L1/L2 BIO 08.01 ISO A.5.17

Azure Identity: Tier Model Implementatie Voor Administratieve Toegangsbeveiliging

📅 2025-01-27
⏱️ 35 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Het Tier Model vormt de fundamentele architectuur voor beveiligde administratieve toegang binnen Microsoft 365 en Azure omgevingen door administratieve accounts te categoriseren in drie kritieke niveaus op basis van de impact die compromittering van deze accounts zou hebben op de organisatie. Voor Nederlandse overheidsorganisaties is een correct geïmplementeerd Tier Model niet alleen een best practice, maar een kritieke beveiligingsmaatregel die direct bijdraagt aan compliance met de Baseline Informatiebeveiliging Overheid (BIO), de NIS2-richtlijn en internationale standaarden zoals ISO 27001 door het isoleren van hooggeprivilegieerde accounts, het beperken van toegang tot kritieke systemen, en het implementeren van strikte controles voor administratieve activiteiten.

Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
10/10
Implementatie
40u (tech: 24u)
Van toepassing op:
Azure AD
Entra ID
Microsoft 365
Azure Resources

Zonder een correct geïmplementeerd Tier Model kunnen administratieve accounts met verschillende kritiekniveaus door elkaar worden gebruikt, waardoor een compromittering van een relatief laaggeprivilegieerd account kan leiden tot escalatie naar kritieke systemen en volledige tenant-overname. Dit creëert aanzienlijke beveiligingsrisico's waarbij kwaadwillende actoren via een gecompromitteerd account kunnen escaleren naar Tier 0-systemen, waardoor zij volledige controle krijgen over de identiteitsinfrastructuur en alle onderliggende resources. Traditionele toegangsbeheerbenaderingen waarbij alle beheerders gelijke toegang hebben tot alle systemen, ongeacht de kritiek van die systemen, faalt in moderne cloud-omgevingen waar de impact van een compromittering exponentieel kan toenemen. Het Tier Model lost deze fundamentele problemen op door organisaties in staat te stellen administratieve accounts te categoriseren en te isoleren op basis van de kritiek van de systemen die zij beheren, waardoor de impact van een compromittering wordt beperkt en de mogelijkheid voor privilege-escalatie wordt geminimaliseerd. Door strikte scheiding tussen Tier 0, Tier 1 en Tier 2 accounts te implementeren, het gebruik van dedicated administratieve accounts af te dwingen, en het blokkeren van cross-tier toegang, minimaliseren organisaties het aanvalsoppervlak en verhogen zij de beveiligingspostuur aanzienlijk.

PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.Identity.DirectoryManagement, Microsoft.Graph.Identity.Governance

Implementatie

Deze control implementeert een volledig geconfigureerd Tier Model met strikte scheiding tussen drie administratieve niveaus. Tier 0 omvat alle accounts en systemen die directe controle hebben over de identiteitsinfrastructuur, inclusief Azure AD-connectoren, domain controllers, en accounts met Global Administrator of andere kritieke directory-rollen. Deze accounts hebben de hoogste beveiligingsvereisten en mogen nooit worden gebruikt voor toegang tot Tier 1 of Tier 2 systemen. Tier 1 omvat accounts en systemen die controle hebben over serverinfrastructuur en applicaties, inclusief Azure-abonnementen, resource groups, en accounts met beheerdersrollen voor specifieke workloads. Tier 2 omvat accounts en systemen voor eindgebruikers en clientapparaten. De implementatie omvat het identificeren en categoriseren van alle administratieve accounts, het configureren van dedicated accounts voor elk tier, het implementeren van strikte Conditional Access Policies die cross-tier toegang blokkeren, het configureren van Privileged Identity Management voor just-in-time toegang, en het monitoren van alle administratieve activiteiten om te verifiëren dat het Tier Model correct wordt nageleefd.

Vereisten

Voor het succesvol implementeren van een volledig geconfigureerd Tier Model zijn verschillende technische en organisatorische vereisten noodzakelijk die zorgvuldig moeten worden overwogen voordat het proces wordt gestart. De belangrijkste technische vereiste is het beschikken over Azure AD Premium P2-licenties voor alle gebruikers die administratieve rollen hebben, omdat het Tier Model sterk afhankelijk is van Privileged Identity Management functionaliteit die alleen beschikbaar is in Premium P2. Deze licenties zijn essentieel voor het implementeren van just-in-time toegang, toegangsreviews, en geavanceerde monitoring van administratieve activiteiten. Zonder deze licenties zijn organisaties beperkt tot basis toegangsbeheer en kunnen zij geen geavanceerde beveiligingscontroles implementeren zoals automatische deactivering van privileges, risicogebaseerde toegangscontrole, of uitgebreide auditlogging van administratieve activiteiten.

Een tweede kritieke vereiste betreft het beschikken over een volledige en actuele inventarisatie van alle administratieve accounts, rollen en systemen binnen de organisatie die moeten worden gecategoriseerd volgens het Tier Model. Deze inventarisatie moet alle Azure AD-rollen omvatten, inclusief Global Administrator, Privileged Role Administrator, User Administrator, en alle andere beheerdersrollen die zijn toegewezen aan gebruikers. Daarnaast moeten alle Azure RBAC-rollen worden geïnventariseerd, inclusief Owner, Contributor, en aangepaste rollen die zijn toegewezen aan abonnementen, resource groups of individuele resources. Voor systemen moet een complete lijst worden opgesteld van alle servers, applicaties en services die administratieve toegang vereisen, waarbij elk systeem wordt gecategoriseerd als Tier 0, Tier 1 of Tier 2 op basis van de impact die een compromittering zou hebben. Zonder een complete en nauwkeurige inventarisatie bestaat het reële risico dat bepaalde accounts, rollen of systemen over het hoofd worden gezien tijdens de categorisering, waardoor het beoogde beveiligingsniveau niet wordt bereikt en potentiële beveiligingsrisico's blijven bestaan.

Het configureren van dedicated administratieve accounts vormt een derde essentiële vereiste die cruciaal is voor de effectiviteit van het Tier Model. Elke beheerder die toegang nodig heeft tot Tier 0, Tier 1 of Tier 2 systemen moet beschikken over aparte accounts voor elk tier, waarbij deze accounts duidelijk worden gelabeld en gescheiden worden beheerd. Tier 0 accounts moeten bijvoorbeeld worden voorafgegaan door een prefix zoals 'T0-' of 'ADM-' om duidelijk te maken dat dit kritieke accounts zijn, en moeten worden geconfigureerd met de strengste beveiligingsvereisten zoals altijd meervoudige authenticatie, toegang alleen vanaf beheerde apparaten, en toegang alleen vanaf vertrouwde locaties. Tier 1 en Tier 2 accounts moeten eveneens worden voorafgegaan door passende prefixes en moeten worden geconfigureerd met passende beveiligingsvereisten voor hun respectieve tiers. Het is belangrijk om te realiseren dat zonder dedicated accounts, beheerders kunnen worden verleid om hetzelfde account te gebruiken voor toegang tot verschillende tiers, wat het hele Tier Model ondermijnt en de beveiligingsvoordelen teniet doet.

Een vastgesteld en duidelijk gedocumenteerd Tier Model-beleidsraamwerk is eveneens cruciaal voor het succes van het proces en moet zorgvuldig worden afgestemd op de specifieke behoeften en risicoprofiel van de organisatie. Het beleidsraamwerk moet expliciet maken welke accounts, rollen en systemen tot welk tier behoren, welke beveiligingsvereisten van toepassing zijn op elk tier, welke uitzonderingen worden gemaakt en waarom, en hoe het Tier Model wordt gehandhaafd en gemonitord. Het raamwerk moet ook voorzien in een duidelijk proces voor het categoriseren van nieuwe accounts, rollen of systemen, inclusief wie verantwoordelijk is voor de categorisering, hoe deze wordt gedocumenteerd, en hoe wijzigingen worden beoordeeld en goedgekeurd. Het schema moet duidelijk worden gecommuniceerd naar alle betrokken partijen en moet worden vastgelegd in het formele beveiligingsbeleid van de organisatie om consistentie en naleving te waarborgen.

Ten slotte moet een duidelijk gedefinieerd en gedocumenteerd proces worden opgesteld voor het monitoren en handhaven van het Tier Model. Dit proces moet in detail specificeren hoe wordt gecontroleerd of beheerders dedicated accounts gebruiken voor elk tier, hoe wordt gedetecteerd wanneer cross-tier toegang plaatsvindt, hoe wordt geverifieerd dat Conditional Access Policies correct functioneren, en hoe wordt gereageerd op schendingen van het Tier Model. Het proces moet ook voorzien in regelmatige toegangsreviews waarbij wordt gecontroleerd of alle administratieve accounts correct zijn gecategoriseerd, of alle beveiligingsvereisten worden nageleefd, en of er accounts of rollen zijn die moeten worden hercategoriseerd of verwijderd. Actieve monitoring en handhaving zijn essentieel om te waarborgen dat het Tier Model effectief blijft functioneren en dat beveiligingsrisico's worden geminimaliseerd.

Implementatie

Gebruik PowerShell-script tier-model-implementation.ps1 (functie Invoke-Remediation) – Configureert en valideert het Tier Model voor administratieve toegang.

De implementatie van een volledig geconfigureerd Tier Model begint met het identificeren en categoriseren van alle administratieve accounts, rollen en systemen binnen de organisatie. Dit proces vereist een grondige analyse van de huidige staat van de organisatie, waarbij alle accounts met beheerdersrechten worden geïnventariseerd en gecategoriseerd op basis van de impact die een compromittering zou hebben. Tier 0 omvat alle accounts en systemen die directe controle hebben over de identiteitsinfrastructuur, inclusief accounts met Global Administrator, Privileged Role Administrator, Authentication Administrator, en andere kritieke directory-rollen. Daarnaast omvat Tier 0 alle systemen die direct verbonden zijn met Azure AD, zoals Azure AD Connect servers, domain controllers in hybride omgevingen, en systemen die worden gebruikt voor het beheren van identiteitsinfrastructuur. Deze accounts en systemen hebben de hoogste beveiligingsvereisten omdat een compromittering direct kan leiden tot volledige tenant-overname en compromittering van alle onderliggende systemen.

Tier 1 omvat accounts en systemen die controle hebben over serverinfrastructuur en applicaties, maar niet direct over de identiteitsinfrastructuur. Dit omvat accounts met beheerdersrollen voor Azure-abonnementen, resource groups, en specifieke workloads zoals Exchange Online, SharePoint Online, of Teams. Daarnaast omvat Tier 1 alle servers en applicaties die worden gebruikt voor het hosten van bedrijfskritieke applicaties, databases, en andere infrastructurele componenten. Deze accounts en systemen hebben hoge beveiligingsvereisten omdat een compromittering kan leiden tot compromittering van specifieke workloads of infrastructurele componenten, maar niet direct tot volledige tenant-overname. Tier 2 omvat accounts en systemen voor eindgebruikers en clientapparaten, inclusief reguliere gebruikersaccounts, clientapparaten, en applicaties die worden gebruikt door eindgebruikers. Deze accounts en systemen hebben basis beveiligingsvereisten omdat een compromittering meestal beperkt blijft tot individuele gebruikers of apparaten.

Na het categoriseren van alle accounts, rollen en systemen, moeten dedicated accounts worden aangemaakt voor elke beheerder die toegang nodig heeft tot verschillende tiers. Elke beheerder moet beschikken over aparte accounts voor elk tier waartoe zij toegang nodig hebben, waarbij deze accounts duidelijk worden gelabeld met passende prefixes zoals 'T0-', 'T1-' of 'T2-' gevolgd door de gebruikersnaam. Tier 0 accounts moeten worden geconfigureerd met de strengste beveiligingsvereisten, inclusief altijd meervoudige authenticatie, toegang alleen vanaf beheerde en compliant apparaten, toegang alleen vanaf vertrouwde IP-adressen of locaties, en Privileged Identity Management voor just-in-time toegang. Tier 1 accounts moeten worden geconfigureerd met hoge beveiligingsvereisten, inclusief meervoudige authenticatie voor risicovolle scenario's, toegang vanaf beheerde apparaten waar mogelijk, en Privileged Identity Management voor kritieke rollen. Tier 2 accounts kunnen worden geconfigureerd met standaard beveiligingsvereisten, maar moeten nog steeds voldoen aan basis beveiligingsstandaarden zoals meervoudige authenticatie en apparaatcompliance waar van toepassing.

Conditional Access Policies moeten worden geconfigureerd om cross-tier toegang te blokkeren en te waarborgen dat beheerders alleen toegang hebben tot systemen binnen hun toegewezen tier. Dit omvat beleidsregels die Tier 0 accounts blokkeren van toegang tot Tier 1 of Tier 2 systemen, beleidsregels die Tier 1 accounts blokkeren van toegang tot Tier 0 systemen, en beleidsregels die waarborgen dat accounts alleen worden gebruikt voor toegang tot systemen binnen hun toegewezen tier. Deze beleidsregels moeten worden geconfigureerd op basis van accountnamen, groepslidmaatschap, of andere kenmerken die duidelijk maken tot welk tier een account behoort. Daarnaast moeten beleidsregels worden geconfigureerd die waarborgen dat Tier 0 accounts alleen worden gebruikt vanaf dedicated beheerde apparaten, alleen vanaf vertrouwde locaties, en alleen tijdens specifieke tijdsvensters wanneer dit mogelijk is.

Privileged Identity Management moet worden geconfigureerd voor alle Tier 0 en kritieke Tier 1 rollen om just-in-time toegang te implementeren en te waarborgen dat beheerders alleen toegang hebben wanneer dit nodig is. Dit omvat het configureren van activeringsvereisten zoals meervoudige authenticatie, goedkeuring door een tweede beheerder voor kritieke rollen, en maximale activatieduur. Daarnaast moeten toegangsreviews worden geconfigureerd om regelmatig te controleren of alle administratieve rollen nog steeds nodig zijn en of alle beveiligingsvereisten worden nageleefd. Monitoring en alerting moeten worden geconfigureerd om te detecteren wanneer cross-tier toegang plaatsvindt, wanneer Tier 0 accounts worden gebruikt voor toegang tot niet-Tier 0 systemen, of wanneer andere schendingen van het Tier Model worden gedetecteerd.

Na het configureren van alle componenten van het Tier Model is het essentieel om de voortgang actief te monitoren en ervoor te zorgen dat alle beveiligingscontroles correct functioneren zonder onbedoelde toegangsblokkades. Het systeem biedt uitgebreide dashboards en rapporten die real-time inzicht geven in de werking van het Tier Model, inclusief welke accounts tot welk tier behoren, welke Conditional Access Policies actief zijn, welke Privileged Identity Management-configuraties zijn geïmplementeerd, en welke schendingen van het Tier Model zijn gedetecteerd. Deze dashboards kunnen worden gebruikt om trends te identificeren, zoals of bepaalde beheerders consistent schendingen maken, of of bepaalde systemen moeten worden hercategoriseerd, of of aanvullende beveiligingscontroles nodig zijn. Actieve monitoring helpt om problemen vroegtijdig te detecteren en zorgt ervoor dat het Tier Model effectief blijft functioneren zonder onnodige gebruikersimpact.

Compliance en Auditing

Het Tier Model vormt een fundamentele en onmisbare vereiste binnen meerdere belangrijke beveiligings- en compliance-frameworks die wereldwijd worden erkend en toegepast. De CIS Microsoft 365 Benchmark versie 1.4.0 specificeert in meerdere controles expliciet dat organisaties een gelaagd toegangsmodel moeten implementeren waarbij administratieve accounts worden gescheiden op basis van de kritiek van de systemen die zij beheren. Deze controles vallen onder zowel niveau L1 als L2, wat betekent dat basisbeveiligingsmaatregelen door alle organisaties moeten worden geïmplementeerd, terwijl geavanceerde maatregelen worden aanbevolen voor organisaties met hogere beveiligingsvereisten. De CIS Benchmark biedt uitgebreide en specifieke richtlijnen voor de implementatie van het Tier Model, waarbij wordt benadrukt dat het model gestructureerd, volledig gedocumenteerd en regelmatig geëvalueerd moet zijn om effectief te zijn.

Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder en kritiek belang, aangezien deze baseline specifiek is ontwikkeld voor de Nederlandse publieke sector en verplicht is voor alle overheidsorganisaties. BIO-controle 08.01 vereist expliciet en zonder uitzondering dat organisaties toegangsrechten toewijzen op basis van de principes van minimale bevoegdheden en need-to-know, waarbij toegangsrechten worden beperkt tot wat strikt noodzakelijk is voor de uitvoering van taken. BIO-controle 08.02 vereist dat organisaties toegangsrechten beheren en controleren, inclusief het regelmatig beoordelen en intrekken van toegangsrechten. Het Tier Model maakt een integraal onderdeel uit van deze controles door organisaties in staat te stellen administratieve toegang te categoriseren en te isoleren op basis van de kritiek van systemen, waardoor de impact van een compromittering wordt beperkt en de principes van minimale bevoegdheden worden gehandhaafd. De BIO benadrukt sterk het belang van volledig gedocumenteerde beveiligingsprocessen waarbij alle categoriseringen, uitzonderingen en configuraties worden vastgelegd voor audit- en compliance-doeleinden.

De internationale standaard ISO 27001:2022 bevat in meerdere controles specifieke en gedetailleerde vereisten voor toegangscontrole en bevoorrechte toegang. Controle A.5.17 vereist dat organisaties toegangsrechten beheren en controleren, inclusief het regelmatig beoordelen en intrekken van toegangsrechten. Controle A.8.3 vereist dat organisaties toegangscontroles implementeren die zijn gebaseerd op de principes van minimale bevoegdheden en need-to-know. Controle A.8.4 vereist dat organisaties bevoorrechte toegangsrechten beheren en controleren, inclusief het beperken van bevoorrechte toegang tot wat strikt noodzakelijk is. Het Tier Model maakt een integraal onderdeel uit van deze controles door organisaties in staat te stellen bevoorrechte toegang te categoriseren en te isoleren op basis van de kritiek van systemen, waardoor de impact van een compromittering wordt beperkt en de principes van minimale bevoegdheden worden gehandhaafd. Implementatie van het Tier Model helpt organisaties niet alleen te voldoen aan deze ISO-vereisten, maar draagt ook aanzienlijk bij aan het behalen en behouden van ISO 27001-certificering.

De Europese NIS2-richtlijn bevat in Artikel 21 specifieke en bindende vereisten voor toegangsbeheer en bevoorrechte toegang. De richtlijn vereist expliciet dat organisaties passende en effectieve maatregelen treffen voor toegangsbeheer, inclusief het scheiden van bevoorrechte toegang op basis van de kritiek van systemen en het beperken van bevoorrechte toegang tot wat strikt noodzakelijk is. Voor Nederlandse organisaties die onder de reikwijdte van NIS2 vallen, is het implementeren van het Tier Model niet alleen een best practice of aanbeveling, maar een wettelijke verplichting die moet worden nageleefd. Niet-naleving van NIS2-vereisten kan leiden tot aanzienlijke financiële boetes, die kunnen oplopen tot miljoenen euro's, evenals ernstige reputatieschade en mogelijke gevolgen voor de continuïteit van bedrijfsvoering.

Monitoring

Gebruik PowerShell-script tier-model-implementation.ps1 (functie Invoke-Monitoring) – Controleert de configuratie en naleving van het Tier Model.

Effectieve monitoring van het Tier Model is essentieel om te waarborgen dat het beveiligingsraamwerk correct blijft functioneren en dat organisaties altijd beschikken over actuele en effectieve toegangscontroles. Monitoring omvat het continu volgen van de categorisering van alle administratieve accounts, het verifiëren dat dedicated accounts worden gebruikt voor elk tier, het controleren van de effectiviteit van Conditional Access Policies die cross-tier toegang blokkeren, en het waarborgen dat alle beveiligingsvereisten worden nageleefd.

De basis van monitoring wordt gevormd door regelmatige verificatie van de categorisering van alle administratieve accounts via de Microsoft Entra ID-portal of via PowerShell met behulp van de Microsoft Graph API. Beheerders moeten wekelijks controleren of alle administratieve accounts correct zijn gecategoriseerd, of dedicated accounts worden gebruikt voor elk tier, of accountnamen correct zijn gelabeld met passende prefixes, en of er geen accounts zijn die moeten worden hercategoriseerd. Deze verificatie kan worden geautomatiseerd via PowerShell-scripts die de categorisering van alle accounts controleren en waarschuwingen genereren wanneer problemen worden gedetecteerd.

Naast het controleren van de categorisering van accounts moeten organisaties regelmatig verifiëren dat Conditional Access Policies effectief zijn en dat cross-tier toegang wordt geblokkeerd. Dit kan worden gedaan door de Conditional Access Insights and Reporting-dashboards te monitoren die real-time inzicht geven in hoeveel aanmeldpogingen worden geblokkeerd, hoeveel gebruikers extra verificatie moeten uitvoeren, welke beleidsregels het meest actief zijn, en welke accounts het vaakst worden beïnvloed. Organisaties moeten processen implementeren voor het regelmatig uitvoeren van deze verificaties, waarbij wekelijks wordt gecontroleerd of beleidsregels effectief zijn en waarbij waarschuwingen worden gegenereerd wanneer cross-tier toegang wordt gedetecteerd.

Voor organisaties die Privileged Identity Management hebben geconfigureerd voor Tier 0 en kritieke Tier 1 rollen, is het essentieel om te monitoren of deze functionaliteit correct functioneert en of just-in-time toegang wordt gebruikt. Dit omvat het controleren of activeringen correct worden geregistreerd, of activeringsvereisten worden nageleefd, of toegangsreviews worden uitgevoerd, en of er accounts of rollen zijn die moeten worden hercategoriseerd. Problemen met Privileged Identity Management kunnen leiden tot situaties waarin beheerders permanente toegang hebben tot kritieke rollen, wat het Tier Model ondermijnt. Organisaties moeten processen implementeren voor het monitoren van Privileged Identity Management, waarbij dagelijks wordt gecontroleerd of just-in-time toegang correct wordt gebruikt en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd.

Remediatie

Gebruik PowerShell-script tier-model-implementation.ps1 (functie Invoke-Remediation) – Herstelt of configureert het Tier Model wanneer dit ontbreekt of onjuist is geconfigureerd.

Remediatie van het Tier Model omvat het categoriseren van accounts wanneer deze niet zijn gecategoriseerd, het corrigeren van categoriseringsfouten, het aanmaken van dedicated accounts wanneer deze ontbreken, en het waarborgen dat alle beveiligingsvereisten worden nageleefd. Het is belangrijk om te realiseren dat wanneer het Tier Model niet is geïmplementeerd, organisaties niet beschikken over een gestructureerd proces om administratieve toegang te beheren op basis van de kritiek van systemen, wat kan resulteren in onbeveiligde toegang tot kritieke resources en niet-naleving van compliance-vereisten.

Wanneer accounts niet zijn gecategoriseerd volgens het Tier Model, moeten deze worden geïnventariseerd en gecategoriseerd op basis van de rollen die zij hebben en de systemen waartoe zij toegang hebben. Accounts met Global Administrator, Privileged Role Administrator, of andere kritieke directory-rollen moeten worden gecategoriseerd als Tier 0. Accounts met beheerdersrollen voor Azure-abonnementen, resource groups, of specifieke workloads moeten worden gecategoriseerd als Tier 1. Accounts met alleen eindgebruikersrechten moeten worden gecategoriseerd als Tier 2. Na categorisering moeten dedicated accounts worden aangemaakt voor elke beheerder die toegang nodig heeft tot verschillende tiers, waarbij deze accounts duidelijk worden gelabeld met passende prefixes.

Voor bestaande accounts die niet correct zijn gecategoriseerd, moeten de categoriseringen worden bijgewerkt en moeten dedicated accounts worden aangemaakt indien nodig. Dit omvat het hercategoriseren van accounts wanneer rollen of toegang zijn gewijzigd, het aanmaken van nieuwe dedicated accounts wanneer beheerders toegang nodig hebben tot verschillende tiers, en het verwijderen of deactiveren van accounts die niet langer nodig zijn. Het is belangrijk om te verifiëren dat alle wijzigingen correct zijn toegepast en dat het Tier Model correct blijft functioneren na de wijzigingen, waarbij alle accounts opnieuw worden gecontroleerd om te verifiëren dat zij correct zijn gecategoriseerd.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Tier Model Implementation for Administrative Access Security .DESCRIPTION CIS Microsoft 365 Benchmark - Controls 1.3.1, 1.3.2, 4.1.1 Controleert en configureert het Tier Model voor administratieve toegang met strikte scheiding tussen Tier 0, Tier 1 en Tier 2 accounts en systemen. .NOTES Filename: tier-model-implementation.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Controls: 1.3.1, 1.3.2, 4.1.1 Requires: Azure AD Premium P2, Microsoft.Graph.Identity.DirectoryManagement, Microsoft.Graph.Identity.Governance #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph.Identity.DirectoryManagement, Microsoft.Graph.Identity.Governance [CmdletBinding()] param( [Parameter(Mandatory = $false)] [switch]$Monitoring, [Parameter(Mandatory = $false)] [switch]$Remediation, [Parameter(Mandatory = $false)] [switch]$Revert, [Parameter(Mandatory = $false)] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Tier Model Implementation" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Connect-RequiredServices { <# .SYNOPSIS Maakt verbinding met Microsoft Graph #> try { $context = Get-MgContext -ErrorAction SilentlyContinue if (-not $context -or $context.Scopes -notcontains "Directory.Read.All") { Write-Host "Connecting to Microsoft Graph..." -ForegroundColor Gray Connect-MgGraph -Scopes "Directory.Read.All", "RoleManagement.Read.Directory", "User.Read.All", "Policy.ReadWrite.ConditionalAccess" -ErrorAction Stop -NoWelcome Write-Host " [OK] Connected to Microsoft Graph" -ForegroundColor Green } else { Write-Host " [OK] Already connected to Microsoft Graph" -ForegroundColor Green } } catch { Write-Host " [FAIL] Failed to connect to Microsoft Graph: $_" -ForegroundColor Red throw } } function Get-Tier0Roles { <# .SYNOPSIS Retourneert lijst van Tier 0 rollen #> return @( "Global Administrator", "Privileged Role Administrator", "Authentication Administrator", "Hybrid Identity Administrator", "Domain Name Administrator", "Password Administrator", "User Administrator" ) } function Get-Tier1Roles { <# .SYNOPSIS Retourneert lijst van Tier 1 rollen #> return @( "Exchange Administrator", "SharePoint Administrator", "Teams Administrator", "Security Administrator", "Compliance Administrator", "Application Administrator", "Cloud Application Administrator" ) } function Invoke-Monitoring { <# .SYNOPSIS Controleert de configuratie en naleving van het Tier Model #> try { Connect-RequiredServices Write-Host "Checking Tier Model implementation..." -ForegroundColor Gray # Haal alle directory rollen op $directoryRoles = Get-MgDirectoryRole -All -ErrorAction Stop $tier0Roles = Get-Tier0Roles $tier1Roles = Get-Tier1Roles $result = @{ totalAdmins = 0 tier0Admins = 0 tier1Admins = 0 tier2Admins = 0 dedicatedAccounts = 0 nonDedicatedAccounts = 0 compliant = $false } # Analyseer alle directory rollen $allAdminUsers = @() foreach ($role in $directoryRoles) { $roleMembers = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -ErrorAction SilentlyContinue foreach ($member in $roleMembers) { if ($member.AdditionalProperties.'@odata.type' -eq '#microsoft.graph.user') { $userId = $member.Id $user = Get-MgUser -UserId $userId -ErrorAction SilentlyContinue if ($user) { if ($allAdminUsers.UserId -notcontains $userId) { $allAdminUsers += @{ UserId = $userId UserPrincipalName = $user.UserPrincipalName DisplayName = $user.DisplayName Roles = @($role.DisplayName) } } else { $existingUser = $allAdminUsers | Where-Object { $_.UserId -eq $userId } if ($existingUser.Roles -notcontains $role.DisplayName) { $existingUser.Roles += $role.DisplayName } } } } } } $result.totalAdmins = $allAdminUsers.Count # Categoriseer gebruikers op basis van rollen foreach ($adminUser in $allAdminUsers) { $isTier0 = $false $isTier1 = $false foreach ($role in $adminUser.Roles) { if ($tier0Roles -contains $role) { $isTier0 = $true } if ($tier1Roles -contains $role) { $isTier1 = $true } } # Controleer of account dedicated is (heeft prefix T0-, T1-, T2- of ADM-) $upn = $adminUser.UserPrincipalName $isDedicated = $upn -match '^(T0-|T1-|T2-|ADM-)' -or $upn -match '@(t0|t1|t2|adm)\.' if ($isTier0) { $result.tier0Admins++ if ($isDedicated) { $result.dedicatedAccounts++ Write-Host " [OK] Tier 0 Admin: $($adminUser.DisplayName) ($upn)" -ForegroundColor Green } else { $result.nonDedicatedAccounts++ Write-Host " [WARNING] Tier 0 Admin zonder dedicated account: $($adminUser.DisplayName) ($upn)" -ForegroundColor Yellow } } elseif ($isTier1) { $result.tier1Admins++ if ($isDedicated) { $result.dedicatedAccounts++ Write-Host " [OK] Tier 1 Admin: $($adminUser.DisplayName) ($upn)" -ForegroundColor Green } else { $result.nonDedicatedAccounts++ Write-Host " [WARNING] Tier 1 Admin zonder dedicated account: $($adminUser.DisplayName) ($upn)" -ForegroundColor Yellow } } else { $result.tier2Admins++ } } Write-Host "`n Summary:" -ForegroundColor Cyan Write-Host " Total Administrators: $($result.totalAdmins)" -ForegroundColor White Write-Host " Tier 0 Administrators: $($result.tier0Admins)" -ForegroundColor White Write-Host " Tier 1 Administrators: $($result.tier1Admins)" -ForegroundColor White Write-Host " Tier 2 Administrators: $($result.tier2Admins)" -ForegroundColor White Write-Host " Dedicated Accounts: $($result.dedicatedAccounts)" -ForegroundColor White Write-Host " Non-Dedicated Accounts: $($result.nonDedicatedAccounts)" -ForegroundColor White # Controleer Conditional Access Policies Write-Host "`n Checking Conditional Access Policies..." -ForegroundColor Gray try { $caPolicies = Get-MgIdentityConditionalAccessPolicy -ErrorAction SilentlyContinue if ($caPolicies) { $tierPolicies = $caPolicies | Where-Object { $_.DisplayName -match 'Tier|T0|T1|T2' -or $_.DisplayName -match 'Administrative|Admin' } if ($tierPolicies) { Write-Host " [OK] Found $($tierPolicies.Count) Tier-related Conditional Access Policies" -ForegroundColor Green } else { Write-Host " [WARNING] No Tier-specific Conditional Access Policies found" -ForegroundColor Yellow } } } catch { Write-Host " [INFO] Could not check Conditional Access Policies (may require additional permissions)" -ForegroundColor Gray } # Controleer Privileged Identity Management Write-Host "`n Checking Privileged Identity Management..." -ForegroundColor Gray try { $pimRoles = Get-MgRoleManagementDirectoryRoleEligibilitySchedule -All -ErrorAction SilentlyContinue if ($pimRoles) { $tier0PimRoles = $pimRoles | Where-Object { $roleDef = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId $_.RoleDefinitionId -ErrorAction SilentlyContinue if ($roleDef) { $tier0Roles -contains $roleDef.DisplayName } } if ($tier0PimRoles) { Write-Host " [OK] Found PIM assignments for Tier 0 roles" -ForegroundColor Green } else { Write-Host " [WARNING] No PIM assignments found for Tier 0 roles" -ForegroundColor Yellow } } } catch { Write-Host " [INFO] Could not check PIM (may require additional permissions or PIM not configured)" -ForegroundColor Gray } # Bepaal compliance status $hasTier0Admins = $result.tier0Admins -gt 0 $hasDedicatedAccounts = $result.dedicatedAccounts -gt 0 $hasNonDedicatedAccounts = $result.nonDedicatedAccounts -gt 0 if ($hasTier0Admins -and $hasDedicatedAccounts -and $hasNonDedicatedAccounts -eq 0) { $result.compliant = $true Write-Host "`n [OK] COMPLIANT" -ForegroundColor Green Write-Host " Tier Model is geïmplementeerd met dedicated accounts voor alle Tier 0 en Tier 1 beheerders" -ForegroundColor Cyan exit 0 } elseif ($hasTier0Admins -and $hasDedicatedAccounts) { Write-Host "`n [WARNING] PARTIALLY COMPLIANT" -ForegroundColor Yellow Write-Host " Tier Model is geïmplementeerd maar sommige beheerders gebruiken geen dedicated accounts" -ForegroundColor Yellow Write-Host " Aanbevolen: Configureer dedicated accounts voor alle Tier 0 en Tier 1 beheerders" -ForegroundColor Yellow exit 1 } else { Write-Host "`n [FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host " Tier Model is niet volledig geïmplementeerd" -ForegroundColor Red Write-Host " Aanbevolen: Implementeer Tier Model met dedicated accounts en Conditional Access Policies" -ForegroundColor Yellow exit 1 } } catch { Write-Host "`n [FAIL] ERROR: $_" -ForegroundColor Red Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red Write-Host "`n Note: Tier Model vereist Azure AD Premium P2 licenties" -ForegroundColor Yellow exit 2 } } function Invoke-Remediation { <# .SYNOPSIS Configureert het Tier Model wanneer dit ontbreekt .DESCRIPTION Deze functie biedt richtlijnen voor het handmatig configureren van het Tier Model via de Microsoft Entra ID-portal, omdat geautomatiseerde configuratie complex is en specifieke zakelijke vereisten vereist. #> try { Connect-RequiredServices Write-Host "Tier Model Implementation Configuration" -ForegroundColor Gray Write-Host "`n [INFO] Tier Model configuratie vereist handmatige stappen" -ForegroundColor Yellow Write-Host " via de Microsoft Entra ID-portal vanwege complexiteit en" -ForegroundColor Gray Write-Host " specifieke zakelijke vereisten." -ForegroundColor Gray Write-Host "`n Configuratiestappen:" -ForegroundColor Cyan Write-Host "`n 1. Inventariseer en categoriseer alle administratieve accounts:" -ForegroundColor Yellow Write-Host " - Tier 0: Global Administrator, Privileged Role Administrator," -ForegroundColor Gray Write-Host " Authentication Administrator, Hybrid Identity Administrator" -ForegroundColor Gray Write-Host " - Tier 1: Exchange Administrator, SharePoint Administrator," -ForegroundColor Gray Write-Host " Teams Administrator, Security Administrator" -ForegroundColor Gray Write-Host " - Tier 2: Eindgebruikers en clientapparaten" -ForegroundColor Gray Write-Host "`n 2. Maak dedicated accounts aan voor elke beheerder:" -ForegroundColor Yellow Write-Host " - Prefix: T0-, T1-, T2- of ADM- voor accountnamen" -ForegroundColor Gray Write-Host " - Voorbeeld: T0-jan.de.vries@organisatie.nl" -ForegroundColor Gray Write-Host " - Elke beheerder heeft aparte accounts voor elk tier" -ForegroundColor Gray Write-Host "`n 3. Configureer Conditional Access Policies:" -ForegroundColor Yellow Write-Host " - Navigeer naar: https://entra.microsoft.com" -ForegroundColor White Write-Host " - Ga naar: Security > Conditional Access" -ForegroundColor White Write-Host " - Maak beleid: Blokkeer Tier 0 accounts van Tier 1/2 systemen" -ForegroundColor Gray Write-Host " - Maak beleid: Blokkeer Tier 1 accounts van Tier 0 systemen" -ForegroundColor Gray Write-Host " - Configureer: MFA altijd voor Tier 0 accounts" -ForegroundColor Gray Write-Host " - Configureer: Toegang alleen vanaf beheerde apparaten voor Tier 0" -ForegroundColor Gray Write-Host "`n 4. Configureer Privileged Identity Management:" -ForegroundColor Yellow Write-Host " - Navigeer naar: https://entra.microsoft.com" -ForegroundColor White Write-Host " - Ga naar: Identity Governance > Privileged Access" -ForegroundColor White Write-Host " - Activeer PIM voor alle Tier 0 rollen" -ForegroundColor Gray Write-Host " - Configureer: Just-in-time activering met MFA" -ForegroundColor Gray Write-Host " - Configureer: Maximale activatieduur (bijv. 8 uur)" -ForegroundColor Gray Write-Host " - Configureer: Goedkeuring vereist voor kritieke rollen" -ForegroundColor Gray Write-Host "`n 5. Configureer monitoring en alerting:" -ForegroundColor Yellow Write-Host " - Monitor: Cross-tier toegang pogingen" -ForegroundColor Gray Write-Host " - Monitor: Tier 0 account activiteiten" -ForegroundColor Gray Write-Host " - Alert: Wanneer Tier 0 accounts worden gebruikt voor niet-Tier 0 systemen" -ForegroundColor Gray Write-Host " - Alert: Wanneer PIM activeringen plaatsvinden" -ForegroundColor Gray Write-Host "`n Best Practices:" -ForegroundColor Cyan Write-Host " - Gebruik altijd dedicated accounts voor elk tier" -ForegroundColor Gray Write-Host " - Blokkeer cross-tier toegang via Conditional Access" -ForegroundColor Gray Write-Host " - Implementeer Privileged Access Workstations voor Tier 0" -ForegroundColor Gray Write-Host " - Voer regelmatig toegangsreviews uit" -ForegroundColor Gray Write-Host " - Documenteer alle categoriseringen en uitzonderingen" -ForegroundColor Gray Write-Host "`n [INFO] Na configuratie, voer -Monitoring uit om te verifiëren" -ForegroundColor Cyan Write-Host " [INFO] Test alle configuraties eerst in report-only modus" -ForegroundColor Yellow Write-Host " [INFO] Monitor Tier Model-naleving regelmatig" -ForegroundColor Yellow exit 0 } catch { Write-Host "`n [FAIL] ERROR: $_" -ForegroundColor Red Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red exit 2 } } function Invoke-Revert { <# .SYNOPSIS Verwijdert Tier Model configuratie (NIET AANBEVOLEN!) #> try { Write-Host "⚠️ WARNING: Verwijderen van Tier Model is een BEVEILIGINGSRISICO!" -ForegroundColor Red Write-Host "Dit verwijdert kritieke beveiligingscontroles en verhoogt het risico op" -ForegroundColor Red Write-Host "privilege-escalatie en volledige tenant-overname`n" -ForegroundColor Red if (-not $WhatIf) { Write-Host "Gebruik -WhatIf om te zien wat zou worden verwijderd" -ForegroundColor Yellow Write-Host "Verwijdering van Tier Model configuratie moet handmatig via de portal" -ForegroundColor Yellow Write-Host "worden uitgevoerd na zorgvuldige overweging en goedkeuring." -ForegroundColor Yellow } exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "Usage:" -ForegroundColor Yellow Write-Host " -Monitoring Controleer Tier Model configuratie en naleving" -ForegroundColor Gray Write-Host " -Remediation Toon configuratie-instructies" -ForegroundColor Gray Write-Host " -Revert Waarschuwing voor verwijdering (NIET AANBEVOLEN!)" -ForegroundColor Red Write-Host "`n Voorbeeld:" -ForegroundColor Cyan Write-Host " .\tier-model-implementation.ps1 -Monitoring" -ForegroundColor White } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Critical: Kritiek - Zonder Tier Model kunnen administratieve accounts met verschillende kritiekniveaus door elkaar worden gebruikt, waardoor een compromittering kan escaleren naar kritieke systemen en volledige tenant-overname. Dit creëert aanzienlijke beveiligingsrisico's en niet-naleving van compliance-vereisten zoals BIO 08.01, ISO 27001 A.8.4 en NIS2 Artikel 21.

Management Samenvatting

Implementeer Tier Model met strikte scheiding tussen Tier 0 (identiteitsinfrastructuur), Tier 1 (serverinfrastructuur en applicaties), en Tier 2 (eindgebruikers). Configureer dedicated accounts voor elk tier, Conditional Access Policies die cross-tier toegang blokkeren, en Privileged Identity Management voor just-in-time toegang. Vereist Azure AD Premium P2. Implementatietijd: 40 uur.