💼 Management Samenvatting
Privileged Identity Management (PIM) voor Azure AD-rollen elimineert permanente bevoorrechte toegang door just-in-time, goedkeuringsgebaseerde rolactivering te implementeren met verplichte meervoudige authenticatie, rechtvaardiging en automatische intrekking. Voor Nederlandse overheidsorganisaties is PIM een essentiële beveiligingsmaatregel die direct bijdraagt aan compliance met BIO, NIS2 en ISO 27001 door het aanvalsoppervlak te minimaliseren en volledige accountability te bieden voor alle bevoorrechte toegang tot Azure AD en Microsoft 365-services.
Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
36u (tech: 20u)
Van toepassing op:
✓ Azure AD
✓ Entra ID
✓ Microsoft 365
✓ Entra ID
✓ Microsoft 365
Permanente bevoorrechte toegang tot Azure AD-rollen zoals Globale beheerder, Beveiligingsbeheerder en Gebruikersbeheerder creëert een permanent aanvalsoppervlak dat Nederlandse overheidsorganisaties blootstelt aan ernstige beveiligingsrisico's. Wanneer een beheerdersaccount met permanente Globale beheerder-rechten wordt gecompromitteerd, heeft een aanvaller onmiddellijk onbeperkte toegang tot alle Azure AD-configuraties, gebruikersgegevens, Microsoft 365-services en gevoelige organisatie-informatie. Gebruikers met permanente beheerdersrechten behouden deze privileges zelfs wanneer zij geen beheerdertaken uitvoeren, wat een buitensporig blootstellingsvenster creëert dat 24/7 beschikbaar is voor misbruik door externe aanvallers, gecompromitteerde accounts of interne dreigingen. Bovendien ontbreekt accountability over wanneer beheerdersrechten daadwerkelijk worden gebruikt versus normale werkzaamheden, waardoor het moeilijk wordt om misbruik te detecteren of te voorkomen. Interne dreigingen hebben continu verhoogde toegang tot gevoelige bronnen zonder dat dit wordt gecontroleerd of gerechtvaardigd. Privileged Identity Management lost deze fundamentele problemen op door geschikte toewijzingen te gebruiken in plaats van actieve toewijzingen, waarbij gebruikers standaard geen beheerdersrechten hebben totdat zij expliciet een activering aanvragen. Activeringen zijn strikt tijdsbeperkt, typisch tot maximaal acht uur, en worden automatisch gedeactiveerd zonder handmatige interventie. Goedkeuringsworkflows zorgen ervoor dat managers of het beveiligingsteam elke verhoging moeten goedkeuren voordat toegang wordt verleend, wat een extra controlelaag biedt. Meervoudige authenticatie is verplicht bij elke activering om te voorkomen dat gecompromitteerde accounts eenvoudig kunnen escaleren. Een schriftelijke rechtvaardiging is verplicht bij elke activeringsaanvraag, wat een complete audittrail creëert waarom beheerders toegang nodig hebben. Ten slotte worden real-time waarschuwingen gegenereerd wanneer bevoorrechte rollen worden geactiveerd, waardoor het beveiligingsteam direct op de hoogte wordt gesteld van alle privileged access activiteiten.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.Governance
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.Governance
Implementatie
Deze control implementeert Privileged Identity Management voor Azure AD-rollen, met focus op kritieke beheerdersrollen zoals Globale beheerder, Beveiligingsbeheerder, Gebruikersbeheerder, Exchange Administrator, SharePoint Administrator en Compliance Administrator. De configuratie omvat het omzetten van permanente toewijzingen naar geschikte toewijzingen, waarbij gebruikers de rol kunnen aanvragen wanneer nodig maar standaard geen actieve rechten hebben. PIM wordt geconfigureerd via de Entra ID-portal, waarbij rolinstellingen worden aangepast per roltype op basis van risico en impact. Voor hoog-impact rollen zoals Globale beheerder en Beveiligingsbeheerder is goedkeuring vereist door een manager of beveiligingsteam voordat de rol wordt geactiveerd. Meervoudige authenticatie is verplicht voor elke activering om identiteitsverificatie te waarborgen. De maximale activeringsduur is vastgesteld op acht uur voor de meeste rollen, met kortere duur voor zeer kritieke rollen zoals User Access Administrator. Bij elke activeringsaanvraag is een schriftelijke rechtvaardiging vereist die wordt vastgelegd in de auditlogs. Het beveiligingsteam ontvangt waarschuwingen wanneer kritieke rollen worden geactiveerd, waardoor real-time monitoring mogelijk is. Periodieke toegangsbeoordelingen worden uitgevoerd om te controleren of geschikte toewijzingen nog steeds gerechtvaardigd zijn. Gebruikers activeren rollen via de Microsoft 365-beheercentrum of Azure Portal door te navigeren naar Privileged Identity Management, vervolgens Mijn rollen te selecteren en de gewenste rol te activeren met rechtvaardiging. Na goedkeuring ontvangen zij een tijdelijke toewijzing voor de aangevraagde duur, waarna de rechten automatisch worden ingetrokken.
Vereisten
Voor het succesvol implementeren van Privileged Identity Management voor Azure AD-rollen zijn verschillende technische en organisatorische vereisten noodzakelijk die zorgvuldig moeten worden overwogen voordat het proces wordt gestart. De belangrijkste technische vereiste is het beschikken over Azure AD Premium P2-licenties voor alle gebruikers die bevoorrechte rollen zullen activeren, evenals voor de personen die de PIM-configuratie zullen beheren en onderhouden. Deze licenties vormen de fundamentele basis waarop het gehele PIM-systeem draait, en zonder deze licenties is het onmogelijk om de beveiligingsmaatregel te implementeren. Organisaties moeten ervoor zorgen dat voldoende licenties beschikbaar zijn voor alle gebruikers die bevoorrechte rollen zullen activeren, waarbij rekening wordt gehouden met toekomstige groei en de mogelijkheid dat aanvullende gebruikers in de toekomst bevoorrechte toegang nodig hebben.
Voor de configuratie van PIM zijn specifieke beheerdersrechten vereist die verder gaan dan standaard beheerdersrechten. De persoon die de implementatie uitvoert moet beschikken over globale beheerdersrechten of Privileged rol Administrator rechten in Azure Active Directory, omdat PIM-configuratie wijzigingen aan rollen en toewijzingen vereist die niet beschikbaar zijn voor standaard beheerders of gebruikers met beperkte rechten. Deze rechten zijn noodzakelijk om de PIM-functionaliteit in te schakelen, rolinstellingen te configureren, goedkeurders aan te wijzen en de initiële conversie van permanente naar geschikte toewijzingen uit te voeren. Het is sterk aanbevolen om deze configuratietaken uit te voeren vanuit een beveiligd beheerdersaccount dat specifiek is toegewezen voor beveiligingsimplementaties, in plaats van dagelijkse beheerdersaccounts te gebruiken.
Voordat PIM wordt geconfigureerd, moet een volledige en gedetailleerde inventarisatie worden uitgevoerd van alle huidige bevoorrechte roltoewijzingen in Azure AD. Deze inventarisatie vormt de basis voor alle verdere beslissingen en moet daarom uiterst nauwkeurig en compleet zijn. De inventarisatie moet alle actieve toewijzingen documenteren, inclusief Azure AD-rollen zoals Globale beheerder, Beveiligingsbeheerder, Gebruikersbeheerder, Exchange Administrator, SharePoint Administrator en Compliance Administrator. Voor elke toewijzing moet worden vastgelegd welke gebruiker of service principal de rol heeft toegewezen gekregen, wanneer de toewijzing is gemaakt, en wie de toewijzing heeft uitgevoerd. Bovendien moet worden gedocumenteerd of de toewijzing permanent is of tijdelijk, en indien tijdelijk, wanneer deze verloopt. Deze informatie is essentieel om te bepalen welke toewijzingen moeten worden omgezet naar geschikte toewijzingen in PIM en welke mogelijk kunnen worden verwijderd als onderdeel van het least-privilege principe.
Een goedkeuringsworkflow moet worden gedefinieerd en gedocumenteerd voordat PIM wordt geïmplementeerd, omdat dit een kritieke component is van het beveiligingsmodel die direct invloed heeft op zowel de beveiliging als de gebruikerservaring. De organisatie moet duidelijk bepalen wie verantwoordelijk is voor het goedkeuren van activeringen van verschillende roltypen, waarbij rekening wordt gehouden met de impact en het risico van elke rol. Voor hoog-impact rollen zoals Globale beheerder, Beveiligingsbeheerder en User Access Administrator is meestal goedkeuring vereist van een manager, IT-leidinggevende of lid van het beveiligingsteam, terwijl rollen met lagere impact mogelijk automatisch kunnen worden goedgekeurd of een vereenvoudigde goedkeuringsworkflow kunnen hebben. De workflow moet duidelijk maken wie goedkeuring verleent voor welke rollen, wat de verwachte goedkeuringstijd is onder normale omstandigheden, en hoe escalaties moeten worden afgehandeld wanneer een goedkeurder niet beschikbaar is of niet tijdig reageert.
Meervoudige authenticatie moet worden geactiveerd en geconfigureerd voor alle gebruikers voordat PIM wordt geïmplementeerd, omdat dit een verplichte vereiste is voor PIM-activeringen. Gebruikers moeten ten minste twee verificatiemethoden registreren, zoals de Microsoft Authenticator-app, SMS, telefoongesprek, of hardware-tokens. Voor beheerders moeten ten minste drie verificatiemethoden worden geregistreerd om redundantie te waarborgen. Het is belangrijk om te realiseren dat zonder correct geconfigureerde MFA, PIM-activeringen zullen falen, wat kan leiden tot operationele verstoringen en gebruikersontevredenheid.
Implementatie
Gebruik PowerShell-script privileged-identity-management.ps1 (functie Invoke-Remediation) – Configureert Privileged Identity Management voor Azure AD-rollen volgens best practices.
De implementatie van Privileged Identity Management voor Azure AD-rollen begint met het inschakelen van PIM in de Entra ID-portal door te navigeren naar Identity Governance, vervolgens Privileged Identity Management te selecteren, en daarna Azure AD roles te kiezen. Deze eenmalige actie moet worden uitgevoerd door een globale beheerder en activeert de PIM-functionaliteit voor alle Azure AD-rollen binnen de tenant. Na het inschakelen verschijnt er een overzicht van alle beschikbare Azure AD-rollen, waarbij elke rol kan worden geconfigureerd met specifieke beveiligingsvereisten die zijn afgestemd op het risico en de impact van die rol.
Voor de Globale beheerder-rol, die de hoogste privileges biedt en daarom het grootste risico vormt, moeten de rolinstellingen worden geconfigureerd met de strengste beveiligingsvereisten. Dit omvat het vereisen van goedkeuring door een manager of beveiligingsteam voordat de rol wordt geactiveerd, het verplichten van meervoudige authenticatie bij elke activering, het vereisen van een schriftelijke rechtvaardiging die duidelijk uitlegt waarom bevoorrechte toegang nodig is, en het instellen van een maximale activeringsduur van acht uur. Bovendien moeten goedkeurders worden aangewezen voor deze rol, waarbij typisch IT-management en het beveiligingsteam worden toegewezen als goedkeurders. Waarschuwingen moeten worden geconfigureerd om het beveiligingsteam onmiddellijk te waarschuwen wanneer de Globale beheerder-rol wordt geactiveerd, zodat zij real-time monitoring kunnen uitvoeren.
Voor de Beveiligingsbeheerder-rol, die kritieke beveiligingsconfiguraties kan wijzigen en daarom een hoog risico vormt, moeten vergelijkbare controles worden toegepast. Goedkeuring, meervoudige authenticatie, rechtvaardiging en een maximale activeringsduur van acht uur moeten worden vereist. Voor rollen met lagere impact zoals Gebruikersbeheerder kunnen meervoudige authenticatie en rechtvaardiging worden vereist zonder goedkeuring, met een maximale activeringsduur van acht uur. Voor de Exchange Administrator en SharePoint Administrator rollen, die specifieke Microsoft 365-services beheren, moeten meervoudige authenticatie en rechtvaardiging worden vereist, met optionele goedkeuring afhankelijk van het risicoprofiel van de organisatie.
Na het configureren van de rolinstellingen moeten permanente toewijzingen worden omgezet naar geschikte toewijzingen. Dit proces begint met het identificeren van alle gebruikers die momenteel permanente toewijzingen hebben voor bevoorrechte rollen. Voor elke gebruiker moet worden bepaald of zij daadwerkelijk regelmatig bevoorrechte toegang nodig hebben, of dat de toewijzing kan worden verwijderd. Gebruikers die regelmatig bevoorrechte toegang nodig hebben, moeten worden toegewezen als geschikte toewijzingen in PIM, waarbij zij de rol kunnen aanvragen wanneer nodig maar standaard geen actieve rechten hebben. Gebruikers die geen regelmatige bevoorrechte toegang nodig hebben, moeten hun permanente toewijzingen verliezen en kunnen indien nodig rollen activeren via PIM wanneer dit tijdelijk nodig is.
Een pilot-implementatie moet worden uitgevoerd met een beperkte maar representatieve groep gebruikers die fungeert als testgroep voor het nieuwe PIM-systeem. Deze pilotgroep moet bestaan uit vijf tot tien beheerders die representatief zijn voor de volledige gebruikerspopulatie in termen van functie, verantwoordelijkheden en frequentie van bevoorrechte toegang. Hun permanente toewijzingen moeten worden omgezet naar geschikte toewijzingen in PIM, waarbij zij de nieuwe activeringsworkflow moeten testen en feedback moeten geven over hun ervaringen. Tijdens de pilot moeten gebruikers worden getraind in het activeringsproces, inclusief hoe zij rollen aanvragen via de Microsoft 365-beheercentrum of Azure Portal, hoe zij rechtvaardigingen invullen die duidelijk uitleggen waarom zij bevoorrechte toegang nodig hebben, en hoe zij omgaan met goedkeuringsworkflows wanneer goedkeuring vereist is.
Na een succesvolle pilot moet de volledige rollout plaatsvinden naar alle gebruikers met bevoorrechte toegang. Tijdens deze fase moeten alle bevoorrechte toewijzingen systematisch worden omgezet naar geschikte toewijzingen in PIM, waarbij elke conversie zorgvuldig wordt uitgevoerd om ervoor te zorgen dat gebruikers nog steeds toegang hebben tot de resources die zij nodig hebben, maar nu via het nieuwe activeringsproces. Permanente toewijzingen moeten worden verwijderd met uitzondering van break-glass accounts die zijn aangewezen voor noodsituaties waarbij onmiddellijke toegang vereist is zonder te wachten op goedkeuring. Deze break-glass accounts moeten echter uiterst beperkt zijn, moeten worden beschermd met extra beveiligingsmaatregelen zoals hardware security keys, en moeten regelmatig worden geauditeerd om te controleren of zij daadwerkelijk alleen in noodsituaties worden gebruikt.
Compliance en Auditing
Privileged Identity Management voor Azure AD-rollen is essentieel voor naleving van verschillende internationale en nationale beveiligingsstandaarden en -richtlijnen die relevant zijn voor Nederlandse overheidsorganisaties. De CIS Microsoft 365 Benchmark versie 1.4.0 specificeert in controle 1.21 expliciet dat organisaties Azure Privileged Identity Management moeten gebruiken om administratieve toegang te beheren. Deze controle valt onder niveau L2, wat betekent dat het wordt aanbevolen voor organisaties met hogere beveiligingsvereisten. De CIS Benchmark benadrukt dat permanente bevoorrechte toegang een significant beveiligingsrisico vormt en dat PIM dit risico aanzienlijk reduceert door just-in-time toegang te implementeren met verplichte controles.
Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder en kritiek belang, aangezien deze baseline specifiek is ontwikkeld voor de Nederlandse publieke sector en verplicht is voor alle overheidsorganisaties. BIO-thema 09.02 betreft toegangsbeleid en vereist specifiek time-limited privileged access, waarbij bevoorrechte toegang alleen wordt verleend voor de duur die noodzakelijk is voor het uitvoeren van specifieke taken. Deze vereiste is gebaseerd op het principe van minimale rechten, waarbij gebruikers alleen de rechten krijgen die zij op dat moment nodig hebben, en niet meer. Privileged Identity Management is een directe implementatie van dit thema, omdat het permanente toegang elimineert en in plaats daarvan tijdsbeperkte activeringen implementeert met automatische intrekking na verloop van tijd. BIO-thema 09.04 vereist bovendien dat organisaties toegangsrechten regelmatig beoordelen en intrekken wanneer deze niet langer nodig zijn, wat wordt geadresseerd door periodieke toegangsbeoordelingen in PIM.
De internationale standaard ISO 27001:2022 bevat verschillende controles die relevant zijn voor Privileged Identity Management, waaronder A.5.18 en A.9.4.3, die beide betrekking hebben op toegangsbeheer en privileged access management. Controle A.5.18 betreft toegangsrechtenmanagement en vereist dat organisaties een proces hebben voor het beheren van toegangsrechten gedurende de gehele levenscyclus van gebruikersaccounts. Controle A.9.4.3 betreft privileged access management en vereist dat organisaties het gebruik van privileged access controls beperken en controleren, waarbij zij moeten zorgen dat bevoorrechte toegang alleen wordt verleend wanneer dit noodzakelijk is en dat alle gebruik van bevoorrechte toegang wordt geauditeerd. Privileged Identity Management implementeert beide controles door het elimineren van permanente bevoorrechte toegang, het vereisen van goedkeuring voor activeringen, het implementeren van volledige auditlogging van alle privileged access activiteiten, en het automatisch intrekken van toegang na verloop van tijd.
De Europese NIS2-richtlijn bevat in Artikel 21 specifieke en bindende vereisten voor toegangsbeheer en authenticatie. De richtlijn vereist expliciet dat organisaties passende en effectieve maatregelen treffen voor toegangsbeheer, inclusief meervoudige authenticatie voor toegang tot kritieke systemen en gegevens, en privileged access management voor beheerdersaccounts. Voor Nederlandse organisaties die onder de reikwijdte van NIS2 vallen, is het implementeren van Privileged Identity Management niet alleen een best practice of aanbeveling, maar een wettelijke verplichting die moet worden nageleefd. Niet-naleving van NIS2-vereisten kan leiden tot aanzienlijke financiële boetes, die kunnen oplopen tot miljoenen euro's, evenals ernstige reputatieschade en mogelijke gevolgen voor de continuïteit van bedrijfsvoering.
Monitoring
Gebruik PowerShell-script privileged-identity-management.ps1 (functie Invoke-Monitoring) – Controleert de configuratie en status van Privileged Identity Management voor Azure AD-rollen.
Effectieve monitoring van Privileged Identity Management is essentieel om te waarborgen dat het beveiligingsraamwerk correct blijft functioneren en dat organisaties altijd beschikken over actuele en effectieve toegangscontroles. Monitoring omvat het continu volgen van de werking van alle actieve PIM-configuraties, het verifiëren dat rolinstellingen correct zijn geconfigureerd, het controleren van de effectiviteit van toegangscontroles, en het waarborgen dat alle beveiligingsscenario's worden afgedekt door passende configuraties.
De basis van monitoring wordt gevormd door regelmatige verificatie van de status van alle PIM-configuraties via de Entra ID-portal of via PowerShell met behulp van de Microsoft Graph API. Beheerders moeten wekelijks controleren of alle kritieke bevoorrechte rollen zijn geconfigureerd met geschikte toewijzingen in plaats van permanente toewijzingen, of er geen waarschuwingen of foutmeldingen zijn die kunnen wijzen op problemen met het PIM-systeem, en of rolinstellingen correct zijn geconfigureerd met de vereiste beveiligingscontroles. Deze verificatie kan worden geautomatiseerd via PowerShell-scripts die de status van alle PIM-configuraties controleren en waarschuwingen genereren wanneer problemen worden gedetecteerd.
PIM-waarschuwingen moeten worden geconfigureerd voor kritieke gebeurtenissen die onmiddellijke aandacht vereisen, zoals activeringen van de Globale beheerder-rol of Beveiligingsbeheerder-rol die de hoogste privileges bieden en daarom het grootste risico vormen. Deze waarschuwingen moeten onmiddellijk worden gemeld aan het beveiligingsteam via e-mail, SMS of een geïntegreerd security operations center systeem, zodat zij direct kunnen reageren op verdachte activiteiten. Mislukte activeringspogingen moeten ook worden gecontroleerd en geauditeerd omdat deze kunnen wijzen op privilege escalation pogingen door externe aanvallers die proberen toegang te krijgen tot bevoorrechte accounts, of door interne dreigingen die proberen hun rechten te escaleren zonder autorisatie.
Wekelijkse reviews moeten worden uitgevoerd waarbij wordt geanalyseerd wie welke rollen heeft geactiveerd, waarom deze activeringen plaatsvonden op basis van ingediende rechtvaardigingen, en of er patronen zijn die wijzen op ongebruikelijk gedrag zoals activeringen buiten normale werkuren, activeringen van meerdere rollen door dezelfde gebruiker in korte tijd, of activeringen die niet overeenkomen met de gebruikelijke werkzaamheden van de gebruiker. Deze monitoringinformatie moet worden gedocumenteerd in een gestructureerd formaat en moet worden gebruikt voor compliance-doeleinden en beveiligingsaudits, waarbij trends worden geïdentificeerd die kunnen wijzen op potentiële beveiligingsproblemen of mogelijkheden voor verbetering van het PIM-systeem.
Remediatie
Gebruik PowerShell-script privileged-identity-management.ps1 (functie Invoke-Remediation) – Herstelt of configureert Privileged Identity Management wanneer deze ontbreekt of onjuist is geconfigureerd.
Remediatie van Privileged Identity Management omvat het opzetten van PIM wanneer deze niet is ingeschakeld, het corrigeren van configuratiefouten in bestaande PIM-instellingen, het omzetten van permanente toewijzingen naar geschikte toewijzingen, en het waarborgen dat alle beveiligingsscenario's worden afgedekt door passende configuraties. Het is belangrijk om te realiseren dat wanneer PIM niet is geconfigureerd, organisaties niet beschikken over een gestructureerd proces om bevoorrechte toegang te beheren, wat kan resulteren in permanente bevoorrechte toegang en niet-naleving van compliance-vereisten.
Wanneer PIM niet is ingeschakeld, kan deze worden geactiveerd via de Entra ID-portal door te navigeren naar Identity Governance, vervolgens Privileged Identity Management te selecteren, en daarna Azure AD roles te kiezen. Deze eenmalige actie moet worden uitgevoerd door een globale beheerder en activeert de PIM-functionaliteit voor alle Azure AD-rollen binnen de tenant. Na het inschakelen moeten rolinstellingen worden geconfigureerd voor alle kritieke bevoorrechte rollen, waarbij specifieke beveiligingsvereisten worden toegepast die zijn afgestemd op het risico en de impact van elke rol.
Voor bestaande PIM-configuraties met configuratiefouten kunnen de instellingen worden bijgewerkt via de Entra ID-portal door te navigeren naar de specifieke rol en de rolinstellingen te bewerken. Dit omvat het bijwerken van goedkeurders wanneer deze niet langer geschikt zijn, het aanpassen van beveiligingsvereisten wanneer dit nodig is, en het corrigeren van configuratiefouten wanneer deze niet correct functioneren. Het is belangrijk om te verifiëren dat alle wijzigingen correct zijn toegepast en dat het PIM-systeem correct blijft functioneren na de wijzigingen, waarbij het systeem opnieuw wordt getest om te verifiëren dat activeringen correct werken.
Permanente toewijzingen moeten worden omgezet naar geschikte toewijzingen in PIM door gebruikers toe te wijzen als geschikte toewijzingen in plaats van actieve toewijzingen. Dit proces kan worden uitgevoerd via de Entra ID-portal door te navigeren naar Privileged Identity Management, vervolgens Azure AD roles te selecteren, de specifieke rol te kiezen, en gebruikers toe te voegen als geschikte toewijzingen. Permanente actieve toewijzingen moeten worden verwijderd nadat geschikte toewijzingen zijn gemaakt, waarbij wordt gecontroleerd dat gebruikers nog steeds toegang hebben tot de resources die zij nodig hebben via het nieuwe activeringsproces.
Compliance & Frameworks
- CIS M365: Control (L2) - Zorg ervoor dat Azure Privileged Identity Management (PIM) wordt gebruikt om administratieve toegang te beheren
- BIO: 09.02, 09.04 - BIO Baseline Informatiebeveiliging Overheid - Thema 9: Toegangsbeveiliging - Minimale rechten en tijdsbeperkte toegang
- ISO 27001:2022: A.5.18, A.9.4.3 - Toegangsrechtenbeheer en bevoorrechte toegangssystemen
- NIS2: Artikel - Cybersecurity risicobeheer - Privileged Toegangsbeheer
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Privileged Identity Management Configuration voor Azure AD-rollen
.DESCRIPTION
CIS Microsoft 365 Benchmark - Control 1.21
Controleert en configureert Privileged Identity Management voor Azure AD-rollen
om permanente bevoorrechte toegang te elimineren en just-in-time activering
te implementeren met verplichte meervoudige authenticatie, goedkeuring en
automatische intrekking.
.NOTES
Filename: privileged-identity-management.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.21
Requires: Azure AD Premium P2, Microsoft.Graph.Identity.Governance
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph.Identity.Governance
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Monitoring,
[Parameter(Mandatory = $false)]
[switch]$Remediation,
[Parameter(Mandatory = $false)]
[switch]$Revert,
[Parameter(Mandatory = $false)]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Privileged Identity Management" -ForegroundColor Cyan
Write-Host "Azure AD Roles Configuration" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Connect-RequiredServices {
<#
.SYNOPSIS
Maakt verbinding met Microsoft Graph
#>
try {
$context = Get-MgContext -ErrorAction SilentlyContinue
if (-not $context -or $context.Scopes -notcontains "RoleManagement.ReadWrite.Directory") {
Write-Host "Connecting to Microsoft Graph..." -ForegroundColor Gray
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory", "Directory.Read.All", "User.Read.All", "RoleManagement.Read.Directory" -ErrorAction Stop -NoWelcome
Write-Host " [OK] Connected to Microsoft Graph" -ForegroundColor Green
}
else {
Write-Host " [OK] Already connected to Microsoft Graph" -ForegroundColor Green
}
}
catch {
Write-Host " [FAIL] Failed to connect to Microsoft Graph: $_" -ForegroundColor Red
throw
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de configuratie en status van Privileged Identity Management voor Azure AD-rollen
#>
try {
Connect-RequiredServices
Write-Host "Checking Privileged Identity Management configuration..." -ForegroundColor Gray
# Haal alle directory rollen op
$directoryRoles = Get-MgDirectoryRole -ErrorAction Stop
# Haal alle geschikte roltoewijzingen op via PIM
$eligibleAssignments = @()
try {
$eligibleSchedules = Get-MgRoleManagementDirectoryRoleEligibilitySchedule -All -ErrorAction SilentlyContinue
if ($eligibleSchedules) {
$eligibleAssignments = $eligibleSchedules
}
}
catch {
Write-Host " [WARNING] Could not retrieve PIM eligible assignments: $_" -ForegroundColor Yellow
}
# Haal permanente roltoewijzingen op
$permanentAssignments = @()
foreach ($role in $directoryRoles) {
try {
$members = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -ErrorAction SilentlyContinue
if ($members) {
foreach ($member in $members) {
$permanentAssignments += [PSCustomObject]@{
RoleId = $role.Id
RoleName = $role.DisplayName
MemberId = $member.Id
MemberType = $member.AdditionalProperties.'@odata.type'
}
}
}
}
catch {
Write-Verbose "Could not retrieve members for role $($role.DisplayName): $_"
}
}
$result = @{
totalRoles = $directoryRoles.Count
eligibleAssignments = $eligibleAssignments.Count
permanentAssignments = $permanentAssignments.Count
highPrivilegeRolesWithPermanent = 0
compliant = $false
}
# Identificeer hoog-privilege rollen met permanente toewijzingen
$highPrivilegeRoleNames = @("Global Administrator", "Security Administrator", "User Administrator", "Exchange Administrator", "SharePoint Administrator", "Compliance Administrator")
$highPrivilegeRolesWithPermanent = $permanentAssignments | Where-Object { $highPrivilegeRoleNames -contains $_.RoleName }
$result.highPrivilegeRolesWithPermanent = ($highPrivilegeRolesWithPermanent | Measure-Object).Count
Write-Host "`n Summary:" -ForegroundColor Cyan
Write-Host " Total Azure AD Roles: $($result.totalRoles)" -ForegroundColor White
Write-Host " Eligible Assignments (PIM): $($result.eligibleAssignments)" -ForegroundColor White
Write-Host " Permanent Assignments: $($result.permanentAssignments)" -ForegroundColor $(if ($result.permanentAssignments -gt 0) { "Yellow" } else { "Green" })
Write-Host " High-Privilege Roles with Permanent Assignments: $($result.highPrivilegeRolesWithPermanent)" -ForegroundColor $(if ($result.highPrivilegeRolesWithPermanent -gt 0) { "Red" } else { "Green" })
if ($result.highPrivilegeRolesWithPermanent -gt 0) {
Write-Host "`n High-Privilege Roles with Permanent Assignments:" -ForegroundColor Yellow
$grouped = $highPrivilegeRolesWithPermanent | Group-Object -Property RoleName
foreach ($group in $grouped) {
Write-Host " - $($group.Name): $($group.Count) permanent assignment(s)" -ForegroundColor Red
}
}
# Bepaal compliance status
if ($result.highPrivilegeRolesWithPermanent -eq 0 -and $result.eligibleAssignments -gt 0) {
$result.compliant = $true
Write-Host "`n [OK] COMPLIANT" -ForegroundColor Green
Write-Host " Privileged Identity Management is geconfigureerd voor Azure AD-rollen" -ForegroundColor Cyan
Write-Host " Geen permanente toewijzingen voor hoog-privilege rollen gedetecteerd" -ForegroundColor Cyan
exit 0
}
else {
Write-Host "`n [WARNING] NON-COMPLIANT" -ForegroundColor Yellow
if ($result.highPrivilegeRolesWithPermanent -gt 0) {
Write-Host " Permanente toewijzingen gedetecteerd voor hoog-privilege rollen" -ForegroundColor Yellow
Write-Host " Aanbevolen: Converteer permanente toewijzingen naar geschikte toewijzingen in PIM" -ForegroundColor Yellow
}
if ($result.eligibleAssignments -eq 0) {
Write-Host " Geen geschikte toewijzingen gevonden - PIM mogelijk niet geconfigureerd" -ForegroundColor Yellow
Write-Host " Aanbevolen: Schakel PIM in en configureer geschikte toewijzingen" -ForegroundColor Yellow
}
exit 1
}
}
catch {
Write-Host "`n [FAIL] ERROR: $_" -ForegroundColor Red
Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red
Write-Host "`n Note: PIM vereist Azure AD Premium P2 licenties" -ForegroundColor Yellow
exit 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Configureert Privileged Identity Management wanneer deze ontbreekt
.DESCRIPTION
Deze functie biedt richtlijnen voor het handmatig configureren van Privileged Identity Management
via de Entra ID-portal, omdat geautomatiseerde configuratie complex is
en specifieke zakelijke vereisten vereist.
#>
try {
Connect-RequiredServices
Write-Host "Privileged Identity Management Configuration" -ForegroundColor Gray
Write-Host "`n [INFO] PIM-configuratie vereist handmatige stappen" -ForegroundColor Yellow
Write-Host " via de Entra ID-portal vanwege complexiteit en" -ForegroundColor Gray
Write-Host " specifieke zakelijke vereisten." -ForegroundColor Gray
Write-Host "`n Configuratiestappen:" -ForegroundColor Cyan
Write-Host " 1. Navigeer naar: https://entra.microsoft.com" -ForegroundColor White
Write-Host " 2. Ga naar: Identity Governance > Privileged Identity Management" -ForegroundColor White
Write-Host " 3. Selecteer: Azure AD roles" -ForegroundColor White
Write-Host " 4. Klik op: Enable PIM (eenmalig, door globale beheerder)" -ForegroundColor White
Write-Host "`n Aanbevolen configuraties per rol:" -ForegroundColor Cyan
Write-Host "`n Globale beheerder (hoogste risico):" -ForegroundColor Yellow
Write-Host " - Goedkeuring: Vereist (toewijs IT-management of beveiligingsteam)" -ForegroundColor Gray
Write-Host " - Meervoudige authenticatie: Vereist" -ForegroundColor Gray
Write-Host " - Rechtvaardiging: Vereist" -ForegroundColor Gray
Write-Host " - Maximale activeringsduur: 8 uur" -ForegroundColor Gray
Write-Host " - Waarschuwingen: Configureer voor activeringen" -ForegroundColor Gray
Write-Host "`n Beveiligingsbeheerder:" -ForegroundColor Yellow
Write-Host " - Goedkeuring: Vereist" -ForegroundColor Gray
Write-Host " - Meervoudige authenticatie: Vereist" -ForegroundColor Gray
Write-Host " - Rechtvaardiging: Vereist" -ForegroundColor Gray
Write-Host " - Maximale activeringsduur: 8 uur" -ForegroundColor Gray
Write-Host "`n Gebruikersbeheerder:" -ForegroundColor Yellow
Write-Host " - Goedkeuring: Optioneel (afhankelijk van risicoprofiel)" -ForegroundColor Gray
Write-Host " - Meervoudige authenticatie: Vereist" -ForegroundColor Gray
Write-Host " - Rechtvaardiging: Vereist" -ForegroundColor Gray
Write-Host " - Maximale activeringsduur: 8 uur" -ForegroundColor Gray
Write-Host "`n Exchange Administrator / SharePoint Administrator:" -ForegroundColor Yellow
Write-Host " - Goedkeuring: Optioneel" -ForegroundColor Gray
Write-Host " - Meervoudige authenticatie: Vereist" -ForegroundColor Gray
Write-Host " - Rechtvaardiging: Vereist" -ForegroundColor Gray
Write-Host " - Maximale activeringsduur: 8 uur" -ForegroundColor Gray
Write-Host "`n Conversie van permanente naar geschikte toewijzingen:" -ForegroundColor Cyan
Write-Host " 1. Identificeer alle gebruikers met permanente toewijzingen" -ForegroundColor White
Write-Host " 2. Bepaal welke gebruikers regelmatig bevoorrechte toegang nodig hebben" -ForegroundColor White
Write-Host " 3. Wijs gebruikers toe als geschikte toewijzingen in PIM" -ForegroundColor White
Write-Host " 4. Verwijder permanente toewijzingen na conversie" -ForegroundColor White
Write-Host " 5. Test activeringsproces met pilotgroep" -ForegroundColor White
Write-Host "`n [INFO] Na configuratie, voer -Monitoring uit om te verifiëren" -ForegroundColor Cyan
Write-Host " [INFO] Test alle activeringen eerst met een beperkte pilotgroep" -ForegroundColor Yellow
Write-Host " [INFO] Monitor PIM-activeringslogs voor verdachte activiteiten" -ForegroundColor Yellow
exit 0
}
catch {
Write-Host "`n [FAIL] ERROR: $_" -ForegroundColor Red
Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red
exit 2
}
}
function Invoke-Revert {
<#
.SYNOPSIS
Verwijdert Privileged Identity Management (NIET AANBEVOLEN!)
#>
try {
Write-Host "⚠️ WARNING: Verwijderen van Privileged Identity Management is een BEVEILIGINGSRISICO!" -ForegroundColor Red
Write-Host "Dit verwijdert kritieke beveiligingscontroles en verhoogt het risico op" -ForegroundColor Red
Write-Host "ongewenste toegang en niet-naleving van compliance-vereisten`n" -ForegroundColor Red
if (-not $WhatIf) {
Write-Host "Gebruik -WhatIf om te zien wat zou worden verwijderd" -ForegroundColor Yellow
Write-Host "Verwijdering van PIM moet handmatig via de portal" -ForegroundColor Yellow
Write-Host "worden uitgevoerd na zorgvuldige overweging en goedkeuring." -ForegroundColor Yellow
}
exit 0
}
catch {
Write-Host "ERROR: $_" -ForegroundColor Red
exit 2
}
}
try {
if ($Revert) {
Invoke-Revert
}
elseif ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
Write-Host "Usage:" -ForegroundColor Yellow
Write-Host " -Monitoring Controleer PIM-configuratie voor Azure AD-rollen" -ForegroundColor Gray
Write-Host " -Remediation Toon configuratie-instructies" -ForegroundColor Gray
Write-Host " -Revert Waarschuwing voor verwijdering (NIET AANBEVOLEN!)" -ForegroundColor Red
Write-Host "`n Voorbeeld:" -ForegroundColor Cyan
Write-Host " .\privileged-identity-management.ps1 -Monitoring" -ForegroundColor White
}
}
catch {
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Kritiek - Permanente bevoorrechte toegang betekent een permanent aanvalsoppervlak. Een gecompromitteerd beheerdersaccount met permanente Globale beheerder-rechten heeft onbeperkte verhoogde toegang tot alle Azure AD-configuraties en gebruikersgegevens. Privileged Identity Management reduceert de blootstelling van 365 dagen naar 8 uur per activering. Zonder PIM hebben insider threats 24/7 beheerders toegang, is er geen audit trail wanneer privileges worden gebruikt, en ontbreekt accountability. Compliancevereisten: CIS 1.21, BIO 09.02, ISO 27001 A.9.4.3, NIS2 Artikel 21. Het risico is KRITIEK voor privileged accounts.
Management Samenvatting
Configureer Privileged Identity Management voor Azure AD-rollen: Converteer permanente naar geschikte toewijzingen voor Globale beheerder, Beveiligingsbeheerder, Gebruikersbeheerder en andere bevoorrechte rollen. Activering vereist: goedkeuring + meervoudige authenticatie + rechtvaardiging. Tijdsbeperkt (maximaal 8 uur). Automatische intrekking na vervaldatum. Audit trail van alle activeringen. Vereist: Azure AD Premium P2. Activatie: Entra ID → Privileged Identity Management → Azure AD roles → Configureer rolinstellingen. Verplicht CIS 1.21, BIO 09.02, NIS2 Artikel 21. Implementatie: 36 uur (20 technisch + 16 organisatorisch). Reduceert blootstelling met 99 procent.
- Implementatietijd: 36 uur
- FTE required: 0.2 FTE