💼 Management Samenvatting
Een doordachte Azure Management Groups hiërarchie vormt de fundamentele basis voor effectieve cloud governance, kostenbeheer en compliance-afdwinging binnen Nederlandse overheidsorganisaties. Zonder een gestructureerde Management Groups organisatie ontstaan snel wildgroei van abonnementen, inconsistente policy-toepassing, onduidelijke verantwoordelijkheden en compliance-risico's die kunnen leiden tot schending van BIO, AVG en NIS2-vereisten.
Aanbeveling
IMPLEMENTEER EEN DOORDACHTE MANAGEMENT GROUPS HIËRARCHIE VOOR ALLE AZURE-ABONNEMENTEN
Risico zonder
Medium
Risk Score
6/10
Implementatie
60u (tech: 40u)
Van toepassing op:
✓ Azure Tenant
Azure Management Groups bieden een hiërarchische structuur waarmee organisaties abonnementen logisch kunnen groeperen en centraal kunnen beheren. Voor Nederlandse overheidsorganisaties is het essentieel om deze hiërarchie te ontwerpen op basis van organisatorische eenheden, omgevingstypen en compliance-niveaus, zodat policies, toegangscontroles en kostenallocatie consistent kunnen worden toegepast. Zonder een doordachte Management Groups structuur ontstaan binnen organisaties al snel verschillende interpretaties van waar abonnementen thuishoren, worden policies inconsistently toegepast, ontbreekt zicht op kosten en afhankelijkheden, en kunnen auditors niet aantonen dat de organisatie voldoet aan relevante normen zoals de Baseline Informatiebeveiliging Overheid (BIO), de Algemene Verordening Gegevensbescherming (AVG) en de NIS2-richtlijn. In de praktijk leidt dit tot situaties waarin teams zelfstandig abonnementen aanmaken zonder duidelijke plaats in de organisatiestructuur, waarin security policies niet consistent worden toegepast omdat zij niet op de juiste scope zijn toegewezen, waarin kosten niet kunnen worden gealloceerd omdat abonnementen niet zijn georganiseerd op basis van kostencentra of programma's, en waarin tijdens audits niet kan worden aangetoond dat passende governance-maatregelen zijn genomen. Voor Nederlandse overheidsorganisaties heeft dit directe gevolgen: niet-naleving kan leiden tot boetes, reputatieschade, verlies van vertrouwen bij burgers en mogelijk politieke consequenties. Daarnaast stellen frameworks zoals BIO en NIS2 expliciet eisen aan governance: organisaties moeten kunnen aantonen dat zij een gestructureerd proces hebben voor het beheren van cloudresources, dat beslissingen over architectuur en beveiliging formeel zijn vastgelegd, en dat er mechanismen zijn om naleving van policies te monitoren en af te dwingen.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Resources, Az.ManagementGroups
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Resources, Az.ManagementGroups
Implementatie
Azure Management Groups vormen een hiërarchische containerstructuur die organisaties in staat stelt om abonnementen logisch te groeperen en centraal te beheren. De hiërarchie begint met een root Management Group die alle Azure-abonnementen binnen de tenant bevat, en kan vervolgens worden uitgebreid met meerdere niveaus van Management Groups die verschillende organisatorische, operationele of compliance-doelstellingen vertegenwoordigen. Binnen deze hiërarchie kunnen Azure Policies worden toegewezen aan Management Groups, waardoor policies automatisch worden toegepast op alle abonnementen binnen die Management Group en alle onderliggende Management Groups. Dit maakt het mogelijk om zowel generieke policies (zoals 'alle storage accounts moeten versleuteling gebruiken') toe te passen op alle abonnementen binnen een omgevingstype, als specifieke policies (zoals 'alle resources in Burgerzaken moeten worden getagd met kostencentrum X') toe te passen op specifieke organisatorische eenheden. Naast policy-toepassing maken Management Groups het mogelijk om toegangscontroles centraal te beheren via Azure Role-Based Access Control (RBAC), zodat gebruikers en service principals toegang kunnen krijgen tot alle abonnementen binnen een Management Group zonder dat toegang individueel per abonnement hoeft te worden toegewezen. Management Groups ondersteunen ook kostenallocatie en rapportage, omdat kosten kunnen worden geaggregeerd op het niveau van Management Groups, wat inzicht geeft in welke organisatorische eenheden, programma's of omgevingstypen welke Azure-kosten veroorzaken. Belangrijk is dat de Management Groups hiërarchie flexibel genoeg moet zijn om toekomstige groei en wijzigingen te accommoderen, maar ook duidelijk genoeg om teams te helpen begrijpen waar hun abonnementen thuishoren en welke regels van toepassing zijn.
Vereisten en Prerequisites
Voor het implementeren van een effectieve Management Groups structuur zijn verschillende technische en organisatorische vereisten van belang. Technisch gezien vereist het werken met Management Groups dat de organisatie beschikt over een Azure Active Directory tenant (tegenwoordig Microsoft Entra ID) en dat ten minste één Azure-abonnement is geconfigureerd. De root Management Group wordt automatisch aangemaakt wanneer de eerste Management Group wordt gecreëerd, en alle bestaande en nieuwe abonnementen worden automatisch toegevoegd aan de root Management Group tenzij zij expliciet worden verplaatst naar een andere Management Group. Voor het beheren van Management Groups zijn specifieke Azure RBAC-rollen vereist: de rol 'Owner' of 'Management Group Contributor' op het niveau van de root Management Group of een specifieke Management Group is nodig om Management Groups te kunnen creëren, wijzigen of verwijderen. Daarnaast is de rol 'Management Group Reader' voldoende om de hiërarchie te kunnen bekijken zonder wijzigingen te kunnen aanbrengen. Organisatorisch gezien vereist het ontwerpen van een effectieve Management Groups structuur nauwe samenwerking tussen verschillende stakeholders binnen de organisatie. IT-architecten moeten de technische structuur ontwerpen die aansluit bij de organisatorische behoeften, security officers moeten ervoor zorgen dat de structuur beveiligings- en compliance-vereisten ondersteunt, compliance officers moeten verifiëren dat de structuur voldoet aan relevante normen zoals BIO en AVG, en business stakeholders moeten input leveren over hoe de organisatie is gestructureerd en hoe kosten moeten worden gealloceerd. Belangrijk is dat de Management Groups structuur wordt gedocumenteerd in een governance-handboek dat uitlegt wat elke Management Group vertegenwoordigt, welke policies van toepassing zijn, wie verantwoordelijk is voor het beheer ervan, en hoe nieuwe abonnementen worden toegevoegd aan de juiste Management Group. Deze documentatie is essentieel voor nieuwe teamleden, auditors en bestuurders die inzicht willen krijgen in hoe de Azure-omgeving is georganiseerd en gecontroleerd. Voor Nederlandse overheidsorganisaties zijn er aanvullende compliance-vereisten die van invloed zijn op de Management Groups structuur. De Baseline Informatiebeveiliging Overheid (BIO) vereist bijvoorbeeld dat organisaties kunnen aantonen dat zij een gestructureerd proces hebben voor het beheren van IT-resources, wat betekent dat de Management Groups structuur expliciet moet worden vastgelegd en moet aansluiten bij de bredere governance-structuur van de organisatie. De AVG vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen, wat betekent dat resources die persoonsgegevens verwerken moeten worden geïdentificeerd en georganiseerd in Management Groups die passende beveiligings- en compliance-policies afdwingen. De NIS2-richtlijn vereist dat organisaties kunnen onderbouwen hoe zij cloud-risico's beheren, wat betekent dat de Management Groups structuur moet worden gepositioneerd binnen het bredere risicomanagement- en rapportagekader.
Implementatie en Hiërarchie Ontwerp
Het ontwerpen van een effectieve Management Groups hiërarchie begint met het identificeren van de belangrijkste organisatorische, operationele en compliance-dimensies die van invloed zijn op hoe abonnementen moeten worden gegroepeerd. Voor Nederlandse overheidsorganisaties zijn dit typisch omgevingstypen (zoals Productie, Test, Ontwikkeling en Sandbox), organisatorische eenheden (zoals afdelingen, programma's of diensten), en compliance-niveaus (zoals BIO Hoog, BIO Basis, of Open Data). Een veelgebruikte aanpak is om te beginnen met een hiërarchie die eerst groepeert op omgevingstype, en vervolgens binnen elk omgevingstype verder te groeperen op organisatorische eenheid of compliance-niveau. Een typische Management Groups structuur begint met een root Management Group die alle Azure-abonnementen binnen de organisatie bevat. Onder deze root worden vervolgens Management Groups gecreëerd voor verschillende omgevingstypen, bijvoorbeeld 'Production', 'Test', 'Development' en 'Sandbox'. Binnen elk omgevingstype kunnen vervolgens Management Groups worden gecreëerd voor specifieke organisatorische eenheden, programma's of workloads. Bijvoorbeeld, onder de 'Production' Management Group kunnen er Management Groups zijn voor 'Burgerzaken Productie', 'Zorgketen Integraties Productie', of 'Interne Bedrijfsvoering Productie'. Deze structuur maakt het mogelijk om zowel generieke policies (zoals 'alle productie-omgevingen moeten verplichte monitoring hebben') toe te passen op alle abonnementen binnen de Production Management Group, als specifieke policies (zoals 'alle resources in Burgerzaken moeten worden getagd met kostencentrum X') toe te passen op abonnementen binnen de Burgerzaken Productie Management Group. Naast omgevingstypen en organisatorische eenheden kunnen Management Groups ook worden gebruikt om compliance-niveaus te representeren. Voor Nederlandse overheidsorganisaties betekent dit bijvoorbeeld dat er een Management Group kan zijn voor 'BIO Hoog' workloads die persoonsgegevens bevatten en strikte beveiligingsvereisten hebben, een Management Group voor 'BIO Basis' workloads met minder gevoelige data, en mogelijk een Management Group voor 'Open Data' workloads die publiekelijk beschikbaar zijn. Elke compliance-niveau krijgt zijn eigen set van policies die aansluiten bij de specifieke vereisten, bijvoorbeeld extra logging en monitoring voor BIO Hoog workloads, of beperkingen op externe toegang voor workloads met persoonsgegevens. Bij het ontwerpen van de hiërarchie is het belangrijk om rekening te houden met de beperkingen van Azure Management Groups. Azure ondersteunt maximaal zes niveaus van Management Groups (inclusief de root), wat betekent dat organisaties moeten nadenken over hoe zij hun structuur willen organiseren zonder te diep te gaan. Daarnaast kunnen abonnementen slechts worden toegevoegd aan één Management Group tegelijk, wat betekent dat organisaties moeten kiezen welke dimensie (omgevingstype, organisatorische eenheid, of compliance-niveau) de primaire organisatiestructuur vormt. In de praktijk betekent dit vaak dat organisaties beginnen met omgevingstypen als primaire structuur, en vervolgens binnen elk omgevingstype verder organiseren op basis van organisatorische eenheden of compliance-niveaus. Het implementeren van de Management Groups structuur kan worden gedaan via de Azure Portal, Azure PowerShell, Azure CLI, of Azure Resource Manager templates. Voor grotere organisaties is het aan te raden om de structuur te implementeren via Infrastructure as Code (IaC) met Azure Resource Manager templates of Terraform, zodat de structuur version controlled kan worden en consistent kan worden toegepast in verschillende omgevingen. Belangrijk is dat bij het implementeren van de structuur ook direct policies worden toegewezen aan de relevante Management Groups, zodat nieuwe abonnementen die worden toegevoegd automatisch de juiste policies krijgen toegewezen.
Monitoring en Beheer
Gebruik PowerShell-script management-groups-structure.ps1 (functie Invoke-Monitoring) – Controleert de Management Groups hiërarchie en structuur.
Effectief beheer van de Management Groups structuur vereist continue monitoring om te verifiëren dat de hiërarchie correct is geconfigureerd, dat abonnementen in de juiste Management Groups zijn geplaatst, en dat policies correct zijn toegewezen. Zonder uitgebreide monitoring kunnen organisaties niet aantonen dat hun governance-structuur daadwerkelijk werkt, kunnen afwijkingen onopgemerkt blijven, en kunnen bestuurders en auditors niet verifiëren dat passende maatregelen zijn genomen. Voor Nederlandse overheidsorganisaties is Management Groups monitoring bovendien essentieel voor het voldoen aan BIO-, AVG- en NIS2-vereisten, die expliciet eisen dat organisaties kunnen aantonen dat zij passende controles hebben geïmplementeerd en dat deze controles effectief zijn. Azure biedt verschillende ingebouwde mogelijkheden voor het monitoren van Management Groups. De Azure Portal toont een visuele weergave van de Management Groups hiërarchie, inclusief welke abonnementen in welke Management Groups zijn geplaatst, welke policies zijn toegewezen aan elke Management Group, en welke RBAC-rollen zijn toegewezen op het niveau van Management Groups. Deze informatie kan worden gebruikt voor ad-hoc controles, maar voor regelmatige monitoring en rapportage is het aan te raden om geautomatiseerde scripts of Azure Automation runbooks te gebruiken die regelmatig de Management Groups structuur controleren en waarschuwingen genereren wanneer afwijkingen worden gedetecteerd. Belangrijke aspecten om te monitoren zijn onder meer of alle abonnementen zijn toegevoegd aan de juiste Management Groups (en niet alleen in de root Management Group blijven staan), of policies correct zijn toegewezen aan de relevante Management Groups, of er geen orphaned abonnementen zijn die niet in de hiërarchie zijn opgenomen, en of de hiërarchie nog steeds aansluit bij de organisatorische structuur. Daarnaast is het belangrijk om te monitoren of nieuwe abonnementen automatisch worden toegevoegd aan de juiste Management Groups, of dat er een proces is om nieuwe abonnementen handmatig te plaatsen in de hiërarchie. Voor Nederlandse overheidsorganisaties is het belangrijk om regelmatig (bijvoorbeeld maandelijks) rapportages te genereren die aantonen dat de Management Groups structuur correct is geconfigureerd, dat alle abonnementen zijn georganiseerd in de juiste Management Groups, en dat policies correct zijn toegewezen. Deze rapportages moeten worden opgeslagen met passende bewaartermijnen (bijvoorbeeld zeven jaar voor financiële en compliance-doeleinden) en moeten beschikbaar zijn voor auditors en toezichthouders. Azure Management Groups informatie kan worden geëxporteerd naar externe systemen zoals Azure Log Analytics of Power BI voor geavanceerde analyse en langetermijnopslag, wat essentieel is voor organisaties die moeten voldoen aan langere bewaartermijnen voor compliance-documentatie.
Compliance en Auditing
Azure Management Groups structuur is nauw verweven met verschillende nationale en internationale normen en wettelijke kaders. Voor Nederlandse overheidsorganisaties vormt de Baseline Informatiebeveiliging Overheid (BIO) het belangrijkste referentiekader voor governance. Met name de normen rond beheer en organisatie vereisen dat organisaties een gestructureerd proces hebben voor het beheren van IT-resources, dat beslissingen over architectuur en beveiliging formeel zijn vastgelegd, en dat er mechanismen zijn om naleving van policies te monitoren en af te dwingen. Tijdens BIO-audits moet een organisatie kunnen aantonen dat er een vastgestelde Management Groups structuur is, dat deze structuur is gedocumenteerd en wordt nageleefd, en dat er regelmatige monitoring en rapportage plaatsvindt. De internationale norm ISO 27001 (Information Security Management Systems) vereist eveneens dat organisaties een gestructureerd proces hebben voor het beheren van informatiebeveiliging, inclusief het definiëren van policies, het monitoren van compliance, en het continu verbeteren van beveiligingsmaatregelen. Voor Azure-omgevingen betekent dit dat de Management Groups structuur expliciet moet zijn vastgelegd en moet aansluiten bij de bredere informatiebeveiligingsmanagementstructuur van de organisatie. De Management Groups hiërarchie moet daarom worden geïntegreerd met het Information Security Management System (ISMS) en moet kunnen aantonen dat cloud-specifieke risico's worden beheerd binnen het bredere risicomanagementkader. De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen, waarbij Management Groups een essentieel onderdeel vormen. Voor Azure-omgevingen betekent dit dat resources die persoonsgegevens verwerken moeten worden geïdentificeerd en georganiseerd in Management Groups die passende beveiligingsmaatregelen afdwingen via policies. De Management Groups structuur moet daarom expliciet rekening houden met AVG-vereisten, bijvoorbeeld door Management Groups te creëren voor workloads met persoonsgegevens die extra beveiliging afdwingen, of door monitoring-processen te implementeren die controleren of AVG-vereisten worden nageleefd. De NIS2-richtlijn en de bijbehorende Nederlandse implementatiewet leggen voor aangewezen essentiële en belangrijke entiteiten extra nadruk op governance en risicomanagement. Toezichthouders verwachten dat organisaties kunnen onderbouwen hoe zij cloud-risico's beheren, hoe zij policies afdwingen, en hoe zij compliance monitoren. Azure-gebaseerde Management Groups moeten daarom worden gepositioneerd binnen het bredere risicomanagement- en rapportagekader, zodat bestuurders inzicht hebben in de resterende risico's, de effectiviteit van getroffen maatregelen, en eventuele afwijkingen van governance-standaarden. Voor audit-doeleinden is het essentieel dat alle aspecten van de Management Groups structuur aantoonbaar zijn gedocumenteerd. Dit omvat het vastleggen van de hiërarchie en de rationale daarachter, de policies die zijn toegewezen aan elke Management Group en waarom, de abonnementen die in elke Management Group zijn geplaatst en de reden daarvoor, compliance-rapportages en monitoring-resultaten, en managementbesluiten over wijzigingen in de structuur. Deze documentatie moet centraal en controleerbaar zijn opgeslagen, met bewaartermijnen die aansluiten bij wettelijke en organisatorische eisen, zodat auditors en toezichthouders op ieder moment een compleet beeld kunnen krijgen van de governance-volwassenheid van de organisatie.
Remediatie en Verbeteracties
Gebruik PowerShell-script management-groups-structure.ps1 (functie Invoke-Remediation) – Helpt bij het remediëren van Management Groups structuur-afwijkingen.
Wanneer uit monitoring, audits of evaluaties blijkt dat de Management Groups structuur tekortschiet, is een gestructureerde remediatieaanpak noodzakelijk. Ad-hoc wijzigingen – bijvoorbeeld het incidenteel verplaatsen van een abonnement naar een andere Management Group of het handmatig toevoegen van een nieuwe Management Group zonder duidelijke rationale – lossen zelden de kern van het probleem op en creëren vaak nieuwe risico's en inconsistenties. In plaats daarvan moeten organisaties werken met een verbeterprogramma waarin tekortkomingen worden geclassificeerd, geprioriteerd en opgepakt via concrete verbeteracties met eigenaar, planning en verwachte impact. Een effectieve remediatiestrategie begint met het in kaart brengen van de huidige Management Groups structuur ten opzichte van een doelbeeld. Dit doelbeeld beschrijft bijvoorbeeld dat alle abonnementen zijn georganiseerd in een duidelijke hiërarchie op basis van omgevingstypen en organisatorische eenheden, dat alle Management Groups zijn gedocumenteerd met duidelijke rationale en verantwoordelijkheden, dat policies correct zijn toegewezen aan de relevante Management Groups, en dat er regelmatige monitoring en rapportage plaatsvindt. Op basis van een gap-analyse worden prioriteiten gesteld: eerst worden risico's aangepakt die direct kunnen leiden tot compliance-schendingen of beveiligingsincidenten (bijvoorbeeld abonnementen die niet in de juiste Management Group staan en daardoor niet de vereiste policies hebben), vervolgens worden structurele verbeteringen doorgevoerd in de hiërarchie, documentatie en processen. Voor Azure betekent remediatie vaak dat bestaande abonnementen moeten worden verplaatst naar de juiste Management Groups, dat nieuwe Management Groups moeten worden gecreëerd om de hiërarchie beter te organiseren, dat ontbrekende policies moeten worden toegewezen aan Management Groups, of dat de documentatie moet worden bijgewerkt om de huidige structuur accuraat weer te geven. Deze activiteiten kunnen worden geautomatiseerd via PowerShell-scripts of Azure Automation runbooks, wat tijd bespaart en consistentie waarborgt. Belangrijk is dat remediatie-activiteiten worden uitgevoerd in overleg met abonnement-eigenaren en resource-eigenaren, zodat teams begrijpen waarom wijzigingen nodig zijn en kunnen meewerken aan de implementatie. Naast technische remediatie moeten ook organisatorische verbeteringen worden doorgevoerd. Dit kan betekenen dat teams moeten worden getraind in het belang van Management Groups en hoe zij nieuwe abonnementen moeten toevoegen aan de juiste Management Group, dat processen moeten worden aangepast om Management Groups te integreren in dagelijkse workflows, of dat rollen en verantwoordelijkheden moeten worden aangescherpt. Voor Nederlandse overheidsorganisaties is het belangrijk dat Management Groups niet alleen worden gezien als een IT-verantwoordelijkheid, maar als een gedeelde verantwoordelijkheid van alle teams die Azure gebruiken, met duidelijke rollen voor bestuur, CISO, compliance officers, IT-architecten en operationele teams. Na afronding van remediatie-activiteiten is een formele herbeoordeling noodzakelijk. Hierbij wordt gecontroleerd of de maatregelen daadwerkelijk zijn geïmplementeerd zoals gepland, of de Management Groups structuur nu voldoet aan de doelstellingen, en of monitoring en rapportage correct functioneren. De uitkomsten van deze herbeoordeling worden gedeeld met bestuur, CISO en interne audit, zodat duidelijk is welke risico's zijn gereduceerd en welke rest-risico's nog geaccepteerd moeten worden. Op deze manier wordt Management Groups structuur geen eenmalige inspanning, maar een structureel onderdeel van de bredere risicosturing en governance van de organisatie.
Compliance & Frameworks
- CIS M365: Control Organizational (L1) - Management Groups en Resource Organisatie
- BIO: 02.01.01, 02.02.01 - Beheer en organisatie, Policy management
- ISO 27001:2022: A.5.1, A.5.2 - Policies voor informatiebeveiliging, Organisatie van informatiebeveiliging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Azure Management Groups Structuur - Monitoring en Compliance Controle
.DESCRIPTION
Controleert de Management Groups hiërarchie en structuur:
- Aantal Management Groups en hiërarchie-niveaus
- Abonnementen per Management Group
- Policies toegewezen aan Management Groups
- Orphaned abonnementen (niet in juiste Management Group)
Het script is bedoeld als monitoringcontrol die inzicht geeft in de
volwassenheid en effectiviteit van de Management Groups structuur.
.NOTES
Filename: management-groups-structure.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/azure/management/management-groups-structure.json
.EXAMPLE
.\management-groups-structure.ps1 -Monitoring
Controleert de Management Groups hiërarchie en structuur
.EXAMPLE
.\management-groups-structure.ps1 -Remediation
Geeft richting aan remediatie van Management Groups structuur-afwijkingen
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Resources, Az.ManagementGroups
[CmdletBinding()]
param(
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation,
[Parameter()]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
$PolicyName = "Management Groups Structuur - Azure"
function Connect-RequiredServices {
<#
.SYNOPSIS
Maakt verbinding met Azure services
#>
if (-not (Get-AzContext)) {
Write-Host "Verbinden met Azure..." -ForegroundColor Gray
Connect-AzAccount -ErrorAction Stop | Out-Null
}
}
function Get-ManagementGroupsHierarchy {
<#
.SYNOPSIS
Haalt de volledige Management Groups hiërarchie op
#>
try {
$managementGroups = Get-AzManagementGroup -ErrorAction SilentlyContinue |
Select-Object Name, DisplayName, Id, ParentId, TenantId
return $managementGroups
}
catch {
Write-Verbose "Kon Management Groups niet ophalen: $_"
return @()
}
}
function Get-SubscriptionsInManagementGroups {
<#
.SYNOPSIS
Haalt alle abonnementen op en controleert in welke Management Group zij staan
#>
try {
$subscriptions = Get-AzSubscription -ErrorAction SilentlyContinue
$mgSubscriptions = @()
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null
$mgId = (Get-AzSubscription -SubscriptionId $sub.Id -ErrorAction SilentlyContinue).ManagementGroupId
$mgSubscriptions += @{
SubscriptionId = $sub.Id
SubscriptionName = $sub.Name
ManagementGroupId = $mgId
}
}
return $mgSubscriptions
}
catch {
Write-Verbose "Kon abonnementen niet ophalen: $_"
return @()
}
}
function Get-PolicyAssignmentsOnManagementGroups {
<#
.SYNOPSIS
Haalt policy assignments op Management Groups niveau op
#>
try {
$managementGroups = Get-AzManagementGroup -ErrorAction SilentlyContinue
$policyAssignments = @()
foreach ($mg in $managementGroups) {
$assignments = Get-AzPolicyAssignment -Scope "/providers/Microsoft.Management/managementGroups/$($mg.Name)" -ErrorAction SilentlyContinue
foreach ($assignment in $assignments) {
$policyAssignments += @{
ManagementGroup = $mg.DisplayName
PolicyAssignment = $assignment.Name
PolicyDefinition = $assignment.Properties.PolicyDefinitionId
}
}
}
return $policyAssignments
}
catch {
Write-Verbose "Kon policy assignments niet ophalen: $_"
return @()
}
}
function Test-ManagementGroupsStructure {
<#
.SYNOPSIS
Voert volledige Management Groups structuur check uit
#>
$results = @{
TotalManagementGroups = 0
RootManagementGroup = $null
SubscriptionsInRoot = 0
SubscriptionsInOtherMGs = 0
OrphanedSubscriptions = 0
PolicyAssignments = 0
HierarchyLevels = 0
IsCompliant = $false
}
$mgGroups = Get-ManagementGroupsHierarchy
$results.TotalManagementGroups = $mgGroups.Count
# Bepaal root Management Group (geen parent)
$rootMG = $mgGroups | Where-Object { -not $_.ParentId -or $_.ParentId -eq "" }
if ($rootMG) {
$results.RootManagementGroup = $rootMG.DisplayName
}
# Controleer abonnementen
$subs = Get-SubscriptionsInManagementGroups
$rootMGId = $rootMG.Id
foreach ($sub in $subs) {
if ($sub.ManagementGroupId -eq $rootMGId -or $sub.ManagementGroupId -eq $null) {
$results.SubscriptionsInRoot++
if (-not $sub.ManagementGroupId) {
$results.OrphanedSubscriptions++
}
}
else {
$results.SubscriptionsInOtherMGs++
}
}
# Bepaal hiërarchie-niveaus (vereenvoudigd)
$maxDepth = 1
foreach ($mg in $mgGroups) {
$depth = 1
$current = $mg
while ($current.ParentId) {
$parent = $mgGroups | Where-Object { $_.Id -eq $current.ParentId }
if ($parent) {
$depth++
$current = $parent
}
else {
break
}
}
if ($depth -gt $maxDepth) {
$maxDepth = $depth
}
}
$results.HierarchyLevels = $maxDepth
# Policy assignments
$policyAssignments = Get-PolicyAssignmentsOnManagementGroups
$results.PolicyAssignments = $policyAssignments.Count
# Bepaal compliance status
# Compliant als: minstens 2 Management Groups, niet alle abonnementen in root, policies toegewezen
if ($results.TotalManagementGroups -ge 2 -and
$results.SubscriptionsInOtherMGs -gt 0 -and
$results.PolicyAssignments -gt 0 -and
$results.OrphanedSubscriptions -eq 0) {
$results.IsCompliant = $true
}
return $results
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-ManagementGroupsStructure
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Totaal Management Groups : {0}" -f $r.TotalManagementGroups) -ForegroundColor White
Write-Host ("Root Management Group : {0}" -f $r.RootManagementGroup) -ForegroundColor White
Write-Host ("Hiërarchie-niveaus : {0}" -f $r.HierarchyLevels) -ForegroundColor White
Write-Host ("Abonnementen in Root MG : {0}" -f $r.SubscriptionsInRoot) -ForegroundColor $(if ($r.SubscriptionsInRoot -eq 0) { "Green" } else { "Yellow" })
Write-Host ("Abonnementen in andere MG's : {0}" -f $r.SubscriptionsInOtherMGs) -ForegroundColor $(if ($r.SubscriptionsInOtherMGs -gt 0) { "Green" } else { "Yellow" })
Write-Host ("Orphaned abonnementen : {0}" -f $r.OrphanedSubscriptions) -ForegroundColor $(if ($r.OrphanedSubscriptions -eq 0) { "Green" } else { "Red" })
Write-Host ("Policy Assignments : {0}" -f $r.PolicyAssignments) -ForegroundColor $(if ($r.PolicyAssignments -gt 0) { "Green" } else { "Yellow" })
Write-Host "" -ForegroundColor White
if ($r.IsCompliant) {
Write-Host "[OK] MANAGEMENT GROUPS STRUCTUUR IS COMPLIANT" -ForegroundColor Green
Write-Host " De hiërarchie is correct geconfigureerd en policies zijn toegewezen" -ForegroundColor Cyan
exit 0
}
else {
Write-Host "[WAARSCHUWING] Management Groups structuur heeft aandachtspunten:" -ForegroundColor Yellow
if ($r.TotalManagementGroups -lt 2) {
Write-Host " • Er zijn minder dan 2 Management Groups (alleen root)" -ForegroundColor Yellow
}
if ($r.SubscriptionsInOtherMGs -eq 0) {
Write-Host " • Alle abonnementen staan nog in de root Management Group" -ForegroundColor Yellow
}
if ($r.OrphanedSubscriptions -gt 0) {
Write-Host " • $($r.OrphanedSubscriptions) abonnement(en) hebben geen Management Group toegewezen" -ForegroundColor Red
}
if ($r.PolicyAssignments -eq 0) {
Write-Host " • Geen policies toegewezen aan Management Groups" -ForegroundColor Yellow
}
Write-Host "" -ForegroundColor White
Write-Host "[INFO] Gebruik -Remediation voor richtlijnen" -ForegroundColor Cyan
exit 1
}
}
else {
$r = Test-ManagementGroupsStructure
Write-Host ""
Write-Host ("Management Groups status: {0} MG's, {1} abonnementen, {2} policies" -f $r.TotalManagementGroups, ($r.SubscriptionsInRoot + $r.SubscriptionsInOtherMGs), $r.PolicyAssignments)
}
}
catch {
Write-Error $_
exit 1
}
# ================================================================================
# Standaard Invoke-* Functions
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie (delegeert naar remediatie)
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de Management Groups hiërarchie en structuur
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-ManagementGroupsStructure
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Totaal Management Groups : {0}" -f $r.TotalManagementGroups) -ForegroundColor White
Write-Host ("Root Management Group : {0}" -f $r.RootManagementGroup) -ForegroundColor White
Write-Host ("Hiërarchie-niveaus : {0}" -f $r.HierarchyLevels) -ForegroundColor White
Write-Host ("Abonnementen in Root MG : {0}" -f $r.SubscriptionsInRoot) -ForegroundColor $(if ($r.SubscriptionsInRoot -eq 0) { "Green" } else { "Yellow" })
Write-Host ("Abonnementen in andere MG's : {0}" -f $r.SubscriptionsInOtherMGs) -ForegroundColor $(if ($r.SubscriptionsInOtherMGs -gt 0) { "Green" } else { "Yellow" })
Write-Host ("Orphaned abonnementen : {0}" -f $r.OrphanedSubscriptions) -ForegroundColor $(if ($r.OrphanedSubscriptions -eq 0) { "Green" } else { "Red" })
Write-Host ("Policy Assignments : {0}" -f $r.PolicyAssignments) -ForegroundColor $(if ($r.PolicyAssignments -gt 0) { "Green" } else { "Yellow" })
Write-Host "" -ForegroundColor White
if ($r.IsCompliant) {
Write-Host "[OK] MANAGEMENT GROUPS STRUCTUUR IS COMPLIANT" -ForegroundColor Green
Write-Host " De hiërarchie is correct geconfigureerd en policies zijn toegewezen" -ForegroundColor Cyan
exit 0
}
else {
Write-Host "[WAARSCHUWING] Management Groups structuur heeft aandachtspunten:" -ForegroundColor Yellow
if ($r.TotalManagementGroups -lt 2) {
Write-Host " • Er zijn minder dan 2 Management Groups (alleen root)" -ForegroundColor Yellow
}
if ($r.SubscriptionsInOtherMGs -eq 0) {
Write-Host " • Alle abonnementen staan nog in de root Management Group" -ForegroundColor Yellow
}
if ($r.OrphanedSubscriptions -gt 0) {
Write-Host " • $($r.OrphanedSubscriptions) abonnement(en) hebben geen Management Group toegewezen" -ForegroundColor Red
}
if ($r.PolicyAssignments -eq 0) {
Write-Host " • Geen policies toegewezen aan Management Groups" -ForegroundColor Yellow
}
Write-Host "" -ForegroundColor White
Write-Host "[INFO] Gebruik -Remediation voor richtlijnen" -ForegroundColor Cyan
exit 1
}
}
}
catch {
Write-Error $_
exit 1
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Geeft richting aan remediatie van Management Groups structuur-afwijkingen
.DESCRIPTION
Dit script voert geen automatische remediatie uit, maar geeft een
duidelijke boodschap over welke Management Groups structuur-maatregelen
moeten worden geïmplementeerd volgens de architectuurlijnen.
#>
[CmdletBinding()]
param()
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Management Groups Structuur Remediatie" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "" -ForegroundColor White
Write-Host "[INFO] Management Groups remediatie vereist een gestructureerde aanpak:" -ForegroundColor Yellow
Write-Host "" -ForegroundColor White
Write-Host "1. Hiërarchie Ontwerp" -ForegroundColor Cyan
Write-Host " • Creëer Management Groups op basis van omgevingstypen (Productie, Test, Ontwikkeling)" -ForegroundColor Gray
Write-Host " • Organiseer verder op basis van organisatorische eenheden of compliance-niveaus" -ForegroundColor Gray
Write-Host " • Houd rekening met de maximale diepte van 6 niveaus" -ForegroundColor Gray
Write-Host " • Documenteer de structuur en rationale" -ForegroundColor Gray
Write-Host "" -ForegroundColor White
Write-Host "2. Abonnementen Organiseren" -ForegroundColor Cyan
Write-Host " • Verplaats abonnementen naar de juiste Management Groups" -ForegroundColor Gray
Write-Host " • Zorg dat nieuwe abonnementen automatisch in de juiste Management Group worden geplaatst" -ForegroundColor Gray
Write-Host " • Controleer regelmatig of abonnementen nog in de juiste Management Group staan" -ForegroundColor Gray
Write-Host "" -ForegroundColor White
Write-Host "3. Policy Toewijzing" -ForegroundColor Cyan
Write-Host " • Wijs policies toe aan de relevante Management Groups" -ForegroundColor Gray
Write-Host " • Gebruik policy inheritance om generieke policies centraal toe te passen" -ForegroundColor Gray
Write-Host " • Monitor policy compliance regelmatig" -ForegroundColor Gray
Write-Host "" -ForegroundColor White
Write-Host "4. Monitoring en Documentatie" -ForegroundColor Cyan
Write-Host " • Configureer regelmatige monitoring van de Management Groups structuur" -ForegroundColor Gray
Write-Host " • Genereer rapportages over abonnementen per Management Group" -ForegroundColor Gray
Write-Host " • Documenteer wijzigingen in de structuur en de rationale daarachter" -ForegroundColor Gray
Write-Host "" -ForegroundColor White
Write-Host "[INFO] Raadpleeg het governance-handboek voor gedetailleerde richtlijnen" -ForegroundColor Yellow
Write-Host "" -ForegroundColor White
# Voer monitoring uit om huidige status te tonen
Invoke-Monitoring
}
# Main execution
if ($Remediation) {
Invoke-Remediation
}
elseif ($Monitoring) {
Invoke-Monitoring
}
else {
# Default: voer monitoring uit
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Zonder een gestructureerde Management Groups organisatie ontstaan snel wildgroei van abonnementen, inconsistente policy-toepassing, onduidelijke verantwoordelijkheden en compliance-risico's die kunnen leiden tot schending van BIO, AVG en NIS2-vereisten. Dit kan resulteren in boetes, reputatieschade, verlies van vertrouwen bij burgers en mogelijk politieke consequenties. Daarnaast ontbreekt bij audits de mogelijkheid om aan te tonen dat passende governance-maatregelen zijn genomen, wat kan leiden tot niet-naleving en handhavingsmaatregelen door toezichthouders.
Management Samenvatting
Azure Management Groups vormen een hiërarchische structuur waarmee organisaties abonnementen logisch kunnen groeperen en centraal kunnen beheren. Een doordachte Management Groups hiërarchie op basis van omgevingstypen, organisatorische eenheden en compliance-niveaus maakt het mogelijk om policies, toegangscontroles en kostenallocatie consistent toe te passen. Dit artikel beschrijft de aanpak, implementatie, monitoring, compliance-eisen en remediatie, zodat bestuur en techniek samen kunnen sturen op effectieve cloud governance via Management Groups.
- Implementatietijd: 60 uur
- FTE required: 0.2 FTE