💼 Management Samenvatting
Gedeelde mailboxen in Exchange Online vormen de ruggengraat van veel Nederlandse publieke organisaties omdat zij één herkenbaar aanspreekpunt combineren met de flexibiliteit van een team. Door adressen zoals support@provincie.nl of subsidies@ministerie.nl te centraliseren blijft de dienstverlening voorspelbaar, kunnen medewerkers elkaars dossiers overnemen en blijven alle berichten traceerbaar in plaats van versnipperd in persoonlijke mailboxen. Tegelijkertijd introduceert zo’n gezamenlijke mailbox een geconcentreerd risico: iedere onduidelijke machtiging of gedeeld wachtwoord leidt direct tot verlies van controle over burgergegevens en bestuurlijke besluitvorming. Een volwassen ontwerp behandelt shared mailboxes daarom als kritieke informatievoorziening. Dat betekent aansluiting op de BIO, transparant eigenaarschap en een combinatie van Exchange Online, Purview-auditing en Identity Governance die de volledige levenscyclus ondersteunt. Deze publicatie beschrijft hoe u dat bereikt met concrete maatregelen voor architecten, functioneel beheerders en security officers die vertrouwelijkheid, integriteit en beschikbaarheid moeten borgen.
Aanbeveling
Richt gedeelde mailboxen in volgens het voorgeschreven governance- en beveiligingsmodel: blokkeer interactieve aanmelding, activeer auditing, leg eigenaarschap vast en automatiseer lifecycle- en monitoringprocessen.
Risico zonder
Medium
Risk Score
5/10
Implementatie
4u (tech: 2u)
Van toepassing op:
✓ Exchange Online
Shared mailboxes lijken goedkoop en eenvoudig omdat Microsoft geen afzonderlijke licentie vereist zolang de mailbox onder vijftig gigabyte blijft. Die veronderstelde eenvoud leidt er echter toe dat veel organisaties ze behandelen als een informele voorziening. In Nederlandse overheidscontext pakt dat desastreus uit: medewerkers delen wachtwoorden via e-mail of Teams, meervoudige authenticatie ontbreekt en bij een datalek kan niemand achterhalen wie een bericht heeft verstuurd of verwijderd. Bovendien worden deze mailboxen vaak ingezet voor processen met gevoelige persoonsgegevens, zoals meldpunten voor bijzondere bijstand, klachtenafhandeling of aanvragen rond openbaarheid van bestuur. Wanneer de sign-in van de mailbox actief blijft, staat feitelijk een generieke account open op het internet die door meerdere mensen wordt gedeeld en dus nooit voldoet aan de IAM-eisen van de BIO of de auditingverplichtingen van de Archiefwet. Daarom is een professioneel ontwerp noodzakelijk. Door toegang uitsluitend via gedelegeerde machtigingen toe te staan, blijven alle acties gekoppeld aan de persoonlijke identiteit van een medewerker. Door auditing en bewaarbeleid te activeren blijft het administratieve spoor intact, ook wanneer berichten worden doorgestuurd naar zaak- of DMS-systemen. En door lifecycle management op te nemen in het ontwerp, voorkomt u dat mailboxen eindeloos in de tenant blijven hangen zonder eigenaar of actueel doel. Het waarom van deze maatregel is dus zowel financieel als juridisch ingegeven: shared mailboxes geven teams snelheid, maar alleen een veilig ontwerp houdt tegelijkertijd toezicht, bewijsvoering en herstelcapaciteit op peil.
PowerShell Modules Vereist
Primary API: Exchange Online
Connection:
Required Modules: ExchangeOnlineManagement
Connection:
Connect-ExchangeOnlineRequired Modules: ExchangeOnlineManagement
Implementatie
Deze maatregel beschrijft een integraal ontwerp- en beheerkader dat gedeelde mailboxen positioneert als gecontroleerde voorzieningen binnen Exchange Online. De kern bestaat uit drie pijlers: techniek, governance en continue verbetering. Technisch blokkeert u directe aanmelding door de eigenschap AccountEnabled structureel op false te zetten en dwingt u af dat gebruikers uitsluitend via hun eigen identiteit verbinden. Governance betekent dat iedere mailbox een geregistreerde proceseigenaar, gedocumenteerde doeleinden, een bewaartermijn en vastgelegde machtigingen heeft. Continue verbetering vertaalt zich naar monitoring, periodieke beoordelingen en geautomatiseerde rapportages richting security officers. Met deze opzet voldoet de organisatie aantoonbaar aan de Nederlandse Baseline voor Veilige Cloud, blijven auditlogs betrouwbaar en voorkomt u dat de kostenbesparing van shared mailboxes omslaat in dure forensische trajecten of reputatieschade.
Vereisten
Elke gedeelde mailbox begint met een goed voorbereide tenant waarin Exchange Online volledig is geconfigureerd volgens de richtlijnen van de Nederlandse Baseline voor Veilige Cloud. Daaronder vallen een moderne authenticatiestroom met uitsluitend moderne clients, verplicht gebruik van meervoudige authenticatie voor alle beheerders, en het blokkeren van legacy-protocollen zoals IMAP4 en POP3 zodat gedeelde mailboxen nooit via zwakke protocollen bereikbaar zijn. Daarnaast moet de tenant beschikken over centrale logboekvoorzieningen en bewaartermijnen waarmee security officers gebeurtenissen minimaal dertien maanden kunnen reconstrueren. Deze voorbereidingen lijken vanzelfsprekend, maar ontbreken ze, dan ontstaan direct blinde vlekken in logging, eigenaarschap en lifecycle management.
Een tweede vereiste is duidelijke governance voordat de mailbox wordt ingericht. Proceseigenaren documenteren de noodzaak, gegevensclassificatie, betrokken zaaktypen en bewaartermijnen. Voor rijks- en gemeentelijke organisaties houdt dit in dat de mailbox is gekoppeld aan een bestaand dienstverleningsproces, dat een geregistreerde proceseigenaar en vervanger beschikbaar zijn en dat reeds aanwezige kanalen zijn geëvalueerd om doublures te voorkomen. Voor processen met bijzondere persoonsgegevens of vertrouwelijke bedrijfsinformatie is bovendien een DPIA uitgevoerd zodat aanvullende waarborgen (bijvoorbeeld encryptie of versnelde verwijdering) vooraf zijn vastgelegd.
Technisch gezien vereist een solide ontwerp dat alle clients de gedeelde mailbox uitsluitend via gedelegeerde toegang benaderen. Dat impliceert moderne Outlook-clients die OAuth ondersteunen en automatisch auditgebeurtenissen registreren. Mailbox auditing staat tenant-breed aan en logboeken gaan naar Microsoft Purview of een centraal SIEM-platform. Daarnaast beschikt de organisatie over PowerShell-automatisering, bijvoorbeeld het script code/design/collaboration/exchange-shared-mailbox.ps1, inclusief de ExchangeOnlineManagement-module op beheerde werkstations of in een beheer-runbook. Serviceaccounts voor automatisering krijgen Conditional Access policies en Just-In-Time-toegang zodat configuraties uitsluitend vanaf beheerde apparaten plaatsvinden.
De laatste vereiste betreft mensen en processen. Communicatieafdelingen en servicedesks zijn getraind in het werken met gedeelde mailboxen zodat zij het verschil begrijpen tussen verzenden als mailbox, verzenden namens een collega en het zorgvuldig registreren van concepten. Functioneel beheer plant periodieke toegangsbeoordelingen, legt deze vast in Microsoft Entra ID Governance of een gemeentelijk IAM-systeem en beschrijft escalatiepaden wanneer een medewerker de organisatie verlaat of tijdelijk wordt gedetacheerd. Documenteer deze afspraken in het organisatiehandboek, publiceer werkinstructies en zorg dat incidentresponsprocedures voorzien in snelle blokkade van machtigingen wanneer een afwijking wordt geconstateerd. Pas dan voldoet de organisatie aantoonbaar aan de vereisten voor veilige inzet van gedeelde mailboxen.
Tot de vereisten behoort ook een volwassen beheerproces rondom wijzigingen. Iedere wijziging aan een gedeelde mailbox loopt via een changeproces waarin impactanalyse, testscenario’s en fallback-stappen zijn vastgelegd. Daarbij hoort een gesegmenteerde beheersomgeving: alle scripts worden eerst in een veilige testtenant uitgevoerd met fictieve data voordat ze productie raken, en versiebeheer in Git of Azure DevOps houdt bij welke wijzigingen wanneer zijn gedaan. De servicedesk beschikt over een actuele kennisbank die uitlegt hoe nieuwe collega’s toegang aanvragen, hoe tijdelijke machtigingen worden vastgelegd en welke criteria gelden voor het verwijderen of archiveren van berichten. Door deze organisatorische vereisten net zo serieus te nemen als de technische configuratie, ontstaat een solide fundament dat audits moeiteloos doorstaat en waarmee shared mailboxes daadwerkelijk veilig kunnen worden ingezet.
Implementatie
Gebruik PowerShell-script exchange-shared-mailbox.ps1 (functie Invoke-Remediation) – Shared mailbox configuratie.
De implementatie start met een inventarisatie van bestaande gedeelde mailboxen zodat u precies weet welke adressen blijven, welke verdwijnen en welke kunnen worden samengevoegd. Gebruik het script code/design/collaboration/exchange-shared-mailbox.ps1 of een Exchange Online PowerShell-rapport om eigenschappen als AccountEnabled, auditstatus en toegewezen machtigingen in kaart te brengen. Op basis van die lijst stelt u prioriteiten: processen met hoge gegevensclassificatie en mailboxen zonder gedocumenteerde eigenaar komen eerst. Na de inventarisatie maakt de beheerder nieuwe mailboxen aan of migreert bestaande exemplaren naar het uniforme ontwerp. De creatie gebeurt via `New-Mailbox -Shared -Name "SM-Support" -DisplayName "Shared Mailbox Support" -PrimarySmtpAddress support@organisatie.nl`. Direct na aanmaak voert u `Set-Mailbox -Identity support@organisatie.nl -AccountDisabled $true -AuditEnabled $true -AuditLogAgeLimit 365.00:00:00` uit zodat interactieve aanmelding onmogelijk is, auditing geactiveerd is en de logboeken minimaal een jaar beschikbaar blijven. Voor bestaande mailboxen gebruikt u dezelfde opdracht om de instellingen consistent te maken. Daarna richt u machtigingen in volgens het least-privilegeprincipe. Functioneel beheerders krijgen tijdelijk Full Access voor beheerdoeleinden, terwijl medewerkers standaard alleen de juiste combinatie van Full Access en Send As of Send on Behalf ontvangen. Gebruik `Add-MailboxPermission` en `Add-RecipientPermission` uitsluitend vanuit Change Requests, zodat elke wijziging traceerbaar is. Voor scenario’s waarin meerdere teams samenwerken, creëert u dynamische Microsoft 365-groepen die automatisch toegang verlenen op basis van afdeling of rol, zodat instroom en uitstroom van medewerkers niet handmatig hoeft te worden bijgehouden. Vervolgens borgt u dat de mailbox integreert met bredere securitymaatregelen. Configureer retention policies in Microsoft Purview zodat berichten automatisch na de juiste termijn worden gearchiveerd of verwijderd, en stel rules in die gevoelige informatie automatisch labelen. Koppel de mailbox aan een zaak- of DMS-systeem zodat berichten die een formele zaak worden per API of handmatige actie kunnen worden vastgelegd in het primaire archief. Richt ook automatische waarschuwingen in die een melding sturen naar het SOC wanneer er pogingen tot directe aanmelding worden gedaan of wanneer iemand buiten kantooruren grote hoeveelheden berichten verstuurt. Tot slot documenteert u het resultaat. Werk de CMDB, het IAM-register en het privacyregister bij met de nieuwe mailboxgegevens, publiceer een beknopte werkinstructie voor medewerkers over het gebruik van gedeelde mailboxen en plan een formele overdracht naar de proceseigenaar. De proceseigenaar bevestigt schriftelijk dat de mailbox is geaccepteerd, dat de machtigingen kloppen en dat het team weet hoe escalaties verlopen. Hiermee is de implementatie afgerond en voldoet de mailbox aan het ontwerp van de Nederlandse Baseline voor Veilige Cloud. Voer na afronding een acceptatietest uit vanuit het perspectief van de gebruiker en de auditor. Laat meerdere teamleden inloggen met hun eigen account, de gedeelde mailbox openen in Outlook, een bericht verzenden met Send As, een concept opslaan en een bericht verwijderen. Controleer direct in de auditlog dat deze acties zichtbaar zijn op persoonsniveau en valideer dat het incidentresponsplan de juiste contactpersonen vermeldt. Borg tenslotte dat de proceseigenaar een periodieke review inplant in het service-managementsysteem, zodat de implementatie niet verzandt in een eenmalig project maar onderdeel wordt van de reguliere besturing.
Monitoring
Gebruik PowerShell-script exchange-shared-mailbox.ps1 (functie Invoke-Monitoring) – Controleren.
Een volwassen monitoringstrategie combineert technische signalen met governance-indicatoren. Start met een dagelijks rapport dat het aantal gedeelde mailboxen, hun eigenaars en kritieke configuraties toont. Het script Invoke-Monitoring leest hiervoor Exchange Online uit en vergelijkt de resultaten met het CMDB- of IAM-register. Afwijkingen, zoals mailboxen zonder eigenaar of mailboxen waarvan de AccountEnabled-waarde per ongeluk weer op true staat, worden automatisch geëscaleerd naar het functioneel beheerteam. Parallel hieraan moet het security operations center in de SIEM-oplossing specifieke detectieregels hebben. Alle aanmeldingspogingen op gedeelde mailboxen horen nul te zijn; elke sign-in, succesvol of niet, wijst op een misconfiguratie of aanval en vereist onmiddellijke opvolging. Verzamel daarnaast auditlogboeken voor acties zoals Send As, Send on Behalf, message deletions en mailbox exports. Door deze logs te correleren met HR-gegevens kan vroegtijdig worden opgemerkt wanneer voormalige medewerkers nog toegang lijken te hebben of wanneer een specifieke behandelaar opvallend veel berichten verwijdert. Operationele monitoring draait niet alleen om beveiliging maar ook om kwaliteit van dienstverlening. Meet wachttijden op antwoorden, volumepieken en het percentage berichten dat na een bepaalde tijd wordt doorgestuurd naar zaak- of DMS-systemen. Deze gegevens helpen proceseigenaren hun capaciteit te plannen en te bepalen of een gedeelde mailbox nog de juiste oplossing is of dat een klantcontactcentrum, chatbot of formulierstroom passender wordt. Koppel de monitoringsresultaten aan Power BI of de Microsoft 365 Usage Analytics zodat bestuurders trends kunnen volgen. Verder is lifecycle-monitoring essentieel. Automatiseer herinneringen voor access reviews, bijvoorbeeld ieder kwartaal, en leg vast dat de proceseigenaar bevestigt dat alle machtigingen nog kloppen. Combineer dit met een jaarlijkse controle van bewaartermijnen en retentieregels zodat berichten niet onbeperkt blijven bestaan of juist te snel worden verwijderd. Wanneer een mailbox drie maanden geen verkeer laat zien, genereert het monitoringproces een voorstel om de mailbox te archiveren of te verwijderen. Tot slot moet de monitoring de keten buiten Exchange meenemen. Controleer of de gedeelde mailbox is opgenomen in datalekdetectieprocessen, of het incidentresponsplan actuele contactpersonen bevat en of kennisartikelen in het intranet aansluiten op de technische realiteit. Door techniek, processen en menselijk gedrag samen te monitoren ontstaat een sluitende controleset waarmee shared mailboxes aantoonbaar binnen de kaders van de Nederlandse Baseline voor Veilige Cloud blijven. Breid de monitoring tenslotte uit met kwalitatieve signalen. Koppel de mailbox aan klanttevredenheidsonderzoeken of klachtendashboards zodat duidelijk wordt of de servicegraad overeenkomt met de afgesproken normen. Leg vast welke KPI’s gelden, bijvoorbeeld het binnen twee werkdagen beantwoorden van 95 procent van alle berichten, en stuur automatische meldingen wanneer grenswaarden worden overschreden. Integreer deze signalen in ENSIA-rapportages en kwartaalgesprekken met de CIO, zodat monitoring geen geïsoleerde technische activiteit is maar direct bijdraagt aan sturing en verantwoording. Gebruik daarnaast synthetische transacties of geautomatiseerde testscripts die ieder uur controleren of de mailbox bereikbaar is, of verzonden berichten daadwerkelijk in de map Verzonden Items verschijnen en of autoresponders correct functioneren. Deze health checks voeden een dashboard dat de beschikbaarheid per dag en per week toont. Combineer dat met capaciteitsplanning (bijvoorbeeld maximum aantal berichten per minuut) zodat u tijdig weet wanneer technische limieten in zicht komen en een schaalvergroting of alternatieve oplossing nodig is.
Compliance en Auditing
Gedeelde mailboxen raken meerdere normenkaders tegelijk. Allereerst adresseert het ontwerp BIO 09.01 door de toegang tot gedeelde middelen strikt te reguleren en aantoonbaar vast te leggen wie welke rechten bezit. Door AccountEnabled standaard uit te schakelen en uitsluitend gedelegeerde toegang te gebruiken, voldoet de organisatie ook aan BIO 09.02 (gebruikersregistratie) omdat iedere actie terug te voeren is op een natuurlijk persoon. De inrichting ondersteunt bovendien BIO 11.02 en 11.03 doordat auditlogs minimaal een jaar worden bewaard en verwijderacties rechtstreeks te reconstrueren zijn. Voor zorginstellingen die NEN 7510 toepassen spelen dezelfde principes: identity proofing, logging en bewaartermijnen zijn aantoonbaar geborgd binnen Exchange Online en Purview.
Daarnaast sluit de maatregel aan op AVG-artikel 5 en 32. Door duidelijk te documenteren welke persoonsgegevens via de mailbox lopen, welke bewaartermijnen gelden en welke beveiligingsmaatregelen zijn getroffen, kan de organisatie richting functionarissen gegevensbescherming en auditors uitleggen hoe vertrouwelijkheid en integriteit worden beschermd. Wanneer de mailbox gevoelige persoonsgegevens verwerkt, wordt een DPIA in het privacyregister gekoppeld aan de mailbox-ID zodat maatregelen en restrisico’s transparant blijven. Het verplicht loggen van Send As- en delete-acties faciliteert het recht op inzage en het recht om vergeten te worden omdat exact kan worden achterhaald welke berichten wanneer zijn verwerkt.
Voor archief- en openbaarheidseisen levert het ontwerp eveneens bewijs. Door retentiebeleid en integratie met zaak- of DMS-systemen te verplichten, toont de organisatie aan dat berichten niet los zweven maar tijdig worden overgedragen aan het formele archief. Daardoor kan bij Woo-verzoeken of parlementaire vragen snel worden aangetoond welke communicatie heeft plaatsgevonden en welke beslissingen daarbij horen. Tot slot sluit het geheel aan op de CIS Microsoft 365 Foundations-benchmarks die specifiek vereisen dat gedeelde mailboxen geen interactieve sign-in toestaan en dat machtigingen periodiek worden beoordeeld. De hier beschreven controls voorzien in die verplichtingen en maken naleving toetsbaar voor interne en externe auditors.
Voor gemeenten en provincies sluit deze aanpak bovendien aan op ENSIA en de verantwoording aan de gemeenteraad. Door gedeelde mailboxen als expliciet controleobject op te nemen, kan tijdens de ENSIA-ronde worden aangetoond dat beheerprocessen, logging en toegang daadwerkelijk onder controle zijn. Het Informatiebeveiligingsdienst-toezicht en de Algemene Rekenkamer zien steeds vaker op gedeelde accounts toe; met dit ontwerp is het bewijs direct beschikbaar en worden kostbare herstelmaatregelen achteraf voorkomen.
Voor departementen en zelfstandige bestuursorganen sluit de aanpak aan op de Rijksbrede Instructie Informatiebeveiliging en de eisen uit het Rijks Inspectie Stelsel. Het aanwijzen van een proceseigenaar, het vastleggen van bewaartermijnen en het kunnen reconstrueren van behandelacties zijn harde eisen bij departementale audits. Door shared mailboxes expliciet onderdeel te maken van het control framework blijft de organisatie in control richting Algemene Bestuursdienst en Auditdienst Rijk. De combinatie van technische maatregelen en governance maakt het mogelijk om compliance-verklaringen met bewijsstukken te onderbouwen in plaats van te vertrouwen op verklaringen zonder data.
Ook sectoren met aanvullende richtlijnen, zoals politie (BIO Thema-uitwerking) of onderwijs (Normenkader IBP), profiteren van deze aanpak omdat auditlogs, retentie en eigenaarschap expliciet zijn belegd. Het documenteren van deze controles in het ISMS zorgt ervoor dat toezichthouders op elk moment inzicht hebben in de werking van gedeelde mailboxen en dat afwijkingen direct gecorrigeerd kunnen worden.
Remediatie
Gebruik PowerShell-script exchange-shared-mailbox.ps1 (functie Invoke-Remediation) – Remediatie begint met het vaststellen van de impact: bepaal of de gedeelde mailbox interactief kon inloggen, of ongeautoriseerde machtigingen aanwezig waren en of berichten mogelijk zijn gemanipuleerd of uitgelezen. Gebruik het script Invoke-Remediation om de actuele configuratie te exporteren en combineer dat met auditlogs en SIEM-data. Informeer direct de proceseigenaar en de security officer zodat besluitvorming over tijdelijke blokkades snel kan plaatsvinden.
Wanneer directe maatregelen nodig zijn, voert u `Set-Mailbox -AccountDisabled $true` opnieuw uit, verwijdert u alle verdachte machtigingen via `Remove-MailboxPermission` en `Remove-RecipientPermission`, en forceert u een herindexatie van auditlogs. Indien berichten mogelijk zijn doorgestuurd naar externe adressen, gebruikt u Search-Mailbox of Content Search om kopieën te verzamelen voor forensisch onderzoek. Tegelijkertijd plant u een spoedige access review met de proceseigenaar om te bepalen welke medewerkers opnieuw toegang krijgen en of aanvullende voorwaarden (bijvoorbeeld Just-In-Time of Privileged Access Groups) moeten worden ingesteld.
Communicatie is cruciaal tijdens remediatie. Zodra de mailbox tijdelijk wordt geblokkeerd, informeert u het betreffende team via een vooraf opgesteld bericht waarin staat wat de impact is, hoe lang de verstoring duurt en welke alternatieve kanalen beschikbaar zijn. Indien de mailbox burgers of ketenpartners bedient, plaatst u een bericht op de website of automatische reply waarin staat dat de organisatie hun verzoek heeft ontvangen en wanneer zij een reactie mogen verwachten. Zo voorkomt u dat medewerkers alsnog persoonlijke accounts gaan gebruiken of dat burgers gevoelige gegevens via onbeveiligde kanalen sturen.
Na de technische herstelacties volgt verificatie en structurele verbetering. Voer unit tests van het remediatiescript uit in de lokale debugmodus en herhaal de belangrijkste commando’s in een gecontroleerde productiesessie terwijl een tweede beheerder meekijkt. Controleer vervolgens in de auditlog dat de herstelacties zelf zijn vastgelegd, zodat later te bewijzen valt wat er is gebeurd. Documenteer afwijkingen, bijvoorbeeld uitzonderlijke machtigingen of ontbrekende retentieregels, en zet verbetermaatregelen uit bij de verantwoordelijke teams.
Vergeet niet de samenwerking met het SOC en de privacy officer te formaliseren. Het SOC valideert of alle relevante alerts zijn onderzocht en zet waar nodig aanvullende detectieregels uit. De privacy officer beoordeelt of een datalekmelding nodig is en coördineert de communicatie met de Autoriteit Persoonsgegevens volgens de wettelijke termijnen. Deze gezamenlijke beoordeling zorgt ervoor dat technische, juridische en organisatorische aspecten synchroon lopen.
Remediatie is pas compleet wanneer governance en documentatie zijn bijgewerkt. Werk het beveiligingsplan, het privacyregister en de CMDB bij met de bevindingen, registreer het incident in het ISMS en neem lessons learned op in het verbeterplan. Sluit af met een gecontroleerde heractivering, inclusief een communicatiemoment naar alle gebruikers van de mailbox waarin nieuwe werkafspraken en contactpunten worden toegelicht. Laat de proceseigenaar schriftelijk bevestigen dat de dienstverlening hersteld is en dat vervolgmaatregelen (zoals extra monitoring of training) zijn ingepland. Plan tot slot nazorgmomenten, bijvoorbeeld een evaluatie na dertig dagen en een access review na zestig dagen, zodat het team kan verifiëren dat de afgesproken verbeteringen daadwerkelijk effect hebben gehad. Door deze aanpak blijft herstel reproduceerbaar en voldoet de organisatie ook tijdens incidenten aan de eisen van de Nederlandse Baseline voor Veilige Cloud..
Compliance & Frameworks
- BIO: 09.01.01 - Shared resource governance
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Shared Mailbox Design
.DESCRIPTION
Shared mailboxes: No license (<50GB), sign-in blocked (delegation only), Full Access permissions, ALL actions logged (user attribution), Send As requires explicit permission.
.NOTES
Filename: exchange-shared-mailbox.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-10-15
Last Modified: 2025-10-15
Version: 1.0
Related JSON: content/design/collaboration/exchange-shared-mailbox.json
Category: collaboration
Workload: design
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\exchange-shared-mailbox.ps1 -Monitoring
Check compliance status
.EXAMPLE
.\exchange-shared-mailbox.ps1 -Remediation
Apply configuration
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation,
[Parameter()]
[switch]$Revert,
[Parameter()]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
# ============================================================================
# HEADER
# ============================================================================
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "Shared Mailbox Design" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================
" -ForegroundColor Cyan
# ============================================================================
# FUNCTIONS
# ============================================================================
function Test-Compliance {
<#
.SYNOPSIS
Tests if current configuration is compliant
#>
[CmdletBinding()]
param()
return Invoke-Monitoring
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Monitors current configuration status
#>
[CmdletBinding()]
param()
Write-Host "
Monitoring:" -ForegroundColor Yellow
# Design document - no API calls
$orgConfig = Get-OrganizationConfig | Select-Object AuditDisabled
@{
isCompliant = ($orgConfig.AuditDisabled -eq $false)
auditDisabled = $orgConfig.AuditDisabled
message = if ($orgConfig.AuditDisabled -eq $false) { "Organization audit is enabled (AuditDisabled = False)" } else { "Organization audit is DISABLED (AuditDisabled = True) - should be enabled" }
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Applies recommended configuration
#>
[CmdletBinding()]
param()
Write-Host "
Remediation:" -ForegroundColor Yellow
# Design document - no API calls
Set-OrganizationConfig -AuditDisabled $false
Write-Host "✓ Enabled organization audit (set AuditDisabled to False)" -ForegroundColor Green
}
function Invoke-Revert {
<#
.SYNOPSIS
Reverts configuration to previous state
#>
[CmdletBinding()]
param()
Write-Host "
Revert:" -ForegroundColor Yellow
Write-Host "Reverting configuration..." -ForegroundColor Yellow
Write-Host "Manual revert required - see JSON documentation" -ForegroundColor Gray
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
if ($Revert) {
if ($WhatIf) {
Write-Host "WhatIf: Would revert configuration" -ForegroundColor Yellow
}
else {
Invoke-Revert
}
}
elseif ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
else {
Write-Host "Available parameters:" -ForegroundColor Yellow
Write-Host " -Monitoring : Check current status" -ForegroundColor Gray
Write-Host " -Remediation : Apply configuration" -ForegroundColor Gray
Write-Host " -Revert : Revert changes" -ForegroundColor Gray
Write-Host " -WhatIf : Show what would happen" -ForegroundColor Gray
}
}
catch {
Write-Error "Error: $_"
throw
}
finally {
Write-Host "
========================================
" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Wanneer gedeelde mailboxen zonder deze maatregelen blijven bestaan, veranderen zij in generieke accounts zonder accountability. Aanvallers kunnen eenvoudig wachtwoorden bemachtigen, MFA omzeilen en berichten manipuleren zonder dat vastgesteld kan worden wie verantwoordelijk is. Daarnaast voldoet de organisatie niet aan BIO 09.01 en AVG-eisen rond logging en bewaartermijnen, waardoor herstelkosten en sancties fors oplopen.
Management Samenvatting
Behandel Exchange-shared mailboxen als kritieke voorzieningen: alleen toegang via gedelegeerde accounts, auditing en retentie verplicht, eigenaarschap en toegangsreviews vastgelegd, monitoring koppelen aan SOC én dienstverlening. Zo blijft teammail efficiënter zonder de beveiliging en compliance te compromitteren.
- Implementatietijd: 4 uur
- FTE required: 0.05 FTE