💼 Management Samenvatting
Safe Links vormt de centrale verdedigingslinie tegen schadelijke URL's binnen Microsoft 365 Defender. Door elke link op het moment van klikken opnieuw te controleren, voorkomt de oplossing dat medewerkers onbewust worden doorgestuurd naar nagebouwde portalen, credential harvesters of sites die met malware zijn geinfecteerd.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
160u (tech: 90u)
Van toepassing op:
✓ Microsoft 365 Defender
✓ Defender voor Office 365
✓ Exchange Online
✓ SharePoint Online
✓ OneDrive
✓ Microsoft Teams
✓ Publieke Sector
✓ Defender voor Office 365
✓ Exchange Online
✓ SharePoint Online
✓ OneDrive
✓ Microsoft Teams
✓ Publieke Sector
Nederlandse overheidsorganisaties verwerken dagelijks vertrouwelijke beleidsstukken, persoonsgegevens en vertrouwelijke aanbestedingsinformatie via e-mail, Teams en gedeelde documenten. Aanvallers richten zich juist op deze organisaties omdat maatschappelijke ontwrichting, reputatieschade of toegang tot staatsgeheimen grote impact heeft. Zonder zorgvuldig ontworpen Safe Links configuratie ontstaat een gat tussen beleidsmatige intenties en daadwerkelijke bescherming. Ook kan een verkeerde configuratie juist leiden tot valse positieven, onnodige wachttijden of gebrek aan audittrail, waardoor NIS2-, BIO- en AVG-verplichtingen niet aantoonbaar worden ingevuld.
PowerShell Modules Vereist
Primary API: Exchange Online PowerShell, Security & Compliance PowerShell, Microsoft Graph Security API
Connection:
Required Modules: ExchangeOnlineManagement, Microsoft.Graph
Connection:
Connect-ExchangeOnline, Connect-IPPSSession, Connect-MgGraphRequired Modules: ExchangeOnlineManagement, Microsoft.Graph
Implementatie
Dit artikel beschrijft hoe Safe Links binnen Microsoft 365 Defender moet worden ingericht voor de "Nederlandse Baseline voor Veilige Cloud". We behandelen de strategische noodzaak, de governance en risicogestuurde beleidskeuzes, de technische implementatie inclusief het bijbehorende PowerShell-script, en het operationeel beheer met rapportages, testen en incidentafhandeling. Elke sectie biedt diepgaande, volledig Nederlandstalige instructies die direct toepasbaar zijn voor CISO's, security officers en Microsoft 365-beheerders in de publieke sector.
Strategische noodzaak van Safe Links in overheidsomgevingen
Gerichte phishingcampagnes behoren inmiddels tot de grootste dreigingen voor de Nederlandse publieke sector. Aanvallers combineren openbare bronnen, gelekte mailboxen en sociale netwerken om geloofwaardige berichten te sturen die inspelen op actuele beleidsdossiers of aanbestedingen. Safe Links vormt daarbij een cruciale laag omdat de technologie de URL pas vrijgeeft nadat de link is herschreven naar een beveiligde proxy en realtime is gescand. Dit betekent dat zelfs wanneer aanvallers op het laatste moment de achterliggende site aanpassen, gebruikers nog steeds worden beschermd. Safe Links registreert bovendien welke gebruiker op welk moment op welke link klikt, zodat incidentrespons veel sneller kan plaatsvinden en bewijsvoering richting toezichthouders beschikbaar is. Deze combinatie van preventie en forensische informatie is essentieel voor organisaties die moeten aantonen dat zij proportionele maatregelen hebben getroffen conform BIO 9 en NIS2 artikel 21.
In de meeste overheidsinstellingen is Microsoft 365 de spil van samenwerking tussen departementen, gemeenten en ketenpartners. Besluiten, implementatieplannen en juridische documenten worden massaal gedeeld via Teams-kanalen, gedeelde mailadressen en gastaccounts. Dit vergroot het aanvalsoppervlak omdat elke externe link een potentiele dreiging vormt, zeker als dezelfde informatie ook via priveapparaten wordt geopend. Safe Links stelt organisaties in staat om een uniform beveiligingsniveau op te leggen, ongeacht of de gebruiker een browser, desktopclient of mobiele app gebruikt. Het systeem bewaakt bovendien dat links die eenmaal als veilig zijn geclassificeerd later opnieuw worden beoordeeld wanneer nieuw dreigingsintelligentie beschikbaar komt. Zo ontstaat een continue controlelus die aansluit bij de eis uit de Nederlandse Baseline om maatregelen niet eenmalig maar doorlopend te verifieren.
Een tweede strategische component betreft de relatie met compliance en verantwoording. Safe Links logging bevat precies welke waarschuwingen zijn getoond, welke links zijn geblokkeerd en hoe gebruikers daarop reageerden. Deze data ondersteunt AVG-verplichtingen, omdat men kan aantonen dat persoonsgegevens alleen worden verwerkt via gecontroleerde paden, en helpt bij het onderbouwen van meldingen aan de Autoriteit Persoonsgegevens of de Rijksinspectie Digitale Infrastructuur. Wanneer een aanval toch succesvol blijkt, kan de organisatie vanuit de Safe Links logs reconstrueren welke gebruiker op welke link klikte, welke apparaten betrokken waren en welke vervolgstappen nodig zijn. Dit verkort de doorlooptijd van incidentonderzoek, voorkomt speculatie en maakt dat bestuurders concrete beslissingen kunnen nemen tijdens crisissituaties.
Tot slot creeert een volwassen Safe Links configuratie vertrouwen tussen bestuurslagen. Colleges van B&W, ministeries en uitvoeringsorganisaties delen regelmatig gevoelige conceptteksten die nog niet openbaar mogen zijn. Wanneer duidelijk is dat iedere link automatisch wordt herschreven, gecontroleerd en gelogd binnen het beveiligingsdomein van de organisatie, durven besluitvormers de digitale samenwerking te intensiveren. Safe Links is daarmee niet uitsluitend een technische maatregel, maar een enabler voor digitale transformatie binnen de overheid. Het sluit aan bij het principe uit de "Nederlandse Baseline voor Veilige Cloud" dat beveiliging en innovatie hand in hand moeten gaan: een centrale configuratie die zowel risico's reduceert als vertrouwen vergroot.
Beleid, governance en risicogestuurde configuratie
Een effectieve Safe Links implementatie begint met helder beleid waarin wordt vastgelegd welke gebruikersgroepen welke mate van bescherming nodig hebben. De CISO bepaalt het kader, maar proceseigenaren en lijnmanagers moeten aangeven welke processen afhankelijk zijn van snelle toegang tot externe bronnen. Binnen overheden gaat het bijvoorbeeld om juridische teams die jurisprudentie raadplegen, zorgdomeinen die portalen van ketenpartners bezoeken en crisisorganisaties die nieuws- en socialmediabronnen monitoren. Door een risicosegmentatie te maken, kan het securityteam vastleggen waar strikte time-of-click inspectie verplicht is, waar uitzonderingen tijdelijk kunnen worden toegestaan en welke voorwaarden gelden voor het toevoegen van domeinen aan de Do Not Rewrite lijst. Deze besluiten worden vastgelegd in een formeel beleid dat onderdeel is van het informatiebeveiligingsplan, inclusief herzieningsdata, verantwoordelijken en escalatiepaden.
Governance reikt verder dan alleen het goedkeuren van beleid. Safe Links raakt ook aan juridisch kader, privacy en communicatie. De Functionaris Gegevensbescherming toetst of logging en rapportages voldoen aan AVG-principes, bijvoorbeeld door bewaartermijnen vast te leggen en de toegang tot klikdata te beperken. De Chief Privacy Officer of FG valideert ook dat gebruikers op een transparante manier worden geinformeerd wanneer een link is geblokkeerd, inclusief verwijzing naar klachtenprocedures. Communicatie- en HR-afdelingen zorgen ervoor dat onboardingprogramma's uitleggen waarom Safe Links-meldingen verschijnen, zodat medewerkers deze niet negeren of omzeilen. Samenwerkingen met leveranciers worden contractueel vastgelegd: wanneer externe software partners e-mails sturen met kritieke links, wordt in de verwerkersovereenkomst vastgelegd dat zij DMARC en SPF goed configureren, zodat Safe Links minder uitzonderingen hoeft te bevatten.
Veel organisaties onderschatten het belang van besluitdocumentatie rond uitzonderingen. Iedere toevoeging aan de Do Not Rewrite lijst moet zijn voorzien van een risicoafweging, een eigenaar en een einddatum. Bijvoorbeeld: een aanbestedingsplatform waarop dagelijks tientallen documenten worden gedownload kan tijdelijk op de uitzonderingslijst worden gezet om vertraging te voorkomen, maar alleen wanneer een alternatieve monitoringmaatregel actief is. Deze besluiten worden vastgelegd in een register dat door het securityteam wordt bijgehouden en dat onderdeel uitmaakt van audits. Zo ontstaat aantoonbare governance: auditors zien wie toestemming gaf, waarom dat nodig was en wanneer de uitzondering wordt herzien. Dit past bij de eisen uit BIO 12 en ISO 27001 A.5 rondom change management en autorisatie van beveiligingsmaatregelen.
Tot slot borgt een governanceproces de aansluiting op crisisteams en besluitvorming op bestuurlijk niveau. Wanneer Safe Links een grootschalige phishingcampagne blokkeert, moet helder zijn wie de situatie beoordeelt, wie communicatie richting bestuurders regelt en hoe partners worden geinformeerd. Door Safe Links alerts te koppelen aan het bestaande Incident Response Plan, inclusief escalatieniveaus en draaiboeken, ontstaat een herhaalbaar proces. Daarmee voldoet de organisatie aan de eis om dreigingen snel te detecteren, te melden en lessons learned te delen met de CIO-raad of ketenpartners. Governance is dus niet alleen een document, maar een levend mechanisme dat beleids-, juridische en operationele disciplines verbindt.
Implementatie, automatisering en kwaliteitscontrole
Gebruik PowerShell-script safe-links-configuration.ps1 (functie Invoke-SafeLinksAssessment) – Controleert of er Safe Links policies, regels en uitzonderingen aanwezig zijn, valideert of Teams/SharePoint bescherming is geactiveerd en ondersteunt een veilige lokale debug-run..
De technische implementatie begint in het Microsoft 365 Defender-portaal onder Email & collaboration -> Threat policies -> Safe Links. Hier definieert de beheerder beleid voor e-mail, Microsoft Teams, Microsoft 365-apps en het gedeelde documentlandschap. Een volwassen configuratie zorgt dat alle inkomende en uitgaande e-mails worden herschreven, dat gebruikers een waarschuwing zien bij verdachte links en dat ingebedde URL's in Office-documenten dezelfde bescherming krijgen. Daarnaast wordt Safe Links for SharePoint, OneDrive en Teams geactiveerd, zodat ook bestanden die al in de tenant staan worden gecontroleerd zodra iemand erop klikt. Omdat veel overheden meerdere tenants hebben voor ontwikkel-, test- en productieomgevingen, worden configuraties gestandaardiseerd via scripts of Infrastructure-as-Code zodat verschillen direct zichtbaar worden.
Automatisering voorkomt configuratiedrift. Het PowerShell-script `safe-links-configuration.ps1` controleert periodiek of de belangrijkste elementen aanwezig zijn: minimaal een Safe Links policy, regels die deze policies toepassen op alle domeinen, ingeschakelde bescherming voor Teams en SharePoint, en duidelijke meldteksten voor gebruikers. In productiemodus maakt het script verbinding met Exchange Online om policies (`Get-SafeLinksPolicy`) en regels (`Get-SafeLinksRule`) op te halen. Het script detecteert of er uitzonderingen bestaan zonder documentatie en geeft aanbevelingen wanneer Dynamic Delivery ontbreekt of wanneer Teams-bescherming niet actief is. In DebugMode genereert het script realistische voorbeeldresultaten zodat beheerders lokaal kunnen testen zonder verbinding te maken met de cloud. Dat sluit aan op de eis uit de opdracht om scripts altijd met lokale debug-instellingen te valideren voordat zij in productie worden gebruikt.
Naast het script worden configuraties gedocumenteerd in een bronnenboek: welke policies bestaan, welke parameters worden gebruikt, welke waarschuwingsteksten zijn geconfigureerd en welke uitzonderingen zijn toegestaan. Deze documentatie wordt bijgewerkt zodra een wijziging wordt aangevraagd en vormt input voor CAB-vergaderingen of security boards. Organisaties die DevOps-principes toepassen, integreren Safe Links configuratie in pipelines via Graph API of het Security & Compliance PowerShell-endpoint. Zo kan bijvoorbeeld een update aan de Do Not Rewrite lijst automatisch worden gevalideerd tegen een goedgekeurde lijst van vertrouwde domeinen, waarna de wijziging pas wordt toegepast als er een expliciete goedkeuring is geregistreerd.
Tot slot wordt kwaliteitscontrole ingebouwd via dashboards. De resultaten van `Invoke-SafeLinksAssessment` worden geexporteerd naar JSON en opgeslagen in een log analytics workspace of Power BI dataset. Hierdoor zien CISO's en teamleads in een oogopslag welke tenants compliant zijn, waar uitzonderingen bestaan en welke acties zijn gepland. Door deze gegevens te koppelen aan kwetsbaarheden uit Microsoft Defender Threat Intelligence kunnen prioriteiten worden afgestemd op actuele dreigingen. Kwaliteitscontrole is daarmee een doorlopend proces waarin tooling, governance en mensen elkaar versterken.
Operationeel beheer, monitoring en continue verbetering
Zodra Safe Links operationeel is, verschuift de focus naar monitoring en respons. Het Security Operations Center (SOC) volgt dashboards die inzicht geven in geblokkeerde links, gebruikersgedrag en opmerkelijke campagnes. Bij pieken in geblokkeerde links wordt direct onderzocht of het gaat om een gerichte aanval, een foutief geconfigureerde partner of een false positive. De SOC-analist bekijkt daarbij de Safe Links alertdetails, koppelt deze aan e-mailheaders en correlatiegegevens uit Microsoft Defender XDR. Wordt er een aanval vastgesteld, dan wordt de crisisorganisatie geinformeerd en worden gebruikers via Teams of intranet gewezen op de lopende phishingpoging. Deze snelle feedbackloop is cruciaal om vertrouwelijke processen te beschermen, zeker tijdens verkiezingsperioden of bij maatschappelijke crises.
Rapportages vormen een tweede pijler. Maandelijks ontvangt het bestuur een overzicht van de belangrijkste cijfers: aantal geblokkeerde links, aantal gebruikers dat toch op een verdachte link heeft geklikt, gemiddelde reactietijd van analisten en het aantal uitzonderingen dat nog openstaat. Deze rapportages worden verrijkt met een analyse die aangeeft welke beleidsdomeinen het meest worden aangevallen en welke maatregelen zijn genomen. Zo kan het bestuur gericht besluiten nemen, bijvoorbeeld om extra awareness te organiseren in een bepaalde directie of om aanvullende technische maatregelen te financieren. Rapportages worden daarnaast gedeeld met ketenpartners binnen samenwerkingsverbanden zoals de IBD of SURF, zodat dreigingsinformatie snel circuleert.
Continue verbetering houdt in dat Safe Links configuraties regelmatig worden getest via redteaming, tabletop-oefeningen en geautomatiseerde simulaties. Securityteams maken bijvoorbeeld gebruik van Attack Simulation Training om gecontroleerde phishingcampagnes uit te voeren en meten hoe Safe Links en gebruikers reageren. Bevindingen worden vertaald naar aanpassingen in beleid, aanvullende user experience-teksten of extra regels voor specifieke domeinen. Ook worden lessons learned vastgelegd in een verbeterregister dat tijdens audits kan worden overlegd. Hiermee toont de organisatie aan dat Safe Links geen statische maatregel is maar onderdeel van een lerende cyclus, zoals voorgeschreven in de "Nederlandse Baseline voor Veilige Cloud".
Tot slot moeten operationele teams aandacht besteden aan lifecyclemanagement. Nieuwe applicaties, fusies, reorganisaties of ketensamenwerkingen brengen nieuwe domeinen en URL's met zich mee. Het changeproces verplicht teams om Safe Links-impact vooraf te beoordelen, zodat nieuwe workflows niet onverwacht worden geblokkeerd. Bij offboarding wordt gecontroleerd of verwijderde domeinen ook uit uitzonderingslijsten verdwijnen. De combinatie van procedures, tooling en rapportage zorgt ervoor dat Safe Links bescherming meegroeit met de organisatie zonder in te boeten aan controleerbaarheid. Daarmee wordt voldaan aan de eisen van toezichthouders en blijft digitale samenwerking veilig en voorspelbaar.
Compliance & Frameworks
- BIO: 9.01, 9.02, 12.01, 17.01 - Ondersteunt organisatorische en technische maatregelen voor e-mail- en collaborationbeveiliging, inclusief logging, monitoring en incidentafhandeling conform de Baseline Informatiebeveiliging Overheid.
- ISO 27001:2022: A.5.7, A.5.23, A.8.7, A.8.16 - Dekt ondersteuning van beveiligingsbeleid, bescherming tegen malware, beveiliging van communicatie en logging/monitoring binnen cloudomgevingen.
- NIS2: Artikel - Verplicht essentiele en belangrijke entiteiten tot een risicogebaseerde inrichting van technische en organisatorische maatregelen, inclusief detectie- en responsprocessen voor phishing en URL-bescherming.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Safe Links configuratiecontrole voor Microsoft 365 Defender.
.DESCRIPTION
Voert een assessment uit op Safe Links policies, regels en workloadbescherming
binnen Microsoft 365. In DebugMode wordt met voorbeelddata gewerkt voor veilige,
lokale tests zonder cloudverbinding.
.NOTES
Filename: safe-links-configuration.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-27
Version: 1.0
Gerelateerd JSON: content/m365/defender/safe-links-configuration.json
Categorie: defender
Workload: m365
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\safe-links-configuration.ps1 -Assessment -DebugMode
Voert een lokale test uit met gesimuleerde gegevens.
.EXAMPLE
.\safe-links-configuration.ps1 -Assessment
Verbindt met Exchange Online en controleert live configuraties.
#>
#Requires -Version 5.1
#Requires -Modules ExchangeOnlineManagement
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer een Safe Links assessment uit")]
[switch]$Assessment,
[Parameter(HelpMessage = "Gebruik voorbeelddata zonder verbinding met Microsoft 365")]
[switch]$DebugMode
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Safe Links Configuration Assessment" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Connect-ExchangeIfNeeded {
<#
.SYNOPSIS
Maakt verbinding met Exchange Online indien nodig.
#>
[CmdletBinding()]
param(
[switch]$DebugMode
)
if ($DebugMode) {
Write-Verbose "DebugMode actief: er wordt geen verbinding gemaakt."
return
}
$session = Get-PSSession | Where-Object { $_.ConfigurationName -eq "Microsoft.Exchange" -and $_.State -eq "Opened" }
if ($session) {
Write-Verbose "Bestaande Exchange Online sessie gevonden."
return
}
try {
Write-Host "Verbinding maken met Exchange Online..." -ForegroundColor Gray
Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop | Out-Null
Write-Host "Verbonden met Exchange Online." -ForegroundColor Green
}
catch {
Write-Warning "Verbinding mislukt: $_"
throw
}
}
function Invoke-SafeLinksAssessment {
<#
.SYNOPSIS
Controleert Safe Links policies, rules en workloadbescherming.
.OUTPUTS
PSCustomObject
#>
[CmdletBinding()]
param(
[switch]$DebugMode
)
$result = [PSCustomObject]@{
ScriptName = "safe-links-configuration.ps1"
Timestamp = Get-Date
Mode = $(if ($DebugMode) { "Debug" } else { "Production" })
HasPolicies = $false
HasRules = $false
HasTeamsSpoProtection= $false
HasClickTracking = $false
Findings = @()
IsCompliant = $false
}
if ($DebugMode) {
Write-Host "DebugMode: voorbeeldgegevens worden geladen." -ForegroundColor Yellow
$result.HasPolicies = $true
$result.HasRules = $true
$result.HasTeamsSpoProtection = $false
$result.HasClickTracking = $true
$result.Findings += "DebugMode: Beleidsset gevonden, maar SharePoint/Teams bescherming staat nog uit."
$result.Findings += "DebugMode: Klikrapportages worden geëxporteerd naar Power BI."
$result.IsCompliant = $result.HasPolicies -and $result.HasRules -and $result.HasTeamsSpoProtection -and $result.HasClickTracking
return $result
}
Connect-ExchangeIfNeeded -DebugMode:$false
$hasSafeLinksCmdlets = Get-Command -Name Get-SafeLinksPolicy -ErrorAction SilentlyContinue
if (-not $hasSafeLinksCmdlets) {
$result.Findings += "Get-SafeLinksPolicy is niet beschikbaar. Controleer of de ExchangeOnlineManagement module up-to-date is."
return $result
}
try {
$policies = Get-SafeLinksPolicy -ErrorAction Stop
$result.HasPolicies = ($policies.Count -gt 0)
if (-not $result.HasPolicies) {
$result.Findings += "Er zijn geen Safe Links policies gevonden."
}
else {
if ($policies | Where-Object { $_.EnableSafeLinksForTeams -or $_.EnableSafeLinksForOffice -or $_.EnableSafeLinksForODSP } ) {
$result.HasTeamsSpoProtection = $true
}
else {
$result.Findings += "Er zijn policies aanwezig, maar workloads zoals Teams/SharePoint/Office zijn niet geactiveerd."
}
}
}
catch {
$result.Findings += "Kon Safe Links policies niet ophalen: $_"
}
try {
$rules = Get-SafeLinksRule -ErrorAction Stop
$result.HasRules = ($rules.Count -gt 0)
if (-not $result.HasRules) {
$result.Findings += "Er zijn geen Safe Links rules gevonden die policies toepassen."
}
}
catch {
$result.Findings += "Kon Safe Links rules niet ophalen: $_"
}
try {
$clickPolicy = Get-AtpPolicyForO365 -ErrorAction Stop
if ($clickPolicy.EnableSafeLinksForClientApplications -or $clickPolicy.EnableSafeLinksForAnyEmailClient) {
$result.HasClickTracking = $true
}
else {
$result.Findings += "Time-of-click bescherming is niet volledig ingeschakeld voor clients."
}
}
catch {
$result.Findings += "Kon ATP policy instellingen voor Safe Links niet ophalen: $_"
}
if (-not $result.HasTeamsSpoProtection) {
$result.Findings += "Schakel Safe Links for SharePoint, OneDrive en Teams in via het Defender portaal."
}
if (-not $result.HasClickTracking) {
$result.Findings += "Controleer of kliktracking en rapportage zijn geactiveerd (Get-AtpPolicyForO365)."
}
$result.IsCompliant = $result.HasPolicies -and $result.HasRules -and $result.HasTeamsSpoProtection -and $result.HasClickTracking
return $result
}
try {
if (-not $Assessment) {
Write-Host "Gebruik -Assessment om de controle uit te voeren." -ForegroundColor Yellow
Write-Host "Optioneel: -DebugMode voor lokale tests." -ForegroundColor Gray
Write-Host "Voorbeeld: .\safe-links-configuration.ps1 -Assessment -DebugMode" -ForegroundColor Cyan
exit 0
}
$assessmentResult = Invoke-SafeLinksAssessment -DebugMode:$DebugMode
Write-Host "`nResultaat Safe Links Assessment:" -ForegroundColor Cyan
Write-Host (" Modus : {0}" -f $assessmentResult.Mode) -ForegroundColor White
Write-Host (" Policies gevonden : {0}" -f $assessmentResult.HasPolicies) -ForegroundColor White
Write-Host (" Rules actief : {0}" -f $assessmentResult.HasRules) -ForegroundColor White
Write-Host (" Teams/SPO bescherming : {0}" -f $assessmentResult.HasTeamsSpoProtection) -ForegroundColor White
Write-Host (" Kliktracking geactiveerd : {0}" -f $assessmentResult.HasClickTracking) -ForegroundColor White
if ($assessmentResult.Findings.Count -gt 0) {
Write-Host "`nBevindingen:" -ForegroundColor Yellow
foreach ($finding in $assessmentResult.Findings) {
Write-Host " - $finding" -ForegroundColor Yellow
}
}
if ($assessmentResult.IsCompliant) {
Write-Host "`n[OK] Safe Links configuratie voldoet aan de basiscriteria." -ForegroundColor Green
exit 0
}
else {
Write-Host "`n[ATTENTIE] Safe Links configuratie vereist actie." -ForegroundColor Red
exit 1
}
}
catch {
Write-Error "Fout tijdens uitvoering: $_"
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
# Exitcodes:
# 0 = Compliant of alleen helptekst
# 1 = Niet volledig compliant
# 2 = Fout tijdens uitvoering
Risico zonder implementatie
Risico zonder implementatie
High: Zonder Safe Links blijven linkgebaseerde phishingcampagnes een laagdrempelige route om accounts over te nemen en vertrouwelijke informatie buit te maken. Organisaties lopen verhoogd risico op verstoring van primaire processen, meldplichtige datalekken en sancties van toezichthouders.
Management Samenvatting
Schakel Safe Links tenant-breed in, beheer uitzonderingen streng en automatiseer controles via het PowerShell-script. Koppel monitoring aan rapportages zodat bestuurders, auditors en ketenpartners aantoonbaar zien dat URL-bescherming voortdurend wordt bijgewerkt.
- Implementatietijd: 160 uur
- FTE required: 0.6 FTE