Het aanhouden van permanente beheerdersrechten was ooit gebruikelijk omdat IT-omgevingen overzichtelijker waren en dreigingen relatief beperkt. In het huidige landschap van supply-chainaanvallen, geautomatiseerde phishing en gestolen sessietokens is een account met altijd-actieve globale rechten echter een permanent aanvalsoppervlak. Eén gecompromitteerde inlog volstaat om een tenant, workloads en vaak zelfs ketenpartners te gijzelen. Daarom verschuift het uitgangspunt van identiteit en toegang binnen de Nederlandse Baseline voor Veilige Cloud naar just-in-time, minimaal benodigde bevoegdheden met aantoonbaar toezicht.
Azure AD Privileged Identity Management (PIM) operationaliseert dit uitgangspunt. Bevoegde medewerkers krijgen geen blijvende roltoewijzing meer, maar worden "eligible" en moeten expliciet een rol activeren voor een begrensde periode, voorzien van sterke authenticatie, onderbouwing en vaak een goedkeuring door een collega. Na afloop valt het account automatisch terug naar het reguliere rechtenniveau. Deze werkwijze sluit aan op BIO, NIS2 en ISO 27001 eisen rondom functiescheiding, logging en periodieke beoordeling.
Deze tutorial richt zich op Nederlandse publieke organisaties die PIM willen inzetten als bewijsbaar controlemechanisme. We beschrijven hoe u de bestaande roltoewijzingen in kaart brengt, hoe u activerings- en goedkeuringsbeleid dimensioneert, welke operationele procedures gebruikers nodig hebben, hoe u noodscenario's borgt en hoe u via monitoring en rapportages de compliance-bewijslast levert. Elke sectie bouwt voort op de vorige stap en maakt duidelijk hoe PIM niet alleen technologie is, maar vooral een combinatie van governance, verandermanagement en continue verfijning.
Je krijgt een compleet draaiboek voor het invoeren van Azure AD PIM binnen een overheidstenant: van inventarisatie en doelgroepsegmentatie tot activeringsduur, goedkeuringsketens, noodaccounts, rapportages en adoptie. De nadruk ligt op bestuurbaarheid, compliance met de Nederlandse Baseline voor Veilige Cloud en lessons learned uit audits.
Start met een pilotteam van vijf tot tien beheerders, zet hun rollen over op PIM en leg elke uitzonderingsvraag vast. Na zes weken heb je feitelijke data over activatieduur, mislukte aanvragen en noodscenario's. Gebruik die data om beleid te verfijnen voordat je honderden gebruikers migreert.
Role Eligibility en Activation Workflow
De overstap naar eligible assignments begint met het erkennen dat het niet alleen om techniek draait. Elk bestuursonderdeel moet begrijpen dat beleid rond privileges net zo belangrijk is als de configuratie in Azure. Daarom start een traject altijd met een bestuurlijke opdracht en een veranderplan waarin staat dat permanente roltoewijzingen worden uitgefaseerd en dat lijnmanagers verantwoordelijkheid dragen voor de justificatie van beheerdersrechten.
Een volledige inventarisatie vormt vervolgens het fundament. Verzamel per rol welke accounts momenteel directe toewijzingen hebben, welke groepen automatisch via licenties privileges krijgen en welke serviceaccounts buiten beeld blijven. Leg naast de lijst met accounts ook vast welke processen zij bedienen, op welke locaties ze inloggen en welke logging beschikbaar is. Deze gegevens helpen niet alleen bij het bepalen van PIM-instellingen, maar tonen bijna altijd dat 30 tot 50 procent van de toewijzingen nooit wordt gebruikt. Dat gegeven levert direct een risicoreductie op wanneer u eerst onnodige rollen verwijdert voordat u PIM activeert.
Daarna volgt classificatie. Deel rollen in op basis van potentieel effect bij misbruik: tenant-brede rollen zoals Global Administrator, Privileged Role Administrator en Security Administrator krijgen de hoogste categorie. Rollen die beperkte scope hebben, zoals Teams Service Administrator of SharePoint Administrator, vallen in de middelste categorie en rollen zonder wijzigingsrechten vormen de laagste categorie. Leg voor elke categorie vast welke combinatie van multifactor-authenticatie, justificatie, duur en goedkeuring geldt. Gebruik de Nederlandse Baseline voor Veilige Cloud en de BIO om acceptabele responstijden, loggingeisen en bewijsstukken te definiëren.
Met de categorieën gereed kunt u een target state modelleren. Maak per rol een matrix waarin staat wie nog nodig is, hoe vaak een rol wordt gebruikt, welke onderhoudsvensters bestaan en welke noodscenario's gelden. Hierdoor wordt duidelijk dat sommige medewerkers slechts eens per maand iets uitvoeren en dus prima met vier uur activatieduur kunnen werken, terwijl change-coördinatoren mogelijk acht uur en automatische verlenging nodig hebben. Voeg hierbij technische randvoorwaarden zoals Azure AD Conditional Access, omdat bijvoorbeeld break-glass accounts uitgesloten moeten zijn van de PIM Policies.
De migratie zelf verloopt het best in golven. Begin met een klein cluster van minder kritieke rollen om ervaring op te doen met eligible assignments en om uit te testen hoe notificaties, rapportages en foutscenario's werken. Pas daarna schuift u door naar de hoogrisicorollen. Voor elke golf geldt: voer eerst een dry-run uit waarin u bestaande toewijzingen omzet naar eligible status zonder ze te activeren. Controleer tijdens deze fase of er verborgen scripts of automatiseringen zijn die nog rekenen op permanente rechten en plan mitigerende acties voordat u verdergaat.
Het ontwerpen van activeringsworkflows is een balans tussen veiligheid en werkbaarheid. Voor hoogrisicorollen is een dubbele goedkeuring door zowel een tweede beheerder als een security-officer gebruikelijk. Neem daarbovenop automatische meldingen op een Teams-kanaal op zodat SOC-analisten real time meekijken. Voor rollen die veel door servicedesks worden gebruikt volstaat vaak self-service-activatie met verplichte justificatie en automatische auditmelding. Documenteer in je beheerhandboek waarom per rol voor een bepaalde workflow is gekozen, zodat auditors kunnen terugzien dat de inrichting risicogebaseerd is.
Een goed justificatieproces is cruciaal. Laat beheerders niet volstaan met "adminwerk" maar verplicht ze om scenario's te beschrijven met ticketnummer, systeem en verwachte impact. Automatiseer dit door in de PIM-instellingen de justificatievelden verplicht te maken en wijs ze toe aan categorieën zoals incident, wijziging of beheer. Koppel deze informatie direct aan het change- of incidentmanagementsysteem zodat de controleketen sluit en je later kunt aantonen dat elke activering een aantoonbare aanleiding had.
Tot slot hoort er governance omheen. Leg in een PIM-stuurgroep vast wie policies wijzigt, hoe vaak instellingen worden geëvalueerd en hoe je bijstuurt op basis van lessons learned. Gebruik PowerShell of de Graph API om maandelijks rapporten te genereren over activatievolume, afgewezen verzoeken en gemiddelde duur. Deze rapportages worden gedeeld met de CISO, het SOC en de proceseigenaren zodat duidelijk is of PIM aansluit op de afspraken in de Nederlandse Baseline voor Veilige Cloud. Zo wordt role eligibility geen technisch experiment, maar een aantoonbare controle.
Dagelijkse Operations met PIM
Zodra PIM live is, verandert de manier van werken voor elk beheerteam. Operators moeten vooraf nadenken over wanneer zij welke rol nodig hebben en hoe lang een wijziging duurt. Organisaties die dit vergeten lopen het risico dat beheerders noodgrepen zoeken en dat de adoptie stilvalt. Daarom hoort er een uitgebreid trainingsprogramma bij waarin u uitlegt hoe activaties gepland worden, hoe justificaties ingevuld moeten worden en wat de gevolgen zijn van het overslaan van stappen.
Een praktische werkwijze is om in het changeproces een nieuw veld op te nemen waarin de benodigde PIM-rol en activeringsduur worden vastgesteld. De changecoördinator of scrum master controleert dit voordat een wijziging wordt goedgekeurd. Vervolgens kan de beheerder vanuit het change-id een geplande activatie aanmaken in PIM. De functionaliteit voor geplande activering zorgt ervoor dat de rol automatisch exact op het onderhoudsvenster actief wordt en na afloop weer vervalt. Dit voorkomt nachtelijke wachtdiensten en garandeert dat er geen overbodige uren met verhoogde rechten zijn.
Tijdens operationele werkzaamheden komt het geregeld voor dat een taak langer duurt. Beperk verlengingen tot één extra periode en eis een aanvullende motivatie. Combineer dat met een waarschuwing naar het SOC en de teamleider, zodat zichtbaar is dat werk buiten de verwachting loopt. Wanneer dit structureel gebeurt, is het een signaal dat de oorspronkelijke beleidsduur te kort is of dat processen anders ingericht moeten worden. Het gesprek over duur hoort dus in de maandelijkse evaluaties thuis in plaats van te vertrouwen op willekeurige verlengingen.
Even belangrijk is het actief beëindigen van privileges zodra het werk klaar is. Maak van "deactiveer direct" een standaardstap in elk runbook. Veel organisaties introduceren een eindcontrole in Microsoft Teams waarbij het devops-team na afronding een kort bericht plaatst dat de activation is afgesloten, inclusief ticketnummer en tijd. Hierdoor ontstaat een cultuur waarin niemand het normaal vindt om activaties uit te laten lopen. Sommige organisaties koppelen zelfs Power Automate aan PIM zodat een beheerder bij het sluiten van een change-taak automatisch wordt herinnerd om zijn rol te beëindigen.
Noodprocedures zijn onvermijdelijk, bijvoorbeeld wanneer een incident midden in de nacht optreedt of wanneer een nationale crisis extra toegang vraagt. Richt daarom een speciaal noodbeleid in met kortere eisen voor justificatie maar striktere monitoring. Een noodactivatie stuurt onmiddellijk pushmeldingen naar de CISO, de piloons en het SOC, en er wordt automatisch een incidentticket aangemaakt zodat de gebeurtenis niet uit de rapportage verdwijnt. Leg in beleid vast dat noodgebruik achteraf binnen 24 uur wordt geëvalueerd en dat misbruik consequenties heeft. Dit houdt de drempel hoog en voorkomt dat noodpaden het nieuwe normaal worden.
Break-glass-accounts blijven noodzakelijk voor scenario's waarin Azure AD of PIM niet beschikbaar is. Deze accounts hebben geen Conditional Access, geen PIM en worden uitsluitend via een fysieke kluis gedeeld. Documenteer in detail hoe wachtwoorden roteren (bijvoorbeeld elk kwartaal onder toezicht van twee managers), hoe gebruik wordt gemeld (binnen vijf minuten telefonisch naar het SOC) en hoe snel accounts opnieuw worden afgesloten na een calamiteit. Test deze procedure minimaal twee keer per jaar, gekoppeld aan de oefeningen die in het BIO-verplichte continuïteitsplan staan.
Dagelijkse operations draaien ook om lifecyclebeheer. Access reviews zorgen ervoor dat eligibility-lijsten niet dichtslibben. Automatiseer kwartaalreviews via PIM, wijs rol-eigenaren toe en maak duidelijk dat een niet-beantwoorde review automatisch tot verwijdering leidt. Voeg HR-signalen toe zodat medewerkers die de organisatie verlaten meteen hun eligibility kwijtraken. Combineer dit met metric-rapportages over aantal activaties per persoon, gemiddelde duur, aantal afwijzingen en aantal noodverzoeken. Die gegevens worden besproken in het identity-governanceoverleg en leiden tot gerichte verbetervoorstellen.
Tot slot verdient support aandacht. Helpdesks moeten weten hoe ze gebruikers begeleiden wanneer een activatie faalt door Conditional Access, licentieproblemen of ontbrekende justificatievelden. Maak daarom korte runbooks en schermopnames en bied een dedicated supportkanaal waarin identity-specialisten realtime hulp kunnen geven. Door dagelijkse frictie weg te nemen, groeit het vertrouwen in PIM en ontstaat een cultuur waarin just-in-time toegang net zo normaal wordt als multifactor-authenticatie.
Monitoring, Auditing en Compliance Reporting
Zonder zicht op gebruik verliest PIM zijn waarde. Monitoring begint daarom bij het verzamelen van de juiste logstromen. Azure AD registreert elke activering, de justificatie, de duur en de goedkeuring. Exporteer deze logs rechtstreeks naar Microsoft Sentinel of een ander SIEM zodat ze niet alleen beschikbaar zijn in het PIM-portaal maar ook in uw centrale detectieplatform. Sectorale normen zoals de BIO eisen immers dat logging onafhankelijk wordt bewaard en dat detecties geautomatiseerd plaatsvinden.
Koppel activatiegegevens aan de reguliere auditlogboeken van Azure AD en Microsoft 365. Een rolactivering zonder corresponderende beheeractie kan duiden op credential testing of misbruik. Andersom geeft een configuratiewijziging zonder PIM-activering aan dat er nog ergens een permanent account bestaat of dat een break-glass-account is gebruikt. Door beide datasets te correleren, ontstaat een verhaallijn die auditors gebruiken tijdens forensisch onderzoek. Het SOC kan hiervoor workbooks inzetten waarin per incident automatisch wordt weergegeven welke rollen actief waren.
Sentinel biedt daarnaast de mogelijkheid om detectieregels op te zetten rond afwijkend gedrag. Denk aan activaties buiten kantooruren door beheerders die nooit in avond- of nachtdiensten zitten, meer dan drie geweigerde goedkeuringen binnen een uur, of activaties die exact één minuut duren. Zulke patronen zijn zelden legitiem en verdienen nader onderzoek. Maak onderscheid tussen waarschuwingen die direct escaleren naar het incidentproces en signalen die periodiek worden beoordeeld in het identity-governanceoverleg.
Rapportage richting bestuur en auditors vraagt om meer dan ruwe logbestanden. Bouw daarom vaste dashboards met kernindicatoren zoals het percentage rollen dat onder PIM valt, het aandeel activaties met goedkeuring, het aantal noodactiveringen, de gemiddelde duur per rolcategorie en het aantal openstaande access reviews. Combineer deze dashboards met narrative reporting waarin u uitlegt welke verbetermaatregelen zijn genomen. Dit sluit aan op de documentatie-eis uit de Nederlandse Baseline voor Veilige Cloud waarin staat dat organisaties kunnen aantonen dat toegangscontroles effectief zijn en dat afwijkingen geadresseerd worden.
Voor compliance-audits is vooral de traceerbaarheid belangrijk. Sla daarom maandelijks exports op van access reviews, justificaties en goedkeuringsbesluiten. Bewaar deze in een bewaarmap met retentiebeleid zodat ze beschikbaar blijven voor de Archiefwet- en AVG-termijnen. Voeg bij elk dossier een samenvatting toe waarin u verwijst naar de specifieke BIO-paragrafen (bijvoorbeeld BIO 9.2.3 voor beheer van privileged accounts) zodat auditors direct zien welk bewijsstuk bij welke controle hoort. Dit verkort audits en voorkomt interpretatieverschillen.
Tot slot gebruikt u monitoringdata voor continue verbetering. Analyseer welke teams de meeste activaties aanvragen en bespreek of automatisering mogelijk is via serviceaccounts met specifieke just-in-time-workflows. Onderzoek waarom bepaalde gebruikers regelmatig afwijzingen krijgen: ontbreekt er opleiding, of is het proces te streng ingericht? Door deze feedbackcycli structureel te organiseren, blijft PIM geen statische configuratie maar evolueert het naar een volwassen sturingsinstrument dat de risico's van beheertoegang aantoonbaar verlaagt.
Azure AD Privileged Identity Management bewijst dat zero standing privileges haalbaar zijn in complexe overheidslandschappen. Wie de inventarisatie zorgvuldig doet, beleid koppelt aan risico en uitvoerbare workflows ontwerpt, ziet al snel dat het aantal permanente beheerdersaccounts drastisch daalt zonder dienstverlening te verstoren. PIM maakt zichtbaar wie toegang vraagt, waarom dat nodig is en hoe lang dat duurt. Die transparantie vormt het antwoord op vragen van auditors en bestuurders over aantoonbare controle.
Belangrijk is dat PIM niet wordt gezien als een eenmalige implementatie maar als een programma. Richt governance in waarin security, operations, HR en compliance structureel samenwerken, blijf trainingen aanbieden en gebruik de monitoringdata om beleid te verfijnen. Koppel bevindingen aan de Nederlandse Baseline voor Veilige Cloud, de BIO en NIS2 zodat elke verbetering zowel risico als compliance ondersteunt. Zo wordt PIM een motor voor volwassen identity governance in plaats van slechts een technische maatregel.
Organisaties die deze aanpak volhouden kunnen hun succes uitbouwen naar on-premises directory's en zelfs naar SaaS-platformen van leveranciers. De lessen over just-in-time-toegang, vierogenprincipe en noodprocedures blijken universeel toepasbaar. Wie vandaag begint met PIM voor cloudrollen, legt het fundament voor een toekomst waarin privileged access altijd tijdelijk, gecontroleerd en volledig gedocumenteerd is.