BIO 09.01 ISO A.5.15

Azure: Toegang Tot 'Mijn Groepen' Portal Beperken

📅 2025-10-30
⏱️ 4 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Beperk de toegang tot het Mijn Groepen-portal (myaccount.microsoft.com/groepen) om te voorkomen dat gebruikers zelfstandig groepsbeheer uitvoeren buiten de IT-governance om.

Aanbeveling
OVERWEEG BEPERKING MIJN GROEPEN
Risico zonder
Low
Risk Score
3/10
Implementatie
2.5u (tech: 0.5u)
Van toepassing op:
Azure
Azure AD

Het Mijn Groepen-portal stelt gebruikers in staat om Microsoft 365-groepen aan te maken, groepen te beheren waarvan zij eigenaar zijn, en leden uit te nodigen. Zonder beperkingen ontstaan er schaduw-IT-groepen buiten de governance om, worden er buitensporige machtigingen verleend, en ontbreekt IT-toezicht. Door de toegang tot Mijn Groepen te beperken, wordt gecentraliseerd groepsbeheer afgedwongen.

PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.Groups

Implementatie

Configureer de instelling 'Beperk toegang tot groepen in Mijn Groepen-portal' op 'Ja'. Gebruikers kunnen het myaccount.microsoft.com/groepen-portal niet meer gebruiken voor groepsbeheer. Groepsaanmaak en -beheer gebeurt uitsluitend via IT-goedgekeurde kanalen, zoals beheerderaanmaak of een formeel aanvraagproces.

Vereisten

Voordat u de toegang tot het Mijn Groepen-portal beperkt, moet uw organisatie beschikken over een solide fundament voor groepsbeheer. Deze maatregel vereist dat alle groepsaanvragen via gecontroleerde kanalen verlopen, wat betekent dat er een duidelijk beleid en proces moet zijn dat deze overgang ondersteunt. Het groepsbeheerbeleid vormt de basis van deze implementatie en moet gedetailleerd beschrijven welke soorten groepen zijn toegestaan, wie deze mag aanmaken, en welke naamgevingsconventies en classificaties moeten worden toegepast. Zonder een dergelijk beleid riskeert de organisatie dat gebruikers gefrustreerd raken omdat zij niet meer zelfstandig groepen kunnen aanmaken, terwijl er geen duidelijk alternatief proces beschikbaar is. Het groepsaanvraagproces is een kritieke vereiste die ervoor zorgt dat gebruikers nog steeds de functionaliteit krijgen die zij nodig hebben, maar dan via een gecontroleerde workflow. Dit proces moet gebruiksvriendelijk zijn en binnen redelijke termijnen kunnen worden afgehandeld. Idealiter omvat het proces een aanvraagformulier waarin gebruikers kunnen specificeren welk type groep zij nodig hebben, wat het doel is, welke leden moeten worden toegevoegd, en welke machtigingen vereist zijn. Het proces moet ook goedkeuringsstappen bevatten waarbij IT-beheerders of groepsbeheerders de aanvraag kunnen beoordelen en goedkeuren voordat de groep wordt aangemaakt. De capaciteit van het IT-team voor groepsbeheer is een essentiële factor die niet over het hoofd mag worden gezien. Wanneer zelfservice wordt uitgeschakeld, neemt de werklast van het IT-team toe omdat alle groepsaanvragen handmatig moeten worden verwerkt. Het team moet voldoende tijd en middelen hebben om aanvragen binnen acceptabele termijnen te behandelen. Als het IT-team al overbelast is, kan het beperken van de toegang tot Mijn Groepen leiden tot vertragingen en frustratie bij gebruikers. Daarom is het belangrijk om eerst de capaciteit te beoordelen en indien nodig extra middelen toe te wijzen of het proces te automatiseren met behulp van workflows en goedkeuringssystemen. Naast deze drie kernvereisten moet de organisatie ook beschikken over adequate documentatie en communicatiemateriaal. Gebruikers moeten duidelijk worden geïnformeerd over waarom deze wijziging wordt doorgevoerd, hoe het nieuwe proces werkt, en waar zij hulp kunnen krijgen. Training en ondersteuning zijn essentieel om ervoor te zorgen dat gebruikers het nieuwe proces begrijpen en effectief kunnen gebruiken. Bovendien moet er een mechanisme zijn voor het monitoren en evalueren van het proces, zodat het continu kan worden verbeterd op basis van feedback van gebruikers en ervaringen van het IT-team.

Implementatie

Gebruik PowerShell-script restrict-my-groups-access.ps1 (functie Invoke-Implementation) – Implementeren.

De implementatie van de beperking op het Mijn Groepen-portal begint met het configureren van de juiste instellingen in Azure Active Directory. Navigeer naar de Azure-portal en selecteer Azure Active Directory, vervolgens Groepen, en dan Algemeen. In deze sectie vindt u de instelling 'Gebruikers kunnen toegang krijgen tot groepsfuncties in Mijn Groepen'. Stel deze in op 'Nee' om de toegang te blokkeren. Deze wijziging heeft onmiddellijk effect voor alle gebruikers in de tenant, wat betekent dat zij niet langer het portal kunnen gebruiken om groepen aan te maken of te beheren. Na het uitschakelen van de portaltoegang is het van cruciaal belang om een gestructureerd groepsaanvraagproces op te zetten. Dit proces kan worden geïmplementeerd via verschillende kanalen, afhankelijk van de beschikbare tools en voorkeuren van de organisatie. Microsoft 365 biedt verschillende opties, zoals het gebruik van Microsoft Forms gekoppeld aan Power Automate-workflows, of het gebruik van bestaande service management tools zoals ServiceNow of Jira. Het proces moet gebruikers in staat stellen om een aanvraag in te dienen met alle relevante informatie, zoals het type groep, het doel, de gewenste leden, en eventuele speciale vereisten. Communicatie naar gebruikers is een essentieel onderdeel van de implementatie. Gebruikers moeten proactief worden geïnformeerd over de wijziging voordat deze wordt doorgevoerd, zodat zij zich kunnen voorbereiden en begrijpen waarom deze maatregel wordt genomen. De communicatie moet duidelijk uitleggen dat groepsaanvragen voortaan via het IT-team moeten worden gedaan, en moet duidelijke instructies bevatten over hoe zij een aanvraag kunnen indienen. Dit kan worden gedaan via e-mail, intranetberichten, of tijdens teamvergaderingen. Het is belangrijk om de voordelen te benadrukken, zoals betere beveiliging, consistente naamgeving, en gecentraliseerd beheer. Het toewijzen van de Groepsbeheerder-rol aan het IT-team is een belangrijke stap die ervoor zorgt dat het team de benodigde machtigingen heeft om groepen te beheren en aanvragen te verwerken. Deze rol kan worden toegewezen via Azure Active Directory door naar Rollen en beheerders te navigeren, de rol Groepsbeheerder te selecteren, en de juiste teamleden toe te voegen. Het is belangrijk om het principe van minimale bevoegdheden toe te passen en alleen die personen toe te voegen die daadwerkelijk betrokken zijn bij het groepsbeheerproces. Na de implementatie moet er een overgangsperiode zijn waarin het IT-team extra aandacht besteedt aan het ondersteunen van gebruikers en het verwerken van aanvragen. Tijdens deze periode kunnen eventuele problemen worden geïdentificeerd en opgelost, en kan het proces worden verfijnd op basis van feedback. Het is ook belangrijk om te monitoren of gebruikers proberen om de beperking te omzeilen of alternatieve methoden gebruiken om groepen aan te maken, zodat aanvullende maatregelen kunnen worden genomen indien nodig.

Compliance en Auditing

Het beperken van de toegang tot het Mijn Groepen-portal draagt significant bij aan de naleving van verschillende beveiligings- en governancekaders die relevant zijn voor Nederlandse overheidsorganisaties. De Baseline Informatiebeveiliging Overheid (BIO) bevat specifieke controles die gericht zijn op toegangscontrole en authenticatie, waarbij BIO 09.01 expliciet aandacht besteedt aan het beheer van toegangsrechten en het voorkomen van ongeautoriseerde toegang. Door zelfservice groepsaanmaak uit te schakelen en alle groepsbeheer via gecontroleerde kanalen te laten verlopen, voldoet de organisatie aan de vereisten voor gecentraliseerd toegangsbeheer en vermindert zij het risico op ongeautoriseerde toegang tot gevoelige informatie. De ISO 27001-standaard, met name controle A.5.15 over toegangscontrole, vereist dat organisaties een beleid en procedures implementeren voor het beheer van toegangsrechten. Dit omvat het regelmatig beoordelen van toegangsrechten, het verlenen en intrekken van toegang op basis van zakelijke behoeften, en het voorkomen van ongeautoriseerde toegang. Door het beperken van de toegang tot het Mijn Groepen-portal en het implementeren van een formeel aanvraagproces, kan de organisatie aantonen dat zij voldoet aan deze vereisten door middel van gecontroleerde toegangsverlening en regelmatige beoordelingen van groepsleden en machtigingen. Voor Nederlandse overheidsorganisaties is de Algemene Verordening Gegevensbescherming (AVG) ook van groot belang. Hoewel het beperken van groepsaanmaak niet direct gerelateerd is aan gegevensbescherming, draagt gecentraliseerd groepsbeheer wel bij aan betere controle over wie toegang heeft tot welke gegevens. Dit is met name relevant voor groepen die toegang hebben tot gevoelige persoonsgegevens, omdat het IT-team nu kan controleren of de juiste beveiligingsmaatregelen zijn getroffen voordat een groep wordt aangemaakt en toegang wordt verleend. Auditing en compliance-verificatie vereisen dat de organisatie kan aantonen dat de beperking daadwerkelijk is geïmplementeerd en wordt gehandhaafd. Dit betekent dat er regelmatig controles moeten worden uitgevoerd om te verifiëren dat de instelling correct is geconfigureerd en dat gebruikers niet in staat zijn om het Mijn Groepen-portal te gebruiken. Azure Active Directory biedt auditlogboeken die kunnen worden gebruikt om te controleren wanneer en door wie wijzigingen zijn aangebracht aan de groepsinstellingen, en om te verifiëren dat er geen pogingen zijn gedaan om de beperking te omzeilen. Documentatie is een cruciaal onderdeel van compliance en auditing. De organisatie moet documenteren waarom de beperking is geïmplementeerd, hoe het proces werkt, en hoe het bijdraagt aan de naleving van relevante kaders. Deze documentatie moet regelmatig worden bijgewerkt en beschikbaar zijn voor auditors en compliance-officers. Bovendien moeten er procedures zijn voor het reageren op auditvragen en het verstrekken van bewijs van naleving wanneer dit wordt gevraagd door externe auditors of toezichthouders.

Monitoring

Gebruik PowerShell-script restrict-my-groups-access.ps1 (functie Invoke-Monitoring) – Controleren.

Effectieve monitoring van de beperking op het Mijn Groepen-portal is essentieel om ervoor te zorgen dat de maatregel werkt zoals bedoeld en om eventuele problemen of pogingen tot omzeiling tijdig te detecteren. Het monitoren begint met het regelmatig controleren van de configuratie-instellingen in Azure Active Directory om te verifiëren dat de beperking nog steeds actief is en correct is geconfigureerd. Dit kan worden gedaan via de Azure-portal of programmatisch met behulp van Microsoft Graph API, wat het mogelijk maakt om geautomatiseerde controles in te stellen die regelmatig de status van de instelling verifiëren. Azure Active Directory auditlogboeken vormen een waardevolle bron van informatie voor het monitoren van groepsgerelateerde activiteiten. Deze logboeken registreren alle belangrijke gebeurtenissen, zoals wijzigingen aan groepsinstellingen, pogingen om groepen aan te maken, en wijzigingen aan groepsleden. Door deze logboeken regelmatig te analyseren, kan het IT-team detecteren of er pogingen zijn gedaan om de beperking te omzeilen of om groepen aan te maken via alternatieve methoden. Het is belangrijk om alert te zijn op ongebruikelijke patronen, zoals een plotselinge toename van het aantal groepsaanvragen of pogingen om groepen aan te maken buiten het goedgekeurde proces om. Het monitoren van het groepsaanvraagproces zelf is ook van groot belang om ervoor te zorgen dat het proces efficiënt werkt en dat gebruikers tevreden zijn. Dit omvat het bijhouden van statistieken zoals het aantal ingediende aanvragen, de gemiddelde verwerkingstijd, het aantal goedgekeurde versus afgewezen aanvragen, en eventuele klachten of feedback van gebruikers. Deze informatie kan worden gebruikt om het proces te verbeteren en te identificeren waar er mogelijk knelpunten zijn die moeten worden aangepakt. Proactieve monitoring omvat ook het regelmatig controleren van bestaande groepen om te identificeren of er groepen zijn die mogelijk zijn aangemaakt voordat de beperking werd geïmplementeerd en die mogelijk niet voldoen aan de huidige governancevereisten. Deze groepen moeten worden geëvalueerd en indien nodig worden bijgewerkt of verwijderd om ervoor te zorgen dat alle groepen voldoen aan de organisatorische standaarden voor naamgeving, classificatie en beveiliging. Het opzetten van geautomatiseerde waarschuwingen kan het monitoren aanzienlijk verbeteren door het IT-team proactief te informeren over belangrijke gebeurtenissen of afwijkingen. Deze waarschuwingen kunnen worden geconfigureerd om te worden geactiveerd wanneer bijvoorbeeld de groepsinstellingen worden gewijzigd, wanneer er een ongebruikelijk groot aantal groepsaanvragen wordt ingediend, of wanneer er pogingen worden gedetecteerd om groepen aan te maken via niet-goedgekeurde methoden. Door gebruik te maken van tools zoals Azure Monitor en Logic Apps, kunnen deze waarschuwingen worden geïntegreerd in bestaande monitoring- en incident response-processen.

Remediatie

Gebruik PowerShell-script restrict-my-groups-access.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoring of audits aantonen dat de beperking op het Mijn Groepen-portal niet correct is geconfigureerd of dat gebruikers nog steeds toegang hebben tot het portal, moet er onmiddellijk actie worden ondernomen om de situatie te herstellen. De remediatie begint met het verifiëren van de huidige status van de instelling in Azure Active Directory. Navigeer naar Azure Active Directory, selecteer Groepen, en vervolgens Algemeen om de instelling 'Gebruikers kunnen toegang krijgen tot groepsfuncties in Mijn Groepen' te controleren. Als deze instelling niet op 'Nee' staat, moet deze onmiddellijk worden gewijzigd naar 'Nee' om de toegang te blokkeren. Als de instelling correct is geconfigureerd maar gebruikers nog steeds toegang hebben, kan dit wijzen op een probleem met de replicatie van instellingen of op een configuratieprobleem op een ander niveau. In dergelijke gevallen moet er een diepgaandere analyse worden uitgevoerd om te identificeren waarom de beperking niet effectief is. Dit kan het controleren van tenantinstellingen, het verifiëren van licentievereisten, of het onderzoeken van mogelijke conflicterende beleidsregels omvatten. Wanneer er groepen zijn aangemaakt via het Mijn Groepen-portal nadat de beperking had moeten zijn geactiveerd, moeten deze groepen worden geëvalueerd om te bepalen of zij voldoen aan de organisatorische standaarden. Groepen die niet voldoen aan de naamgevingsconventies, classificatieregels, of beveiligingsvereisten moeten worden bijgewerkt of verwijderd. Het IT-team moet contact opnemen met de eigenaar van de groep om te verduidelijken waarom de groep is aangemaakt en om te bepalen of deze legitiem is of moet worden verwijderd. Remediatie omvat ook het aanpakken van eventuele problemen met het groepsaanvraagproces die gebruikers ertoe kunnen aanzetten om alternatieve methoden te zoeken om groepen aan te maken. Als het proces te traag is, te complex, of niet gebruiksvriendelijk, moeten deze problemen worden aangepakt om ervoor te zorgen dat gebruikers het goedgekeurde proces willen gebruiken in plaats van te proberen het te omzeilen. Dit kan het vereenvoudigen van het aanvraagformulier, het verkorten van goedkeuringstermijnen, of het verbeteren van de communicatie over de status van aanvragen omvatten. Na het uitvoeren van remediatiemaatregelen is het belangrijk om te verifiëren dat de maatregelen effectief zijn geweest en dat de beperking nu correct werkt. Dit omvat het opnieuw controleren van de configuratie-instellingen, het testen van de toegang tot het Mijn Groepen-portal als een gewone gebruiker, en het monitoren van de auditlogboeken om te verifiëren dat er geen verdere pogingen zijn om het portal te gebruiken. Bovendien moet er documentatie worden bijgewerkt om de uitgevoerde remediatiemaatregelen vast te leggen en om te dienen als referentie voor toekomstige incidenten of audits.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Restrict My Groups Access .DESCRIPTION CIS Azure Foundations Benchmark - Control 1.46 Controleert dat My Groups toegang is beperkt. .NOTES Filename: restrict-my-groups-access.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 1.46 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "Restrict My Groups Access" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } try { Connect-RequiredServices if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray Write-Host " - Azure AD > Groups > General" -ForegroundColor Gray Write-Host " - Restrict user ability to access groups = Yes" -ForegroundColor Gray Write-Host " - Gebruikers kunnen My Groups niet gebruiken" -ForegroundColor Gray } else { Write-Host "`n⚠️ Manual verification: My Groups access restricted" -ForegroundColor Yellow } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray Write-Host " - Azure AD > Groups > General" -ForegroundColor Gray Write-Host " - Restrict user ability to access groups = Yes" -ForegroundColor Gray Write-Host " - Gebruikers kunnen My Groups niet gebruiken" -ForegroundColor Gray } else { Write-Host "`n⚠️ Manual verification: My Groups access restricted" -ForegroundColor Yellow } } catch { Write-Error $_; exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Low: Gebruikers kunnen zelfstandig groepen aanmaken via het Mijn Groepen-portal, wat leidt tot schaduw-IT. Ongereguleerde groepen zonder naamgevings- of classificatiestandaarden. Compliance: BIO 9.01. Het risico is laag - governance voorkeur.

Management Samenvatting

Beperk toegang tot Mijn Groepen: Schakel het Mijn Groepen-portal uit (gebruikers kunnen niet zelfstandig groepen aanmaken - dwing IT-aanvraagproces af). Gecentraliseerd groepsbeheer. Activatie: Azure AD → Groepen → Algemeen → Gebruikers kunnen Mijn Groepen-portal gebruiken: Nee. Gratis. Aanbevolen BIO 9.01. Implementatie: 30 minuten. Gecentraliseerd groepsbeheer.