💼 Management Samenvatting
Distributielijsten in Exchange Online vereisen een doordacht ontwerp met formele governance, naamgevingsbeleid en levenscyclusbeheer om wildgroei, verweesde groepen en ongecontroleerde externe e-mailcommunicatie te voorkomen. Een goed ontwerp waarborgt duidelijk eigenaarschap, beheersbaarheid en naleving van communicatiebeleid.
Aanbeveling
OVERWEEG M365 GROUPS MIGRATIE
Risico zonder
Low
Risk Score
3/10
Implementatie
12u (tech: 4u)
Van toepassing op:
✓ Exchange Online
✓ M365
✓ M365
Zonder formele governance voor distributielijsten ontstaat binnen enkele jaren een onbeheersbare situatie van wildgroei waarbij organisaties honderden tot duizenden distributielijsten hebben zonder duidelijke structuur. Verweesde groepen ontstaan wanneer de oorspronkelijke maker uit dienst treedt zonder eigenaarschap over te dragen, wat resulteert in groepen zonder verantwoordelijke beheerder die niet kunnen worden gewijzigd of verwijderd. Onduidelijk eigenaarschap betekent dat niemand weet wie verantwoordelijk is voor het bijhouden van groepsleden, wat leidt tot verouderde ledenlijsten waarbij voormalige werknemers nog steeds e-mails ontvangen of externe partners toegang behouden na projectafsluiting. Overmatig extern verzenden wordt mogelijk wanneer distributielijsten kunnen worden gebruikt om e-mails naar externe ontvangers te sturen zonder controle, wat kan leiden tot datalekken waarbij gevoelige bedrijfsinformatie per ongeluk naar buiten wordt gestuurd, phishingrisico's waarbij externe aanvallers e-mails kunnen sturen namens de distributielijst, en spam- en reputatieproblemen waarbij het organisatiedomein wordt gebruikt voor bulk externe e-mails. Naamgevingschaos ontstaat zonder naamgevingsbeleid waarbij groepen onduidelijke namen hebben zoals 'Team1' of 'Project' zonder context, duplicaten ontstaan doordat mensen niet kunnen vinden of een relevante groep al bestaat, en categorisatie onmogelijk wordt. Deze problemen maken het onmogelijk om distributielijsten effectief te beheren, leiden tot nalevingsrisico's omdat niet kan worden aangetoond dat e-mailcommunicatie wordt gecontroleerd, en creëren operationele overhead voor de helpdesk die constant groepsgerelateerde vragen moet beantwoorden. Een formeel ontwerp met governance lost deze problemen op door naamgevingsbeleid af te dwingen met verplichte voorvoegsels of achtervoegsels die het groepsdoel verduidelijken, eigenaarschapsvereisten te stellen waarbij elke groep minimaal één verantwoordelijke eigenaar moet hebben, levenscyclusprocedures te implementeren zoals jaarlijkse reviews waarbij wordt geverifieerd dat groepen nog nodig zijn, externe verzendbeperkingen in te stellen die alleen goedgekeurde groepen toestaan om naar externe ontvangers te e-mailen, en waar mogelijk migratie naar Microsoft 365-groepen te faciliteren wat een moderne alternatief is met aanvullende functies zoals Teams-integratie, SharePoint-site en Planner. Deze governance is essentieel voor naleving van BIO 09.01 voor groepsbeheer en ISO 27001-controle A.9.1.1 voor toegangsbeleid.
Implementatie
Deze maatregel definieert een uitgebreid ontwerpkader voor distributielijsten in Exchange Online met verschillende governancecomponenten. Een naamgevingsbeleid moet worden geïmplementeerd die verplichte voorvoegsels of achtervoegsels afdwingt, bijvoorbeeld het voorvoegsel 'DL-' voor alle distributielijsten gevolgd door afdeling of functie zoals 'DL-Finance-Team' of 'DL-Marketing-NL', wat onmiddellijk duidelijk maakt dat het een distributielijst betreft en wat het doel is. Eigenaarschapsvereisten stellen dat elke distributiegroep minimaal één actieve eigenaar moet hebben die verantwoordelijk is voor het bijhouden van lidmaatschappen, waarbij bij uitdiensttreding van werknemers automatisch wordt gecontroleerd of deze persoon eigenaar is van groepen en eigenaarschap moet worden overgedragen voordat het account wordt uitgeschakeld. Levenscyclusbeheer implementeert driemaandelijkse of jaarlijkse reviews waarbij groepeigenaren moeten bevestigen dat hun groepen nog nodig zijn en lidmaatschappen correct zijn, waarbij groepen zonder eigenaarsbevestiging na 90 dagen waarschuwing worden verwijderd. Externe verzendbeperkingen configureren dat standaard distributiegroepen niet naar externe e-mailadressen kunnen sturen, waarbij alleen specifiek goedgekeurde groepen bijvoorbeeld klantgerichte ondersteuningsgroepen externe verzending toegestaan krijgen via toestaanlijsten. Aanmaakbeperkingen kunnen worden ingesteld waarbij alleen IT of aangewezen groepsbeheerders nieuwe distributiegroepen mogen aanmaken na goedkeuring, hoewel zelfservicegroepsaanmaak ook kan worden toegestaan met strikte naamgeving en handhaving van eigenaarschap. Migratiestrategie naar Microsoft 365-groepen moet worden overwogen voor samenwerkingsgerichte distributielijsten omdat M365-groepen aanvullende functies bieden zoals geïntegreerde Teams, SharePoint-documentbibliotheek, Planner voor taakbeheer en OneNote-notitieblok, wat veel rijkere samenwerking mogelijk maakt dan pure e-maildistributie. Verouderde distributielijsten die uitsluitend voor e-mailroutering worden gebruikt, kunnen blijven bestaan. De implementatie omvat 4 uur technisch werk voor beleidsconfiguratie plus 8 uur organisatorisch werk voor communicatie naar groepeigenaren, training en initiële opruiming van verweesde groepen. Deze governance wordt aanbevolen voor alle organisaties met meer dan 50 distributiegroepen.
Vereisten
Voor het implementeren van een effectief governancekader voor distributielijsten in Exchange Online zijn verschillende technische en organisatorische vereisten noodzakelijk. Deze vereisten vormen de basis voor een gestructureerde aanpak die wildgroei voorkomt en beheersbaarheid waarborgt. De primaire technische vereiste is de beschikbaarheid van Exchange Online binnen de Microsoft 365-omgeving. Exchange Online biedt de benodigde functionaliteit voor het beheren van distributielijsten, inclusief naamgevingsbeleid, eigenaarschapsbeheer en configuratie van externe verzendbeperkingen. Zonder Exchange Online is het niet mogelijk om distributielijsten te beheren volgens de voorgestelde governanceprincipes. Een tweede essentiële vereiste betreft het definiëren van een naamgevingsbeleid. Dit beleid moet vooraf worden vastgesteld en documenteerd voordat distributielijsten worden aangemaakt of beheerd. Het naamgevingsbeleid dient duidelijke richtlijnen te bevatten over het gebruik van voorvoegsels of achtervoegsels, de structuur van groepsnamen en de manier waarop afdelingen of functies worden weergegeven. Het beleid moet zodanig zijn opgesteld dat het onmiddellijk duidelijk is wat het doel van een distributielijst is en tot welke organisatorische eenheid deze behoort. Het identificeren van groepeigenaren vormt een kritieke organisatorische vereiste. Elke distributielijst moet minimaal één actieve eigenaar hebben die verantwoordelijk is voor het beheer van de lijst en het bijhouden van de ledenlijst. Deze eigenaren moeten voorafgaand aan de implementatie worden geïdentificeerd en hun verantwoordelijkheden moeten duidelijk worden gedocumenteerd. Het is belangrijk dat eigenaren beschikken over de benodigde kennis en autoriteit om wijzigingen aan distributielijsten door te voeren. Bovendien moet een proces worden ingericht voor het overdragen van eigenaarschap wanneer eigenaren uit dienst treden of van functie wisselen. Een externe verzendbeleid is eveneens een fundamentele vereiste voor het beveiligen van e-mailcommunicatie. Dit beleid moet bepalen welke distributielijsten wel en niet naar externe e-mailadressen mogen sturen. Standaard moeten alle distributielijsten worden geconfigureerd om externe verzending te blokkeren, tenzij expliciet anders is bepaald. Het beleid moet criteria bevatten voor het toestaan van externe verzending, bijvoorbeeld voor klantgerichte ondersteuningsgroepen of samenwerkingsgroepen met externe partners. Daarnaast moet het beleid procedures bevatten voor het aanvragen en goedkeuren van uitzonderingen op de standaardregel. Naast deze primaire vereisten zijn aanvullende overwegingen van belang. Organisaties moeten beschikken over voldoende technische expertise om de configuratie van Exchange Online uit te voeren en te onderhouden. Dit omvat kennis van Exchange-beheer, PowerShell-scripting voor geautomatiseerde taken en begrip van Microsoft 365-beveiligingsinstellingen. Organisatorische ondersteuning is eveneens cruciaal, aangezien de implementatie van governance vereist dat medewerkers worden geïnformeerd over nieuwe procedures en dat groepeigenaren worden getraind in hun verantwoordelijkheden. Tot slot moet er een communicatiestrategie worden ontwikkeld om alle betrokkenen te informeren over de nieuwe governancevereisten en de gevolgen voor hun dagelijkse werkzaamheden.
Implementatie
De implementatie van een governancekader voor distributielijsten in Exchange Online vereist een gestructureerde aanpak die zowel technische configuratie als organisatorische processen omvat. Het implementatieproces begint met het configureren van het naamgevingsbeleid in Exchange Online. Dit gebeurt via de Exchange-beheercentrum of PowerShell-cmdlets die het mogelijk maken om verplichte voorvoegsels of achtervoegsels af te dwingen voor alle nieuw aangemaakte distributielijsten. Het naamgevingsbeleid moet worden getest voordat het volledig wordt geactiveerd om te voorkomen dat bestaande workflows worden verstoord. Tijdens de configuratie moet rekening worden gehouden met bestaande distributielijsten die mogelijk niet voldoen aan het nieuwe beleid, en er moet een migratieplan worden ontwikkeld om deze lijsten geleidelijk aan te passen aan de nieuwe standaarden. Het beperken van de aanmaak van distributielijsten vormt een cruciaal onderdeel van de implementatie. Standaard kunnen gebruikers in Exchange Online distributielijsten aanmaken, wat kan leiden tot wildgroei. Door aanmaakbeperkingen in te stellen, kan worden bepaald dat alleen IT-beheerders of aangewezen groepsbeheerders nieuwe distributielijsten mogen aanmaken na goedkeuring. Dit kan worden geconfigureerd via Exchange-beheerinstellingen of door gebruikersrechten aan te passen. Alternatief kan zelfservicegroepsaanmaak worden toegestaan, maar dan moet het naamgevingsbeleid strikt worden afgedwongen en moet elke nieuwe groep automatisch een eigenaar krijgen toegewezen. Het definiëren van levenscyclusbeleid is essentieel voor het onderhouden van een gezonde distributielijstenomgeving. Dit beleid moet procedures bevatten voor regelmatige reviews van distributielijsten, waarbij groepeigenaren moeten bevestigen dat hun lijsten nog nodig zijn en dat de ledenlijsten correct zijn. Het beleid moet ook bepalen wat er gebeurt met distributielijsten die niet meer worden gebruikt of waarvan de eigenaar niet meer reageert op reviewverzoeken. Automatische waarschuwingen kunnen worden geconfigureerd om groepeigenaren te herinneren aan hun verantwoordelijkheden, en na een bepaalde periode van inactiviteit kunnen distributielijsten automatisch worden verwijderd of gearchiveerd. De migratie van verouderde distributielijsten naar Microsoft 365-groepen moet worden overwogen voor distributielijsten die primair worden gebruikt voor samenwerking in plaats van alleen e-maildistributie. Microsoft 365-groepen bieden uitgebreidere functionaliteit, inclusief geïntegreerde Teams-channels, SharePoint-documentbibliotheken, Planner voor taakbeheer en OneNote-notitieblokken. De migratie moet zorgvuldig worden gepland en uitgevoerd, waarbij rekening wordt gehouden met de impact op gebruikers en bestaande workflows. Niet alle distributielijsten zijn geschikt voor migratie naar Microsoft 365-groepen, met name lijsten die uitsluitend worden gebruikt voor e-mailroutering zonder samenwerkingsaspecten. Voor deze lijsten kan het beter zijn om ze als distributielijst te behouden, maar wel te voorzien van de juiste governance. Tijdens de implementatie moet ook aandacht worden besteed aan het configureren van externe verzendbeperkingen. Standaard moeten alle distributielijsten worden geconfigureerd om externe verzending te blokkeren, tenzij expliciet anders is bepaald. Voor distributielijsten die externe verzending nodig hebben, zoals klantgerichte ondersteuningsgroepen, moet een goedkeuringsproces worden ingericht en moeten deze lijsten worden toegevoegd aan een toestaanlijst. De configuratie van externe verzendbeperkingen kan worden uitgevoerd via Exchange-beheerinstellingen of PowerShell-scripting voor geautomatiseerde implementatie. Na de technische implementatie moet er aandacht worden besteed aan organisatorische aspecten, waaronder communicatie naar groepeigenaren over hun nieuwe verantwoordelijkheden, training in het beheren van distributielijsten en het opzetten van ondersteuningsprocessen voor vragen en problemen. De initiële opruiming van verweesde groepen moet worden uitgevoerd door bestaande distributielijsten te inventariseren, eigenaren te identificeren of toe te wijzen, en lijsten zonder duidelijke eigenaar of doel te archiveren of te verwijderen.
Compliance en Toetsing
Het implementeren van een governancekader voor distributielijsten in Exchange Online draagt direct bij aan naleving van verschillende beveiligings- en compliance-standaarden die relevant zijn voor Nederlandse overheidsorganisaties. De maatregel voldoet aan BIO 09.01, dat specifiek betrekking heeft op toegangsbeleid en groepsbeheer. Deze BIO-controle vereist dat organisaties formele processen hebben voor het beheren van groepen en toegangsrechten, inclusief het definiëren van eigenaarschap, het implementeren van naamgevingsconventies en het uitvoeren van regelmatige reviews. Het governancekader voor distributielijsten voorziet in deze vereisten door duidelijke eigenaarschapsvereisten te stellen, naamgevingsbeleid af te dwingen en levenscyclusbeheer te implementeren met periodieke reviews. Bovendien draagt de maatregel bij aan ISO 27001-controle A.9.1.1, die betrekking heeft op toegangsbeleid. Deze controle vereist dat organisaties een formeel toegangsbeleid hebben dat bepaalt wie toegang heeft tot welke informatie en systemen. Door distributielijsten te voorzien van duidelijke governance, kunnen organisaties aantonen dat e-mailcommunicatie wordt gecontroleerd en dat alleen geautoriseerde personen toegang hebben tot specifieke distributielijsten. De externe verzendbeperkingen die deel uitmaken van het governancekader dragen bovendien bij aan het voorkomen van onbevoegde toegang tot gevoelige informatie door externe partijen. Naast deze specifieke controles draagt de maatregel bij aan algemene compliance-vereisten op het gebied van gegevensbescherming en informatiebeveiliging. Door distributielijsten te voorzien van duidelijke eigenaarschap en levenscyclusbeheer, kunnen organisaties beter voldoen aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG) met betrekking tot het beheren van persoonsgegevens. Het regelmatig reviewen van distributielijsten en het verwijderen van verouderde ledenlijsten helpt organisaties ervoor te zorgen dat alleen actieve en relevante personen toegang hebben tot e-mailcommunicatie, wat bijdraagt aan het principe van gegevensminimalisatie. Auditing en monitoring vormen een essentieel onderdeel van compliance. Het governancekader moet voorzien in mechanismen voor het loggen van wijzigingen aan distributielijsten, inclusief het toevoegen of verwijderen van leden, het wijzigen van eigenaarschap en het aanpassen van configuratie-instellingen. Deze auditlogs moeten worden bewaard voor een periode die voldoet aan de organisatorische en wettelijke vereisten, typisch minimaal drie jaar. Regelmatige audits moeten worden uitgevoerd om te verifiëren dat distributielijsten voldoen aan het naamgevingsbeleid, dat alle lijsten een actieve eigenaar hebben en dat externe verzendbeperkingen correct zijn geconfigureerd. Deze audits kunnen worden uitgevoerd door interne auditafdelingen of externe auditors en moeten worden gedocumenteerd voor compliance-doeleinden. Het governancekader moet ook voorzien in rapportage over de status van distributielijsten, inclusief het aantal lijsten, het aantal verweesde groepen, het aantal lijsten met externe verzending ingeschakeld en andere relevante metriek. Deze rapporten kunnen worden gebruikt om compliance te demonstreren aan stakeholders en auditors, en om trends te identificeren die kunnen wijzen op problemen met de governance. Tot slot moet het governancekader voorzien in procedures voor het afhandelen van compliance-incidenten, zoals het ontdekken van distributielijsten die niet voldoen aan het beleid of het identificeren van onbevoegde toegang tot distributielijsten. Deze procedures moeten duidelijk beschrijven wie verantwoordelijk is voor het onderzoeken en oplossen van incidenten, en hoe incidenten worden gedocumenteerd en gerapporteerd.
Monitoring
Effectieve monitoring van distributielijsten is essentieel voor het waarborgen van naleving van het governancekader en het tijdig identificeren van problemen. Monitoring moet worden uitgevoerd op regelmatige basis, idealiter wekelijks of maandelijks, afhankelijk van de omvang van de organisatie en het aantal distributielijsten. Het monitoringproces moet verschillende aspecten van distributielijsten controleren, inclusief naleving van het naamgevingsbeleid, de aanwezigheid van actieve eigenaren, configuratie van externe verzendbeperkingen en het gebruik van distributielijsten. Automatische monitoring kan worden geïmplementeerd met behulp van PowerShell-scripts die Exchange Online-API's gebruiken om distributielijsten te inventariseren en te analyseren. Deze scripts kunnen worden geconfigureerd om regelmatig te draaien en rapporten te genereren over de status van distributielijsten. Het monitoringproces moet controleren of alle distributielijsten voldoen aan het naamgevingsbeleid, bijvoorbeeld door te verifiëren dat alle lijsten het verplichte voorvoegsel of achtervoegsel bevatten. Lijsten die niet voldoen aan het beleid moeten worden geïdentificeerd en gerapporteerd voor correctie. Daarnaast moet monitoring controleren of alle distributielijsten minimaal één actieve eigenaar hebben. Distributielijsten zonder eigenaar of met eigenaren die niet meer actief zijn in de organisatie moeten worden geïdentificeerd als verweesde groepen en moeten worden gerapporteerd voor actie. Het monitoringproces moet ook controleren of externe verzendbeperkingen correct zijn geconfigureerd. Alle distributielijsten moeten standaard externe verzending geblokkeerd hebben, tenzij ze expliciet zijn goedgekeurd voor externe verzending. Lijsten met externe verzending ingeschakeld moeten worden geverifieerd tegen de toestaanlijst om te zorgen dat alleen goedgekeurde lijsten externe verzending hebben. Monitoring moet ook het gebruik van distributielijsten volgen om te identificeren welke lijsten actief worden gebruikt en welke mogelijk niet meer nodig zijn. Lijsten die gedurende een langere periode niet worden gebruikt, bijvoorbeeld zes maanden of langer, moeten worden geïdentificeerd voor review door de eigenaar. Het monitoringproces moet ook controleren op duplicaten, waarbij meerdere distributielijsten hetzelfde doel lijken te hebben of vergelijkbare namen hebben. Deze duplicaten moeten worden gerapporteerd voor consolidatie of verwijdering. Rapportage is een cruciaal onderdeel van monitoring. Regelmatige rapporten moeten worden gegenereerd die de status van distributielijsten samenvatten, inclusief het totale aantal lijsten, het aantal lijsten dat voldoet aan het beleid, het aantal verweesde groepen, het aantal lijsten met externe verzending ingeschakeld en andere relevante statistieken. Deze rapporten moeten worden gedeeld met relevante stakeholders, inclusief IT-beheer, groepsbeheerders en compliance-officers. Trendanalyse kan worden uitgevoerd om patronen te identificeren in het gebruik van distributielijsten en om te bepalen of het governancekader effectief is. Bijvoorbeeld, als het aantal verweesde groepen toeneemt, kan dit wijzen op problemen met het eigenaarschapsbeheer. Als het aantal lijsten dat niet voldoet aan het naamgevingsbeleid toeneemt, kan dit wijzen op problemen met de handhaving van het beleid. Waarschuwingen moeten worden geconfigureerd voor kritieke problemen, zoals distributielijsten zonder eigenaar of lijsten met onbevoegde externe verzending. Deze waarschuwingen moeten worden verzonden naar relevante personen, zoals IT-beheerders of compliance-officers, zodat actie kan worden ondernomen. Het monitoringproces moet ook voorzien in het loggen van alle wijzigingen aan distributielijsten voor auditdoeleinden. Deze logs moeten worden bewaard voor een periode die voldoet aan organisatorische en wettelijke vereisten.
Gebruik PowerShell-script exchange-distribution-lists.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Remediatie van problemen met distributielijsten moet worden uitgevoerd op basis van de bevindingen van het monitoringproces. Het remediatieproces moet verschillende soorten problemen aanpakken, inclusief distributielijsten die niet voldoen aan het naamgevingsbeleid, verweesde groepen zonder eigenaar, onjuiste configuratie van externe verzendbeperkingen en distributielijsten die niet meer nodig zijn. Voor distributielijsten die niet voldoen aan het naamgevingsbeleid moet een remediatieplan worden ontwikkeld om deze lijsten geleidelijk aan te passen aan de nieuwe standaarden. Dit kan worden gedaan door de namen van distributielijsten te wijzigen om het verplichte voorvoegsel of achtervoegsel toe te voegen. Tijdens het wijzigen van namen moet rekening worden gehouden met de impact op gebruikers en bestaande workflows. Gebruikers moeten worden geïnformeerd over naamwijzigingen en er moet worden gecontroleerd of e-mailaliassen correct zijn geconfigureerd om oude namen te blijven ondersteunen indien nodig. Voor verweesde groepen zonder eigenaar moet een proces worden ingericht om eigenaren te identificeren of toe te wijzen. Dit kan worden gedaan door de oorspronkelijke maker van de distributielijst te identificeren, door de afdeling of functie te bepalen waartoe de lijst behoort, of door gebruikers te vragen om eigenaar te worden van relevante lijsten. Als geen eigenaar kan worden geïdentificeerd of toegewezen, moet worden overwogen om de distributielijst te archiveren of te verwijderen, afhankelijk van het gebruik en de belangrijkheid. Voor distributielijsten met onjuiste configuratie van externe verzendbeperkingen moet worden gecontroleerd of de lijst daadwerkelijk externe verzending nodig heeft. Als externe verzending niet nodig is, moet deze worden uitgeschakeld. Als externe verzending wel nodig is, moet worden gecontroleerd of de lijst is goedgekeurd voor externe verzending en of deze is toegevoegd aan de toestaanlijst. Lijsten die externe verzending nodig hebben maar niet zijn goedgekeurd, moeten worden geëvalueerd en indien nodig moet een goedkeuringsproces worden gestart. Voor distributielijsten die niet meer nodig zijn moet een proces worden ingericht om deze lijsten te archiveren of te verwijderen. Dit moet worden gedaan in overleg met de eigenaar van de lijst, indien beschikbaar, of met de relevante afdeling of functie. Voordat een distributielijst wordt verwijderd, moet worden gecontroleerd of deze nog wordt gebruikt en of er alternatieven zijn voor gebruikers die de lijst nog nodig hebben. Automatische remediatie kan worden geïmplementeerd voor bepaalde soorten problemen, bijvoorbeeld door automatisch eigenaren toe te wijzen aan verweesde groepen op basis van heuristieken, of door automatisch externe verzending uit te schakelen voor lijsten die niet op de toestaanlijst staan. Automatische remediatie moet echter zorgvuldig worden geconfigureerd om te voorkomen dat legitieme distributielijsten worden gewijzigd of verwijderd. Het remediatieproces moet worden gedocumenteerd en alle wijzigingen moeten worden gelogd voor auditdoeleinden. Rapportage over remediatie-acties moet worden gegenereerd om te demonstreren dat problemen worden aangepakt en om trends te identificeren die kunnen wijzen op systematische problemen met het governancekader.
Gebruik PowerShell-script exchange-distribution-lists.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- BIO: 09.01.01 - Groepsgovernance
- ISO 27001:2022: A.9.1.1 - toegangsbeleid
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Distribution Lists Design
.DESCRIPTION
Implementation for Distribution Lists Design
.NOTES
Filename: exchange-distribution-lists.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/collaboration/exchange-distribution-lists.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Distribution Lists Design"
$BIOControl = "9.01"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "exchange-distribution-lists"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Low: Distributielijsten zijn verouderde technologie. Wildgroei van groepen, verweesde lijsten, geen moderne samenwerkingsfuncties. Naleving: governance. Het risico is laag - modernisering.
Management Samenvatting
Exchange-distributielijsten: Governancekader (naamgevingsconventies, eigenaarschap, levenscyclus). Modern alternatief: Migreer naar Microsoft 365-groepen (Teams-integratie, SharePoint, moderne samenwerking). Activatie: DL-governancebeleid plus migratieplan. Gratis. Implementatie: 4-12 uur (governance plus migratieplanning). Modernisering wordt aanbevolen maar is niet urgent.
- Implementatietijd: 12 uur
- FTE required: 0.05 FTE