregel, omdat dit de beveiliging verder versterkt door permanente toewijzingen te vervangen door tijdelijke, gecontroleerde toegang die alleen wordt geactiveerd wanneer deze daadwerkelijk nodig is. De implementatie vereist ook dat organisaties beschikken over een duidelijk gedefinieerd proces voor het beoordelen en goedkeuren van roltoewijzingen, waarbij zakelijke rechtvaardiging en goedkeuring op directieniveau vereist zijn voor toekomstige Global Administrator-toewijzingen om te voorkomen dat het aantal accounts opnieuw boven de limiet uitkomt. Daarnaast moeten organisaties beschikken over de juiste Microsoft 365 of Azure AD licenties die toegang bieden tot de benodigde functionaliteiten, en moeten beheerders beschikken over voldoende kennis van Azure AD rollen en Privileged Identity Management om de implementatie correct uit te voeren. Het is belangrijk dat organisaties ook beschikken over een duidelijk overzicht van hun huidige roltoewijzingen en een plan hebben voor het hertoewijzen van accounts naar meer granulaire rollen voordat de implementatie wordt gestart.
Monitoring
Gebruik PowerShell-script global-admin-limit-5.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van het aantal Global Administrator-accounts vormt een kritieke beveiligingsactiviteit die continu moet worden uitgevoerd om te waarborgen dat de organisatie binnen de aanbevolen limiet van maximaal vijf accounts blijft en om tijdig te kunnen reageren op wijzigingen die het beveiligingsniveau kunnen beïnvloeden. De monitoring vindt plaats via de Microsoft Graph API door gebruik te maken van de Get-MgDirectoryRole cmdlet, die alle roltoewijzingen voor de Global Administrator-rol ophaalt en inzicht biedt in wie beschikt over deze hoogste bevoegdheden. Deze rol heeft de template ID 62e90394-69f5-4237-9190-012177145e10 en kan worden geïdentificeerd via de Microsoft Graph API door te zoeken naar directory roles met deze specifieke identifier. Het monitoringproces moet zowel permanente toewijzingen als in aanmerking komende toewijzingen via Privileged Identity Management meenemen in de telling, omdat beide vormen van toegang het aanvalsoppervlak vergroten en moeten worden beheerd om te voorkomen dat het aantal accounts met deze privileges te hoog wordt. Het aantal Global Administrators zou idealiter niet meer dan vijf moeten bedragen, waarbij een minimum van twee accounts wordt aanbevolen voor redundantie bij ziekte of vakantie van beheerders, zodat er altijd voldoende beheerders beschikbaar zijn voor kritieke situaties. Organisaties moeten een geautomatiseerd monitoringproces implementeren dat dagelijks of wekelijks het aantal Global Administrator-accounts controleert en waarschuwingen genereert wanneer de limiet wordt overschreden of wanneer nieuwe toewijzingen worden gedetecteerd, zodat security teams direct kunnen ingrijpen wanneer er afwijkingen worden geconstateerd. Deze waarschuwingen moeten worden verzonden naar security teams en compliance officers die verantwoordelijk zijn voor het beheren van privileged access, zodat zij onmiddellijk op de hoogte zijn van wijzigingen die mogelijk actie vereisen. Daarnaast moet het monitoringproces ook de activiteit van Global Administrator-accounts volgen om te detecteren wanneer accounts niet meer worden gebruikt en mogelijk kunnen worden gedowngraded naar meer specifieke rollen, waardoor het aantal accounts met deze privileges verder kan worden gereduceerd. Het is belangrijk om niet alleen het aantal accounts te monitoren, maar ook de context van elke toewijzing te begrijpen, zodat organisaties kunnen bepalen of elke Global Administrator-account nog steeds gerechtvaardigd is op basis van de huidige zakelijke vereisten en of de toewijzing nog steeds noodzakelijk is voor de dagelijkse werkzaamheden. Het monitoringproces moet ook historische trends bijhouden om te identificeren wanneer het aantal accounts geleidelijk toeneemt en om patronen te herkennen die kunnen wijzen op permission creep of onjuiste roltoewijzingen. Daarnaast moeten organisaties regelmatig reviews uitvoeren waarbij elke Global Administrator-toewijzing wordt beoordeeld op noodzaak en rechtvaardiging, zodat alleen accounts die daadwerkelijk deze privileges nodig hebben deze behouden.
Implementatie
Gebruik PowerShell-script global-admin-limit-5.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van deze beveiligingsmaatregel begint met een grondige en systematische audit van alle huidige Global Administrator-accounts binnen de Entra ID tenant om een volledig beeld te krijgen van wie beschikt over deze hoogste bevoegdheden en waarom deze toewijzingen zijn gemaakt. Deze audit moet worden uitgevoerd door een security team in nauwe samenwerking met IT-beheerders en moet alle permanente toewijzingen en in aanmerking komende toewijzingen via Privileged Identity Management omvatten, zodat er geen accounts over het hoofd worden gezien die mogelijk kunnen worden gedowngraded. Voor elk Global Administrator-account moet worden gedocumenteerd wie het account bezit, wanneer het is toegewezen, wat de zakelijke rechtvaardiging is voor de toewijzing, en of het account daadwerkelijk wordt gebruikt voor administratieve taken die Global Administrator-rechten vereisen, zodat er een duidelijk overzicht ontstaat van de noodzaak van elke toewijzing. Tijdens deze audit moeten organisaties ook controleren of accounts worden gebruikt voor dagelijkse taken die niet Global Administrator-rechten vereisen, wat een beveiligingsrisico vormt omdat deze accounts een groter aanvalsoppervlak hebben dan reguliere gebruikersaccounts en bij compromittering directe toegang bieden tot alle systemen en gegevens. Na de audit moeten alle onnodige Global Administrator-toewijzingen worden verwijderd en moeten accounts worden hertoegewezen naar meer specifieke, granulaire rollen die voldoende machtigingen bieden voor de taken die de gebruiker daadwerkelijk uitvoert, zodat de functionaliteit behouden blijft terwijl het aantal accounts met onbeperkte privileges wordt gereduceerd. Granulaire rollen zoals Security Administrator voor het beheren van beveiligingsbeleid, User Administrator voor het beheren van gebruikersaccounts en groepen, SharePoint Administrator voor het beheren van SharePoint en OneDrive, Exchange Administrator voor het beheren van Exchange Online, en Compliance Administrator voor compliance-gerelateerde taken bieden voldoende machtigingen voor de meeste administratieve taken zonder de onbeperkte privileges van de Global Administrator-rol. Organisaties moeten twee tot vijf Global Administrator-accounts behouden voor noodscenario's en operationele flexibiliteit, waarbij minimaal twee accounts worden aanbevolen voor break-glass noodtoegang die permanent Global Administrator-rechten behouden voor disaster recovery doeleinden, zodat er altijd toegang mogelijk is tot het systeem zelfs wanneer reguliere beheerders niet beschikbaar zijn. Voor operationele Global Administrators moet indien mogelijk Privileged Identity Management worden geïmplementeerd voor just-in-time activering, waardoor permanente toewijzingen worden vervangen door tijdelijke, gecontroleerde toegang die alleen wordt geactiveerd wanneer deze daadwerkelijk nodig is en waarbij elke activering wordt gelogd en gecontroleerd. Deze aanpak minimaliseert het risico op accountcompromittering door de tijd dat accounts verhoogde privileges hebben te beperken en zorgt ervoor dat beheerders alleen toegang hebben wanneer zij daadwerkelijk administratieve taken uitvoeren. Na de implementatie moet een formeel goedkeuringsproces worden geïmplementeerd voor toekomstige Global Administrator-toewijzingen, waarbij zakelijke rechtvaardiging en goedkeuring op directieniveau vereist zijn voordat nieuwe toewijzingen worden gemaakt, zodat het aantal accounts niet opnieuw boven de limiet uitkomt en elke nieuwe toewijzing zorgvuldig wordt overwogen.
Compliance en Auditing
De beperking van Global Administrator-accounts tot maximaal vijf accounts vormt een essentiële vereiste voor compliance met verschillende beveiligingsstandaarden en frameworks die worden gebruikt door Nederlandse overheidsorganisaties en die fundamenteel zijn voor het waarborgen van een adequaat beveiligingsniveau binnen de publieke sector. De CIS Azure Foundations Benchmark controle 1.2 vereist expliciet dat organisaties het aantal Global Administrator-accounts beperken en specificeert dat er niet meer dan vijf accounts deze rol mogen hebben, waarbij deze controle is geclassificeerd als Level 1 wat betekent dat het een fundamentele beveiligingsmaatregel is die door alle organisaties moet worden geïmplementeerd zonder uitzondering. Voor Nederlandse overheidsorganisaties is compliance met de Baseline Informatiebeveiliging Overheid cruciaal voor het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie, waarbij controle 09.02 specifiek ingaat op privileged toegangsbeheer en vereist dat organisaties het principe van least privilege toepassen door het aantal accounts met uitgebreide beheerrechten te minimaliseren tot het absolute minimum dat nodig is voor de uitvoering van kritieke taken. De BIO-richtlijnen benadrukken dat privileged access alleen moet worden verleend wanneer dit absoluut noodzakelijk is voor de uitvoering van specifieke taken en dat organisaties regelmatig moeten controleren of deze toegang nog steeds gerechtvaardigd is, waarbij deze reviews moeten worden gedocumenteerd en beschikbaar moeten zijn voor auditors die de compliance van de organisatie beoordelen. De ISO 27001 standaard, die wereldwijd wordt erkend als de internationale norm voor informatiebeveiligingsmanagement en die door veel Nederlandse organisaties wordt gebruikt als basis voor hun beveiligingsmanagement, bevat in controle A.9.2.3 specifieke vereisten voor het beheren van privileged toegangsrechten waarbij wordt geëist dat organisaties privileged toegangsrechten beperken en controleren. Deze controle vereist dat organisaties privileged toegangsrechten beperken en controleren, waarbij regelmatige reviews worden uitgevoerd om te waarborgen dat alleen geautoriseerde personen toegang hebben tot systemen en gegevens en dat deze toegang wordt gebruikt voor legitieme doeleinden die passen bij de functie en verantwoordelijkheden van de gebruiker. Voor Nederlandse organisaties die onder de NIS2-richtlijn vallen, is het beperken van privileged access ook een belangrijke vereiste voor het verminderen van het risico op cyberincidenten die kunnen leiden tot significante verstoringen van essentiële diensten, waarbij de richtlijn specifiek aandacht besteedt aan het beheren van beheerdersaccounts en het minimaliseren van het aanvalsoppervlak. Tijdens audits moeten organisaties kunnen aantonen dat ze een duidelijk gedefinieerd proces hebben voor het beheren van Global Administrator-accounts, dat ze regelmatig reviews uitvoeren van deze accounts waarbij wordt beoordeeld of elke toewijzing nog steeds noodzakelijk is, en dat ze kunnen verifiëren dat het aantal accounts binnen de aanbevolen limiet blijft door middel van geautomatiseerde monitoring en handmatige controles. Auditbewijs moet minimaal zeven jaar worden bewaard conform de bewaartermijnen die gelden voor overheidsorganisaties en moet de lijst van Global Administrator-rol leden bevatten met timestamps en rechtvaardigingen, waarbij wordt aangetoond dat het aantal niet meer dan vijf bedraagt en dat elke toewijzing is goedgekeurd volgens het vastgestelde goedkeuringsproces.
Remediatie
Gebruik PowerShell-script global-admin-limit-5.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring detecteert dat het aantal Global Administrator-accounts de limiet van vijf overschrijdt, moet onmiddellijk een gestructureerd remediatieproces worden gestart om het aantal accounts te reduceren tot het aanbevolen maximum en om te voorkomen dat de organisatie blootstaat aan onnodige beveiligingsrisico's door een te groot aantal accounts met onbeperkte privileges. Het remediatieproces begint met het identificeren van alle Global Administrator-accounts door middel van de Microsoft Graph API en het beoordelen van elke toewijzing om te bepalen welke accounts kunnen worden gedowngraded naar meer specifieke rollen zonder de operationele capaciteit van de organisatie te beïnvloeden of de dagelijkse werkzaamheden te verstoren. Voor elk account dat wordt geëvalueerd voor downgrade, moet worden bepaald welke specifieke taken de gebruiker uitvoert en welke granulaire rol voldoende machtigingen biedt voor deze taken, waarbij wordt gecontroleerd of de nieuwe rol alle benodigde functionaliteiten biedt voordat de wijziging wordt doorgevoerd. Security Administrators kunnen bijvoorbeeld worden gedowngraded naar de Security Administrator-rol als ze alleen beveiligingsbeleid beheren en geen toegang nodig hebben tot andere tenant-brede configuraties, terwijl gebruikers die alleen gebruikersaccounts beheren kunnen worden gedowngraded naar de User Administrator-rol die voldoende machtigingen biedt voor gebruikers- en groepsbeheer. Break-glass noodtoegangsaccounts moeten worden behouden als Global Administrator omdat deze accounts essentieel zijn voor disaster recovery scenario's, maar moeten worden geconfigureerd met extra beveiligingsmaatregelen zoals conditional access policies die alleen toegang toestaan vanuit specifieke locaties of apparaten en die multi-factor authenticatie verplicht stellen. Voor operationele Global Administrators die regelmatig toegang nodig hebben maar niet continu, moet Privileged Identity Management worden geïmplementeerd om permanente toewijzingen te vervangen door just-in-time activering, waardoor het aantal permanente Global Administrator-accounts wordt gereduceerd terwijl de operationele flexibiliteit behouden blijft en beheerders nog steeds toegang kunnen krijgen wanneer dit nodig is. Tijdens het remediatieproces moeten alle wijzigingen worden gedocumenteerd in een centraal systeem, inclusief de reden voor elke downgrade en de nieuwe roltoewijzing, zodat deze informatie beschikbaar is voor toekomstige audits en zodat er een duidelijk overzicht bestaat van waarom bepaalde wijzigingen zijn doorgevoerd. Na de remediatie moet het monitoringproces worden versterkt door de frequentie van controles te verhogen en door waarschuwingen te configureren die direct worden geactiveerd wanneer nieuwe Global Administrator-toewijzingen worden gedetecteerd, zodat security teams onmiddellijk kunnen ingrijpen wanneer er afwijkingen worden geconstateerd. Daarnaast moet het goedkeuringsproces worden herzien om te waarborgen dat toekomstige toewijzingen alleen worden gemaakt na zorgvuldige overweging en goedkeuring, en moeten organisaties regelmatig reviews uitvoeren om te voorkomen dat het aantal accounts opnieuw boven de limiet uitkomt door permission creep of onjuiste roltoewijzingen.
Compliance & Frameworks
- CIS M365: Control 1.2 (L1) - Limit Globale beheerder rechtens
- BIO: 09.02 - Privileged Toegangsbeheer
- ISO 27001:2022: A.9.2.3 - Privileged toegangsrechten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Global Admin Limit 5
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.19
Controleert dat maximaal 5 Global Administrators zijn toegewezen.
.NOTES
Filename: global-admin-limit-5.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.19
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Resources
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Global Admin Limit 5"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$roleAssignments = Get-AzRoleAssignment -RoleDefinitionName "Owner" -Scope "/subscriptions/$((Get-AzContext).Subscription.Id)" -ErrorAction SilentlyContinue
$result = @{ TotalOwners = $roleAssignments.Count }
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Subscription Owners: $($r.TotalOwners)" -ForegroundColor $(if ($r.TotalOwners -le 5) { 'Green' } else { 'Yellow' })
Write-Host "`n⚠️ Manual verification in Entra ID portal:" -ForegroundColor Yellow
Write-Host "Controleer Global Administrator role ≤ 5 users" -ForegroundColor Gray
if ($r.TotalOwners -gt 5) {
Write-Host "`n⚠️ Te veel subscription owners gevonden" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nSubscription Owners: $($r.TotalOwners)"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Subscription Owners: $($r.TotalOwners)" -ForegroundColor $(if ($r.TotalOwners -le 5) { 'Green' } else { 'Yellow' })
Write-Host "`n⚠️ Manual verification in Entra ID portal:" -ForegroundColor Yellow
Write-Host "Controleer Global Administrator role ≤ 5 users" -ForegroundColor Gray
if ($r.TotalOwners -gt 5) {
Write-Host "`n⚠️ Te veel subscription owners gevonden" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nSubscription Owners: $($r.TotalOwners)"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Een buitensporig aantal Global Administrator-accounts verhoogt het aanvalsoppervlak aanzienlijk. Compromittering van één Global Administrator-account resulteert in een volledige overname van de tenant. Compliance vereisten: CIS 1.2, BIO, NIS2. Het risico is hoog volgens het blast radius principe.
Management Samenvatting
Global Administrator Limiet: Maximum twee tot vijf Global Administrator-accounts. Gebruik granulaire directory rollen zoals User Administrator, Security Administrator en dergelijke in plaats van Global Administrator waar mogelijk. Audit: Beoordeel huidige Global Administrators en downgrade naar specifieke rollen. Geen licentie kosten. Verplicht voor CIS 1.2, BIO, NIS2. Implementatie: twee tot vier uur voor audit en hertoewijzing van rollen. Vermindert de impactradius bij accountcompromittering aanzienlijk.
- Implementatietijd: 4 uur
- FTE required: 0.03 FTE