💼 Management Samenvatting
Aangepaste rollen met subscription-niveau Owner-equivalente machtigingen moeten worden vermeden. Gebruik in plaats daarvan de ingebouwde Owner-rol in combinatie met Privileged Identity Management (PIM) voor adequate governance en beveiliging.
Aanbeveling
VERMIJD AANGEPASTE SUBSCRIPTION ADMIN ROLLEN
Risico zonder
Low
Risk Score
4/10
Implementatie
4u (tech: 2u)
Van toepassing op:
✓ Azure
✓ Azure RBAC
✓ Azure RBAC
Aangepaste rollen met Owner-machtigingen creëren beveiligings- en governanceproblemen die de organisatie kwetsbaar maken. Deze aangepaste rollen omzeilen de ingebouwde rolgovernance, waardoor het moeilijker wordt om te auditen welke machtigingen precies zijn toegekend. Bovendien ontbreken standaarddefinities, wat leidt tot inconsistenties tussen verschillende subscriptions. Het risico bestaat dat er per ongeluk te veel machtigingen worden verleend, vooral wanneer aangepaste rollen in de loop der tijd worden aangepast zonder adequate controle. De ingebouwde Owner-rol biedt daarentegen goed gedefinieerde machtigingen die voldoen aan industriestandaarden, heeft een goede PIM-integratie en is afgestemd op compliance-eisen. Aangepaste subscription-adminrollen zijn meestal onnodig, omdat de ingebouwde rollen zoals Owner, Contributor en Reader in combinatie met PIM voldoende zijn voor ongeveer 95 procent van alle scenario's.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Resources
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Resources
Implementatie
Deze controle verifieert dat er geen aangepaste rollen bestaan op subscription-niveau met */Write- of *-machtigingen die equivalent zijn aan de Owner-rol. De controle kan worden uitgevoerd via PowerShell met de opdracht Get-AzRoleDefinition -Custom, waarbij wordt gefilterd op rollen waarvan het bereik een subscription bevat en waarvan de acties */Write bevatten. Indien er aangepaste subscription-niveau rollen bestaan, dient de zakelijke rechtvaardiging te worden beoordeeld, moet worden overwogen om te migreren naar ingebouwde rollen in combinatie met PIM indien mogelijk, dient een uitzondering te worden gedocumenteerd indien deze werkelijk vereist is, en moeten extra governancemaatregelen worden geïmplementeerd zoals jaarlijkse reviews en PIM-integratie.
Vereisten
Voordat u begint met de implementatie van deze controle, dient u een grondige inventarisatie uit te voeren van alle aangepaste rollen die binnen uw Azure-omgeving bestaan. Dit proces begint met het uitvoeren van de PowerShell-opdracht Get-AzRoleDefinition -Custom, waarmee alle aangepaste roldefinities worden opgehaald. Deze inventarisatie vormt de basis voor een gedegen beoordeling van de huidige situatie en stelt u in staat om te bepalen welke aangepaste rollen mogelijk risico's vormen voor de beveiliging en governance van uw Azure-subscriptions. Tijdens deze inventarisatie moet u niet alleen kijken naar het aantal aangepaste rollen, maar ook naar de specifieke machtigingen die aan deze rollen zijn toegekend, met name rollen die */Write- of *-machtigingen bevatten op subscription-niveau.
Na het verzamelen van de inventarisatiegegevens dient u een gedetailleerde review uit te voeren van de machtigingen per aangepaste rol. Deze review moet inzicht geven in de exacte acties die elke rol kan uitvoeren, het bereik waarop deze acties van toepassing zijn, en of er mogelijk sprake is van overbodige of risicovolle machtigingen. Het is belangrijk om tijdens deze review te bepalen of de aangepaste rol daadwerkelijk noodzakelijk is, of dat de gewenste functionaliteit ook kan worden bereikt met behulp van ingebouwde rollen in combinatie met Privileged Identity Management. Deze analyse vereist technische expertise op het gebied van Azure RBAC en een goed begrip van de zakelijke vereisten die hebben geleid tot de creatie van de aangepaste rol.
Voor elke bestaande aangepaste rol die wordt aangetroffen, dient een zakelijke rechtvaardiging te worden gedocumenteerd. Deze rechtvaardiging moet duidelijk maken waarom de ingebouwde rollen niet voldoen aan de specifieke behoeften van de organisatie en welke unieke vereisten de aangepaste rol adresseert. De documentatie moet voldoende detail bevatten om tijdens audits en compliance-controles te kunnen aantonen dat de aangepaste rol niet alleen technisch noodzakelijk is, maar ook dat de risico's die gepaard gaan met het gebruik van aangepaste rollen adequaat worden beheerst. Indien er geen duidelijke zakelijke rechtvaardiging kan worden gegeven, moet worden overwogen om de rol te migreren naar een ingebouwde rol.
Ten slotte dient er een migratieplan te worden opgesteld voor het overzetten van gebruikers van aangepaste rollen naar ingebouwde rollen waar mogelijk. Dit migratieplan moet rekening houden met de impact op bestaande workflows, de noodzaak om gebruikers te informeren over wijzigingen in hun toegangsrechten, en de mogelijkheid om Privileged Identity Management te implementeren voor rollen die niet continu nodig zijn. Het plan moet ook voorzien in een testfase waarin wordt geverifieerd dat de migratie geen onbedoelde gevolgen heeft voor de operationele processen van de organisatie. Door deze vereisten zorgvuldig uit te voeren, legt u een solide basis voor een veilige en goed beheerde Azure-omgeving die voldoet aan de beste praktijken voor rolbeheer.
Implementatie
Gebruik PowerShell-script no-custom-subscription-admin-roles.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van deze controle begint met een uitgebreide audit van alle aangepaste rollen binnen uw Azure-omgeving. Deze audit wordt uitgevoerd met behulp van de PowerShell-opdracht Get-AzRoleDefinition -Custom, gevolgd door een selectie van de relevante eigenschappen zoals naam, acties en bereik. Door deze informatie systematisch te verzamelen, krijgt u een compleet overzicht van alle aangepaste roldefinities en kunt u bepalen welke rollen mogelijk risico's vormen voor de beveiliging van uw subscriptions. Het is belangrijk om tijdens deze audit niet alleen te kijken naar de aanwezigheid van aangepaste rollen, maar ook naar de specifieke machtigingen die aan deze rollen zijn toegekend en het bereik waarop deze machtigingen van toepassing zijn.
Na het voltooien van de audit dient u alle aangepaste rollen op subscription-niveau te identificeren die mogelijk overmatige machtigingen bevatten. Deze identificatie vereist een grondige analyse van de acties die elke rol kan uitvoeren, waarbij met name moet worden gelet op rollen die */Write- of *-machtigingen bevatten, aangezien deze equivalent zijn aan de Owner-rol en dus een significant beveiligingsrisico vormen. Tijdens deze analyse moet u ook rekening houden met de context waarin de rol wordt gebruikt en de specifieke zakelijke vereisten die hebben geleid tot de creatie van de rol. Dit helpt u om te bepalen of de rol daadwerkelijk noodzakelijk is of dat deze kan worden vervangen door een ingebouwde rol.
Voor elke aangepaste rol die wordt aangetroffen, dient u te evalueren of een ingebouwde rol voldoende is om aan de zakelijke vereisten te voldoen. Deze evaluatie moet rekening houden met de beschikbare ingebouwde rollen zoals Owner, Contributor en specifieke beheerrollen, en moet bepalen of deze rollen in combinatie met Privileged Identity Management de gewenste functionaliteit kunnen bieden. Indien een ingebouwde rol voldoende is, dient u een migratieplan op te stellen voor het overzetten van gebruikers naar de ingebouwde rol. Indien geen enkele ingebouwde rol voldoet aan de vereisten, moet u een gedetailleerde rechtvaardiging documenteren waarom de aangepaste rol noodzakelijk is.
De migratie zelf bestaat uit het opnieuw toewijzen van gebruikers aan de juiste ingebouwde rollen en het verwijderen van de aangepaste rol indien deze niet langer nodig is. Tijdens dit proces moet u ervoor zorgen dat gebruikers tijdig worden geïnformeerd over wijzigingen in hun toegangsrechten en dat er voldoende tijd wordt geboden om eventuele workflows aan te passen. Het is ook belangrijk om te verifiëren dat de migratie geen onbedoelde gevolgen heeft voor de operationele processen van de organisatie. Voor rollen die niet continu nodig zijn, dient u Privileged Identity Management te implementeren om just-in-time toegang te bieden, waardoor het beveiligingsrisico wordt verminderd.
Voor aangepaste rollen die werkelijk noodzakelijk zijn en niet kunnen worden vervangen door ingebouwde rollen, dient u een uitgebreide documentatie op te stellen die de zakelijke rechtvaardiging voor de rol bevat. Deze documentatie moet duidelijk maken waarom de ingebouwde rollen niet voldoen aan de specifieke behoeften en welke unieke vereisten de aangepaste rol adresseert. Bovendien moet u Privileged Identity Management implementeren voor de toewijzing van deze rollen, zodat gebruikers alleen toegang krijgen wanneer dit daadwerkelijk nodig is. Ten slotte dient u een proces in te stellen voor jaarlijkse reviews van deze aangepaste rollen, waarbij wordt beoordeeld of de rol nog steeds noodzakelijk is en of de machtigingen nog steeds passend zijn.
Als onderdeel van de governance moet u een beleid implementeren dat de creatie van nieuwe aangepaste subscription-niveau rollen blokkeert zonder expliciete goedkeuring van de beveiligingsafdeling. Dit beleid kan worden geïmplementeerd met behulp van Azure Policy of door middel van goedkeuringsprocessen binnen uw organisatie. Door deze maatregel te nemen, voorkomt u dat er in de toekomst nieuwe aangepaste rollen worden gecreëerd zonder adequate beoordeling van de beveiligings- en governance-implicaties. Dit draagt bij aan het behoud van een veilige en goed beheerde Azure-omgeving die voldoet aan de beste praktijken voor rolbeheer en compliance-eisen.
Compliance en Auditing
De controle op aangepaste subscription-adminrollen is een belangrijk onderdeel van verschillende compliance-frameworks die van toepassing zijn op Nederlandse overheidsorganisaties. De CIS Azure Benchmark versie 3.0.0 bevat specifiek controle 1.23, die zich richt op de governance van aangepaste rollen. Deze controle vereist dat organisaties aangepaste rollen met Owner-equivalente machtigingen vermijden en in plaats daarvan gebruik maken van ingebouwde rollen in combinatie met Privileged Identity Management. Door deze controle te implementeren, voldoet u aan de aanbevelingen van het Center for Internet Security, wat een erkende standaard is voor cloudbeveiliging en wordt gebruikt door veel organisaties wereldwijd als basis voor hun beveiligingsbeleid.
Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang. BIO-controle 09.02 vereist dat organisaties standaardrollen gebruiken voor toegangsbeheer en dat aangepaste rollen alleen worden gebruikt wanneer dit werkelijk noodzakelijk is. Door het vermijden van aangepaste subscription-adminrollen en het gebruik van ingebouwde rollen, voldoet u aan deze BIO-vereiste en draagt u bij aan een consistente en goed beheerde toegangscontrole binnen uw organisatie. De BIO-normen zijn specifiek ontwikkeld voor de Nederlandse publieke sector en vormen een belangrijk onderdeel van de compliance-verplichtingen voor overheidsorganisaties.
De internationale standaard ISO 27001:2022 bevat in controle A.5.18 specifieke vereisten voor toegangsrechten en rolstandaardisatie. Deze controle vereist dat organisaties een gestandaardiseerde aanpak hanteren voor het beheer van toegangsrechten en dat afwijkingen van deze standaard worden gedocumenteerd en gerechtvaardigd. Door het gebruik van ingebouwde rollen in plaats van aangepaste rollen, voldoet u aan deze vereiste voor standaardisatie en maakt u het eenvoudiger om te auditen en te bewijzen dat uw toegangsbeheer voldoet aan de vereisten van de ISO 27001-standaard. Dit is vooral belangrijk voor organisaties die gecertificeerd zijn of streven naar certificering volgens deze internationale standaard.
De Europese NIS2-richtlijn, die is geïmplementeerd in Nederlandse wetgeving, bevat in Artikel 21 specifieke vereisten voor toegangscontrole en authenticatie governance. Deze richtlijn vereist dat essentiële en belangrijke entiteiten passende maatregelen treffen voor toegangscontrole en dat deze maatregelen regelmatig worden beoordeeld en bijgewerkt. Door het vermijden van aangepaste subscription-adminrollen en het gebruik van ingebouwde rollen met Privileged Identity Management, voldoet u aan deze vereisten en draagt u bij aan een robuust beveiligingsbeleid dat voldoet aan de NIS2-richtlijn. Dit is vooral relevant voor organisaties die vallen onder de definitie van essentiële of belangrijke entiteiten volgens de NIS2-richtlijn.
Tijdens audits en compliance-controles dient u te kunnen aantonen dat u een proces heeft voor het beheren van aangepaste rollen en dat u waar mogelijk gebruik maakt van ingebouwde rollen. Dit betekent dat u documentatie moet hebben die aantoont welke aangepaste rollen er bestaan, waarom deze rollen noodzakelijk zijn, en welke maatregelen u heeft getroffen om de risico's die gepaard gaan met deze rollen te beheersen. Door deze controle te implementeren en te documenteren, maakt u het eenvoudiger om tijdens audits aan te tonen dat u voldoet aan de verschillende compliance-vereisten en dat u een proactieve aanpak hanteert voor het beheren van toegangsrechten binnen uw Azure-omgeving.
Monitoring
Gebruik PowerShell-script no-custom-subscription-admin-roles.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van aangepaste subscription-adminrollen is een continu proces dat regelmatig moet worden uitgevoerd om ervoor te zorgen dat er geen nieuwe aangepaste rollen worden gecreëerd die in strijd zijn met het beveiligingsbeleid. Het monitoringproces begint met het regelmatig uitvoeren van controles om te verifiëren dat er geen nieuwe aangepaste rollen zijn toegevoegd op subscription-niveau met Owner-equivalente machtigingen. Deze controles kunnen worden geautomatiseerd met behulp van PowerShell-scripts of Azure Policy, waardoor u proactief kunt reageren op wijzigingen in uw Azure-omgeving. Door deze controles regelmatig uit te voeren, kunt u snel detecteren wanneer er afwijkingen optreden en passende maatregelen treffen om de beveiliging te waarborgen.
Naast het monitoren van nieuwe aangepaste rollen, dient u ook regelmatig te controleren of bestaande aangepaste rollen nog steeds voldoen aan de zakelijke vereisten en of de machtigingen die aan deze rollen zijn toegekend nog steeds passend zijn. Dit betekent dat u periodiek moet beoordelen of aangepaste rollen kunnen worden vervangen door ingebouwde rollen, of dat de machtigingen van bestaande aangepaste rollen moeten worden aangepast om te voldoen aan het principe van least privilege. Door deze reviews regelmatig uit te voeren, zorgt u ervoor dat uw toegangsbeheer up-to-date blijft en dat u voldoet aan de beste praktijken voor rolbeheer.
Het is ook belangrijk om te monitoren of gebruikers die aangepaste rollen hebben toegewezen gekregen, deze rollen daadwerkelijk nodig hebben en of hun toegang nog steeds gerechtvaardigd is. Dit kan worden gedaan door regelmatig de roltoewijzingen te controleren en te verifiëren dat gebruikers alleen toegang hebben tot de resources die zij nodig hebben voor hun werkzaamheden. Door deze controles uit te voeren, kunt u onnodige toegangsrechten identificeren en verwijderen, waardoor het beveiligingsrisico wordt verminderd. Bovendien helpt dit u om te voldoen aan compliance-vereisten die regelmatige reviews van toegangsrechten vereisen.
Ten slotte dient u te monitoren of het beleid voor het blokkeren van nieuwe aangepaste subscription-niveau rollen effectief wordt gehandhaafd en of er mechanismen zijn om uitzonderingen op dit beleid te beheren. Dit betekent dat u moet controleren of er processen zijn voor het aanvragen en goedkeuren van uitzonderingen, en of deze processen adequaat worden gevolgd. Door deze monitoring uit te voeren, zorgt u ervoor dat uw governance-maatregelen effectief zijn en dat u kunt aantonen tijdens audits dat u een proactieve aanpak hanteert voor het beheren van toegangsrechten binnen uw Azure-omgeving.
Remediatie
Gebruik PowerShell-script no-custom-subscription-admin-roles.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer tijdens monitoring wordt vastgesteld dat er aangepaste subscription-adminrollen bestaan die in strijd zijn met het beveiligingsbeleid, dient u onmiddellijk actie te ondernemen om deze situatie te herstellen. Het remediatieproces begint met het identificeren van alle gebruikers die de aangepaste rol hebben toegewezen gekregen en het bepalen welke ingebouwde rol het meest geschikt is als vervanging. Tijdens dit proces moet u rekening houden met de specifieke behoeften van elke gebruiker en ervoor zorgen dat de migratie naar een ingebouwde rol geen negatieve gevolgen heeft voor hun werkzaamheden. Het is belangrijk om gebruikers tijdig te informeren over wijzigingen in hun toegangsrechten en om voldoende tijd te bieden voor eventuele aanpassingen aan workflows.
Na het identificeren van de juiste ingebouwde rol voor elke gebruiker, dient u de gebruikers opnieuw toe te wijzen aan deze rol en vervolgens de aangepaste rol te verwijderen indien deze niet langer nodig is. Tijdens dit proces moet u ervoor zorgen dat alle roltoewijzingen correct worden uitgevoerd en dat er geen gebruikers zonder toegang komen te zitten. Het is ook belangrijk om te verifiëren dat de migratie succesvol is verlopen en dat gebruikers nog steeds toegang hebben tot de resources die zij nodig hebben. Voor rollen die niet continu nodig zijn, dient u Privileged Identity Management te implementeren om just-in-time toegang te bieden, waardoor het beveiligingsrisico wordt verminderd.
In gevallen waarin een aangepaste rol werkelijk noodzakelijk is en niet kan worden vervangen door een ingebouwde rol, dient u een uitgebreide documentatie op te stellen die de zakelijke rechtvaardiging voor de rol bevat. Deze documentatie moet duidelijk maken waarom de ingebouwde rollen niet voldoen aan de specifieke behoeften en welke unieke vereisten de aangepaste rol adresseert. Bovendien moet u Privileged Identity Management implementeren voor de toewijzing van deze rollen en een proces instellen voor regelmatige reviews. Door deze maatregelen te nemen, zorgt u ervoor dat zelfs wanneer een aangepaste rol noodzakelijk is, de risico's die gepaard gaan met deze rol adequaat worden beheerst.
Ten slotte dient u na het voltooien van de remediatie te verifiëren dat het probleem daadwerkelijk is opgelost en dat er geen nieuwe aangepaste rollen worden gecreëerd die in strijd zijn met het beveiligingsbeleid. Dit betekent dat u het monitoringproces moet versterken en ervoor moet zorgen dat er mechanismen zijn om toekomstige afwijkingen te voorkomen. Door deze verificatie uit te voeren en de monitoring te verbeteren, zorgt u ervoor dat uw Azure-omgeving blijft voldoen aan de beste praktijken voor rolbeheer en dat u kunt aantonen tijdens audits dat u een proactieve aanpak hanteert voor het beheren van toegangsrechten.
Compliance & Frameworks
- CIS M365: Control 1.23 (L2) - Vermijd aangepaste subscription owner rollen
- BIO: 09.02 - BIO: rolbeheer - gebruik standaardrollen
- ISO 27001:2022: A.5.18 - Toegangsrechten - rolstandaardisatie
- NIS2: Artikel - Toegangscontrole en authenticatie governance
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
No Custom Subscription Admin Roles
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.33
Controleert dat er geen custom subscription admin roles zijn.
.NOTES
Filename: no-custom-subscription-admin-roles.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.33
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Resources
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "No Custom Subscription Admin Roles"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$customRoles = Get-AzRoleDefinition | Where-Object { $_.IsCustom -eq $true }
$result = @{ TotalCustomRoles = $customRoles.Count; AdminRoles = 0 }
foreach ($role in $customRoles) {
if ($role.Actions -contains "*" -or $role.Actions -like "*/*") {
$result.AdminRoles++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Custom RBAC Roles: $($r.TotalCustomRoles)" -ForegroundColor White
Write-Host "With Admin Permissions: $($r.AdminRoles)" -ForegroundColor $(if ($r.AdminRoles -eq 0) { 'Green' } else { 'Yellow' })
if ($r.AdminRoles -gt 0) {
Write-Host "`n⚠️ Gebruik built-in Owner/Contributor roles" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nCustom Admin Roles: $($r.AdminRoles)/$($r.TotalCustomRoles)"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Custom RBAC Roles: $($r.TotalCustomRoles)" -ForegroundColor White
Write-Host "With Admin Permissions: $($r.AdminRoles)" -ForegroundColor $(if ($r.AdminRoles -eq 0) { 'Green' } else { 'Yellow' })
if ($r.AdminRoles -gt 0) {
Write-Host "`n⚠️ Gebruik built-in Owner/Contributor roles" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nCustom Admin Roles: $($r.AdminRoles)/$($r.TotalCustomRoles)"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Low: Aangepaste subscription-niveau adminrollen leiden tot governancecomplexiteit, audituitdagingen en het risico op overmatige machtigingen door rolverschuiving in de loop der tijd. Ingebouwde rollen in combinatie met PIM zijn de voorkeursoplossing voor consistentie. Compliance: CIS 1.23, BIO 9.02. Het risico is laag, maar dit is een belangrijke governance best practice.
Management Samenvatting
Geen aangepaste subscription admin rollen: gebruik ingebouwde rollen (Owner, Contributor, User Access Administrator) in combinatie met PIM voor just-in-time verhoging van toegangsrechten. Documenteer uitzonderingen. Activatie: audit aangepaste rollen, migreer naar ingebouwde rollen plus PIM. Gratis. Verplicht volgens CIS 1.23, BIO 9.02. Implementatie: 2-4 uur review en migratie. Vereenvoudigt governance.
- Implementatietijd: 4 uur
- FTE required: 0.03 FTE