💼 Management Samenvatting
Passwordless authenticatie reduceert het risico op accountovernames drastisch door gedeelde geheimen te elimineren en gebruikers te laten inloggen met hardwaregebonden sleutels of biometrie. Voor organisaties die werken met gevoelige overheidsinformatie is dit de logische volgende stap na het verplicht stellen van multi-factor authenticatie.
Aanbeveling
IMPLEMENT
Risico zonder
Hoog
Risk Score
9/10
Implementatie
64u (tech: 40u)
Van toepassing op:
✓ M365
✓ Entra ID
✓ Windows 11
✓ Entra ID
✓ Windows 11
Wachtwoorden blijven het zwakste schakelpunt in de keten, zelfs wanneer MFA is ingericht. Aanvallers misbruiken prompts, sturen gebruikers naar malafide authenticatieportalen en automatiseren social-engineeringcampagnes waardoor push-moeheid optreedt. Door passwordless methoden als FIDO2, Windows Hello for Business en Microsoft Authenticator zonder wachtwoord te verplichten, vervalt de afhankelijkheid van wachtwoorden, verdwijnen hergebruikproblemen en kunnen phishing-aanvallen geen credentials meer onderscheppen. Passwordless voldoet daarmee aan strengere BIO, AVG en NIS2 interpretaties waarin expliciet wordt gevraagd om phishing-resistente authenticatie voor privileged en hoog-risico accounts.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph
Implementatie
Dit artikel beschrijft hoe u passwordless authenticatie tenant-breed verankert. We starten met de beleidsmatige context en de eisen vanuit Nederlandse kaders, behandelen daarna de technische uitvoering voor FIDO2, Windows Hello for Business, Temporary Access Pass en Authenticator passwordless, en sluiten af met operationele waarborgen, adoptie, monitoring en auditverplichtingen. De bijbehorende PowerShell helpt u de configuratie periodiek te controleren.
Strategische context en beleidskaders
Passwordless authenticatie sluit direct aan op de Nederlandse Baseline voor Veilige Cloud omdat het de vertrouwelijkheid, integriteit en beschikbaarheid van publieke clouddiensten rechtstreeks beschermt. Waar MFA de kans op succesvolle credential-phishing al sterk reduceert, elimineert passwordless het wachtwoord volledig als aanvalsvector. Voor CISO's en security officers in de publieke sector betekent dit dat zij een aantoonbare control kunnen opvoeren richting interne audit, Algemene Rekenkamer of toezichthouders wanneer zij gevoelige gegevens in Microsoft 365 verwerken. Bovendien biedt passwordless een concreet antwoord op recente dreigingsrapporten van het NCSC waarin relaties tussen wachtwoordhergebruik, geavanceerde phishingkits en supply-chain-aanvallen worden aangetoond. Het strategische narratief draait daarmee om het beschermen van vertrouwen in digitale dienstverlening door burgerportalen, gemeentelijke samenwerkingsomgevingen en ministeriële samenwerkingsteams te beveiligen met sterke, hardwaregebonden identiteiten.
Het beleidsmatige kader is helder: de Baseline Informatiebeveiliging Overheid vereist in hoofdstuk 09 dat hoog-risico accounts alleen via sterk gecontroleerde paden toegang krijgen. NIS2 en de sectorale uitwerkingen (bijvoorbeeld Wbni voor vitale aanbieders) leggen nadruk op phishing-resistente methoden en continue verificatie. De Autoriteit Persoonsgegevens verwacht dat verwerkingsverantwoordelijken passende technische maatregelen kiezen die passen bij de gevoeligheid van de gegevenscategorieën. Passwordless valt in auditrapportages onder het begrip sterke authenticatie omdat cryptografische sleutels lokaal worden opgeslagen en nooit gedeeld worden. Door passwordless in beleid te verankeren, kan een security board aantonen dat het minimalisatieprincipe voor toegangsvoorzieningen wordt toegepast. Dat maakt het gemakkelijker om investeringen te onderbouwen, zeker wanneer CIO's afwegingen maken over hardwaretokens, moderne laptops met TPM 2.0 of security keys die voldoen aan FIPS 140-2.
Een overstap naar passwordless vraagt ook om een herijking van zero trust-architecturen. Authenticatie wordt toekomstbestendig wanneer het draait om sterke identiteitssignalen, device compliance, real-time risicobeoordeling en minimale gebruikersfrictie. Passwordless methoden leveren rijkere metadata aan Microsoft Entra ID, waardoor Conditional Access policies nauwkeuriger risicoinschattingen kunnen doen. Denk aan signalen over sleutelherkomst, hardwarebinding en afgedwongen TPM-validatie. Deze gegevens voeden vervolgens beveiligingsoperaties: Sentinel kan passwordless-aanmeldingen onderscheiden van klassieke wachtwoordaanmeldingen, waardoor afwijkende patronen sneller opvallen. Strategisch gezien gaat passwordless dus verder dan authenticatie alleen; het verbetert detectiecapaciteiten, maakt geavanceerde beleidsregels mogelijk en ondersteunt initiatieven rondom Just-in-Time access en Privileged Identity Management.
Tot slot is er de menselijke component. Bestuurders verwachten dat de overstap niet alleen veiliger maar ook gebruiksvriendelijker is. Passwordless voldoet aan die belofte wanneer projectteams de businesscase goed uitwerken: minder wachtwoordresets, lagere servicedeskdruk, kortere onboarding en hogere tevredenheid onder mobiele medewerkers. Organisaties zoals gemeenten met veel buitendienstmedewerkers kunnen passwordless combineren met Shared Device Mode en Intune-managed kiosken. Universiteiten en onderzoeksinstellingen kunnen FIDO2-sleutels inzetten voor gastonderzoekers die beperkte toegang hoeven te krijgen zonder een nieuw wachtwoordbeheertraject. Door deze voordelen expliciet te koppelen aan beleidsdoelen ontstaat draagvlak over de gehele lijn en wordt passwordless een prioriteit binnen portfolioboards die digitale transformatieprojecten beoordelen.
Technische implementatie van passwordless authenticatie
Een succesvolle implementatie begint bij een inventarisatie van identiteiten, devices en applicaties. Verzamel welke directory-rollen kritisch zijn, welke gebruikersgroepen reeds beschikken over moderne hardware, en welke bedrijfsonderdelen afhankelijk zijn van legacy protocollen. Gebruik Microsoft Entra ID Access Reviews om privileges tegen het licht te houden en Inventariseer via Intune of Configuration Manager welke endpoints TPM 2.0, biometrische sensoren en de laatste Windows 11 builds draaien. Parallel stelt u een baseline op voor applicatiecompatibiliteit: moderne SaaS-apps ondersteunen passwordless direct, maar on-premises line-of-business toepassingen die via Kerberos of oudere AD FS-configuraties lopen, vereisen aanvullende modernisering. Zodra deze nulmeting staat, definieert u een gefaseerde uitrol die begint bij hoog privilege accounts en eindigt met brede adoptie in de organisatie.
De kern van de technische configuratie bevindt zich in Microsoft Graph onder de authenticationMethodsPolicy. FIDO2 moet ingeschakeld worden met strikte attestation policies, waarin u aangeeft welke key vendors zijn toegestaan, of biometrie verplicht is en of gebruikers alleen managed devices mogen registeren. Windows Hello for Business vereist dat clients Hybrid of Cloud Trust gebruiken, dat certificaatprofielen kloppen en dat device compliance in Intune wordt afgedwongen. Passwordless Microsoft Authenticator biedt mobiele werknemers een alternatief waarbij zij een nummermatching-proces doorlopen zonder wachtwoord. Temporary Access Pass (TAP) fungeert als bootstrap-instrument: nieuwe medewerkers ontvangen een tijdgebonden code om hun eerste passwordless methode te registreren, waarna het TAP direct vervalt. Maak gebruik van Conditional Access Authentication Strengths om ervoor te zorgen dat gevoelige applicaties alleen toegankelijk zijn met deze passwordless methoden en koppel break-glass accounts uit door onverwachte scenario's af te dekken.
Integratie met endpoint- en certificaatbeheer is essentieel. Voor Windows Hello for Business Cloud Trust configureert u Kerberos Cloud Trust in Active Directory zodat on-prem resources passwordless aanmeldingen accepteren zonder dat er nog smartcards nodig zijn. In scenario's met VDI of gedeelde apparaten implementeert u Shared Multi-user Device (SMUD) policies en wisselt u naar FIDO2-sleutels met NFC zodat operators zich snel kunnen aanmelden. Serviceaccounts en non-human identiteiten moeten worden vervangen door managed identities of workload identity federation omdat passwordless hier geen direct alternatief biedt. Documenteer welke uitzonderingen nog wachtwoorden vereisen en stel een afbouwpad op zodat technische schuld niet structureel wordt.
Na configuratie volgt validatie. Gebruik de Microsoft Authenticator registratie-rapporten, Intune compliance dashboards en Graph-queries om de adoptie per afdeling bij te houden. Test scenario's voor zowel online als offline aanmeldingen, inclusief Device PIN recovery en fallback methoden. Simuleer phishing-aanvallen via attack simulation training om aan te tonen dat passwordless pogingen automatisch blokkeren. Controleer bovendien of SIEM-regels passwordless-signalen correct verwerken en of incident response playbooks zijn bijgewerkt met procedures voor sleutelintrekking, verloren devices en geautomatiseerde sleutelrotatie. Deze combinatie van configuratie, validatie en detectie levert een aantoonbare passwordless control op die klaar is voor audit.
Operationele verankering, adoptie en monitoring
Passwordless blijft alleen effectief wanneer beheerprocessen het borgen. Richt een governanceboard in waarin security, operations, HR en compliance zitting hebben zodat wijzigingen aan authentication policies centraal worden afgestemd. Maak passwordless adoptie onderdeel van onboarding: nieuwe medewerkers doorlopen direct de TAP-registratie, ontvangen instructies voor het beheren van hun FIDO2-sleutel en tekenen het beleid voor zorgvuldig sleutelbeheer. Bestaande medewerkers krijgen verplichte awareness-sessies waarin de risico's van wachtwoorden worden uitgelegd terwijl hands-on labs laten zien hoe zij met Windows Hello for Business inloggen. Voor externe leveranciers definieert u contractuele eisen, bijvoorbeeld dat zij uitsluitend passwordless methoden gebruiken wanneer zij toegang vragen via B2B-collaboration. Deze afspraken worden opgenomen in Data Processing Agreements zodat juridische kaders aansluiten op de technische realiteit.
Monitoring is tweedelig: enerzijds controleert u de configuratie, anderzijds bewaakt u gedrag. Het bijbehorende PowerShell-script leest via Microsoft Graph de status van FIDO2, Temporary Access Pass en Microsoft Authenticator passwordless configuraties uit en vergelijkt deze met de beleidsverwachtingen. Daarnaast inventariseert het script of alle beheerders daadwerkelijk passwordless methoden hebben geregistreerd. De uitkomsten worden opgeslagen in een compliance-dashboard of SIEM, waar u drempelwaarden instelt. Wanneer minder dan 95 procent van de beheerders passwordless gebruikt, ontstaat automatisch een ticket voor het Identiteitsbeheerteam. Sign-in logs in Entra ID leveren aanvullende signalen, zoals ongebruikelijke locaties die ondanks passwordless authentiseren, of downgrades naar wachtwoord plus SMS omdat een gebruiker zijn sleutel verloor. Door deze signalen te koppelen aan Just-in-Time access en Privileged Identity Management ontstaan geautomatiseerde blokkades bij afwijkingen.
Audits vragen bewijs dat passwordless consequent is toegepast. Bewaar exports van authentication method policies, Conditional Access configuraties en registratie-rapporten in een gecontroleerde SharePoint-site met retentie. Documenteer het onboarding-proces en leg vast welke logistieke stappen worden gezet wanneer een medewerker een sleutel verliest of een apparaat vervangt. Werk instructies voor servicedeskmedewerkers bij zodat zij een verloren sleutel kunnen intrekken, nieuwe methoden kunnen registreren en incidenten kunnen escaleren zonder onnodige wachtwoordresets toe te staan. Voor BIO en ISO 27001 audits koppelt u passwordless aan controls rondom toegangsbeheer, cryptografie en incidentdetectie. Laat zien hoe passwordless de risicoanalyse beïnvloedt en welke rest risico's zijn geaccepteerd, bijvoorbeeld voor legacy applicaties die nog geen moderne authenticatie ondersteunen maar wel achter een geïsoleerde jump server draaien.
Kijk vooruit door passwordless op te nemen in roadmaps voor digitale soevereiniteit en post-quantum voorbereidingen. FIDO2-sleutels ondersteunen reeds hybride cryptografie en kunnen worden vervangen zodra nieuwe standaarden beschikbaar komen. Houd leveranciersprestaties bij via KPI's zoals mean time to register, incidenten per sleuteltype en percentage self-service herstel. Gebruik deze inzichten om contracten met hardwareleveranciers of Managed Security Service Providers aan te scherpen. Tot slot is samenwerking binnen de overheid cruciaal: deel lessons learned via interbestuurlijke gremia, test samen nieuwe authenticatiestrategieën en benut gezamenlijke inkoopkrachten om kosten per sleutel te verlagen. Zo blijft passwordless geen eenmalig project maar een continu verbeterprogramma dat aansluit op de ambitie van de Nederlandse Baseline voor Veilige Cloud.
Technische monitoring met PowerShell
Gebruik PowerShell-script passwordless-authentication-enabled.ps1 (functie Invoke-Monitoring) – Controleert de status van FIDO2, Temporary Access Pass en Authenticator passwordless configuraties en verifieert of beheerders daadwerkelijk een passwordless methode hebben geregistreerd..
Operationele opvolging en remediatie
Gebruik PowerShell-script passwordless-authentication-enabled.ps1 (functie Invoke-Remediation) – Biedt een checklist voor het inschakelen van passwordless methoden, het herregistreren van beheerders en het veilig verwijderen van wachtwoord fallback-opties..
Compliance & Frameworks
- CIS M365: Control 6.6 (L2) - Implementeer phishing-resistente authenticatie voor beheerders en kritieke accounts.
- BIO: 09.04, 12.05 - Gebruik sterke authenticatiemechanismen voor beheerfuncties en zorg voor periodieke verificatie van identiteiten binnen cloudwerkplekken.
- ISO 27001:2022: A.5.17, A.8.2, A.8.4 - Beveilig toegangscontroleprocessen met cryptografische authenticatie en borg sleutelbeheer gedurende de gehele levenscyclus.
- NIS2: Artikel Artikel 21 - Phishing-resistente authenticatie en continue monitoring voor beheerders zijn vereist om netwerk- en informatiesystemen te beschermen.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Controleert en ondersteunt passwordless authenticatie voor beheerdersaccounts.
.DESCRIPTION
Dit script valideert of passwordless authenticatiemethoden (FIDO2, Windows Hello for Business,
Microsoft Authenticator zonder wachtwoord en Temporary Access Pass) zijn ingeschakeld en of
alle beheerders minimaal één passwordless methode hebben geregistreerd. Optioneel biedt het
een remediatiechecklist.
.NOTES
Filename: passwordless-authentication-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 27-11-2025
Last Modified: 27-11-2025
Version: 1.0
Related JSON: content/m365/identity-protection/passwordless-authentication-enabled.json
.LINK
https://github.com/nl-cloud-security/m365-tenant-best-practise
.EXAMPLE
.\passwordless-authentication-enabled.ps1 -Monitoring
Voert alle controles uit en retourneert een exitcode op basis van compliance.
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Monitoring,
[Parameter(Mandatory = $false)]
[switch]$Remediation
)
$ErrorActionPreference = 'Stop'
$script:GraphConnected = $false
function Connect-Graph {
if ($script:GraphConnected) {
return
}
Write-Host "[INFO] Verbinden met Microsoft Graph..." -ForegroundColor Gray
Connect-MgGraph -Scopes "Policy.Read.All","Directory.Read.All","User.Read.All","UserAuthenticationMethod.Read.All" -NoWelcome -ErrorAction Stop
$script:GraphConnected = $true
}
function Get-AdminUsers {
Write-Host "[INFO] Ophalen directory roles en beheerders..." -ForegroundColor Gray
$roles = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/directoryRoles"
$admins = @()
foreach ($role in $roles.value) {
$members = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/directoryRoles/$($role.id)/members"
foreach ($member in $members.value) {
if ($member.'@odata.type' -eq '#microsoft.graph.user') {
if (-not ($admins | Where-Object { $_.id -eq $member.id })) {
$admins += $member
}
}
}
}
return $admins
}
function Test-PasswordlessConfig {
Write-Host "[INFO] Controleren authentication method configuraties..." -ForegroundColor Gray
$configResponse = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations"
$configs = $configResponse.value
$fido2 = $configs | Where-Object { $_.id -eq "Fido2" }
$whfb = $configs | Where-Object { $_.id -eq "WindowsHelloForBusiness" }
$authenticator = $configs | Where-Object { $_.id -eq "MicrosoftAuthenticator" }
$hasAuthenticatorTargets = $false
if ($authenticator -and $authenticator.featureSettings -and $authenticator.featureSettings.includeTargets) {
$hasAuthenticatorTargets = $true
}
$passwordlessAuthenticator = $configs | Where-Object { $_.id -eq "PasswordlessMicrosoftAuthenticator" }
$tap = $configs | Where-Object { $_.id -eq "TemporaryAccessPass" }
return [PSCustomObject]@{
Fido2Enabled = ($fido2.state -eq "enabled")
HelloForBusinessEnabled = ($whfb.state -eq "enabled")
PasswordlessAuthenticator = ($passwordlessAuthenticator.state -eq "enabled")
TemporaryAccessPassEnabled = ($tap.state -eq "enabled")
HasAuthenticatorPolicy = ($authenticator.state -eq "enabled") -and $hasAuthenticatorTargets
Configs = $configs
}
}
function Get-PasswordlessRegistrationStatus {
param(
[Parameter(Mandatory = $true)]
[array]$Admins
)
$registered = 0
$nonCompliant = @()
foreach ($admin in $Admins) {
try {
$methods = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/users/$($admin.id)/authentication/methods"
$hasPasswordless = $false
foreach ($method in $methods.value) {
if ($method.'@odata.type' -in @(
'#microsoft.graph.passwordlessMicrosoftAuthenticatorAuthenticationMethod',
'#microsoft.graph.fido2AuthenticationMethod',
'#microsoft.graph.windowsHelloForBusinessAuthenticationMethod'
)) {
$hasPasswordless = $true
break
}
}
if ($hasPasswordless) {
$registered++
}
else {
$nonCompliant += $admin
}
}
catch {
Write-Host "[WARN] Kon authenticatiemethoden niet ophalen voor $($admin.userPrincipalName): $($_.Exception.Message)" -ForegroundColor Yellow
$nonCompliant += $admin
}
}
return [PSCustomObject]@{
TotalAdmins = $Admins.Count
PasswordlessCount = $registered
NonCompliantAdmins = $nonCompliant
}
}
function Invoke-Monitoring {
Connect-Graph
$configStatus = Test-PasswordlessConfig
Write-Host "`n=== Configuratie ===" -ForegroundColor Cyan
Write-Host ("FIDO2 ingeschakeld: {0}" -f $configStatus.Fido2Enabled) -ForegroundColor (if ($configStatus.Fido2Enabled) { "Green" } else { "Yellow" })
Write-Host ("Windows Hello for Business ingeschakeld: {0}" -f $configStatus.HelloForBusinessEnabled) -ForegroundColor (if ($configStatus.HelloForBusinessEnabled) { "Green" } else { "Yellow" })
Write-Host ("Passwordless Authenticator ingeschakeld: {0}" -f $configStatus.PasswordlessAuthenticator) -ForegroundColor (if ($configStatus.PasswordlessAuthenticator) { "Green" } else { "Yellow" })
Write-Host ("Temporary Access Pass ingeschakeld: {0}" -f $configStatus.TemporaryAccessPassEnabled) -ForegroundColor (if ($configStatus.TemporaryAccessPassEnabled) { "Green" } else { "Yellow" })
$admins = Get-AdminUsers
Write-Host "`n=== Gebruikersregistratie ===" -ForegroundColor Cyan
Write-Host ("Totaal aantal beheerders: {0}" -f $admins.Count) -ForegroundColor Cyan
if ($admins.Count -eq 0) {
Write-Host "[WARN] Geen beheerdersaccounts gevonden." -ForegroundColor Yellow
}
$registrationStatus = Get-PasswordlessRegistrationStatus -Admins $admins
$percentage = if ($registrationStatus.TotalAdmins -gt 0) {
[math]::Round(($registrationStatus.PasswordlessCount / $registrationStatus.TotalAdmins) * 100, 2)
}
else {
100
}
Write-Host ("Beheerders met passwordless methode: {0}/{1} ({2}%)" -f $registrationStatus.PasswordlessCount, $registrationStatus.TotalAdmins, $percentage) -ForegroundColor (if ($percentage -ge 95) { "Green" } else { "Yellow" })
if ($registrationStatus.NonCompliantAdmins.Count -gt 0) {
Write-Host "Accounts zonder passwordless registratie:" -ForegroundColor Yellow
foreach ($admin in $registrationStatus.NonCompliantAdmins) {
Write-Host (" - {0}" -f $admin.userPrincipalName) -ForegroundColor Gray
}
}
$configCompliant = $configStatus.Fido2Enabled -and $configStatus.HelloForBusinessEnabled -and $configStatus.PasswordlessAuthenticator -and $configStatus.TemporaryAccessPassEnabled
$registrationCompliant = ($registrationStatus.TotalAdmins -eq 0) -or ($percentage -ge 95)
if ($configCompliant -and $registrationCompliant) {
Write-Host "`n[OK] Passwordless authenticatie is volledig afgedwongen voor beheerders." -ForegroundColor Green
exit 0
}
Write-Host "`n[WARN] Passwordless authenticatie vereist aandacht." -ForegroundColor Yellow
if (-not $configStatus.Fido2Enabled) { Write-Host " - Schakel FIDO2 configuratie in." -ForegroundColor Yellow }
if (-not $configStatus.HelloForBusinessEnabled) { Write-Host " - Schakel Windows Hello for Business in tenant of device policies in." -ForegroundColor Yellow }
if (-not $configStatus.PasswordlessAuthenticator) { Write-Host " - Activeer Microsoft Authenticator zonder wachtwoord." -ForegroundColor Yellow }
if (-not $configStatus.TemporaryAccessPassEnabled) { Write-Host " - Activeer Temporary Access Pass voor onboarding." -ForegroundColor Yellow }
if (-not $registrationCompliant) { Write-Host " - Niet alle beheerders hebben een passwordless methode geregistreerd." -ForegroundColor Yellow }
exit 1
}
function Invoke-Remediation {
Write-Host "[INFO] Remediatiechecklist voor passwordless authenticatie" -ForegroundColor Cyan
Write-Host "1. Activeer FIDO2 in de authentication methods policy en beperk registratie tot beheerde devices." -ForegroundColor Gray
Write-Host "2. Configureer Windows Hello for Business (Cloud Trust of Hybrid Key Trust) en zorg dat Intune compliance policies TPM 2.0 afdwingen." -ForegroundColor Gray
Write-Host "3. Schakel Microsoft Authenticator passwordless en Temporary Access Pass in voor gecontroleerde onboarding." -ForegroundColor Gray
Write-Host "4. Werk Conditional Access Authentication Strengths bij zodat privileged en gevoelige apps alleen passwordless aanmeldingen accepteren." -ForegroundColor Gray
Write-Host "5. Organiseer herregistratie-campagnes voor beheerders die nog geen passwordless methode hebben en monitor voortgang met dit script." -ForegroundColor Gray
Write-Host "6. Documenteer incidentprocedures voor verloren sleutels en zorg dat servicedeskmedewerkers toegang hebben tot TAP-uitgifteprocessen." -ForegroundColor Gray
}
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Passwordless authenticatie controle" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
Write-Host "Gebruik -Monitoring voor controles of -Remediation voor de checklist." -ForegroundColor Yellow
}
}
catch {
Write-Host "[FAIL] Fout tijdens uitvoering: $_" -ForegroundColor Red
Write-Host $_.Exception.Message -ForegroundColor Red
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Hoog: Het blijvend toestaan van wachtwoordgebaseerde aanmeldingen resulteert in een extreem hoge kans op credential-phishing en sessiekaping. Incidentrespons na een beheerderscompromis kost weken, legt kritieke dienstverlening stil en trekt de aandacht van toezichthouders. Zonder passwordless voldoet de organisatie niet aan de actuele interpretatie van BIO, NIS2 en sectorale richtlijnen voor privileged access.
Management Samenvatting
Schakel FIDO2, Windows Hello for Business, Authenticator passwordless en Temporary Access Pass in, dwing passwordless af via Authentication Strengths en monitor continu met PowerShell. Hierdoor ontstaat een phishing-resistente identiteitslaag die aansluit op Nederlandse compliance-eisen.
- Implementatietijd: 64 uur
- FTE required: 0.2 FTE