💼 Management Samenvatting
Gebruikers mogen geen nieuwe Entra ID-tenants aanmaken om schaduw-IT te voorkomen en governance te waarborgen.
Aanbeveling
IMPLEMENTEER TENANT-AANMAAKBEPERKING
Risico zonder
Medium
Risk Score
5/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
✓ Azure
Door gebruikers aangemaakte tenants leiden tot schaduw-IT, ongecontroleerde gegevensverspreiding, onbeheerde resources en schendingen van compliance-eisen. Deze praktijk vormt een significant beveiligingsrisico voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte governance- en compliancevereisten zoals vastgelegd in de BIO-normen en ISO 27001.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph
Implementatie
Deze controle implementeert beveiligingsbest practices via Azure-beleid, ARM-sjablonen of Microsoft Intune om cloudresources en eindpunten te beschermen volgens actuele compliance-frameworks. Het beperkt de mogelijkheid voor eindgebruikers om nieuwe Azure Active Directory-tenants aan te maken, waardoor alleen beheerders deze bevoegdheid behouden en organisaties volledige controle behouden over hun cloudomgeving.
Vereisten
Voor de implementatie van deze controle is een actieve Entra ID-omgeving vereist. Entra ID, voorheen bekend als Azure Active Directory, vormt de basis voor identiteits- en toegangsbeheer binnen Microsoft-cloudomgevingen. Organisaties moeten beschikken over een geldig Azure-abonnement met Entra ID-licenties die geschikt zijn voor hun gebruikersbasis. Voor Nederlandse overheidsorganisaties betekent dit vaak dat zij beschikken over Microsoft 365 Government-licenties of Enterprise-licenties die voldoen aan de specifieke eisen voor de publieke sector. Daarnaast is het essentieel dat de persoon die deze controle implementeert beschikt over de juiste beheerdersrechten binnen Entra ID. Specifiek is de rol van Globale beheerder of Beheerder van gebruikersinstellingen vereist om wijzigingen aan te brengen in de tenant-aanmaakinstellingen. Deze bevoegdheden zijn noodzakelijk omdat het wijzigen van deze instellingen directe invloed heeft op de governance en beveiliging van de gehele organisatie. Organisaties moeten ook beschikken over een duidelijk gedefinieerd governance-raamwerk waarin is vastgelegd wie binnen de organisatie bevoegd is om nieuwe tenants aan te maken. Dit raamwerk moet deel uitmaken van het algemene IT-governancebeleid en moet worden gecommuniceerd naar alle relevante stakeholders, inclusief IT-beheerders, security officers en compliance-managers. Het is aan te raden om deze vereisten te documenteren in het informatiebeveiligingsbeleid van de organisatie, zodat er duidelijkheid bestaat over de procedures en verantwoordelijkheden. Technisch gezien vereist deze controle geen aanvullende software of hardware. De functionaliteit is volledig geïntegreerd in de Entra ID-omgeving en kan worden geconfigureerd via de Azure-portal, Microsoft Graph API of via PowerShell-scripts. Voor geautomatiseerde implementatie en monitoring is het aan te raden om gebruik te maken van de beschikbare PowerShell-modules, specifiek de Microsoft.Graph-module, die toegang biedt tot alle benodigde API's voor het beheren van deze instellingen.
Monitoring
Gebruik PowerShell-script restrict-tenant-creation.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van de tenant-aanmaakbeperking is een kritiek onderdeel van de continue beveiliging en governance van de cloudomgeving. Organisaties moeten regelmatig verifiëren dat de instellingen correct zijn geconfigureerd en dat gebruikers daadwerkelijk niet in staat zijn om nieuwe tenants aan te maken. Dit monitoringproces moet deel uitmaken van de reguliere security audits en compliance-controles die worden uitgevoerd volgens de BIO-normen en ISO 27001-vereisten. De monitoring kan worden uitgevoerd via het beschikbare PowerShell-script dat specifiek is ontwikkeld voor deze controle. Het script controleert de huidige configuratie van de Entra ID-omgeving en verifieert of de instelling voor het aanmaken van tenants door gebruikers correct is uitgeschakeld. Het script maakt gebruik van de Microsoft Graph API om de benodigde informatie op te halen en te analyseren, waardoor een betrouwbare en geautomatiseerde verificatie mogelijk is. Naast de technische verificatie via scripts is het belangrijk om ook regelmatig handmatige controles uit te voeren via de Azure-portal. Beheerders moeten navigeren naar de gebruikersinstellingen binnen Entra ID en visueel bevestigen dat de optie voor gebruikers om tenants aan te maken is ingesteld op 'Nee'. Deze handmatige verificatie dient als een secundaire controle en helpt bij het identificeren van eventuele configuratiewijzigingen die mogelijk buiten de geautomatiseerde monitoring om zijn gegaan. Het is aan te raden om deze monitoring minimaal maandelijks uit te voeren, of vaker indien er wijzigingen zijn aangebracht in de Entra ID-configuratie of wanneer er nieuwe gebruikers of beheerdersrollen zijn toegevoegd aan de omgeving. Daarnaast moet de monitoring worden uitgevoerd na elke wijziging in de beheerdersrollen, omdat wijzigingen in bevoegdheden mogelijk invloed kunnen hebben op de configuratie van deze instellingen. De resultaten van de monitoring moeten worden gedocumenteerd en opgeslagen als auditbewijs voor compliance-doeleinden. Deze documentatie moet minimaal zeven jaar worden bewaard, conform de Nederlandse archiefwetgeving en de vereisten van de BIO-normen. De documentatie moet duidelijk aangeven wanneer de controle is uitgevoerd, wie de controle heeft uitgevoerd, wat de resultaten waren en of er eventuele afwijkingen zijn geconstateerd. Indien afwijkingen worden gevonden, moeten deze onmiddellijk worden gecorrigeerd en moet een incidentrapport worden opgesteld dat de oorzaak en de genomen corrigerende maatregelen beschrijft.
Implementatie
Gebruik PowerShell-script restrict-tenant-creation.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van de tenant-aanmaakbeperking is een relatief eenvoudig proces dat echter zorgvuldig moet worden uitgevoerd om ervoor te zorgen dat de configuratie correct wordt toegepast en dat er geen onbedoelde gevolgen zijn voor de operationele processen van de organisatie. De implementatie kan worden uitgevoerd via de Azure-portal of via het beschikbare PowerShell-script dat specifiek is ontwikkeld voor deze controle. Voor implementatie via de Azure-portal moeten beheerders eerst inloggen op de Azure-portal met een account dat beschikt over de juiste beheerdersrechten. Vervolgens moeten zij navigeren naar de Entra ID-sectie en daar de gebruikersinstellingen openen. Binnen de gebruikersinstellingen bevindt zich de optie die bepaalt of gebruikers nieuwe tenants kunnen aanmaken. Deze optie moet worden ingesteld op 'Nee' om de beperking te activeren. Het is belangrijk om na het aanbrengen van deze wijziging de instellingen op te slaan en te verifiëren dat de wijziging daadwerkelijk is doorgevoerd. Voor geautomatiseerde implementatie kan gebruik worden gemaakt van het beschikbare PowerShell-script. Dit script maakt verbinding met de Entra ID-omgeving via de Microsoft Graph API en past de benodigde configuratiewijzigingen automatisch toe. Het gebruik van het script heeft als voordeel dat de implementatie reproduceerbaar is en kan worden opgenomen in geautomatiseerde deployment-processen. Daarnaast biedt het script de mogelijkheid om de implementatie te loggen en te documenteren, wat waardevol is voor audit- en compliance-doeleinden. Voordat de implementatie wordt uitgevoerd, is het essentieel om een impactanalyse uit te voeren om te bepalen of er binnen de organisatie processen of gebruikers zijn die mogelijk afhankelijk zijn van de mogelijkheid om nieuwe tenants aan te maken. Hoewel dit in de meeste organisaties niet het geval zal zijn, is het belangrijk om dit te verifiëren om onbedoelde verstoringen van bedrijfsprocessen te voorkomen. Indien er legitieme use cases zijn waarbij gebruikers nieuwe tenants moeten kunnen aanmaken, moet worden overwogen om deze gebruikers specifieke beheerdersrechten te verlenen in plaats van de algemene mogelijkheid voor alle gebruikers open te houden. Na de implementatie moet worden gecontroleerd of de wijziging correct is doorgevoerd en of gebruikers daadwerkelijk niet meer in staat zijn om nieuwe tenants aan te maken. Dit kan worden gedaan door een testaccount te gebruiken om te proberen een nieuwe tenant aan te maken. Indien de beperking correct is geïmplementeerd, zou deze poging moeten mislukken met een duidelijke foutmelding die aangeeft dat de gebruiker niet bevoegd is om deze actie uit te voeren. Het is aan te raden om de implementatie te documenteren in het configuratiebeheerregister van de organisatie en om alle betrokken stakeholders te informeren over de wijziging. Dit helpt bij het waarborgen van transparantie en zorgt ervoor dat alle relevante partijen op de hoogte zijn van de nieuwe configuratie. Daarnaast moet de implementatie worden opgenomen in het wijzigingsbeheerproces van de organisatie, waarbij de wijziging wordt geregistreerd, goedgekeurd en gedocumenteerd volgens de standaardprocedures voor wijzigingsbeheer.
Compliance en Auditing
De implementatie van tenant-aanmaakbeperkingen is direct gerelateerd aan verschillende compliance-vereisten die van toepassing zijn op Nederlandse overheidsorganisaties. Specifiek voldoet deze controle aan de vereisten van de BIO-norm 05.01, die betrekking heeft op governance en beheer van informatiebeveiliging. Deze norm vereist dat organisaties passende maatregelen treffen om ervoor te zorgen dat IT-resources en -services op een gecontroleerde en beheerde wijze worden gebruikt, wat direct wordt ondersteund door het beperken van de mogelijkheid voor gebruikers om nieuwe tenants aan te maken. Daarnaast is deze controle relevant voor ISO 27001-controle A.5.1, die betrekking heeft op informatiebeveiligingsbeleid. Deze controle vereist dat organisaties een duidelijk beleid hebben voor informatiebeveiliging en dat dit beleid wordt geïmplementeerd en gehandhaafd. Door het beperken van tenant-aanmaak tot beheerders, zorgen organisaties ervoor dat er een duidelijk beleid wordt gehandhaafd met betrekking tot de governance van cloudresources en dat dit beleid daadwerkelijk wordt geïmplementeerd in de technische configuratie van de omgeving. Voor Nederlandse overheidsorganisaties is compliance met deze normen niet alleen een best practice, maar vaak ook een wettelijke verplichting. Organisaties die werken met gevoelige informatie of die onder de werking van de Wet openbaarheid van bestuur vallen, moeten kunnen aantonen dat zij passende maatregelen hebben genomen om de beveiliging en governance van hun IT-omgeving te waarborgen. De implementatie van tenant-aanmaakbeperkingen vormt een belangrijk onderdeel van deze maatregelen. Bij audits en compliance-controles moeten organisaties kunnen aantonen dat de tenant-aanmaakbeperking correct is geïmplementeerd en actief wordt gemonitord. Dit betekent dat er documentatie moet zijn die aantoont wanneer de controle is geïmplementeerd, wie verantwoordelijk is voor het monitoren ervan, en wat de resultaten zijn van regelmatige verificaties. Screenshots van de gebruikersinstellingen in Entra ID kunnen dienen als auditbewijs, maar deze moeten worden aangevuld met logbestanden en documentatie van geautomatiseerde monitoring. Het is belangrijk om te erkennen dat compliance geen eenmalige activiteit is, maar een continu proces. Organisaties moeten regelmatig hun configuraties controleren en verifiëren dat deze nog steeds voldoen aan de vereisten van de relevante normen en standaarden. Dit betekent dat de tenant-aanmaakbeperking niet alleen moet worden geïmplementeerd, maar ook regelmatig moet worden geverifieerd en gedocumenteerd als onderdeel van het continue compliance-proces. Organisaties moeten ervoor zorgen dat hun audit- en compliance-processen deze verificatie omvatten en dat de resultaten worden gedocumenteerd en bewaard voor de vereiste bewaartermijn van zeven jaar.
Remediatie
Gebruik PowerShell-script restrict-tenant-creation.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer tijdens monitoring of audits wordt geconstateerd dat de tenant-aanmaakbeperking niet correct is geconfigureerd of dat gebruikers nog steeds in staat zijn om nieuwe tenants aan te maken, moet onmiddellijk worden overgegaan tot remediatie. Het remediatieproces moet worden uitgevoerd door een bevoegde beheerder en moet worden gedocumenteerd als onderdeel van het incidentbeheerproces van de organisatie. Het eerste stap in het remediatieproces is het identificeren van de oorzaak van de afwijking. Mogelijke oorzaken kunnen zijn: een onbedoelde configuratiewijziging door een beheerder, een wijziging in de beheerdersrollen die heeft geleid tot onjuiste configuratie, of een technisch probleem met de Entra ID-omgeving. Het is belangrijk om de oorzaak te identificeren om te voorkomen dat het probleem opnieuw optreedt en om te bepalen of er aanvullende maatregelen nodig zijn om de configuratie te beschermen tegen toekomstige wijzigingen. Zodra de oorzaak is geïdentificeerd, moet de configuratie onmiddellijk worden hersteld naar de gewenste staat. Dit kan worden gedaan via de Azure-portal door de gebruikersinstellingen te openen en de optie voor tenant-aanmaak door gebruikers opnieuw in te stellen op 'Nee'. Voor geautomatiseerde remediatie kan gebruik worden gemaakt van het beschikbare PowerShell-script dat specifiek is ontwikkeld voor deze controle. Het script kan de configuratie automatisch herstellen naar de gewenste staat, waardoor snelle remediatie mogelijk is. Na het herstellen van de configuratie moet worden gecontroleerd of de remediatie succesvol is geweest. Dit kan worden gedaan door opnieuw te verifiëren dat gebruikers niet in staat zijn om nieuwe tenants aan te maken, bijvoorbeeld door een testaccount te gebruiken om te proberen een nieuwe tenant aan te maken. Indien de remediatie succesvol is geweest, zou deze poging moeten mislukken met een duidelijke foutmelding. Het is belangrijk om na de remediatie ook te onderzoeken of er tijdens de periode waarin de beperking niet actief was, gebruikers daadwerkelijk nieuwe tenants hebben aangemaakt. Indien dit het geval is, moeten deze tenants worden geïdentificeerd en moet worden beoordeeld of zij legitiem zijn of dat zij moeten worden verwijderd of overgedragen naar de juiste beheerders. Dit onderzoek moet worden uitgevoerd door de security officer of compliance-manager van de organisatie en de resultaten moeten worden gedocumenteerd. Ten slotte moet het incident worden gedocumenteerd in het incidentbeheerregister van de organisatie, inclusief een beschrijving van het probleem, de geïdentificeerde oorzaak, de genomen remediatiemaatregelen en eventuele aanvullende maatregelen die zijn genomen om te voorkomen dat het probleem opnieuw optreedt. Deze documentatie is belangrijk voor compliance-doeleinden en helpt bij het verbeteren van de beveiligingsprocessen van de organisatie op basis van geleerde lessen.
Compliance & Frameworks
- BIO: 05.01 - Governance
- ISO 27001:2022: A.5.1 - Informatiebeveiligingsbeleid
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Restrict Tenant Creation
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.47
Controleert dat tenant creation is beperkt.
.NOTES
Filename: restrict-tenant-creation.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.47
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Restrict Tenant Creation"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > User settings" -ForegroundColor Gray
Write-Host " - Users can create tenants = No" -ForegroundColor Gray
Write-Host " - Voorkomt shadow IT tenants" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Tenant creation restricted" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > User settings" -ForegroundColor Gray
Write-Host " - Users can create tenants = No" -ForegroundColor Gray
Write-Host " - Voorkomt shadow IT tenants" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Tenant creation restricted" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Gebruikers kunnen schaduw-IT-tenants aanmaken, wat leidt tot onbeheerde Azure AD-omgevingen. Dit resulteert in ongecontroleerde gegevensverspreiding en compliance-hiaten. Deze controle is verplicht volgens BIO-norm 05.01. Het risico is gemiddeld en wordt voornamelijk veroorzaakt door schaduw-IT.
Management Samenvatting
Tenant-aanmaakbeperking: Schakel de mogelijkheid voor gebruikers uit om nieuwe Azure AD-tenants aan te maken. Alleen beheerders behouden deze bevoegdheid. Dit voorkomt schaduw-IT. Activatie: Azure AD → Gebruikersinstellingen → Gebruikers kunnen tenants aanmaken: Nee. Gratis. Verplicht volgens BIO-norm 05.01. Implementatietijd: 15 minuten. Voorkomt onbeheerde tenant-verspreiding.
- Implementatietijd: 1 uur
- FTE required: 0.01 FTE