L2 BIO 09.02 ISO A.5.18 CIS 1.24

Azure: Service Principal Eigenaarschap Documenteren En Beheren

📅 2025-11-18
⏱️ 12 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Service principals zijn onmisbare bouwstenen voor automatisering in Azure, maar zonder expliciet eigenaarschap verandert een technisch hulpmiddel al snel in een onbeheerde toegangspoort. De Nederlandse Baseline voor Veilige Cloud vereist daarom dat elke applicatie-identiteit is gekoppeld aan een verantwoordelijke persoon of afdeling, inclusief transparante documentatie over doel, machtigingen en credentialbeheer.

Aanbeveling
Leg voor elke service principal eenduidig eigenaarschap vast en veranker dit proces in dezelfde governancecyclus als voor menselijke accounts; zonder deze stap is volwassen identity security onmogelijk.
Risico zonder
Medium
Risk Score
5/10
Implementatie
8u (tech: 4u)
Van toepassing op:
Azure
Azure AD
Service Principals

Wanneer de oorspronkelijke ontwikkelaar het organisatieonderdeel verlaat of een project wordt beëindigd zonder proper overdracht, blijven machtigingen vaak actief en wachten verouderde secrets op misbruik. Dat resulteert in onverwachte uitval van bedrijfsprocessen, verhoogde kans op privilege-escalatie en een audittrail die abrupt stopt bij een anonieme app-registratie. Door eigenaarschap formeel vast te leggen ontstaat een keten van verantwoordelijkheid: iemand voelt zich aangesproken, bewaakt certificaat- en secretrotatie, beargumenteert waarom bepaalde API-machtigingen gerechtvaardigd zijn en onderhoudt contact met security en compliance.

PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.Applications

Implementatie

Deze maatregel draait om structurele borging. Elke service principal moet een primaire en, waar mogelijk, secundaire eigenaar hebben met duidelijke contactgegevens. Het zakelijke doel wordt beschreven in begrijpelijke taal zodat zowel auditors als functioneel beheerders de context begrijpen. Machtigingen worden gekoppeld aan procesrisico’s, credentialverloop wordt twintig tot dertig dagen vooraf gesignaleerd en jaarlijks vindt een review plaats waarin de eigenaar expliciet bevestigt dat de identiteit nog nodig is en limietwaarden niet overschreden worden. Documentatie kan in Azure velden, een centrale catalogus of een ticketingsysteem worden opgenomen zolang de informatie actueel, vindbaar en verifieerbaar is.

Vereisten

  1. Een doeltreffend eigenaarschapsprogramma vraagt om veel meer dan een eenvoudige export uit Azure AD. Begin met het opstellen van een gezaghebbende bron waar alle service principals worden geregistreerd, inclusief koppelingen naar het systeemlandschap, business capabilities en data-classificaties. Verzamel per identiteit de technische naam, de gekoppelde applicatie of automatisering, de subscription of resource group waar de workload draait, het type credentials, de toegewezen rollen en het autorisatiemodel dat wordt aangesproken. Zodra die basisinventaris compleet is kunnen security officers bepalen welke identiteiten bedrijfskritisch zijn en dus aanvullende controles vereisen, zoals dubbele goedkeuring voor permissiewijzigingen of verplichte hardware security modules voor certificaten. Deze analyse vormt eveneens het vertrekpunt voor het bepalen van prioriteiten, het vastleggen van service level agreements rondom secretrotatie en het toewijzen van capaciteit aan beheerteams. Neem deze vereisten op in een beleidsdocument dat wordt goedgekeurd door zowel de CISO als de CIO, zodat er bestuurlijke rugdekking is om identiteiten zonder eigenaar te blokkeren.
  2. Naast de inventaris is een governancekader essentieel. Definieer binnen de Nederlandse Baseline voor Veilige Cloud een beleid dat beschrijft wie een owner mag zijn (bij voorkeur een functie, geen individu), welke verantwoordelijkheden daarbij horen, hoe vervanging wordt geregeld tijdens verlof en welke rapportages minimaal maandelijks moeten worden aangeleverd. Beschrijf ook welke informatie in elke documentatie-entry verplicht is: contactpersonen, bedrijfsdoel, koppelvlakbeschrijvingen, autorisatiematrix, afhankelijkheden en compliance-informatie. Leg vast dat nieuwe service principals nooit in productie mogen worden gebracht voordat deze gegevens zijn ingevuld en formeel zijn goedgekeurd door zowel de verantwoordelijke lijnmanager als het securityteam. Zorg tenslotte voor toolingvereisten: toegang tot Microsoft Graph of AzureAD modules, logging op service principal aanpassingen via Microsoft Entra audit logs, koppelingen met SIEM voor detectie van afwijkingen en een reviewproces dat door middel van Power Automate, ServiceNow of een ander workflowplatform automatisch jaarlijkse bevestigingen uitstuurt. Pas wanneer deze randvoorwaarden staan is er een solide basis om de implementatie uit te voeren.
  3. Een volwassen kader vereist tenslotte ondersteunende processen voor kennisborging, training en communicatie. Documenteer in de onboardinggids voor ontwikkelteams dat zij verplicht zijn om tijdens architectuurreviews aan te tonen welke service principals worden gebruikt, hoe secrets worden opgeslagen en welke fallback bestaat bij incidenten. Organiseer kwartaalworkshops waarin identity engineers praktijkvoorbeelden delen van goed ingevulde eigenaarschapsdossiers en waarin wordt benadrukt welke fouten eerder tot incidenten hebben geleid. Koppel deze trainingen aan meetbare doelen, zoals het percentage identiteiten met dubbele eigenaarschap of de tijd die verstrijkt tussen creatie en goedkeuring. Bouw bovendien een communicatiekit waarmee chief product owners hun teams kunnen informeren over het belang van deze maatregel. Wanneer iedereen begrijpt dat de Nederlandse Baseline voor Veilige Cloud dit niet ziet als een administratieve last maar als een randvoorwaarde voor betrouwbare dienstverlening, ontstaat draagvlak om oude gewoontes los te laten en consistent hoogwaardige documentatie op te leveren.
  4. Tot slot zijn er randvoorwaarden op het gebied van tooling en veiligheid van de documentatie zelf. Het eigenaarschapsregister moet worden opgeslagen op een platform dat voldoet aan de classificatie van de gegevens, voorzien is van rolgebaseerde toegang en versiebeheer ondersteunt zodat wijzigingen in verantwoording kunnen worden teruggezocht. Definieer een informatiearchitectuur waarin velden uit Azure automatisch worden gesynchroniseerd maar handmatige toelichting mogelijk blijft, bijvoorbeeld via een Power Apps-interface bovenop Dataverse. Richt daarnaast een kwaliteitscontrole in waarbij compliance officers steekproefsgewijs validaties uitvoeren op de volledigheid van records en afwijkingen rapporteren aan het managementteam. Door deze technische en organisatorische bouwstenen expliciet als vereisten op te nemen, wordt voorkomen dat het eigenaarschapsprogramma leunt op tijdelijke spreadsheets en ontstaat een duurzaam fundament voor betrouwbare governance.

Implementatie

Gebruik PowerShell-script service-principal-ownership.ps1 (functie Invoke-Implementation) – Implementeren.

  1. Voer de implementatie uit in drie sporen die elkaar versterken. Het technische spoor start met het script service-principal-ownership.ps1, dat via Microsoft Graph een actuele lijst van alle service principals ophaalt, inclusief toewijzingen van machtigingen en credentials. Verrijk deze dataset met tags voor business units en kritikaliteit, en schrijf de resultaten weg naar een centrale opslag (bijvoorbeeld een beveiligde SharePoint-lijst of een Azure SQL database) waarop rapportages kunnen worden gebouwd. Terwijl de dataset wordt opgebouwd, interview je proceseigenaren om het zakelijke doel te valideren en leg je in het Notes-veld van de app-registratie vast welke dienst wordt ontsloten, wie aanspreekpunt is en waar documentatie te vinden is. Werk met standaardtekstblokken zodat elke registratie hetzelfde leest en auditors direct zien hoe de verantwoordelijkheid is ingevuld. Koppel het script aan een pipeline zodat nieuwe registraties automatisch worden opgehaald en vergeleken met de gewenste situatie.

    Het tweede spoor is organisatorisch. Richt een intakeproces in waarin nieuwe service principals alleen worden aangemaakt via een aanvraagformulier dat eigenaar, doel, verwachte duur, benodigde machtigingen en gegevensclassificatie verplicht stelt. Laat dit formulier automatisch een Azure AD access review of ServiceNow workflow triggeren zodat zowel security als lijnmanagement alle aanvragen beoordelen. Voeg een goedkeuringsmatrix toe voor gevoelige machtigingen, bijvoorbeeld Exchange.ManageAsApp of Directory.ReadWrite.All, en leg vast dat de Chief Information Security Officer de eindverantwoordelijkheid draagt voor uitzonderingen. Integreer de workflow met het secretsbeheerproces, zodat nieuwe secrets dezelfde rotatiecycli volgen als bestaande privileged accounts en automatisch in Key Vault, Azure Automation of een ander vaultplatform worden vastgelegd.

    Het derde spoor focust op sustainability en cultuur. Stel notificaties in via Azure Automation of Logic Apps die dertig en zeven dagen voor het verlopen van een credential een bericht sturen naar de eigenaar én diens back-up. Plan daarnaast een jaarlijkse review waarin eigenaren via een geautomatiseerde e-mail of taak in het ticketsysteem moeten bevestigen dat de service principal nog relevant is, dat machtigingen niet ongemerkt zijn uitgebreid en dat secrets conform beleid zijn geroteerd. Alle bevestigingen worden centraal gearchiveerd, gekoppeld aan het inventarisrecord en gedeeld met compliance voor steekproeven. Organiseer retro-sessies na elke review-cyclus om verbeterpunten te identificeren, bijvoorbeeld betere tagging in Terraform of Bicep templates, aanvullende richtlijnen voor DevOps-teams of extra dashboards in Power BI. Door de drie sporen parallel te laten lopen ontstaat binnen enkele weken een herhaalbaar proces waarin documentatie en verantwoordelijkheid intrinsiek onderdeel zijn van de lifecycle van elke service principal.
  2. Vergeet niet om change- en releasemanagement in lijn te brengen met deze werkwijze. Actualiseer deployment pipelines zodat het aanmaken van service principals alleen gebeurt via infrastructure-as-code met vooraf gedefinieerde policies die eigenaarschapstags afdwingen. Neem quality gates op in Azure DevOps of GitHub Actions die een pull request blokkeren wanneer verplichte metadatavelden ontbreken of wanneer machtigingen buiten het goedgekeurde profiel vallen. Richt bovendien een kennisbank in waarin voorbeeldteksten, beslisbomen voor machtigingen en scenario’s voor noodherstel beschikbaar zijn. Het implementatieteam rapporteert elke sprint over de voortgang op deze activiteiten, zodat bestuurders inzicht houden in de adoptie en tijdig kunnen bijsturen als bepaalde business units achterblijven.

Compliance en Auditing

  1. Het vastleggen van eigenaarschap sluit direct aan op meerdere compliancekaders waar Nederlandse overheidsorganisaties aan moeten voldoen. CIS Azure v3.0.0 control 1.24 schrijft voor dat elke non-human identity aantoonbare verantwoordelijken en periodieke reviews heeft. Door de inventaris en de goedkeuringsworkflow te documenteren in het auditdossier kan eenvoudig worden aangetoond dat aanvragen, wijzigingen en opheffingen volgens het principe van least privilege verlopen. Voeg aan elk record een verwijzing toe naar het onderliggende wijzigingsverzoek zodat auditors de herkomst van rechten kunnen volgen.
  2. Binnen het BIO-domein 09.02 verplicht de baseline dat niet-persoonlijke accounts dezelfde levenscycluscontroles ondergaan als reguliere gebruikersaccounts. Dit betekent dat eigenaarschap, autorisatiematrix, logging en periodieke beoordelingen expliciet zijn vastgelegd en dat veranderingen aan credentials traceerbaar zijn. Door de registratie te koppelen aan identity governance tooling, bijvoorbeeld Microsoft Entra ID Governance of een extern IGA-platform, kunnen organisaties aantonen dat elke wijziging automatisch wordt gelogd en dat afwijkingen (zoals een service principal zonder eigenaar) binnen vastgestelde termijnen worden gecorrigeerd.
  3. ISO/IEC 27001:2022 A.5.18 vereist dat toegangsrechten regelmatig worden beoordeeld op nauwkeurigheid en noodzaak. Een uitgebreid eigenaarschapsregister versterkt de bewijsvoering doordat het inzicht geeft in waarom bepaalde machtigingen zijn verleend, wanneer ze voor het laatst zijn bevestigd en hoe de noodzaak wordt onderbouwd. Voeg hieraan een risicoclassificatie toe zodat auditors zien dat kritieke identiteiten extra maatregelen hebben, zoals hardwarematig opgeslagen certificaten en verplichte multi-factor authenticatie voor beheeraccounts die de service principal onderhouden.
  4. Tot slot ondersteunt de aanpak de verplichtingen uit NIS2 Artikel 21, waarin bestuursorganen worden gehouden aan streng risicobeheer en supply chain-controles. Doordat service principals vaak toegang hebben tot externe API’s of SaaS-platformen, vormt het eigenaarschapsregister een sleutelcomponent bij het aantonen van ketentransparantie. Documenteer daarom voor elke identiteit ook de externe systemen en contractuele afspraken rond incidentmelding. Door deze beschrijvingen in duidelijke, verhalende vorm op te nemen, voldoet de organisatie zowel aan nationale wetgeving als aan sectorale richtlijnen.
  5. Een geïntegreerde aanpak zorgt er bovendien voor dat het management kan aantonen dat gegevensbescherming by design is toegepast. Leg in het complianceplan vast hoe het eigenaarschapsregister wordt gebruikt tijdens interne controles, welke steekproeven de auditafdeling uitvoert en hoe bevindingen worden vastgelegd in het risicoregister. Koppel de maatregel aan privacy impact assessments zodra persoonsgegevens via service principals worden verwerkt en beschrijf welke mitigerende maatregelen worden geactiveerd bij afwijkingen. Door deze expliciete koppeling wordt het eenvoudig om bewijs aan te leveren richting toezichthouders en om volwassenheidsniveaus in rijpheidsmodellen zoals BIO of ENSIA aan te tonen.

Monitoring

Gebruik PowerShell-script service-principal-ownership.ps1 (functie Invoke-Monitoring) – Controleren.

  1. Monitoring begint bij zichtbaarheid op het volledige landschap. Configureer Microsoft Entra audit logs en stuur ze naar een centrale SIEM-oplossing zoals Microsoft Sentinel, zodat elke creatie, wijziging of verwijdering van service principals real-time wordt vastgelegd. Bouw queries die controleren of een nieuwe identiteit binnen vier werkuren is voorzien van eigenaarschapstags en of machtigingen overeenkomen met het aangevraagde profiel. Voeg aanvullende detectieregels toe die alert geven wanneer een service principal plotseling veel meer tokens aanvraagt, vanuit afwijkende IP-adressen opereert of toegang zoekt tot resources buiten de geregistreerde scope. Combineer technische signalen met procesindicatoren: als een eigenaar niet reageert op de jaarlijkse review, genereert het systeem een incident dat naar het governanceboard gaat.
  2. Voor credentialbewaking koppel je de inventaris aan Key Vault, Azure Automation of het secretsmanagementsysteem dat in gebruik is. Trek periodiek rapportages die laten zien welke certificaten of client secrets binnen dertig, veertien en zeven dagen verlopen en stuur deze automatisch naar eigenaar en back-up. Leg vast wanneer notificaties zijn verstuurd en of er tijdig opvolging heeft plaatsgevonden; deze logging is essentieel voor zowel audits als post-incidentonderzoek. Implementaties die gebruikmaken van federatieve identiteiten of workload identities binnen Microsoft Entra Workload ID’s moeten aanvullende controles hebben die valideren of pod-identiteiten en managed identities dezelfde documentatiekwaliteit halen. Gebruik tenslotte dashboards binnen Power BI of Sentinel Workbooks om trends zichtbaar te maken: hoeveel service principals hebben momenteel geen eigenaar, hoeveel uitzonderingen zijn geaccepteerd en hoe snel worden nieuwe aanvragen afgerond. Door monitoring te positioneren als continu feedbackmechanisme, blijft het eigenaarschapsproces levend en kan de organisatie gericht verbeteren.
  3. Breid het monitoringskader uit met scenario’s voor afwijkende patronen. Richt bijvoorbeeld een alarm in dat wordt getriggerd wanneer een service principal met hoge privileges buiten kantooruren aanmeldt op een resource waar hij normaal nooit gebruikt wordt, of wanneer een identiteitssecret vaker dan gebruikelijk wordt gedownload. Combineer deze signalen met risicogebaseerde metrics, zoals de criticality score van de gekoppelde applicatie en de gevoeligheid van de data. Koppel alerts direct aan incident response playbooks waarin beschreven staat wie het onderzoek uitvoert, hoe bewijs veilig wordt gesteld en welke mitigatiestappen (credential reset, scope restrictie, workload isolatie) beschikbaar zijn. Door technische detectie, procesafspraken en duidelijke escalatiepaden te combineren ontstaat een volledig monitoringregime dat zowel preventief als reactief werkt.

Remediatie

Gebruik PowerShell-script service-principal-ownership.ps1 (functie Invoke-Remediation) – Herstellen.

  1. Remediatie draait om snelheid zonder de controle te verliezen. Zodra monitoring een service principal zonder eigenaar of met verlopen credentials detecteert, wordt automatisch een ticket geopend waarin de verantwoordelijke business unit binnen twee werkdagen moet reageren. Indien er geen eigenaar meer beschikbaar is wordt het incident geëscaleerd naar het identity governance board, dat ofwel een tijdelijke beheerder aanwijst of besluit de identiteit uit te faseren. Alle acties worden gedocumenteerd: welke stappen zijn genomen, welke risico’s zijn beoordeeld en hoe is vastgesteld dat productieprocessen niet worden geraakt. Tijdens remediatie wordt eveneens nagegaan of machtigingen onnodig zijn uitgegroeid; overtollige rollen worden ingetrokken en nieuwe secrets worden gegenereerd via het gestandaardiseerde proces zodat er geen shadow credentials ontstaan.
  2. Wanneer een incident complexer is, bijvoorbeeld omdat een service principal mogelijk is misbruikt, wordt de forensische procedure geactiveerd. Verzamel audit logs, tokenlogboeken en resource-activiteit om vast te stellen welke data of systemen zijn benaderd. Zet de identiteit meteen op disabled of gebruik conditional access policies om alleen nog toegang toe te staan vanaf een gecontroleerde automation account. Informeer de Chief Information Security Officer en, indien de impact dit vereist, de Functionaris Gegevensbescherming en de toezichthouder. Remediatie eindigt altijd met een root-causeanalyse waarin wordt bepaald hoe deze situatie heeft kunnen ontstaan, welke procesverbeteringen nodig zijn en welke aanvullende training aan teams wordt gegeven. Door deze cyclus consequent te volgen, vergroot de organisatie de weerbaarheid en houdt zij grip op alle non-human identiteiten binnen de scope van de Nederlandse Baseline voor Veilige Cloud.
  3. Neem tot slot structurele verbetermaatregelen op in het beleidsregister. Documenteer welke controles worden aangescherpt, welke toolingaanpassingen nodig zijn en welke communicatiemomenten worden georganiseerd om lessons learned te delen. Veranker de follow-up in bestaande governancefora zodat acties niet verstoffen: denk aan het kwartaaloverleg tussen CISO-office en productteams of het portfoliobestuur waar investeringsbeslissingen worden genomen. Koppel iedere maatregel aan meetbare indicatoren, zoals de tijd die nodig is om een eigenaar toe te wijzen of het aantal dagen dat een credential verlopen mag zijn. Door remediatie standaard te laten eindigen met zichtbare verbeteringen wordt het eigenaarschapsproces steeds robuuster.
  4. Zorg er bovendien voor dat leveranciers en ketenpartners worden betrokken wanneer service principals externe systemen aanroepen. Maak in contracten afspraken over escalatieprocedures, maximale responstijden en het delen van forensische gegevens zodat een gezamenlijke analyse mogelijk is. Wanneer de remediatie een wijziging in autorisaties vereist, gebruik je change management om te valideren dat downstream-systemen correct blijven functioneren en dat nieuwe secrets veilig worden uitgewisseld. Documenteer elke samenwerking in het dossier van de service principal, inclusief contactpersonen, zodat toekomstige incidenten sneller worden opgelost. Deze ketengerichte aanpak voorkomt dat het herstel halverwege stokt doordat externe partijen niet klaarstaan.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Service Principal Ownership .DESCRIPTION CIS Azure Foundations Benchmark - Control 1.50 Controleert service principal ownership en monitoring. .NOTES Filename: service-principal-ownership.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 1.50 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "Service Principal Ownership" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } try { Connect-RequiredServices if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray Write-Host " - Enterprise applications" -ForegroundColor Gray Write-Host " - Service principals hebben duidelijke owners" -ForegroundColor Gray Write-Host " - Credentials worden regelmatig geroteerd" -ForegroundColor Gray Write-Host " - Unused service principals worden verwijderd" -ForegroundColor Gray } else { Write-Host "`n⚠️ Manual verification: Service principal ownership" -ForegroundColor Yellow } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray Write-Host " - Enterprise applications" -ForegroundColor Gray Write-Host " - Service principals hebben duidelijke owners" -ForegroundColor Gray Write-Host " - Credentials worden regelmatig geroteerd" -ForegroundColor Gray Write-Host " - Unused service principals worden verwijderd" -ForegroundColor Gray } else { Write-Host "`n⚠️ Manual verification: Service principal ownership" -ForegroundColor Yellow } } catch { Write-Error $_; exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Medium: Zonder eigenaar blijven secrets verlopen, groeien machtigingen mee met ad-hoc verzoeken en wordt incidentrespons gehinderd doordat niemand aanspreekbaar is. Dit veroorzaakt verstoringen, vergroot de kans op privilege misuse en leidt tot aantoonbare afwijkingen van CIS 1.24, BIO 09.02, ISO 27001 A.5.18 en NIS2 artikel 21.

Management Samenvatting

Voer een volledige inventarisatie uit, koppel elke service principal aan een verantwoordelijke functie, documenteer doel en machtigingen in zowel Azure als een centrale catalogus, en automatiseer notificaties voor credentialrotatie en jaarlijkse reviews. Gebruik het script service-principal-ownership.ps1 voor de technische basis en borg de opvolging in workflows en dashboards.