💼 Management Samenvatting
Gastgebruikers moeten kwartaalijks worden beoordeeld om verweesde accounts te identificeren en onnodige toegang te voorkomen.
Aanbeveling
IMPLEMENTEER KWARTAALWIJZE GASTGEBRUIKERSBEORDEELINGEN
Risico zonder
Medium
Risk Score
5/10
Implementatie
4u (tech: 2u)
Van toepassing op:
✓ Azure
Gastaccounts blijven vaak actief na projectvoltooiing of na het vertrek van externe medewerkers bij partnerorganisaties. Verweesde gastgebruikers behouden onnodige toegang tot organisatieresources, wat een beveiligingsrisico vormt en kan leiden tot complianceproblemen. Zonder periodieke reviews ontstaat een groeiende groep gastgebruikers met toegang tot gevoelige informatie, zonder dat duidelijk is of deze toegang nog gerechtvaardigd is.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph
Implementatie
Kwartaalwijze toegangsbeoordeling van alle gastgebruikers via Azure AD Toegangsbeoordelingen. Inactieve of onnodige gastgebruikers worden automatisch verwijderd na goedkeuring door resource-eigenaren. Dit proces zorgt voor continue governance van externe toegang en voldoet aan compliance-eisen zoals CIS 1.8, BIO 09.03 en ISO 27001 A.9.2.6.
Vereisten
Voor het implementeren van periodieke toegangsbeoordelingen voor gastgebruikers zijn specifieke licentievereisten en technische voorbereidingen noodzakelijk. De belangrijkste vereiste is een Azure AD Premium P2 licentie, ook wel Entra ID Premium P2 genoemd, omdat de functionaliteit voor toegangsbeoordelingen exclusief beschikbaar is in deze licentieversie. Deze licentie biedt geavanceerde mogelijkheden voor identiteitsgovernance die essentieel zijn voor geautomatiseerde toegangsbeoordelingen. Zonder deze licentie kunnen organisaties geen gebruik maken van de geautomatiseerde toegangsbeoordelingsfuncties die nodig zijn voor een efficiënt en effectief proces. Naast de licentievereisten moet de organisatie beschikken over een goed ingerichte Azure AD-omgeving met duidelijke resource-eigenaarschappen. Resource-eigenaren zijn de personen die verantwoordelijk zijn voor het beheren van specifieke resources zoals SharePoint-sites, Teams-teams of applicaties. Deze eigenaren zullen als beoordelaars worden aangewezen in het toegangsbeoordelingsproces, waardoor zij de autoriteit hebben om te bepalen of gastgebruikers nog steeds toegang nodig hebben. Het is van cruciaal belang dat deze resource-eigenaren duidelijk zijn geïdentificeerd en dat hun verantwoordelijkheden goed zijn gedocumenteerd, zodat het toegangsbeoordelingsproces soepel kan verlopen. Technisch gezien vereist de implementatie toegang tot de Microsoft Graph API, wat betekent dat de uitvoerende persoon of service principal de juiste machtigingen moet hebben. Specifiek zijn machtigingen nodig voor het lezen van gastgebruikers, het beheren van toegangsbeoordelingen en het verwijderen van gebruikers wanneer dit wordt goedgekeurd. De PowerShell-module Microsoft.Graph moet geïnstalleerd zijn voor geautomatiseerde monitoring en implementatie. Deze technische vereisten zijn essentieel voor het kunnen uitvoeren van geautomatiseerde controles en het kunnen implementeren van toegangsbeoordelingen via scripts, wat de efficiëntie van het proces aanzienlijk verhoogt. Organisatorisch is het belangrijk dat er een duidelijk beleid bestaat over wanneer gastgebruikers toegang mogen hebben en hoe lang deze toegang mag duren. Dit beleid moet worden gecommuniceerd naar resource-eigenaren en gastgebruikers zelf, zodat iedereen begrijpt wat de verwachtingen zijn en wat de gevolgen zijn van niet-reageren op een toegangsbeoordeling. Het beleid moet ook duidelijk maken wat de procedure is voor het aanvragen van toegang, hoe lang toegang standaard wordt verleend, en wat de criteria zijn voor het verlengen van toegang. Deze duidelijkheid voorkomt misverstanden en zorgt ervoor dat alle betrokken partijen weten wat er van hen wordt verwacht. Tot slot moet er een proces zijn voor het afhandelen van uitzonderingen. In sommige gevallen kan het nodig zijn dat een gastgebruiker toegang behoudt, zelfs als er geen recente activiteit is geweest. Dit kan bijvoorbeeld het geval zijn bij strategische partners of consultants die op onregelmatige basis worden ingezet. Het proces moet flexibiliteit bieden voor dergelijke scenario's, terwijl het tegelijkertijd de beveiligingsstandaarden handhaaft. Uitzonderingen moeten worden gedocumenteerd met een duidelijke rechtvaardiging en moeten worden goedgekeurd door de juiste autoriteiten binnen de organisatie. Deze documentatie is belangrijk voor auditdoeleinden en helpt bij het handhaven van transparantie in het toegangsbeheerproces.
Monitoring
Gebruik PowerShell-script guest-users-periodic-review.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van gastgebruikers en hun toegangsrechten is essentieel voor het handhaven van beveiligingsstandaarden en compliance. Het monitoringproces omvat zowel technische controles als organisatorische processen die ervoor zorgen dat toegangsbeoordelingen daadwerkelijk worden uitgevoerd en dat afwijkingen tijdig worden gedetecteerd. Zonder adequate monitoring bestaat het risico dat toegangsbeoordelingen niet worden uitgevoerd, dat reviewers hun verantwoordelijkheden niet nakomen, of dat inactieve gastgebruikers toegang behouden tot organisatieresources. Dit kan leiden tot beveiligingsrisico's en complianceproblemen die voorkomen hadden kunnen worden met een goed ingericht monitoringproces. De technische monitoring begint met het regelmatig uitvoeren van het monitoring script dat alle gastgebruikers in de Azure AD-omgeving inventariseert. Dit script controleert niet alleen het aantal actieve gastgebruikers, maar ook hun laatste aanmelddatum, de resources waartoe zij toegang hebben en of er actieve toegangsbeoordelingen zijn ingesteld. Door deze informatie maandelijks te verzamelen, ontstaat er een duidelijk beeld van de toegangssituatie en kunnen trends worden geïdentificeerd. Het script genereert rapporten die inzicht geven in de ontwikkeling van het aantal gastgebruikers over tijd, waardoor organisaties kunnen zien of het aantal gastgebruikers toeneemt of afneemt en of er patronen zijn die aandacht vereisen. Een kritisch onderdeel van de monitoring is het verifiëren dat kwartaalwijze toegangsbeoordelingen daadwerkelijk zijn ingesteld en worden uitgevoerd. Dit betekent dat er voor elke groep gastgebruikers of voor elke resource een terugkerende beoordeling moet zijn geconfigureerd. Het monitoring script controleert of deze beoordelingen actief zijn, wanneer de laatste beoordeling is voltooid en wanneer de volgende beoordeling gepland staat. Als er beoordelingen ontbreken of niet zijn voltooid, moet dit worden geëscaleerd naar de verantwoordelijke beheerders. Deze verificatie is van cruciaal belang omdat het garandeert dat het toegangsbeoordelingsproces daadwerkelijk wordt uitgevoerd en niet alleen is geconfigureerd maar vervolgens wordt vergeten. Naast de technische monitoring is het belangrijk om organisatorische processen in te richten die ervoor zorgen dat beoordelaars daadwerkelijk hun verantwoordelijkheid nemen. Dit betekent dat er een herinneringssysteem moet zijn dat beoordelaars herinnert aan hun verplichting om binnen de gestelde termijn te reageren. Bovendien moet er een escalatieproces zijn voor beoordelaars die niet reageren, zodat de beoordeling alsnog wordt afgerond door een alternatieve beoordelaar of door de beheerder. Deze organisatorische processen zijn essentieel omdat technische monitoring alleen niet voldoende is als beoordelaars niet daadwerkelijk hun taken uitvoeren. Het is belangrijk dat beoordelaars begrijpen dat hun rol cruciaal is voor de beveiliging van de organisatie en dat niet-reageren kan leiden tot beveiligingsrisico's. Het monitoren van de resultaten van toegangsbeoordelingen is eveneens cruciaal. Dit omvat het bijhouden van hoeveel gastgebruikers zijn goedgekeurd, hoeveel zijn afgewezen en hoeveel zijn verwijderd. Deze statistieken moeten worden gerapporteerd aan het management en kunnen worden gebruikt om het beleid te verbeteren. Als bijvoorbeeld blijkt dat een groot percentage van de gastgebruikers wordt afgewezen, kan dit wijzen op een probleem met de initiële toegangsverlening of op een gebrek aan duidelijkheid over wanneer toegang gerechtvaardigd is. Door deze statistieken regelmatig te analyseren, kunnen organisaties hun toegangsbeheerproces continu verbeteren en ervoor zorgen dat toegang alleen wordt verleend wanneer dit daadwerkelijk nodig is. Tot slot moet de monitoring ook aandacht besteden aan uitzonderingen en afwijkingen. Als een gastgebruiker toegang behoudt ondanks inactiviteit, moet dit worden gedocumenteerd met een duidelijke rechtvaardiging. Deze documentatie is belangrijk voor auditdoeleinden en helpt bij het identificeren van patronen die mogelijk wijzen op een behoefte aan beleidsaanpassingen. Door uitzonderingen te monitoren en te documenteren, kunnen organisaties ervoor zorgen dat uitzonderingen daadwerkelijk uitzonderingen blijven en niet de norm worden. Dit helpt bij het handhaven van het principe van minimale toegang en zorgt ervoor dat toegang alleen wordt verleend wanneer dit gerechtvaardigd is.
Implementatie
Gebruik PowerShell-script guest-users-periodic-review.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van periodieke toegangsbeoordelingen voor gastgebruikers begint met het navigeren naar de Identity Governance sectie in de Azure AD-portal. Vanuit het Entra ID admin center selecteert u Identity Governance en vervolgens toegangsbeoordelingen. Dit is de centrale locatie waar alle toegangsbeoordelingen worden beheerd en geconfigureerd. Deze interface biedt een overzichtelijk dashboard waar alle actieve en geplande beoordelingen zichtbaar zijn, wat het beheer en de monitoring van het proces aanzienlijk vereenvoudigt. Bij het aanmaken van een nieuwe beoordeling selecteert u de optie om een beoordeling te maken voor gastgebruikers. Het systeem biedt verschillende opties voor het selecteren van de scope: u kunt ervoor kiezen om alle gastgebruikers in de tenant te beoordelen, of u kunt specifieke groepen of applicaties selecteren waarvan de gastgebruikers moeten worden beoordeeld. Voor de meeste organisaties is het aan te raden om te beginnen met een beoordeling van alle gastgebruikers, zodat er een compleet overzicht ontstaat van de externe toegang. Deze aanpak zorgt ervoor dat er geen gastgebruikers worden overgeslagen en dat het proces volledig en consistent is. De frequentie van de beoordeling moet worden ingesteld op kwartaalwijze uitvoering. Dit betekent dat elke drie maanden automatisch een nieuwe beoordeling wordt gestart. De kwartaalwijze frequentie biedt een goede balans tussen het handhaven van actuele toegangsrechten en het niet overbelasten van beoordelaars met te frequente beoordelingen. Het systeem stuurt automatisch herinneringen naar de beoordelaars en zorgt ervoor dat de beoordeling binnen de gestelde termijn wordt afgerond. Deze geautomatiseerde aanpak vermindert de administratieve last en zorgt ervoor dat het proces consistent wordt uitgevoerd zonder dat handmatige interventie nodig is. De beoordelaars moeten worden ingesteld als resource-eigenaren. Dit betekent dat voor elke resource waartoe een gastgebruiker toegang heeft, de eigenaar van die resource wordt gevraagd om te beoordelen of de toegang nog steeds nodig is. Deze aanpak is effectief omdat resource-eigenaren het beste inzicht hebben in de daadwerkelijke behoefte aan toegang. Zij kennen de context van hun resources en kunnen het beste beoordelen of een gastgebruiker nog steeds een legitieme behoefte heeft aan toegang. Als alternatief kunnen specifieke personen of groepen worden aangewezen als beoordelaars, maar het gebruik van resource-eigenaren is meestal de meest praktische oplossing omdat het de verantwoordelijkheid legt bij degenen die het meest betrokken zijn bij de resources. Een kritische instelling is de optie voor automatische verwijdering van afgewezen gastgebruikers. Wanneer deze optie is ingeschakeld, worden gastgebruikers die door beoordelaars worden afgewezen automatisch verwijderd uit de tenant na het voltooien van de beoordeling. Dit voorkomt dat afgewezen gastgebruikers toegang behouden en vermindert de administratieve last aanzienlijk. Het is echter belangrijk om beoordelaars te informeren over deze automatische verwijdering, zodat zij begrijpen dat hun beslissing directe gevolgen heeft. Deze transparantie zorgt ervoor dat beoordelaars zorgvuldig te werk gaan en dat zij begrijpen dat hun beslissingen niet alleen informatief zijn, maar ook daadwerkelijk worden uitgevoerd. Naast deze basisinstellingen zijn er aanvullende configuratieopties die de effectiviteit van het proces kunnen verbeteren. U kunt bijvoorbeeld instellen dat gastgebruikers die niet reageren op een beoordeling automatisch worden afgewezen, of u kunt een herinneringssysteem configureren dat meerdere keren herinnert aan de beoordeling. Bovendien kunt u rapporten configureren die automatisch worden gegenereerd na elke beoordeling, zodat het management inzicht krijgt in de resultaten. Deze rapporten kunnen worden gebruikt voor compliance-doeleinden en voor het identificeren van trends en patronen in het toegangsbeheer. Na het configureren van de beoordeling moet het proces worden getest met een kleine groep gastgebruikers voordat het wordt uitgerold naar de volledige organisatie. Dit testproces helpt bij het identificeren van eventuele problemen en zorgt ervoor dat beoordelaars bekend raken met het proces. Tijdens deze testfase kunnen eventuele configuratiefouten worden gecorrigeerd en kunnen beoordelaars worden getraind in het gebruik van het systeem. Zodra het testproces succesvol is afgerond, kan de beoordeling worden geactiveerd voor alle gastgebruikers en kan het kwartaalwijze proces beginnen. Deze gefaseerde aanpak minimaliseert risico's en zorgt voor een soepele implementatie.
Compliance en Auditing
Periodieke toegangsbeoordelingen voor gastgebruikers zijn een essentieel onderdeel van compliance met verschillende beveiligingsstandaarden en regelgeving. De implementatie van dit proces voldoet aan specifieke controles uit meerdere frameworks die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige informatie. Compliance met deze standaarden is niet alleen een juridische verplichting, maar ook een cruciale component van een effectief beveiligingsprogramma. Door periodieke toegangsbeoordelingen uit te voeren, kunnen organisaties aantonen dat zij proactief omgaan met beveiligingsrisico's en dat zij voldoen aan de eisen die worden gesteld door verschillende regelgevende instanties en standaardisatieorganisaties. De CIS controle 1.8 vereist dat organisaties regelmatig de toegangsrechten van gebruikers beoordelen, met speciale aandacht voor externe gebruikers zoals gastgebruikers. Deze controle is onderdeel van de CIS Controls die wereldwijd worden erkend als best practices voor cybersecurity. Door kwartaalwijze beoordelingen uit te voeren, voldoet de organisatie aan de eis van regelmatige beoordeling en kan dit worden gedocumenteerd voor auditdoeleinden. De CIS Controls zijn ontwikkeld door een gemeenschap van cybersecurity-experts en worden regelmatig bijgewerkt om te reflecteren op de nieuwste bedreigingen en best practices. Compliance met deze controles helpt organisaties bij het opbouwen van een sterke beveiligingsbasis en bij het beschermen tegen veelvoorkomende aanvallen. De BIO norm 09.03 specificeert dat toegangsrechten periodiek moeten worden beoordeeld en dat onnodige toegang moet worden ingetrokken. Voor Nederlandse overheidsorganisaties is dit een verplichte norm die deel uitmaakt van de Baseline Informatiebeveiliging Overheid. De kwartaalwijze beoordeling van gastgebruikers voldoet aan deze norm en zorgt ervoor dat de organisatie kan aantonen dat zij proactief omgaat met toegangsbeheer. De BIO is specifiek ontwikkeld voor Nederlandse overheidsorganisaties en bevat normen die zijn afgestemd op de Nederlandse context en regelgeving. Compliance met de BIO is verplicht voor alle Nederlandse overheidsorganisaties en wordt regelmatig gecontroleerd door interne en externe auditors. ISO 27001 controle A.9.2.6 behandelt het beheer van toegangsrechten en vereist dat organisaties regelmatig de toegangsrechten van gebruikers beoordelen. Deze controle is onderdeel van de internationale ISO 27001 standaard voor informatiebeveiligingsmanagementsystemen. Door het implementeren van geautomatiseerde toegangsbeoordelingen voldoet de organisatie aan deze controle en kan dit worden gebruikt als bewijs tijdens ISO 27001 certificeringsaudits. ISO 27001 is een internationaal erkende standaard die wordt gebruikt door organisaties over de hele wereld om hun informatiebeveiligingsmanagementsysteem te certificeren. Compliance met ISO 27001 kan helpen bij het aantrekken van klanten en partners die waarde hechten aan informatiebeveiliging. Naast deze specifieke controles draagt het proces bij aan algemene compliance met de Algemene Verordening Gegevensbescherming (AVG). Door regelmatig te controleren wie toegang heeft tot persoonsgegevens en onnodige toegang te verwijderen, voldoet de organisatie aan het principe van dataminimalisatie en zorgt zij ervoor dat alleen personen met een gerechtvaardigd belang toegang hebben tot gevoelige informatie. De AVG vereist dat organisaties technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen, en periodieke toegangsbeoordelingen zijn een belangrijk onderdeel van deze maatregelen. Door regelmatig toegang te beoordelen en onnodige toegang te verwijderen, kunnen organisaties aantonen dat zij voldoen aan de AVG-vereisten en dat zij proactief omgaan met de bescherming van persoonsgegevens. Voor auditdoeleinden is het belangrijk om de resultaten van elke beoordeling te documenteren en te bewaren. Dit omvat niet alleen de lijst van goedgekeurde en afgewezen gastgebruikers, maar ook de rechtvaardiging voor beslissingen en eventuele uitzonderingen. Deze documentatie moet worden bewaard voor een periode van minimaal zeven jaar, zoals gespecificeerd in de auditvereisten, en moet beschikbaar zijn voor interne en externe auditors. Goede documentatie is essentieel voor het aantonen van compliance en voor het kunnen verklaren van beslissingen die zijn genomen tijdens toegangsbeoordelingen. Zonder adequate documentatie kan het moeilijk zijn om aan te tonen dat het proces correct is uitgevoerd en dat beslissingen zijn genomen op basis van de juiste criteria. Het complianceproces moet ook aandacht besteden aan het rapporteren van resultaten aan het management en aan regelgevende instanties indien vereist. Door regelmatig rapporten te genereren over het aantal beoordeelde gastgebruikers, het aantal verwijderde accounts en de trends in toegangsbeheer, kan de organisatie aantonen dat zij proactief omgaat met beveiligingsrisico's en compliance-eisen. Deze rapporten kunnen worden gebruikt voor interne besluitvorming, voor het informeren van het management over de status van toegangsbeheer, en voor het aantonen van compliance tijdens externe audits. Regelmatige rapportage helpt ook bij het identificeren van trends en patronen die kunnen wijzen op behoeften voor beleidsaanpassingen of procesverbeteringen.
Remediatie
Gebruik PowerShell-script guest-users-periodic-review.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring aangeeft dat er problemen zijn met de toegangsbeoordelingen voor gastgebruikers, moet er een gestructureerd remediatieproces worden gevolgd. Dit proces begint met het identificeren van de specifieke problemen, gevolgd door het uitvoeren van corrigerende maatregelen en het verifiëren dat de problemen zijn opgelost. Het is belangrijk dat dit proces systematisch wordt uitgevoerd om ervoor te zorgen dat alle problemen worden aangepakt en dat er geen beveiligingsrisico's blijven bestaan. Het meest voorkomende probleem is dat er geen actieve toegangsbeoordelingen zijn ingesteld voor gastgebruikers. In dit geval moet het remediatiescript worden uitgevoerd om automatisch de benodigde beoordelingen te configureren. Het script controleert eerst of er al beoordelingen bestaan en maakt vervolgens nieuwe beoordelingen aan indien nodig. De configuratie volgt de standaardinstellingen: kwartaalwijze frequentie, resource-eigenaren als beoordelaars, en automatische verwijdering van afgewezen gastgebruikers. Deze geautomatiseerde aanpak zorgt ervoor dat het probleem snel wordt opgelost zonder dat uitgebreide handmatige configuratie nodig is. Een ander veelvoorkomend probleem is dat bestaande beoordelingen niet worden voltooid door beoordelaars. Dit kan gebeuren wanneer beoordelaars niet reageren op de beoordelingsverzoeken of wanneer zij niet begrijpen wat er van hen wordt verwacht. In dergelijke gevallen moet het remediatieproces beginnen met het identificeren van de niet-voltooide beoordelingen en het contact opnemen met de beoordelaars om hen te herinneren aan hun verantwoordelijkheid. Als beoordelaars consistent niet reageren, moet er een alternatieve beoordelaar worden aangewezen of moet het escalatieproces worden geactiveerd. Deze aanpak zorgt ervoor dat beoordelingen niet blijven hangen en dat het proces continu doorgaat. Wanneer er gastgebruikers zijn geïdentificeerd die toegang hebben maar geen recente activiteit vertonen, moet worden onderzocht of deze toegang nog steeds gerechtvaardigd is. Het remediatiescript kan helpen bij het identificeren van deze gebruikers door hun laatste aanmelddatum te controleren. Als een gastgebruiker bijvoorbeeld langer dan zes maanden niet heeft ingelogd, moet worden overwogen om deze gebruiker te verwijderen, tenzij er een duidelijke rechtvaardiging is voor het behoud van toegang. Deze aanpak helpt bij het opruimen van verouderde toegangsrechten en het verminderen van het aanvalsoppervlak. In sommige gevallen kan het nodig zijn om gastgebruikers handmatig te verwijderen wanneer zij zijn afgewezen in een beoordeling maar niet automatisch zijn verwijderd. Dit kan gebeuren wanneer de automatische verwijdering niet correct is geconfigureerd of wanneer er technische problemen zijn opgetreden. Het remediatiescript kan helpen bij het identificeren en verwijderen van deze gebruikers, maar het is belangrijk om eerst te verifiëren dat de verwijdering is goedgekeurd door de juiste beoordelaars. Deze verificatie voorkomt dat gebruikers per ongeluk worden verwijderd en zorgt ervoor dat alle verwijderingen correct zijn geautoriseerd. Na het uitvoeren van remediatiemaatregelen moet worden geverifieerd dat de problemen daadwerkelijk zijn opgelost. Dit betekent dat het monitoring script opnieuw moet worden uitgevoerd om te controleren of er nu actieve beoordelingen zijn ingesteld, of beoordelaars hun verantwoordelijkheden nakomen, en of inactieve gastgebruikers zijn verwijderd. Als de problemen blijven bestaan, moet het remediatieproces worden herhaald met aanvullende maatregelen. Deze verificatiestap is cruciaal om ervoor te zorgen dat de remediatie effectief is geweest en dat er geen resterende problemen zijn. Het is belangrijk om alle remediatieacties te documenteren voor auditdoeleinden. Dit omvat het vastleggen van welke problemen zijn geïdentificeerd, welke maatregelen zijn genomen, en wat de resultaten waren. Deze documentatie helpt bij het identificeren van patronen en het verbeteren van het proces op de lange termijn. Bovendien kan deze documentatie worden gebruikt om aan te tonen dat de organisatie proactief omgaat met beveiligingsrisico's en compliance-eisen. Door systematisch alle remediatieacties te documenteren, kan de organisatie leren van problemen en het proces continu verbeteren.
Compliance & Frameworks
- CIS M365: Control 1.8 (L2) - Gastgebruikersbeoordeling
- BIO: 09.03 - Toegangsbeoordelingen
- ISO 27001:2022: A.9.2.6 - toegangsrechten reviews
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Guest Users Periodic Review
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.23
Controleert dat guest users periodiek worden gereviewed.
.NOTES
Filename: guest-users-periodic-review.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.23
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Guest Users Periodic Review"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer guest user reviews:" -ForegroundColor Gray
Write-Host " - Access Reviews configured voor guest users" -ForegroundColor Gray
Write-Host " - Minimaal quarterly reviews" -ForegroundColor Gray
Write-Host " - Automatisch verwijderen inactive guests" -ForegroundColor Gray
Write-Host " - Vereist Azure AD P2 licentie" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Guest user reviews" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer guest user reviews:" -ForegroundColor Gray
Write-Host " - Access Reviews configured voor guest users" -ForegroundColor Gray
Write-Host " - Minimaal quarterly reviews" -ForegroundColor Gray
Write-Host " - Automatisch verwijderen inactive guests" -ForegroundColor Gray
Write-Host " - Vereist Azure AD P2 licentie" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Guest user reviews" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Verweesde gastaccounts behouden onnodige toegang na projectvoltooiing of na het vertrek van medewerkers bij partnerorganisaties. Voormalige consultants en voormalige partners blijven toegang houden tot organisatieresources, wat een beveiligingsrisico vormt en kan leiden tot datalekken of ongeautoriseerde toegang. Compliance-eisen zoals CIS 1.8, BIO 9.03 en AVG worden niet nageleefd zonder periodieke beoordelingen. Het risico is gemiddeld en betreft vooral toegangsgovernance en het handhaven van het principe van minimale toegang.
Management Samenvatting
Gastgebruikersbeoordelingen: Kwartaalwijze geautomatiseerde beoordelingen via Azure AD Toegangsbeoordelingen. Gastgebruikers zonder recente activiteit worden automatisch verwijderd. Resource-eigenaren moeten kwartaalwijze attesteren dat gasttoegang nog nodig is. Vereist: Azure AD Premium P2 licentie. Activatie: Toegangsbeoordelingen → Maak gastgebruikersbeoordeling aan. Verplicht voor CIS 1.8, BIO 9.03. Implementatie: 2-4 uur initiële configuratie. Kwartaalwijze beoordeling: 1 uur per kwartaal.
- Implementatietijd: 4 uur
- FTE required: 0.02 FTE