BIO 09.01

Azure: Microsoft 365 Groups Aanmaken Beperken Voor Governance

📅 2025-10-29
⏱️ 3 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Gebruikers mogen geen Microsoft 365 Groups aanmaken om ongecontroleerde groeiproblemen te voorkomen.

Aanbeveling
OVERWEEG MICROSOFT 365 GROUP BEPERKING
Risico zonder
Low
Risk Score
3/10
Implementatie
1.5u (tech: 0.5u)
Van toepassing op:
Azure

Microsoft 365 Groups vormen de basis voor moderne samenwerking binnen organisaties, waarbij gebruikers toegang krijgen tot gedeelde mailboxen, SharePoint sites, Teams kanalen en andere gedeelde resources. Wanneer gebruikers de mogelijkheid hebben om zelfstandig nieuwe Microsoft 365 Groups aan te maken, ontstaat er een risico op ongecontroleerde groeiproblemen waarbij organisaties het overzicht verliezen over welke samenwerkingsruimten er bestaan, wie toegang heeft tot welke informatie, en of deze groepen voldoen aan de governance en compliance vereisten van de organisatie. Deze situatie leidt tot schaduw IT, waarbij afdelingen en teams hun eigen samenwerkingsoplossingen creëren buiten het zicht van de IT-afdeling en compliance teams. Dit vormt een significant risico voor informatiebeveiliging, omdat gegevens kunnen worden gedeeld in groepen die niet voldoen aan de juiste beveiligingsstandaarden, gegevensclassificatie vereisten, of bewaartermijnen. Bovendien maakt het de organisatie kwetsbaar voor compliance schendingen, omdat audit teams niet kunnen verifiëren of alle samenwerkingsruimten voldoen aan de relevante normen zoals de BIO, AVG, of andere toepasselijke regelgeving.

PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph

Implementatie

Deze controle implementeert beveiligingsbest practices door de mogelijkheid voor gebruikers om Microsoft 365 Groups aan te maken te beperken via configuratie-instellingen in Microsoft Entra ID. Door deze instelling te wijzigen kunnen alleen beheerders of specifiek geautoriseerde gebruikers nieuwe Microsoft 365 Groups aanmaken, waardoor alle groepaanmaak plaatsvindt binnen een gecontroleerd proces waarbij governance overwegingen worden meegenomen. Deze aanpak zorgt ervoor dat alle nieuwe samenwerkingsruimten worden gecreëerd met de juiste beveiligingsinstellingen, gegevensclassificatie, toegangscontroles en compliance documentatie. De controle draagt bij aan de naleving van verschillende compliance frameworks, waaronder de Baseline Informatiebeveiliging Overheid (BIO), de Algemene Verordening Gegevensbescherming (AVG), en andere relevante normen die vereisen dat organisaties passende maatregelen treffen om toegang tot informatie te beheren en te controleren.

Vereisten

Voor het succesvol implementeren van deze controle zijn verschillende technische en organisatorische vereisten van essentieel belang. Zowel de technische infrastructuur als de organisatorische voorbereiding moeten zorgvuldig worden overwogen voordat de implementatie wordt gestart. De technische basis wordt gevormd door een actieve Microsoft Entra ID tenant, voorheen bekend als Azure Active Directory. Deze tenant functioneert als het centrale identiteits- en toegangsbeheer platform voor de gehele Microsoft 365 omgeving en vormt de fundamentele basis voor alle beveiligings- en governance functionaliteiten. De tenant is niet alleen verantwoordelijk voor gebruikersauthenticatie en autorisatie wanneer gebruikers inloggen op Microsoft 365 services, maar vormt ook de basis voor alle governance en compliance functionaliteiten die nodig zijn om het aanmaken van Microsoft 365 Groups te beheren en te controleren volgens de organisatorische vereisten en externe compliance normen. Zonder een correct geconfigureerde en operationele Entra ID tenant kunnen organisaties geen gebruik maken van de geavanceerde beheerfuncties die vereist zijn voor deze controle, waardoor de implementatie technisch onmogelijk wordt. De licentieverlening vormt een kritieke vereiste voor de implementatie, omdat niet alle Microsoft 365 licentieniveaus toegang bieden tot de benodigde beheerfuncties en configuratieopties die essentieel zijn voor het implementeren en onderhouden van deze controle. Voor Nederlandse overheidsorganisaties betekent dit doorgaans dat er Microsoft 365 E3 of E5 licenties aanwezig moeten zijn voor de beheerders die de controle moeten configureren en monitoren. Alternatief kunnen specifieke overheidslicenties zoals Microsoft 365 G3 of G5 worden gebruikt, die speciaal zijn ontworpen voor overheidsorganisaties en vaak aanvullende beveiligings- en compliance functies bevatten. Deze licentieniveaus bieden toegang tot de geavanceerde beveiligings- en compliance functies die essentieel zijn voor het implementeren van governance controles, waaronder de mogelijkheid om groepaanmaak instellingen te configureren en te monitoren via de Microsoft Entra ID beheerportal of via geautomatiseerde methoden zoals de Microsoft Graph API. Organisaties met alleen basislicenties zoals Microsoft 365 Business Standard of E1 kunnen mogelijk beperkt worden in hun mogelijkheden om deze controle volledig te implementeren en te onderhouden, omdat deze licentieniveaus niet altijd toegang bieden tot alle benodigde beheerfuncties of omdat bepaalde geavanceerde monitoring- en rapportagefunctionaliteiten niet beschikbaar zijn. De beheerrechten binnen Entra ID vormen een fundamentele vereiste voor de persoon of het serviceaccount dat de implementatie uitvoert. Zonder de juiste rechten kunnen de configuratiewijzigingen niet worden doorgevoerd en kan de controle niet worden geïmplementeerd. Minimaal is een rol als Global Administrator of Groups Administrator vereist om de instellingen voor groepaanmaak te kunnen wijzigen en te configureren via de Microsoft Entra ID beheerportal of via geautomatiseerde methoden zoals PowerShell scripts die gebruik maken van de Microsoft Graph API. Voor organisaties die werken volgens het principe van least privilege access, waarbij gebruikers en serviceaccounts alleen de minimale rechten krijgen die nodig zijn voor hun specifieke taken om het risico op onbedoelde wijzigingen of misbruik te verminderen, is het sterk aan te raden om specifiek de rol van Groups Administrator toe te kennen in plaats van de brede Global Administrator rechten die toegang geven tot alle configuratie-instellingen binnen Entra ID. Deze aanpak vermindert het risico op onbedoelde wijzigingen aan andere kritieke configuratie-instellingen zoals authenticatiemethoden, voorwaardelijke toegangsregels of gebruikersrechten, en draagt bij aan een betere beveiligingspostuur van de organisatie door het beperken van de toegang tot alleen die functionaliteiten die daadwerkelijk nodig zijn voor de implementatie en het onderhoud van deze specifieke controle. De technische implementatie vereist toegang tot de Microsoft Entra ID beheerportal via een webbrowser met een moderne browser zoals Microsoft Edge, Google Chrome of Mozilla Firefox die ondersteuning biedt voor moderne webstandaarden. Alternatief kan de implementatie worden uitgevoerd via Microsoft Graph API aanroepen via PowerShell scripts of andere geautomatiseerde methoden zoals REST API calls vanuit programmeertalen zoals Python of C#, of Infrastructure as Code tools zoals Terraform of Azure Resource Manager templates die kunnen worden gebruikt voor het beheren van cloud infrastructuur via code. Voor geautomatiseerde implementaties die deel uitmaken van grotere deployment workflows waarbij meerdere omgevingen zoals development, test en productie moeten worden geconfigureerd, is het gebruik van de Microsoft Graph PowerShell module sterk aanbevolen. Deze module is specifiek ontworpen voor het beheren van Microsoft 365 en Entra ID configuraties en biedt uitgebreide documentatie en community ondersteuning. Bij het gebruik van geautomatiseerde methoden moeten de juiste toestemmingen zijn verleend aan de service principal of het gebruikersaccount dat de wijzigingen doorvoert. Deze toestemmingen moeten worden verleend via de Azure Portal of via de Microsoft Graph API zelf. De toestemmingen moeten minimaal Group.ReadWrite.All of Directory.ReadWrite.All omvatten, afhankelijk van de specifieke implementatiemethode en de gewenste mate van toegang. Group.ReadWrite.All is voldoende voor het beheren van groepaanmaak instellingen, maar Directory.ReadWrite.All kan nodig zijn voor meer uitgebreide configuratiewijzigingen of voor het beheren van andere Entra ID instellingen als onderdeel van een bredere implementatie. Naast de technische vereisten is het van cruciaal belang dat de organisatie beschikt over een duidelijk gedefinieerd governance beleid. Dit beleid moet vastleggen waarom en onder welke omstandigheden Microsoft 365 Groups mogen worden aangemaakt, wie verantwoordelijk is voor het goedkeuren van nieuwe groepaanvragen en het beoordelen of deze aanvragen voldoen aan de organisatorische vereisten, en welke processen moeten worden gevolgd bij het creëren van nieuwe samenwerkingsruimten. Het beleid moet ook specificeren welke informatie moet worden verstrekt, welke goedkeuringen nodig zijn, en hoe de nieuwe groep moet worden geconfigureerd met betrekking tot beveiligingsinstellingen, gegevensclassificatie en toegangsrechten. Deze beleidsmatige basis is essentieel om de technische controle te ondersteunen en om gebruikers te kunnen informeren over de redenen achter de beperking en het nieuwe proces dat zij moeten volgen wanneer zij een nieuwe Microsoft 365 Group nodig hebben voor hun werkzaamheden. Zonder deze contextuele ondersteuning en duidelijke communicatie kan de technische controle als belemmerend worden ervaren door gebruikers die niet begrijpen waarom de beperking is ingevoerd of hoe zij een nieuwe groep kunnen aanvragen. Dit kan leiden tot weerstand binnen de organisatie, frustratie bij medewerkers die hun werkzaamheden niet efficiënt kunnen uitvoeren, en mogelijke pogingen om de beveiligingsmaatregelen te omzeilen door gebruik te maken van alternatieve samenwerkingsoplossingen zoals persoonlijke cloud diensten, niet-goedgekeurde applicaties of andere tools die buiten het zicht van de IT-afdeling blijven en die kunnen leiden tot schaduw IT problemen die de beveiligingspostuur van de organisatie kunnen verzwakken.

Monitoring

Gebruik PowerShell-script users-cannot-create-m365-groups.ps1 (functie Invoke-Monitoring) – Controleren.

Het monitoren van de instellingen voor Microsoft 365 Group aanmaak vormt een kritieke en continue activiteit binnen de governance strategie van een organisatie. Deze monitoring is essentieel omdat beveiligingscontroles alleen effectief zijn wanneer zij actief blijven en niet onbedoeld worden gewijzigd door geautoriseerde of onbevoegde personen. Regelmatige verificatie zorgt ervoor dat de beveiligingscontrole daadwerkelijk actief is en dat er geen onbedoelde wijzigingen zijn doorgevoerd die de governance positie van de organisatie kunnen verzwakken of die kunnen leiden tot compliance schendingen. Zonder adequate monitoring kunnen organisaties onbewust blootstaan aan risico's waarbij gebruikers toch in staat zijn om Microsoft 365 Groups aan te maken, wat de hele governance strategie ondermijnt en kan resulteren in significante beveiligings- en compliance problemen die pas worden ontdekt wanneer het te laat is om eenvoudige correcties door te voeren. De primaire monitoring activiteit controleert of de instelling die gebruikers de mogelijkheid geeft om Microsoft 365 Groups aan te maken daadwerkelijk is uitgeschakeld en correct is geconfigureerd volgens de governance vereisten van de organisatie. Deze verificatie kan worden uitgevoerd door het lezen van de groepaanmaak instellingen via de Microsoft Graph API, door directe controle in de Microsoft Entra ID beheerportal waar de configuratie visueel kan worden gecontroleerd, of door gebruik te maken van geautomatiseerde monitoring scripts die periodiek de configuratie controleren en eventuele afwijkingen rapporteren. De frequentie van deze controle moet worden afgestemd op het risicoprofiel van de organisatie. Organisaties met een hoog risicoprofiel of strikte compliance vereisten zoals Nederlandse overheidsorganisaties die moeten voldoen aan de Baseline Informatiebeveiliging Overheid normen moeten vaker controleren dan organisaties met een lager risicoprofiel. Over het algemeen wordt aanbevolen om de controle minimaal wekelijks uit te voeren voor organisaties met hoge beveiligingsvereisten, of maandelijks voor organisaties met een lager risicoprofiel. De frequentie is ook afhankelijk van hoe vaak wijzigingen worden doorgevoerd in de Entra ID configuratie en hoeveel personeelswisselingen er plaatsvinden binnen de IT-afdeling die mogelijk toegang hebben tot deze instellingen. Naast de technische verificatie van de instelling zelf, is het van groot belang om ook te monitoren of gebruikers daadwerkelijk geen nieuwe Microsoft 365 Groups kunnen aanmaken in de praktijk, omdat theoretische configuratie niet altijd overeenkomt met de werkelijke operationele situatie. Dit operationele monitoring aspect kan worden uitgevoerd door het analyseren van audit logs binnen Microsoft 365, waarbij wordt gekeken naar pogingen tot groepaanmaak door gebruikers en of deze pogingen succesvol waren of werden geblokkeerd door de geïmplementeerde controle. Eventuele succesvolle groepaanmaken door gebruikers die geen beheerrechten hebben kunnen duiden op een probleem met de configuratie die niet is gedetecteerd tijdens de technische verificatie, op het bestaan van uitzonderingen die niet zijn gedocumenteerd in het governance beleid, of op een technisch probleem waarbij de controle niet correct functioneert door een bug in de Microsoft 365 service of door een configuratiefout die alleen onder specifieke omstandigheden optreedt. Deze monitoring helpt bij het identificeren van configuratiefouten of onbedoelde uitzonderingen die de effectiviteit van de controle kunnen verminderen en biedt inzicht in hoe gebruikers omgaan met de beperking, wat waardevolle informatie kan opleveren voor het verbeteren van de gebruikerscommunicatie en het aanvraagproces voor nieuwe groepen. Voor organisaties die werken met geavanceerde geautomatiseerde monitoring oplossingen kan de controle worden geïntegreerd in bestaande security monitoring tools en security information and event management systemen die al worden gebruikt voor het monitoren van andere beveiligingscontroles en bedreigingen. Microsoft Sentinel, Azure Monitor of andere SIEM oplossingen kunnen worden geconfigureerd om automatisch waarschuwingen te genereren wanneer de instelling onverwacht wordt gewijzigd door een geautoriseerde of onbevoegde gebruiker, wanneer gebruikers pogingen doen om groepen aan te maken ondanks de beperking wat kan wijzen op een technisch probleem of een poging tot het omzeilen van de beveiligingscontrole, of wanneer er andere afwijkende activiteiten worden gedetecteerd die kunnen wijzen op een probleem met de controle zoals ongebruikelijk veel mislukte pogingen tot groepaanmaak of pogingen vanuit onverwachte locaties of accounts. Deze proactieve monitoring benadering zorgt voor snelle detectie van potentiële beveiligingsincidenten, configuratiefouten of pogingen tot onbevoegde toegang, waardoor organisaties snel kunnen reageren op bedreigingen voordat deze kunnen leiden tot daadwerkelijke beveiligingsincidenten of compliance schendingen die kunnen resulteren in boetes, reputatieschade of verlies van vertrouwen van burgers en stakeholders. De monitoring resultaten moeten systematisch worden gedocumenteerd en regelmatig worden gerapporteerd aan de relevante stakeholders binnen de organisatie. Dit omvat de Chief Information Security Officer die verantwoordelijk is voor de algehele beveiligingsstrategie, IT-beheer teams die verantwoordelijk zijn voor de dagelijkse operationele aspecten van de controle, compliance officers die moeten kunnen aantonen dat de organisatie voldoet aan relevante normen en regelgeving, en andere belanghebbenden die verantwoordelijk zijn voor governance en beveiliging zoals de Chief Privacy Officer of de Data Protection Officer die specifiek verantwoordelijk zijn voor de naleving van de Algemene Verordening Gegevensbescherming. Deze rapportage helpt bij het aantonen van naleving van interne governance beleidsregels en externe compliance vereisten, zoals de Baseline Informatiebeveiliging Overheid normen die van toepassing zijn op Nederlandse overheidsorganisaties, of andere relevante frameworks zoals ISO 27001 voor informatiebeveiligingsmanagement of NIS2 voor netwerk- en informatiesystemen beveiliging. Regelmatige rapportage creëert ook transparantie over de effectiviteit van de geïmplementeerde controle, helpt bij het identificeren van trends of patronen die kunnen wijzen op problemen zoals een toename van pogingen tot groepaanmaak die kan wijzen op gebruikersfrustratie of onduidelijke communicatie, en kan waardevolle input leveren voor verdere verbetering van de governance processen en beveiligingscontroles binnen de organisatie door het identificeren van gebieden waar aanvullende maatregelen of verbeteringen nodig zijn.

Implementatie

Gebruik PowerShell-script users-cannot-create-m365-groups.ps1 (functie Invoke-Implementation) – Implementeren.

De implementatie van deze controle begint met het openen van de Microsoft Entra ID beheerportal, die toegankelijk is via de Azure Portal of via de directe URL naar de Entra ID beheeromgeving. Eenmaal in de portal moet worden genavigeerd naar de sectie Groepen, die zich bevindt in het linkermenu van de Entra ID beheerinterface. Binnen deze sectie moet vervolgens de optie Algemene instellingen worden geselecteerd, waar alle algemene configuratie-instellingen voor Microsoft 365 Groups kunnen worden beheerd. In deze sectie bevindt zich de specifieke instelling die bepaalt of gebruikers de mogelijkheid hebben om Microsoft 365 Groups aan te maken, meestal aangeduid als "Gebruikers kunnen Microsoft 365-groepen maken" of een vergelijkbare benaming. Deze instelling moet worden gewijzigd naar de waarde Nee of Uitgeschakeld om te voorkomen dat gebruikers zelfstandig nieuwe groepen kunnen creëren, waarbij alleen beheerders of specifiek geautoriseerde gebruikers nog steeds de mogelijkheid behouden om nieuwe groepen aan te maken via een gecontroleerd proces. Voor organisaties die werken met geavanceerde geautomatiseerde implementatiemethoden en Infrastructure as Code workflows kan de wijziging ook worden doorgevoerd via de Microsoft Graph API, wat de mogelijkheid biedt om de implementatie te integreren in bestaande deployment pipelines, Configuration Management tools of andere geautomatiseerde systemen. Het PowerShell script dat bij deze controle hoort maakt gebruik van de Microsoft Graph PowerShell module om de benodigde wijzigingen programmatisch door te voeren, wat zorgt voor reproduceerbaarheid, consistentie en versiebeheer bij implementaties in meerdere omgevingen zoals development, test en productie. Deze geautomatiseerde aanpak is bijzonder waardevol voor organisaties die werken met DevOps of GitOps methodologieën, waarbij alle configuratiewijzigingen worden beheerd via versiebeheersystemen en automatisch worden doorgevoerd via geautomatiseerde deployment workflows. Voordat de implementatie daadwerkelijk wordt doorgevoerd, is het van cruciaal belang om een grondige impactanalyse uit te voeren die alle potentiële gevolgen van de wijziging in kaart brengt. Organisaties moeten zorgvuldig bepalen welke gebruikers, afdelingen of teams mogelijk afhankelijk zijn van de mogelijkheid om zelfstandig Microsoft 365 Groups aan te maken voor hun dagelijkse werkzaamheden. Voor deze groepen moet een duidelijk alternatief proces worden opgezet waarbij aanvragen voor nieuwe groepen kunnen worden ingediend bij de IT-afdeling, een speciaal daarvoor aangewezen governance team, of via een geautomatiseerd aanvraagsysteem zoals een service management tool. Dit alternatieve proces moet niet alleen technisch functioneel zijn, maar ook gebruiksvriendelijk en snel genoeg om gebruikers niet onnodig te belemmeren in hun werkzaamheden. Het proces moet duidelijk worden gecommuniceerd naar alle gebruikers voordat de implementatie plaatsvindt, om te voorkomen dat de beperking als belemmerend wordt ervaren zonder dat er een duidelijk en toegankelijk alternatief beschikbaar is. De technische implementatie zelf is relatief eenvoudig en kan binnen enkele minuten worden voltooid wanneer alle voorbereidingen zijn getroffen. Echter, de organisatorische voorbereiding, impactanalyse en communicatie naar gebruikers toe vereist aanzienlijk meer tijd en aandacht dan de technische wijziging zelf. Organisaties moeten een gestructureerd change management proces doorlopen waarbij gebruikers tijdig worden geïnformeerd over de aanstaande wijziging, de onderliggende redenen en risico's die de wijziging adresseert, en het nieuwe proces dat zij moeten volgen voor het aanvragen van Microsoft 365 Groups. Deze communicatie moet plaatsvinden voordat de technische wijziging wordt doorgevoerd, bij voorkeur enkele weken van tevoren, om gebruikers de gelegenheid te geven zich voor te bereiden op de nieuwe werkwijze, vragen te stellen en eventuele zorgen of bezwaren te uiten die kunnen worden geadresseerd voordat de wijziging wordt geïmplementeerd. Na de implementatie moet uitgebreid worden geverifieerd dat de wijziging correct is doorgevoerd en dat gebruikers inderdaad geen nieuwe Microsoft 365 Groups meer kunnen aanmaken, terwijl beheerders en geautoriseerde gebruikers nog steeds toegang hebben tot de functionaliteit. Deze verificatie kan worden uitgevoerd door een testaccount te gebruiken dat geen beheerrechten heeft en te proberen een nieuwe groep aan te maken via verschillende toegangspunten zoals de Microsoft 365 portal, Outlook, Teams of andere applicaties die groepaanmaak functionaliteit bieden. Als de implementatie succesvol is, zullen deze pogingen worden geblokkeerd met een duidelijke en gebruiksvriendelijke melding die uitlegt dat alleen beheerders nieuwe groepen kunnen aanmaken en die verwijst naar het alternatieve proces voor het aanvragen van nieuwe groepen. Deze verificatie moet worden gedocumenteerd als onderdeel van de implementatie procedure, inclusief screenshots of andere bewijsstukken die kunnen dienen als audit trail en bewijs voor compliance doeleinden, en moet worden opgenomen in de change management documentatie voor toekomstige referentie.

Compliance en Audit

Deze controle draagt op meerdere manieren bij aan de naleving van verschillende compliance frameworks en standaarden die van toepassing zijn op Nederlandse overheidsorganisaties en andere organisaties die werken met gevoelige informatie. De primaire compliance relatie bestaat met de Baseline Informatiebeveiliging Overheid (BIO) norm 09.01, die specifiek betrekking heeft op toegangsgovernance en vereist dat organisaties passende maatregelen treffen om te zorgen dat toegang tot informatie en informatiesystemen wordt beheerd, gecontroleerd en gedocumenteerd. Door het beperken van de mogelijkheid voor gebruikers om zelfstandig Microsoft 365 Groups aan te maken, zorgt de organisatie ervoor dat alle nieuwe samenwerkingsruimten worden gecreëerd binnen een gecontroleerd en gedocumenteerd proces waarbij governance overwegingen, beveiligingsvereisten en compliance aspecten worden meegenomen voordat een nieuwe groep wordt aangemaakt. Deze aanpak voldoet direct aan de vereisten van BIO norm 09.01 door te demonstreren dat de organisatie proactief werkt aan het beheren en controleren van toegang tot informatie. BIO norm 09.01 benadrukt het fundamentele belang van toegangsgovernance, wat betekent dat organisaties op elk moment moeten kunnen verantwoorden wie toegang heeft tot welke informatie, waarom deze toegang is verleend en of deze toegang nog steeds gerechtvaardigd is. Wanneer gebruikers zelfstandig Microsoft 365 Groups kunnen aanmaken zonder enige controle of governance proces, ontstaat er een significant risico dat groepen worden gecreëerd zonder dat er voldoende aandacht is voor kritieke aspecten zoals gegevensclassificatie, bewaartermijnen, toegangsrechten, compliance vereisten en de vraag of de groep voldoet aan de beveiligingsstandaarden van de organisatie. Door deze mogelijkheid te beperken en een gecontroleerd proces in te stellen waarbij alle groepaanvragen worden beoordeeld door bevoegde personen, kan de organisatie ervoor zorgen dat alle nieuwe groepen voldoen aan de governance standaarden, dat er adequate documentatie en controle plaatsvindt, en dat de toegangsrechten kunnen worden verantwoord binnen het kader van BIO norm 09.01 en andere relevante compliance vereisten. Voor audit doeleinden en compliance verificatie moet de organisatie kunnen aantonen dat de instelling actief is geconfigureerd, dat er regelmatige monitoring plaatsvindt om te verifiëren dat de controle effectief is, en dat er adequate documentatie bestaat over de implementatie en het onderhoud van de controle. Dit betekent dat uitgebreide audit logs moeten worden bijgehouden die aantonen wanneer de instelling is geconfigureerd, door wie deze configuratie is uitgevoerd, wanneer de instelling periodiek is geverifieerd, of er pogingen zijn geweest om de instelling te wijzigen, en of deze pogingen succesvol waren of werden geblokkeerd. Deze logs vormen het bewijs dat de organisatie proactief werkt aan het beheren van toegang en het voorkomen van ongecontroleerde groeiproblemen, en kunnen worden gebruikt tijdens interne of externe audits om aan te tonen dat de organisatie voldoet aan de vereisten van BIO norm 09.01 en andere relevante compliance frameworks. Naast de BIO normen kan deze controle ook significant bijdragen aan de naleving van andere relevante frameworks en standaarden die van toepassing zijn op Nederlandse organisaties. De Algemene Verordening Gegevensbescherming (AVG), ook wel bekend als de General Data Protection Regulation (GDPR), vereist bijvoorbeeld dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen en om te zorgen dat alleen geautoriseerde personen toegang hebben tot persoonsgegevens. Door het beheren van wie Microsoft 365 Groups kan aanmaken en welke gegevens in deze groepen worden gedeeld, draagt deze controle direct bij aan het voldoen aan deze AVG vereisten door te zorgen dat persoonsgegevens alleen worden gedeeld in gecontroleerde omgevingen die voldoen aan de beveiligingsstandaarden en compliance vereisten van de organisatie. Bovendien helpt de controle bij het voldoen aan AVG vereisten met betrekking tot het recht op inzage, rectificatie en verwijdering van persoonsgegevens, omdat gecontroleerde groepen beter kunnen worden beheerd en gedocumenteerd dan ongecontroleerde groepen. Voor Nederlandse overheidsorganisaties is het van groot belang om te overwegen hoe deze controle past binnen het bredere informatiebeveiligingsbeleid en de algehele governance strategie van de organisatie. De Baseline Informatiebeveiliging Overheid (BIO) vormt de basis voor informatiebeveiliging binnen de Nederlandse overheid, maar organisaties kunnen aanvullende eisen hebben op basis van hun specifieke risicoprofiel, de aard van de informatie die zij verwerken, of sector-specifieke regelgeving zoals de Wet open overheid of andere relevante wetgeving. De implementatie van deze controle moet daarom worden gezien als onderdeel van een bredere en geïntegreerde governance strategie, waarbij verschillende beveiligingscontroles en governance maatregelen samenwerken om een robuuste, verdedigbare en compliance-conforme beveiligingspostuur te creëren die voldoet aan alle relevante compliance vereisten, zowel intern als extern, en die kan worden verantwoord tijdens audits en compliance verificaties.

Remediatie

Gebruik PowerShell-script users-cannot-create-m365-groups.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer tijdens de periodieke monitoring wordt vastgesteld dat de instelling voor het aanmaken van Microsoft 365 Groups onverwacht is gewijzigd, dat gebruikers toch in staat zijn om groepen aan te maken ondanks de geïmplementeerde controle, of dat er andere indicatoren zijn die wijzen op een probleem met de effectiviteit van de controle, moet onmiddellijk en zonder vertraging remediatie worden uitgevoerd om de beveiligingspostuur van de organisatie te herstellen. De remediatie procedure begint met het snel opnieuw configureren van de instelling naar de gewenste waarde, waarbij gebruikers de mogelijkheid om Microsoft 365 Groups aan te maken opnieuw wordt ontnomen en de controle wordt hersteld naar de oorspronkelijk geïmplementeerde staat. Deze snelle respons is essentieel omdat elke periode waarin gebruikers ongecontroleerd groepen kunnen aanmaken de organisatie blootstelt aan de risico's die de controle juist moet voorkomen, waaronder schaduw IT, ongecontroleerde gegevensverspreiding en potentiële compliance schendingen. De technische remediatie kan worden uitgevoerd via de Microsoft Entra ID beheerportal door opnieuw naar de sectie Groepen te navigeren, de Algemene instellingen te openen en de instelling te wijzigen naar de gewenste waarde, of via het geautomatiseerde PowerShell script dat specifiek is ontwikkeld voor deze controle en dat deel uitmaakt van de standaard implementatie toolkit. Het gebruik van het geautomatiseerde script heeft over het algemeen de voorkeur boven handmatige remediatie omdat dit zorgt voor consistentie en reproduceerbaarheid, omdat het script ook aanvullende verificaties kan uitvoeren om te zorgen dat de remediatie succesvol is voltooid, en omdat het script automatisch kan worden geïntegreerd in geautomatiseerde remediatie workflows die kunnen worden geactiveerd door monitoring systemen zonder menselijke tussenkomst. Bovendien zorgt het gebruik van het script voor een gecontroleerde en gedocumenteerde remediatie procedure die kan worden geaudit en die consistent is met de oorspronkelijke implementatiemethode. Na het uitvoeren van de technische remediatie die de controle herstelt naar de gewenste staat, moet een grondig onderzoek worden uitgevoerd om te begrijpen waarom de instelling is gewijzigd, waarom de controle niet effectief was, of waarom de monitoring niet tijdig heeft gedetecteerd dat er een probleem was. Dit onderzoek is van cruciaal belang omdat het helpt bij het identificeren van potentiële zwakke plekken in het beheerproces, bij het detecteren van onbevoegde toegang tot de Entra ID configuratie, of bij het identificeren van problemen met de monitoring of change management processen. Als de wijziging het gevolg is van een geautoriseerde wijziging die niet correct is gedocumenteerd of gecommuniceerd, moet het change management proces worden verbeterd om te zorgen dat toekomstige wijzigingen beter worden gedocumenteerd en gecommuniceerd. Als de wijziging het gevolg is van onbevoegde toegang of een beveiligingsincident, moet dit worden behandeld als een serieus beveiligingsincident en moeten aanvullende maatregelen worden genomen, waaronder het onderzoeken van hoe de onbevoegde toegang heeft kunnen plaatsvinden, het nemen van maatregelen om herhaling te voorkomen, en mogelijk het melden van het incident aan relevante autoriteiten of compliance teams. Voor organisaties die werken met geavanceerde geautomatiseerde remediatie oplossingen en security orchestration, automation, and response (SOAR) tools kan de remediatie worden geïntegreerd in bestaande security orchestration workflows. Microsoft Sentinel, Azure Automation of andere SOAR oplossingen kunnen worden geconfigureerd om automatisch remediatie uit te voeren wanneer monitoring detecteert dat de instelling is gewijzigd of wanneer andere indicatoren wijzen op een probleem met de controle. Deze geautomatiseerde aanpak zorgt voor extreem snelle respons tijden, vaak binnen seconden of minuten na detectie, en vermindert aanzienlijk de kans dat de organisatie langere tijd blootstaat aan het risico van ongecontroleerde groepaanmaak. Bovendien zorgt geautomatiseerde remediatie voor consistentie en reproduceerbaarheid, en kan het worden geconfigureerd om automatisch verificaties uit te voeren en rapporten te genereren over de remediatie activiteit, wat bijdraagt aan de audit trail en compliance documentatie. Na de remediatie moet uitgebreid worden geverifieerd dat de controle opnieuw actief is en effectief werkt, en dat gebruikers daadwerkelijk geen nieuwe Microsoft 365 Groups meer kunnen aanmaken. Dit betekent dat er opnieuw moet worden getest of gebruikers met normale gebruikersrechten daadwerkelijk geen nieuwe groepen kunnen aanmaken via verschillende toegangspunten, dat de monitoring opnieuw moet worden geconfigureerd of geverifieerd om toekomstige wijzigingen te detecteren, en dat eventuele geautomatiseerde remediatie workflows correct functioneren. De volledige remediatie activiteit moet worden gedocumenteerd in de audit logs en change management systemen, inclusief de reden voor de remediatie, de uitgevoerde technische acties, de resultaten van het onderzoek naar de oorzaak, de verificatie dat de remediatie succesvol was, en eventuele verbeteringen die zijn doorgevoerd aan processen of systemen om herhaling te voorkomen. Deze uitgebreide documentatie is essentieel voor compliance doeleinden, helpt bij het leren van incidenten om toekomstige problemen te voorkomen, en vormt een belangrijk onderdeel van de continue verbetering van de beveiligingspostuur en governance processen van de organisatie.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Users Cannot Create M365 Groups .DESCRIPTION CIS Azure Foundations Benchmark - Control 1.60 Controleert dat gebruikers geen M365 groups kunnen aanmaken. .NOTES Filename: users-cannot-create-m365-groups.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 1.60 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "Users Cannot Create M365 Groups" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } try { Connect-RequiredServices if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray Write-Host " - Azure AD > Groups > General" -ForegroundColor Gray Write-Host " - Users can create Microsoft 365 groups = No" -ForegroundColor Gray Write-Host " - Voorkomt wildgroei van groepen" -ForegroundColor Gray } else { Write-Host "`n⚠️ Manual verification: M365 group creation restricted" -ForegroundColor Yellow } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray Write-Host " - Azure AD > Groups > General" -ForegroundColor Gray Write-Host " - Users can create Microsoft 365 groups = No" -ForegroundColor Gray Write-Host " - Voorkomt wildgroei van groepen" -ForegroundColor Gray } else { Write-Host "`n⚠️ Manual verification: M365 group creation restricted" -ForegroundColor Yellow } } catch { Write-Error $_; exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Low: Gebruikers kunnen Microsoft 365 Groups ad-hoc aanmaken, wat leidt tot ongecontroleerde groeiproblemen, ongecontroleerde samenwerking en schaduw IT Teams. Compliance vereist governance voorkeur. Het risico is laag maar betreft organisatorische governance.

Management Samenvatting

Gebruikers kunnen geen Microsoft 365 Groups aanmaken: Schakel de mogelijkheid voor gebruikers uit om Microsoft 365 Groups aan te maken (dwing beheerder of IT goedkeuring af). Gecentraliseerde governance. Afweging: beveiliging versus samenwerkingsflexibiliteit. Activatie: Azure AD → Groups → Gebruikers kunnen Microsoft 365 groups aanmaken: Nee. Gratis. Implementatie: 30 minuten plus organisatorisch change management. Optionele governance controle.