💼 Management Samenvatting
Identiteitsbeheer vormt de fundament van elke moderne cloudbeveiligingsstrategie en is essentieel voor het realiseren van Zero Trust-architecturen. Voor Nederlandse overheidsorganisaties die Azure en Microsoft 365 gebruiken, is een volwassen identiteitsbeheer-raamwerk niet alleen een best practice, maar een kritieke vereiste die direct bijdraagt aan compliance met de Baseline Informatiebeveiliging Overheid (BIO), de NIS2-richtlijn en internationale standaarden zoals ISO 27001. Dit index-artikel biedt een overzicht van alle identiteitsbeheer-aspecten die relevant zijn voor Azure-omgevingen en helpt organisaties om een samenhangend, aantoonbaar identiteitsbeheer-raamwerk op te bouwen.
Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
10/10
Implementatie
180u (tech: 80u)
Van toepassing op:
✓ Azure AD
✓ Entra ID
✓ Microsoft 365
✓ Hybrid Identity
✓ Entra ID
✓ Microsoft 365
✓ Hybrid Identity
Zonder een volwassen identiteitsbeheer-raamwerk kunnen organisaties niet effectief controleren wie toegang heeft tot welke resources, wanneer deze toegang wordt gebruikt, en of deze toegang nog steeds gerechtvaardigd is. Dit creëert aanzienlijke beveiligingsrisico's waarbij gestolen credentials kunnen worden misbruikt, onbeheerde accounts toegang behouden tot gevoelige data, en kwaadwillende actoren kunnen inloggen zonder adequate verificatie. Traditionele perimeterbeveiliging faalt in moderne cloud-omgevingen waar gebruikers overal en vanaf elk apparaat werken. Een volwassen identiteitsbeheer-raamwerk lost deze fundamentele problemen op door organisaties in staat te stellen contextuele toegangsbeslissingen te nemen, identiteitslevenscycli te beheren, en continue monitoring en governance te implementeren. Voor Nederlandse overheidsorganisaties is dit niet alleen een beveiligingsvereiste, maar ook een compliance-vereiste die direct bijdraagt aan het aantoonbaar voldoen aan BIO, NIS2 en andere relevante wet- en regelgeving.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns, Microsoft.Graph.Identity.DirectoryManagement, Microsoft.Graph.Identity.Governance
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns, Microsoft.Graph.Identity.DirectoryManagement, Microsoft.Graph.Identity.Governance
Implementatie
Dit index-artikel fungeert als centrale verzamelplaats voor alle identiteitsbeheer-gerelateerde artikelen binnen de Azure-domein van de 'Nederlandse Baseline voor Veilige Cloud'. We behandelen de belangrijkste identiteitsbeheer-componenten die relevant zijn voor Nederlandse overheidsorganisaties, beschrijven hoe deze worden vertaald naar concrete Azure AD- en Entra ID-configuraties, en laten zien hoe organisaties een volwassen identiteitsbeheer-proces kunnen opzetten. Het artikel verbindt specifieke identiteitsbeheer-artikelen zoals Conditional Access Policies, Access Reviews, Entitlement Management, Azure AD Connect configuratie, HR-driven provisioning en Device-based Conditional Access, en biedt handvatten voor governance, monitoring en rapportage. Daarnaast beschrijft het artikel hoe identiteitsbeheer wordt gemeten, gemonitord en continu verbeterd binnen een Azure-omgeving.
Het identiteitsbeheer-landschap voor Nederlandse overheidsorganisaties in Azure
Identiteitsbeheer in Azure is een complexe, multidimensionale discipline die veel meer omvat dan alleen gebruikersaccounts en wachtwoorden. Het omvat authenticatie (wie ben je), autorisatie (wat mag je doen), provisioning (hoe worden accounts aangemaakt en bijgewerkt), lifecycle management (hoe worden accounts beheerd tijdens hun levenscyclus), en governance (hoe wordt toegang gecontroleerd en geaudit). Voor Nederlandse overheidsorganisaties die Azure gebruiken, zijn er specifieke uitdagingen: veel organisaties hebben hybride omgevingen met zowel on-premises Active Directory als cloud-gebaseerde identiteiten, moeten voldoen aan strikte compliance-vereisten zoals BIO en NIS2, en moeten aantoonbaar kunnen maken dat toegang wordt beheerd volgens het principe van minimale bevoegdheden en need-to-know.
Azure Active Directory (nu Microsoft Entra ID) vormt het centrale identiteitsplatform voor Microsoft-cloudservices en biedt uitgebreide mogelijkheden voor identiteitsbeheer. Conditional Access Policies maken het mogelijk om contextuele toegangsbeslissingen te nemen op basis van gebruikersidentiteit, apparaatstatus, locatie, applicatie en risicoprofiel. Identity Governance-functies zoals Access Reviews, Entitlement Management en Privileged Identity Management helpen organisaties om toegang te beheren, te controleren en te certificeren. Azure AD Connect en Azure AD Connect Cloud Sync maken het mogelijk om hybride identiteitsomgevingen te realiseren waarbij on-premises Active Directory wordt gesynchroniseerd met Azure AD. Lifecycle Workflows automatiseren het provisioning- en deprovisioning-proces op basis van HR-gegevens of andere bronnen. Al deze componenten werken samen om een volwassen identiteitsbeheer-raamwerk te vormen dat voldoet aan moderne beveiligings- en compliance-vereisten.
Een belangrijk aspect van identiteitsbeheer voor Nederlandse overheidsorganisaties is de integratie met bestaande systemen en processen. Veel organisaties hebben al jarenlang geïnvesteerd in on-premises Active Directory en hebben complexe autorisatiestructuren, groepen en attributen die moeten worden meegenomen naar de cloud. Azure AD Connect biedt de mogelijkheid om deze identiteiten te synchroniseren, maar vereist zorgvuldige planning en configuratie om te voorkomen dat onnodige gegevens worden gesynchroniseerd of dat synchronisatiefouten leiden tot toegangsproblemen. Daarnaast moeten organisaties nadenken over hoe identiteitsbeheer wordt geïntegreerd met HR-systemen, servicedesk-processen, en governance-overleggen. Een effectief identiteitsbeheer-raamwerk is daarom niet alleen een technische configuratie, maar ook een organisatorisch proces dat expliciet moet worden ingebed in de bredere governance- en security-operations.
Implementatieframework: van beleid naar praktijk
Het implementeren van een volwassen identiteitsbeheer-raamwerk in Azure begint met het vertalen van beveiligings- en compliance-vereisten naar concrete, meetbare configuratie-eisen. Dit proces begint bij een grondige analyse: welke identiteitsbeheer-componenten zijn nodig voor de organisatie, welke gebruikers, groepen en applicaties moeten worden afgedekt, en hoe kunnen deze worden vertaald naar Azure AD-specifieke configuraties? Voorbeelden zijn: 'alle gebruikers moeten meervoudige authenticatie gebruiken bij toegang tot gevoelige applicaties' (vertaling van BIO-vereisten rond authenticatie), 'alle toegangsrechten moeten minimaal jaarlijks worden gereviewd' (vertaling van BIO-vereisten rond toegangscontrole), of 'alle beheerdersaccounts moeten cloud-only zijn zonder synchronisatie vanuit on-premises' (vertaling van security best practices). Deze vertalingen worden vastgelegd in een identiteitsbeheer-raamwerk dat expliciet maakt welke Azure AD-configuraties bijdragen aan welke beveiligings- en compliance-vereisten.
Vervolgens worden deze eisen vertaald naar concrete Azure AD-configuraties. Conditional Access Policies worden geconfigureerd om contextuele toegangsbeslissingen te nemen op basis van gebruikers, apparaten, locaties en risicoprofielen. Access Reviews worden ingesteld om regelmatig toegangsrechten te controleren en te certificeren. Entitlement Management wordt gebruikt om toegang te beheren via catalogi en workflows. Azure AD Connect wordt geconfigureerd om hybride identiteiten te synchroniseren met de juiste filters en attributen. Lifecycle Workflows worden ingesteld om provisioning en deprovisioning te automatiseren. Al deze configuraties worden getest in een testomgeving voordat zij worden geactiveerd in productie, en worden gedocumenteerd voor audit- en compliance-doeleinden.
Een volwassen identiteitsbeheer-implementatie gaat verder dan alleen technische configuraties. Het omvat ook organisatorische processen: wie is verantwoordelijk voor identiteitsbeheer, hoe worden toegangsverzoeken behandeld, hoe vaak worden access reviews uitgevoerd, en hoe wordt gerapporteerd richting bestuur en toezichthouders? Deze processen moeten worden vastgelegd in procedures en geïntegreerd in de reguliere governance- en changeprocessen. Geautomatiseerde monitoring, dashboards en alerts zorgen ervoor dat identiteitsbeheer niet wordt vergeten in de dagelijkse operatie, maar continu wordt bewaakt en verbeterd. Door identiteitsbeheer expliciet te koppelen aan risicomanagement en security operations ontstaat een proactieve cultuur waarin afwijkingen snel worden gesignaleerd en opgelost.
Monitoring, rapportage en continue verbetering
Gebruik PowerShell-script index.ps1 (functie Invoke-Monitoring) – Geeft een overzicht van de identiteitsbeheer-status van de Azure-omgeving, inclusief Conditional Access Policies, Access Reviews, en belangrijke identiteitsbeheer-indicatoren..
Identiteitsbeheer is geen eenmalige activiteit, maar vereist continue monitoring en rapportage om te verifiëren dat de Azure-omgeving blijft voldoen aan de gestelde eisen. Azure AD biedt uitgebreide logging en rapportage via Azure AD Sign-in Logs, Audit Logs, en Identity Protection-risicorapportages. Conditional Access Insights biedt real-time inzicht in hoe Conditional Access Policies functioneren en welke gebruikers worden beïnvloed. Access Review-rapportages laten zien welke toegangsrechten zijn gereviewd en gecertificeerd. Identity Governance-rapportages tonen provisioning- en deprovisioning-activiteiten. Door deze gegevens te combineren in dashboards (bijvoorbeeld met Azure Monitor workbooks of Power BI) ontstaat een actueel beeld van de identiteitsbeheer-status per domein, workload en eigenaar.
Effectieve identiteitsbeheer-rapportage gaat verder dan het simpelweg verzamelen van technische metingen. Het moet ook de context bieden die nodig is voor bestuurlijke besluitvorming en verantwoording richting toezichthouders. Dat betekent dat rapportages niet alleen laten zien hoe de huidige situatie is, maar ook welke verbeteringen in de afgelopen periode zijn doorgevoerd, welke risico's zijn geïdentificeerd en gemitigeerd, en welke acties nog openstaan om identiteitsbeheer verder te verbeteren. Voor Nederlandse overheidsorganisaties is het verstandig om een vaste rapportagecyclus af te spreken, bijvoorbeeld kwartaalrapportages over de ontwikkeling van identiteitsbeheer-maturiteit, aantallen access reviews, doorgevoerde verbeteracties en openstaande risico's. Deze rapportages worden besproken in governance-overleggen met CISO, identity architect en bestuur, en vormen de basis voor besluitvorming over aanvullende investeringen, prioritering van verbeteracties of acceptatie van rest-risico's.
Continue verbetering van identiteitsbeheer vereist een gestructureerde aanpak waarbij bevindingen uit monitoring worden vertaald naar concrete verbeteracties. Niet-conforme configuraties moeten worden geanalyseerd: wat is de oorzaak (bijvoorbeeld ontbrekende kennis, technische beperkingen, of bewuste afwijking), wat is de impact op risico's en compliance, en wat is de beste remediatiestrategie? Sommige afwijkingen kunnen automatisch worden opgelost via geautomatiseerde workflows of scripts, andere vereisen handmatige interventie of procesaanpassingen. Belangrijk is dat verbeteracties worden voorzien van een eigenaar, deadline en prioriteit, en dat de voortgang wordt gemonitord totdat de afwijking is opgelost. Door dit proces expliciet te maken en te koppelen aan het bredere risicomanagement- en changeproces, ontstaat een transparante keten van bevinding → analyse → maatregel → verificatie → rest-risico.
Governance en relatie met andere identiteitsbeheer-artikelen
Identiteitsbeheer in Azure is geen geïsoleerde discipline, maar moet worden ingebed in een breder governance-raamwerk dat enterprise architectuur, risicomanagement, security operations en change management met elkaar verbindt. Zonder duidelijke governance ontstaat het risico dat identiteitsbeheer wordt gezien als een technische configuratie die vooral tijdens audits belangrijk is, in plaats van een integraal onderdeel van de cloudstrategie. Een effectief governance-model benoemt daarom expliciete rollen en verantwoordelijkheden: wie is eindverantwoordelijk voor identiteitsbeheer (vaak de CISO of identity architect), wie beheert Azure AD-configuraties en Conditional Access Policies (vaak een cloud architect of security architect), wie voert access reviews uit (vaak business owners of een gespecialiseerd team), en wie rapporteert richting bestuur en toezichthouders? Deze rollen worden vertaald naar concrete taken en processen die vastgelegd worden in governance-documenten, zodat zij organisatiebreed herkenbaar zijn.
Dit index-artikel moet expliciet worden gelezen in samenhang met andere identiteitsbeheer-artikelen binnen de 'Nederlandse Baseline voor Veilige Cloud'. Het artikel over Conditional Access Policies beschrijft hoe contextuele toegangsbeslissingen worden genomen op basis van gebruikers, apparaten, locaties en risicoprofielen. Het artikel over Access Reviews Configuration beschrijft hoe toegangsrechten regelmatig worden gecontroleerd en gecertificeerd. Het artikel over Entitlement Management beschrijft hoe toegang wordt beheerd via catalogi en workflows. Het artikel over Azure AD Connect Configuration beschrijft hoe hybride identiteiten worden gesynchroniseerd. Het artikel over HR-driven Provisioning beschrijft hoe provisioning en deprovisioning worden geautomatiseerd op basis van HR-gegevens. Het artikel over Device-based Conditional Access beschrijft hoe apparaatstatus wordt gebruikt voor toegangsbeslissingen. Samen vormen deze artikelen een compleet beeld: dit index-artikel schetst de overkoepelende lijnen en het governance-kader, terwijl de deelartikelen verdieping bieden op specifieke identiteitsbeheer-aspecten en technische implementaties.
Voor auditors en toezichthouders is vooral van belang dat de samenhang tussen beleid, technische configuraties, monitoring en remediatie aantoonbaar is. Dat betekent dat u niet alleen identiteitsbeheer-documenten en procesbeschrijvingen beschikbaar heeft, maar ook concreet kunt laten zien welke Conditional Access Policies zijn toegepast, hoe access reviews worden uitgevoerd, hoe provisioning en deprovisioning worden geautomatiseerd, en welke verbeteracties zijn ondernomen. De in dit domein beschreven PowerShell-scripts – waaronder het index-script bij dit artikel en de scripts voor specifieke identiteitsbeheer-aspecten – helpen om deze informatie snel en reproduceerbaar te verzamelen. Door hun output te koppelen aan dashboards en rapportages wordt identiteitsbeheer niet beperkt tot papieren documenten, maar ondersteund door actuele operationele data die aantoonbaar maakt dat het identiteitsbeheer-raamwerk daadwerkelijk wordt nageleefd, gemonitord en verbeterd. Dit vormt de basis voor vertrouwen bij toezichthouders en het bestuur, en helpt om identiteitsbeheer te positioneren als een proactieve, waarde-toevoegende activiteit in plaats van een reactieve, lastige verplichting.
Remediatie en volwassenwording van Azure identiteitsbeheer
Gebruik PowerShell-script index.ps1 (functie Invoke-Remediation) – Genereert overzichten van identiteitsbeheer-hiaten en biedt handvatten voor gerichte verbeteracties om de identiteitsbeheer-maturiteit te verhogen..
Remediatie binnen het Azure identiteitsbeheer-domein betekent in de praktijk dat u gaten dicht tussen de gewenste identiteitsbeheer-status en de werkelijkheid. In veel organisaties bestaan al wel beleidsdocumenten over toegangscontrole en identiteitsbeheer, maar ontbreekt concrete vastlegging van hoe deze worden vertaald naar Azure AD-configuraties, welke Conditional Access Policies daadwerkelijk zijn toegepast, en hoe identiteitsbeheer wordt gemonitord en verbeterd. Het index-script ondersteunt remediatie door automatisch te inventariseren waar identiteitsbeheer-vereisten niet worden nageleefd, waar belangrijke configuraties ontbreken, waar access reviews niet worden uitgevoerd, en waar documentatie verouderd of incompleet is. Op basis van deze inventarisatie kunnen gerichte verbeteracties worden gepland en uitgevoerd, waarbij prioriteit wordt gegeven aan de meest kritieke hiaten die de grootste impact hebben op risico's en wettelijke naleving.
Een volwassen Azure identiteitsbeheer-raamwerk groeit stap voor stap door continue verbetering. Na elke monitoringsronde worden de belangrijkste verbeterpunten vastgelegd, van een eigenaar voorzien en ingepland in het reguliere change- of verbeterportfolio. Denk aan het implementeren van ontbrekende Conditional Access Policies, het activeren van access reviews voor kritieke toegangsrechten, het verbeteren van provisioning- en deprovisioning-workflows, het verbeteren van identiteitsbeheer-rapportages en dashboards, het actualiseren van identiteitsbeheer-documentatie, of het invoeren van geautomatiseerde monitoring en alerting. Door de resultaten van het index-script te combineren met de uitkomsten van gespecialiseerde scripts voor specifieke identiteitsbeheer-aspecten ontstaat een integraal beeld van de voortgang. Uiteindelijk wordt Azure identiteitsbeheer zo niet alleen een set van technische configuraties en processen, maar een aantoonbaar beheerst en verantwoord ingericht raamwerk dat continu wordt geëvalueerd en verbeterd om te blijven voldoen aan veranderende eisen, dreigingen en regelgeving.
Compliance & Frameworks
- CIS M365: Control (L1/L2) - Identity and Access Management voor Azure AD en Microsoft 365, inclusief MFA, Conditional Access, en Access Reviews
- BIO: 08.03, 09.01, 09.02, 09.03 - Authenticatiemethoden, toegangscontroles en identiteitsbeheer implementeren
- ISO 27001:2022: A.5.17, A.5.18, A.8.3, A.9.1, A.9.2 - Toegangscontrole, authenticatiemechanismen en identiteitsbeheer
- NIS2: Artikel - Toegangsbeheer en authenticatie voor essentiële en belangrijke entiteiten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Overzichtsmonitoring en remediatie voor Azure Identity-status
.DESCRIPTION
Geeft een samenvattend beeld van de identiteitsbeheer-status van de Azure-omgeving,
inclusief Conditional Access Policies, Access Reviews, en belangrijke
identiteitsbeheer-indicatoren. Ondersteunt het gericht identificeren en dichten
van identiteitsbeheer-hiaten.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Controls: 1.1.1, 1.1.2, 1.1.3, 1.2.1, 1.2.2, 1.3.1, 1.3.2
Requires: Azure AD Premium P1/P2, Microsoft.Graph.Identity.SignIns,
Microsoft.Graph.Identity.DirectoryManagement,
Microsoft.Graph.Identity.Governance
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph.Identity.SignIns, Microsoft.Graph.Identity.DirectoryManagement, Microsoft.Graph.Identity.Governance
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Monitoring,
[Parameter(Mandatory = $false)]
[switch]$Remediation,
[Parameter(Mandatory = $false)]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Azure Identity Overview" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Connect-RequiredServices {
<#
.SYNOPSIS
Maakt verbinding met Microsoft Graph
#>
try {
$context = Get-MgContext -ErrorAction SilentlyContinue
if (-not $context -or $context.Scopes -notcontains "Policy.Read.All" -or
$context.Scopes -notcontains "Directory.Read.All" -or
$context.Scopes -notcontains "IdentityUserFlow.Read.All") {
Write-Host "Connecting to Microsoft Graph..." -ForegroundColor Gray
Connect-MgGraph -Scopes "Policy.Read.All", "Policy.ReadWrite.ConditionalAccess", "Directory.Read.All", "User.Read.All", "IdentityUserFlow.Read.All", "AccessReview.Read.All", "EntitlementManagement.Read.All" -ErrorAction Stop -NoWelcome
Write-Host " [OK] Connected to Microsoft Graph" -ForegroundColor Green
}
else {
Write-Host " [OK] Already connected to Microsoft Graph" -ForegroundColor Green
}
}
catch {
Write-Host " [FAIL] Failed to connect to Microsoft Graph: $_" -ForegroundColor Red
throw
}
}
function Get-IdentityInventory {
<#
.SYNOPSIS
Stelt een overzicht op van Azure Identity-gerelateerde JSON- en PS1-bestanden.
.OUTPUTS
PSCustomObject met aantallen en details.
#>
[CmdletBinding()]
param()
$scriptPath = Split-Path -Parent $MyInvocation.MyCommand.Path
$repoRoot = Resolve-Path (Join-Path $scriptPath "..\..\..") -ErrorAction Stop
$contentRoot = Join-Path $repoRoot "content\azure\identity"
$codeRoot = Join-Path $repoRoot "code\azure\identity"
$jsonFiles = @()
if (Test-Path -Path $contentRoot) {
$jsonFiles = Get-ChildItem -Path $contentRoot -Filter "*.json" -File -ErrorAction SilentlyContinue
}
$ps1Files = @()
if (Test-Path -Path $codeRoot) {
$ps1Files = Get-ChildItem -Path $codeRoot -Filter "*.ps1" -File -ErrorAction SilentlyContinue
}
$byName = @{}
foreach ($json in $jsonFiles) {
$base = [System.IO.Path]::GetFileNameWithoutExtension($json.Name)
if (-not $byName.ContainsKey($base)) {
$byName[$base] = [pscustomobject]@{
Name = $base
JsonPath = $null
JsonUpdated = $null
ScriptPath = $null
ScriptUpdated= $null
}
}
$byName[$base].JsonPath = $json.FullName
$byName[$base].JsonUpdated = $json.LastWriteTime
}
foreach ($ps1 in $ps1Files) {
$base = [System.IO.Path]::GetFileNameWithoutExtension($ps1.Name)
if (-not $byName.ContainsKey($base)) {
$byName[$base] = [pscustomobject]@{
Name = $base
JsonPath = $null
JsonUpdated = $null
ScriptPath = $null
ScriptUpdated= $null
}
}
$byName[$base].ScriptPath = $ps1.FullName
$byName[$base].ScriptUpdated = $ps1.LastWriteTime
}
return [pscustomobject]@{
TotalArticles = $byName.Count
ArticlesWithJson = ($byName.Values | Where-Object { $_.JsonPath }).Count
ArticlesWithScript = ($byName.Values | Where-Object { $_.ScriptPath }).Count
ArticlesComplete = ($byName.Values | Where-Object { $_.JsonPath -and $_.ScriptPath }).Count
Details = $byName.Values | Sort-Object Name
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de configuratie en status van Azure Identity-beheer
#>
try {
Connect-RequiredServices
Write-Host "Checking Azure Identity configuration..." -ForegroundColor Gray
$result = @{
conditionalAccessPolicies = 0
enabledCAPolicies = 0
accessReviews = 0
activeAccessReviews = 0
entitlementCatalogs = 0
lifecycleWorkflows = 0
compliant = $false
}
# Check Conditional Access Policies
try {
$caPolicies = Get-MgIdentityConditionalAccessPolicy -ErrorAction Stop
if ($caPolicies) {
$result.conditionalAccessPolicies = $caPolicies.Count
$result.enabledCAPolicies = ($caPolicies | Where-Object { $_.State -eq "enabled" }).Count
Write-Host " [OK] Conditional Access Policies: $($result.conditionalAccessPolicies) total, $($result.enabledCAPolicies) enabled" -ForegroundColor Green
}
else {
Write-Host " [WARNING] No Conditional Access Policies found" -ForegroundColor Yellow
}
}
catch {
Write-Host " [WARNING] Could not retrieve Conditional Access Policies: $_" -ForegroundColor Yellow
}
# Check Access Reviews
try {
$accessReviews = Get-MgIdentityGovernanceAccessReviewDefinition -ErrorAction Stop -All
if ($accessReviews) {
$result.accessReviews = $accessReviews.Count
$result.activeAccessReviews = ($accessReviews | Where-Object { $_.Status -eq "InProgress" }).Count
Write-Host " [OK] Access Reviews: $($result.accessReviews) total, $($result.activeAccessReviews) active" -ForegroundColor Green
}
else {
Write-Host " [WARNING] No Access Reviews found" -ForegroundColor Yellow
}
}
catch {
Write-Host " [WARNING] Could not retrieve Access Reviews: $_" -ForegroundColor Yellow
}
# Check Entitlement Management
try {
$catalogs = Get-MgEntitlementManagementAccessPackageCatalog -ErrorAction Stop -All
if ($catalogs) {
$result.entitlementCatalogs = $catalogs.Count
Write-Host " [OK] Entitlement Catalogs: $($result.entitlementCatalogs)" -ForegroundColor Green
}
else {
Write-Host " [INFO] No Entitlement Management catalogs found" -ForegroundColor Gray
}
}
catch {
Write-Host " [INFO] Could not retrieve Entitlement Management catalogs: $_" -ForegroundColor Gray
}
# Check Lifecycle Workflows
try {
$workflows = Get-MgIdentityGovernanceLifecycleWorkflowWorkflow -ErrorAction Stop -All
if ($workflows) {
$result.lifecycleWorkflows = $workflows.Count
Write-Host " [OK] Lifecycle Workflows: $($result.lifecycleWorkflows)" -ForegroundColor Green
}
else {
Write-Host " [INFO] No Lifecycle Workflows found" -ForegroundColor Gray
}
}
catch {
Write-Host " [INFO] Could not retrieve Lifecycle Workflows: $_" -ForegroundColor Gray
}
# Get article inventory
Write-Host "`n Article Inventory:" -ForegroundColor Cyan
$inventory = Get-IdentityInventory
Write-Host " Total Articles: $($inventory.TotalArticles)" -ForegroundColor White
Write-Host " Articles with JSON: $($inventory.ArticlesWithJson)" -ForegroundColor White
Write-Host " Articles with Script: $($inventory.ArticlesWithScript)" -ForegroundColor White
Write-Host " Complete Articles: $($inventory.ArticlesComplete)" -ForegroundColor White
Write-Host "`n Summary:" -ForegroundColor Cyan
Write-Host " Conditional Access Policies: $($result.conditionalAccessPolicies) ($($result.enabledCAPolicies) enabled)" -ForegroundColor White
Write-Host " Access Reviews: $($result.accessReviews) ($($result.activeAccessReviews) active)" -ForegroundColor White
Write-Host " Entitlement Catalogs: $($result.entitlementCatalogs)" -ForegroundColor White
Write-Host " Lifecycle Workflows: $($result.lifecycleWorkflows)" -ForegroundColor White
# Determine compliance status
$hasCAPolicies = $result.enabledCAPolicies -gt 0
$hasAccessReviews = $result.accessReviews -gt 0
if ($hasCAPolicies -and $hasAccessReviews) {
$result.compliant = $true
Write-Host "`n [OK] COMPLIANT" -ForegroundColor Green
Write-Host " Azure Identity-beheer is geconfigureerd met Conditional Access Policies en Access Reviews" -ForegroundColor Cyan
exit 0
}
else {
Write-Host "`n [WARNING] PARTIALLY COMPLIANT" -ForegroundColor Yellow
Write-Host " Aanbevolen: Configureer een volledig Azure Identity-beheer-raamwerk" -ForegroundColor Yellow
if (-not $hasCAPolicies) {
Write-Host " - Conditional Access Policies implementeren" -ForegroundColor Gray
}
if (-not $hasAccessReviews) {
Write-Host " - Access Reviews configureren" -ForegroundColor Gray
}
exit 1
}
}
catch {
Write-Host "`n [FAIL] ERROR: $_" -ForegroundColor Red
Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red
Write-Host "`n Note: Azure Identity-beheer vereist Azure AD Premium P1 of P2 licenties" -ForegroundColor Yellow
exit 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Genereert overzichten van identiteitsbeheer-hiaten en biedt handvatten voor verbeteracties
#>
try {
Connect-RequiredServices
Write-Host "Azure Identity Remediation Overview" -ForegroundColor Gray
Write-Host "`n [INFO] Identificeer identiteitsbeheer-hiaten en plan gerichte verbeteracties" -ForegroundColor Yellow
Write-Host "`n Aanbevolen verbeteracties:" -ForegroundColor Cyan
Write-Host "`n 1. Conditional Access Policies:" -ForegroundColor Yellow
Write-Host " - Implementeer MFA voor alle gebruikers" -ForegroundColor Gray
Write-Host " - Blokkeer legacy authenticatie" -ForegroundColor Gray
Write-Host " - Vereis apparaatcompliance voor gevoelige apps" -ForegroundColor Gray
Write-Host " - Configureer risicogebaseerde toegangscontrole" -ForegroundColor Gray
Write-Host "`n 2. Access Reviews:" -ForegroundColor Yellow
Write-Host " - Configureer regelmatige reviews voor kritieke toegangsrechten" -ForegroundColor Gray
Write-Host " - Automatiseer access review workflows" -ForegroundColor Gray
Write-Host " - Documenteer review-resultaten en acties" -ForegroundColor Gray
Write-Host "`n 3. Entitlement Management:" -ForegroundColor Yellow
Write-Host " - Maak toegangscatalogi voor veelgebruikte resources" -ForegroundColor Gray
Write-Host " - Configureer self-service toegangsverzoeken" -ForegroundColor Gray
Write-Host " - Automatiseer toegangstoewijzing en -intrekking" -ForegroundColor Gray
Write-Host "`n 4. Lifecycle Management:" -ForegroundColor Yellow
Write-Host " - Automatiseer provisioning op basis van HR-gegevens" -ForegroundColor Gray
Write-Host " - Configureer automatische deprovisioning bij vertrek" -ForegroundColor Gray
Write-Host " - Integreer met HR-systemen voor accurate lifecycle-beheer" -ForegroundColor Gray
Write-Host "`n 5. Monitoring en Rapportage:" -ForegroundColor Yellow
Write-Host " - Configureer dashboards voor identiteitsbeheer-status" -ForegroundColor Gray
Write-Host " - Automatiseer compliance-rapportages" -ForegroundColor Gray
Write-Host " - Monitor identiteitsbeheer-metrics en trends" -ForegroundColor Gray
Write-Host "`n [INFO] Gebruik de specifieke artikelen en scripts voor gedetailleerde implementatie-instructies" -ForegroundColor Cyan
Write-Host " [INFO] Voer -Monitoring uit om de voortgang te verifiëren" -ForegroundColor Cyan
exit 0
}
catch {
Write-Host "`n [FAIL] ERROR: $_" -ForegroundColor Red
Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red
exit 2
}
}
try {
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
Write-Host "Usage:" -ForegroundColor Yellow
Write-Host " -Monitoring Controleer Azure Identity-beheer configuratie" -ForegroundColor Gray
Write-Host " -Remediation Toon remediatie-instructies" -ForegroundColor Gray
Write-Host "`n Voorbeeld:" -ForegroundColor Cyan
Write-Host " .\index.ps1 -Monitoring" -ForegroundColor White
}
}
catch {
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Kritiek - Zonder een volwassen identiteitsbeheer-raamwerk in Azure kunnen organisaties niet effectief controleren wie toegang heeft tot welke resources, wanneer deze toegang wordt gebruikt, en of deze toegang nog steeds gerechtvaardigd is. Dit creëert aanzienlijke beveiligingsrisico's en niet-naleving van compliance-vereisten zoals BIO 08.03, ISO 27001 A.9.1 en NIS2 Artikel 21.
Management Samenvatting
Azure identiteitsbeheer vereist een samenhangend raamwerk dat authenticatie, autorisatie, provisioning, lifecycle management en governance integreert. Dit index-artikel fungeert als centrale verzamelplaats voor identiteitsbeheer-artikelen en beschrijft governance, implementatie, monitoring en continue verbetering van identiteitsbeheer in Azure-omgevingen.
- Implementatietijd: 180 uur
- FTE required: 0.5 FTE