💼 Management Samenvatting
B2B-samenwerkingsinstellingen moeten restrictief worden geconfigureerd om ongeautoriseerde uitnodigingen voor gastgebruikers en excessieve gastrechten te voorkomen.
Aanbeveling
IMPLEMENTEER B2B-BEPERKINGEN
Risico zonder
High
Risk Score
7/10
Implementatie
6u (tech: 2u)
Van toepassing op:
✓ Azure
✓ Entra ID
✓ Entra ID
Ongecontroleerde B2B-samenwerking leidt tot ernstige beveiligingsrisico's voor Nederlandse overheidsorganisaties. Wanneer externe gebruikers zonder restricties kunnen worden uitgenodigd, ontstaan er meerdere bedreigingen voor de informatiebeveiliging. Ten eerste kunnen ongeautoriseerde externe gebruikers toegang krijgen tot gevoelige resources en systemen die bedoeld zijn voor interne medewerkers. Dit creëert een directe route voor gegevenslekken via gastaccounts, waarbij externe partijen mogelijk toegang hebben tot vertrouwelijke overheidsinformatie. Daarnaast ontstaat er schaduw-IT waarbij teams zelf externen uitnodigen zonder centrale controle of goedkeuring, wat de governance en compliance ernstig ondermijnt. Deze praktijken leiden tot nalevingsschendingen, vooral wanneer externe toegang wordt verleend tot AVG-gevoelige gegevens zonder de juiste beveiligingsmaatregelen. Bovendien worden externe identiteiten moeilijk te controleren en te auditen, wat problemen veroorzaakt tijdens compliance-audits en beveiligingsonderzoeken. Standaard kunnen gastgebruikers te veel rechten hebben om de directory te inventariseren, waardoor ze inzicht krijgen in de organisatiestructuur en mogelijk gevoelige informatie kunnen verzamelen over gebruikers, groepen en resources.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Authentication, Microsoft.Graph.Identity.DirectoryManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Authentication, Microsoft.Graph.Identity.DirectoryManagement
Implementatie
Configureer de externe samenwerkingsinstellingen restrictief om deze risico's te mitigeren. Stel de gastgebruikerstoegang in op de meest restrictieve modus, waarbij gasten alleen hun eigen eigenschappen kunnen bekijken en geen toegang hebben tot andere directory-informatie. Configureer de uitnodigingsinstellingen voor gasten zodanig dat alleen gebruikers die zijn toegewezen aan specifieke beheerdersrollen gasten kunnen uitnodigen, waardoor zelfservice-uitnodigingen worden voorkomen. Implementeer samenwerkingsbeperkingen door een domeinwhitelist of domeinblacklist te configureren, afhankelijk van de gebruikssituatie van uw organisatie. Schakel zelfservice-uitnodigingen voor gasten volledig uit om te voorkomen dat gebruikers zonder toezicht externe partijen kunnen uitnodigen.
Vereisten
Voordat u begint met het configureren van restrictieve B2B-samenwerkingsinstellingen, moet u ervoor zorgen dat alle benodigde vereisten aanwezig zijn. Deze vereisten zijn essentieel voor een succesvolle implementatie en zorgen ervoor dat de configuratie op de juiste manier kan worden uitgevoerd en beheerd.
De primaire vereiste is toegang tot een Entra ID-tenant met globale beheerderrechten. Deze rechten zijn noodzakelijk omdat de externe samenwerkingsinstellingen configuratie-instellingen zijn op tenantniveau die alleen kunnen worden gewijzigd door gebruikers met de hoogste beheerdersrechten. Zonder deze rechten kunt u de instellingen niet aanpassen en blijft de tenant kwetsbaar voor ongecontroleerde externe toegang. Het is belangrijk om te benadrukken dat globale beheerderrechten zeer krachtig zijn en alleen moeten worden gebruikt door vertrouwde beheerders die zijn getraind in beveiligingsbest practices.
Voor de technische implementatie via geautomatiseerde scripts is PowerShell versie 5.1 of hoger vereist. Deze versie biedt de benodigde functionaliteit voor het uitvoeren van geavanceerde configuratietaken en het werken met moderne API's. Als u PowerShell 7 of hoger gebruikt, zorg er dan voor dat alle benodigde modules compatibel zijn met uw versie. PowerShell is essentieel voor het automatiseren van de configuratie en het uitvoeren van monitoring- en herstelacties.
De Microsoft.Graph-modules zijn cruciaal voor interactie met de Entra ID-tenant via de Microsoft Graph API. Specifiek zijn de modules Microsoft.Graph.Authentication en Microsoft.Graph.Identity.DirectoryManagement vereist. De authenticatiemodule zorgt voor veilige verbindingen met de Graph API, terwijl de directory management-module de functionaliteit biedt om externe samenwerkingsinstellingen te lezen en te wijzigen. Zorg ervoor dat deze modules zijn geïnstalleerd en bijgewerkt naar de nieuwste versie om compatibiliteitsproblemen te voorkomen.
Een goedgekeurd extern samenwerkingsbeleid is een organisatorische vereiste die even belangrijk is als de technische vereisten. Dit beleid moet duidelijk definiëren wanneer externe samenwerking is toegestaan, welke soorten externe gebruikers kunnen worden uitgenodigd, welke resources toegankelijk mogen zijn voor gastgebruikers, en welke beveiligingsmaatregelen moeten worden geïmplementeerd. Het beleid moet ook procedures bevatten voor het aanvragen en goedkeuren van externe uitnodigingen, evenals richtlijnen voor het beoordelen en beheren van bestaande gastgebruikersaccounts. Dit beleid vormt de basis voor alle technische configuraties en moet worden gecommuniceerd naar alle relevante stakeholders binnen de organisatie.
Ten slotte moet een domeinwhitelist of domeinblacklist worden voorbereid voordat de configuratie wordt gestart. Een domeinwhitelist bevat specifieke domeinen waarvan gebruikers altijd mogen worden uitgenodigd, zoals vertrouwde partners of overheidsorganisaties. Een domeinblacklist bevat domeinen die expliciet moeten worden geblokkeerd, zoals bekende onveilige of concurrentiedomeinen. De keuze tussen een whitelist of blacklist hangt af van het beveiligingsmodel van uw organisatie. Een whitelist-aanpak is restrictiever en veiliger, maar vereist meer onderhoud wanneer nieuwe partners worden toegevoegd. Een blacklist-aanpak is flexibeler maar minder veilig, omdat alleen bekende problematische domeinen worden geblokkeerd. Voor Nederlandse overheidsorganisaties wordt over het algemeen een whitelist-aanpak aanbevolen vanwege de hoge beveiligingsvereisten.
Monitoring
Effectieve monitoring van B2B-samenwerkingsinstellingen is essentieel om ervoor te zorgen dat de beveiligingsconfiguraties correct blijven geconfigureerd en niet onbedoeld worden gewijzigd. Monitoring helpt ook bij het identificeren van afwijkingen, het detecteren van ongeautoriseerde wijzigingen, en het verifiëren van compliance met interne beleidsregels en externe normen zoals CIS, BIO en AVG.
Gebruik PowerShell-script b2b-collaboration-settings.ps1 (functie Invoke-Monitoring) – Geautomatiseerde verificatie die de B2B-samenwerkingsinstellingen controleert in de Entra ID-tenant via de Microsoft Graph API..
Voor handmatige verificatie navigeert u naar de Entra ID-portal en gaat u naar External Identities > External collaboration settings. Hier controleert u of de gastgebruikerstoegang is ingesteld op de meest restrictieve modus, wat betekent dat gastgebruikers alleen hun eigen eigenschappen kunnen bekijken en geen toegang hebben tot andere directory-informatie. Verifieer dat de uitnodigingsinstellingen voor gasten zijn geconfigureerd zodat alleen beheerders gasten kunnen uitnodigen, en niet gewone gebruikers. Controleer ook of domeinbeperkingen correct zijn geconfigureerd, of dit nu een whitelist of blacklist is, en of de lijst up-to-date is met de huidige samenwerkingsvereisten van de organisatie.
Naast de configuratie-instellingen zelf is het belangrijk om regelmatig de lijst van actieve gastgebruikers te controleren. Dit helpt bij het identificeren van ongeautoriseerde of ongebruikte gastaccounts die mogelijk een beveiligingsrisico vormen. Controleer of alle gastgebruikers een geldige business case hebben, of ze nog actief worden gebruikt, en of hun toegang is beperkt tot alleen de benodigde resources. Regelmatige toegangsbeoordelingen van gastgebruikers moeten worden uitgevoerd, bij voorkeur kwartaalijks, om ervoor te zorgen dat alleen geautoriseerde externe gebruikers toegang hebben.
Auditlogboeken moeten regelmatig worden gecontroleerd op activiteiten gerelateerd aan B2B-samenwerking. Zoek naar gebeurtenissen zoals het uitnodigen van gastgebruikers, het wijzigen van samenwerkingsinstellingen, en toegangspogingen door gastgebruikers. Ongebruikelijke patronen, zoals een plotselinge toename van gastuitnodigingen of uitnodigingen buiten normale kantooruren, kunnen wijzen op een beveiligingsincident of een schending van het beleid. Configureer waarschuwingen voor kritieke gebeurtenissen, zoals wijzigingen aan de samenwerkingsinstellingen of uitnodigingen naar geblokkeerde domeinen, zodat u direct op de hoogte wordt gesteld van potentiële beveiligingsproblemen.
Voor geautomatiseerde monitoring kan het bijgeleverde PowerShell-script worden gebruikt dat de huidige configuratie controleert en rapporteert over eventuele afwijkingen van de gewenste instellingen. Dit script kan worden geïntegreerd in bestaande monitoring- en rapportagetools, of worden uitgevoerd als onderdeel van een regelmatige compliance-check. Het script verifieert alle kritieke instellingen en genereert een rapport dat kan worden gebruikt voor auditdoeleinden en compliance-rapportage.
Implementatie
De implementatie van restrictieve B2B-samenwerkingsinstellingen is een kritieke beveiligingsmaatregel die zorgvuldig moet worden uitgevoerd om ervoor te zorgen dat alle configuraties correct worden toegepast zonder de legitieme samenwerkingsvereisten van de organisatie te verstoren. De implementatie kan worden uitgevoerd via de Entra ID-portal voor handmatige configuratie, of via geautomatiseerde PowerShell-scripts voor consistente en herhaalbare implementaties.
Gebruik PowerShell-script b2b-collaboration-settings.ps1 (functie Invoke-Implementation) – Geautomatiseerde implementatie van restrictieve B2B-samenwerkingsinstellingen via Microsoft Graph API..
Voor handmatige implementatie via de Entra ID-portal begint u met het navigeren naar de juiste locatie. Log in bij de Azure-portal met een account dat globale beheerderrechten heeft, en ga naar Azure Active Directory, of gebruik de directe link naar Entra ID. Van daaruit navigeert u naar External Identities in het linkermenu, en vervolgens naar External collaboration settings. Dit is de centrale locatie waar alle B2B-samenwerkingsinstellingen kunnen worden geconfigureerd.
De eerste en meest belangrijke configuratie is het instellen van de gastgebruikerstoegangsbeperkingen op de meest restrictieve modus. Deze instelling bepaalt hoeveel informatie gastgebruikers kunnen zien in de directory. In de meest restrictieve modus kunnen gastgebruikers alleen hun eigen gebruikerseigenschappen bekijken en hebben ze geen toegang tot andere directory-informatie zoals gebruikerslijsten, groepen, of organisatie-informatie. Dit voorkomt dat externe gebruikers de organisatiestructuur kunnen inventariseren en gevoelige informatie kunnen verzamelen over interne gebruikers en resources.
Vervolgens configureert u de uitnodigingsbeperkingen voor gasten. Stel deze in zodat alleen gebruikers die zijn toegewezen aan specifieke beheerdersrollen gasten kunnen uitnodigen. Dit betekent dat gewone gebruikers niet langer zelfstandig externe gebruikers kunnen uitnodigen, wat een belangrijke beveiligingsmaatregel is tegen schaduw-IT en ongecontroleerde externe toegang. De beheerdersrollen die uitnodigingsrechten moeten hebben, moeten zorgvuldig worden gekozen op basis van de organisatorische behoeften, maar moeten beperkt blijven tot rollen zoals Gebruikersbeheerder, Gastuitnodiger, of aangepaste rollen die specifiek zijn ontworpen voor dit doel.
De samenwerkingsbeperkingen vormen een cruciaal onderdeel van de beveiligingsconfiguratie. Hier configureert u een allow-lijst of een block-lijst voor domeinen, afhankelijk van het beveiligingsmodel van uw organisatie. Een allow-lijst is restrictiever en veiliger, omdat alleen specifiek goedgekeurde domeinen kunnen worden gebruikt voor externe uitnodigingen. Dit is de aanbevolen aanpak voor Nederlandse overheidsorganisaties. Een block-lijst blokkeert alleen specifieke domeinen, terwijl alle andere domeinen zijn toegestaan. Deze aanpak is flexibeler maar minder veilig. Zorg ervoor dat de lijst up-to-date is en regelmatig wordt beoordeeld om nieuwe partners toe te voegen of oude partners te verwijderen.
Schakel de optie 'Members can invite' uit om te voorkomen dat gewone leden van de organisatie externe gebruikers kunnen uitnodigen zonder toezicht. Deze instelling werkt samen met de uitnodigingsbeperkingen om ervoor te zorgen dat alleen geautoriseerde beheerders externe uitnodigingen kunnen verzenden. Dit elimineert het risico van ongecontroleerde externe toegang en zorgt ervoor dat alle externe uitnodigingen worden goedgekeurd en gedocumenteerd volgens het organisatiebeleid.
Zorg ervoor dat de instelling 'Guests can invite' is ingesteld op 'No', wat betekent dat gastgebruikers zelf geen andere gasten kunnen uitnodigen. Dit voorkomt dat externe gebruikers de beveiligingscontroles omzeilen door zelf nieuwe gastgebruikers uit te nodigen, wat een belangrijke beveiligingsmaatregel is tegen potentiële kettinguitnodigingen en ongeautoriseerde toegang.
Nadat alle instellingen zijn geconfigureerd, klikt u op 'Save changes' om de wijzigingen op te slaan. Het is belangrijk om te controleren of alle wijzigingen correct zijn toegepast door de instellingen opnieuw te bekijken voordat u de portal verlaat. Sommige wijzigingen kunnen enige tijd duren voordat ze volledig actief zijn, dus het is aan te raden om na enkele minuten te verifiëren dat de configuratie correct is geïmplementeerd.
Na de technische implementatie is het essentieel om het nieuwe beleid te communiceren naar de hele organisatie. Dit omvat het informeren van alle gebruikers over de nieuwe beperkingen, het uitleggen van de redenen achter deze beperkingen, en het verstrekken van duidelijke instructies over hoe externe uitnodigingen kunnen worden aangevraagd via de juiste kanalen. Het beleid moet ook worden gedocumenteerd in de organisatiebrede beveiligingsrichtlijnen en moet worden opgenomen in trainingen voor nieuwe medewerkers. Regelmatige herinneringen en updates helpen ervoor te zorgen dat het beleid wordt nageleefd en dat gebruikers begrijpen waarom deze beperkingen belangrijk zijn voor de beveiliging van de organisatie.
Compliance en Auditing
Restrictieve B2B-samenwerkingsinstellingen zijn een verplichte beveiligingsmaatregel die vereist is door meerdere internationale en nationale normen en regelgeving. Voor Nederlandse overheidsorganisaties is compliance met deze normen niet alleen een best practice, maar vaak ook een wettelijke verplichting. Deze sectie beschrijft de relevante compliance-vereisten en hoe restrictieve B2B-instellingen bijdragen aan het voldoen aan deze normen.
De CIS Azure Foundation Benchmark versie 3.0.0 bevat specifieke aanbevelingen voor B2B-beperkingen in controle 1.4. Deze controle vereist dat organisaties ervoor zorgen dat gastgebruikers restrictieve instellingen hebben die hun toegang en zichtbaarheid in de directory beperken. De implementatie van de meest restrictieve gastgebruikerstoegang, zoals beschreven in deze handleiding, voldoet direct aan deze CIS-vereiste. CIS-controles worden algemeen erkend als best practices voor cloudbeveiliging en worden vaak gebruikt als basis voor beveiligingsaudits en compliance-verificaties.
De BIO Baseline Informatiebeveiliging Overheid is de Nederlandse norm voor informatiebeveiliging in de publieke sector. Thema 09.03 behandelt gebruikers toegangsbeoordelingen en vereist dat organisaties regelmatig de toegang van gebruikers, inclusief externe gebruikers, beoordelen en controleren. Restrictieve B2B-instellingen ondersteunen deze vereiste door ervoor te zorgen dat externe gebruikers alleen minimale toegang hebben en dat alle externe uitnodigingen worden gecontroleerd en gedocumenteerd. De combinatie van restrictieve instellingen en regelmatige toegangsbeoordelingen zorgt voor compliance met deze BIO-vereiste.
ISO 27001 is de internationale norm voor informatiebeveiligingsmanagementsystemen. Controle A.5.15 behandelt toegangscontrole en authenticatie en vereist dat organisaties toegang tot informatiesystemen beheren en controleren. Restrictieve B2B-instellingen dragen bij aan deze vereiste door ervoor te zorgen dat externe gebruikers alleen geautoriseerde toegang hebben en dat deze toegang wordt gecontroleerd en beperkt. De configuratie van domeinbeperkingen en uitnodigingsbeperkingen zorgt voor een gecontroleerde toegangsbeheeromgeving die voldoet aan de ISO 27001-vereisten.
De Algemene Verordening Gegevensbescherming (AVG) is de Europese privacywetgeving die van toepassing is op alle organisaties die persoonsgegevens verwerken. Artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen. Wanneer externe gebruikers toegang hebben tot systemen die persoonsgegevens bevatten, moeten organisaties ervoor zorgen dat deze toegang wordt gecontroleerd en beperkt. Restrictieve B2B-instellingen helpen bij het voldoen aan deze AVG-vereiste door ervoor te zorgen dat externe gebruikers alleen minimale toegang hebben en dat alle externe toegang wordt gecontroleerd en gedocumenteerd. Dit is vooral belangrijk voor Nederlandse overheidsorganisaties die vaak werken met gevoelige persoonsgegevens.
De NIS2-richtlijn (Network and Information Systems Directive 2) is Europese wetgeving die gericht is op het verbeteren van de cybersecurity van essentiële en belangrijke entiteiten. Artikel 21 van NIS2 behandelt externe toegangscontrole en authenticatie en vereist dat organisaties passende maatregelen nemen om externe toegang te beheren en te controleren. Restrictieve B2B-instellingen zijn een directe implementatie van deze vereiste, omdat ze ervoor zorgen dat externe toegang wordt gecontroleerd, beperkt en gemonitord. Voor Nederlandse overheidsorganisaties die onder NIS2 vallen, is de implementatie van restrictieve B2B-instellingen een verplichte beveiligingsmaatregel.
Voor auditdoeleinden is het belangrijk om documentatie bij te houden van de geconfigureerde instellingen, regelmatige toegangsbeoordelingen, en eventuele wijzigingen aan de configuratie. Screenshots van de externe samenwerkingsinstellingen, lijsten van gastgebruikers met hun reviewstatus, en documentatie van domeinwhitelists of blacklists moeten worden bewaard voor auditdoeleinden. Deze documentatie helpt bij het aantonen van compliance tijdens externe audits en interne beveiligingsbeoordelingen.
Remediatie
Wanneer monitoring of audits aantonen dat de B2B-samenwerkingsinstellingen niet correct zijn geconfigureerd of zijn gewijzigd zonder autorisatie, moet onmiddellijk worden overgegaan tot remediatie. Remediatie is het proces van het herstellen van de juiste beveiligingsconfiguraties en het adresseren van eventuele beveiligingsrisico's die zijn ontstaan door de incorrecte configuratie.
Gebruik PowerShell-script b2b-collaboration-settings.ps1 (functie Invoke-Remediation) – Geautomatiseerde remediatie die de B2B-samenwerkingsinstellingen herstelt naar de juiste restrictieve configuratie..
Het eerste stap in het remediatieproces is het identificeren van de specifieke afwijkingen. Dit kan worden gedaan via het monitoring-script of door handmatige verificatie in de Entra ID-portal. Documenteer alle afwijkingen, inclusief welke instellingen zijn gewijzigd, wanneer de wijziging heeft plaatsgevonden (indien beschikbaar uit auditlogboeken), en wie verantwoordelijk was voor de wijziging. Deze informatie is belangrijk voor zowel het herstelproces als voor het voorkomen van toekomstige incidenten.
Zodra de afwijkingen zijn geïdentificeerd, moet onmiddellijk worden overgegaan tot het herstellen van de correcte configuratie. Dit kan worden gedaan via het geautomatiseerde remediatiescript, dat alle instellingen automatisch herstelt naar de juiste restrictieve waarden, of handmatig via de Entra ID-portal door de stappen uit de implementatiesectie te volgen. Het is belangrijk om alle instellingen te controleren, niet alleen de geïdentificeerde afwijkingen, omdat andere instellingen mogelijk ook zijn gewijzigd.
Na het herstellen van de configuratie moet een grondige beveiligingsbeoordeling worden uitgevoerd om te bepalen of de incorrecte configuratie heeft geleid tot beveiligingsincidenten. Controleer de auditlogboeken op ongeautoriseerde activiteiten tijdens de periode dat de configuratie incorrect was, zoals ongeautoriseerde gastuitnodigingen, toegangspogingen door gastgebruikers naar resources waar ze geen toegang toe zouden moeten hebben, of andere verdachte activiteiten. Als er tekenen zijn van een beveiligingsincident, moet het standaard incident response-proces worden gevolgd.
Als er tijdens de periode van incorrecte configuratie gastgebruikers zijn uitgenodigd die niet hadden mogen worden uitgenodigd volgens het organisatiebeleid, moet worden overwogen om deze accounts te verwijderen of hun toegang te beperken. Dit moet zorgvuldig worden gedaan, omdat sommige gastgebruikers mogelijk legitieme business cases hebben, zelfs als ze niet via de juiste kanalen zijn uitgenodigd. Evalueer elk gastaccount individueel en neem passende maatregelen op basis van de specifieke omstandigheden.
Na het voltooien van de remediatie moet worden gecontroleerd of de configuratie correct is hersteld en moet worden gedocumenteerd wat er is gebeurd, welke acties zijn ondernomen, en welke lessen zijn geleerd. Deze documentatie helpt bij het voorkomen van toekomstige incidenten en kan worden gebruikt voor compliance-rapportage en auditdoeleinden. Overweeg ook om aanvullende monitoring of waarschuwingen in te stellen om toekomstige wijzigingen sneller te detecteren.
Compliance & Frameworks
- CIS M365: Control 1.4 (L1) - CIS Azure v3.0.0 - 1.4: Zorg ervoor dat gastgebruikers restrictieve instellingen hebben
- BIO: 09.03 - BIO Baseline Informatiebeveiliging Overheid - Thema 9: Gebruikerstoegangsbeheer
- ISO 27001:2022: A.5.15 - Toegangscontrole en authenticatiebeleid
- NIS2: Artikel - Externe toegangscontrole en authenticatie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
B2B Collaboration Settings
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.4
Controleert B2B collaboration settings voor gastgebruikers.
.NOTES
Filename: b2b-collaboration-settings.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.4
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "B2B Collaboration Settings"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - External Identities > External collaboration settings" -ForegroundColor Gray
Write-Host " - Guest user access restrictions = Most restrictive" -ForegroundColor Gray
Write-Host " - Guest invite restrictions = Only admins" -ForegroundColor Gray
Write-Host " - Collaboration restrictions = Allow/Block domains" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: B2B collaboration settings" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - External Identities > External collaboration settings" -ForegroundColor Gray
Write-Host " - Guest user access restrictions = Most restrictive" -ForegroundColor Gray
Write-Host " - Guest invite restrictions = Only admins" -ForegroundColor Gray
Write-Host " - Collaboration restrictions = Allow/Block domains" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: B2B collaboration settings" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Onbeperkte B2B-samenwerking leidt tot ongeautoriseerde externe toegang. Gebruikers kunnen iedereen uitnodigen, wat resulteert in gastaccounts met toegang tot gegevens. Gegevenslekken via gastaccounts zijn een reëel risico. Compliance-vereisten: CIS 1.4, BIO 9.03, AVG Artikel 32, NIS2. Het risico is hoog voor tenants met gevoelige gegevens.
Management Samenvatting
B2B-samenwerkingsinstellingen: Restrictieve gastrechten (beperkte directory-toegang), Alleen beheerders kunnen gasten uitnodigen (gebruikers niet), Domeinwhitelist (alleen toegestane partnerdomeinen), Gasttoegangsbeoordelingen (kwartaal). Activering: Azure AD → External Identities → External collaboration settings. Gratis. Verplicht voor CIS 1.4, BIO 9.03, AVG, NIS2. Implementatie: 2 uur technisch + 4 uur beleid.
- Implementatietijd: 6 uur
- FTE required: 0.05 FTE