BIO 09.02.01 ISO A.9.2.1

SharePoint Hybrid: On-Premises En Cloud Integratie Ontwerpen Voor Gefaseerde Migratie

📅 2025-10-30
⏱️ 20 minuten lezen
🟢 Nice-to-Have

💼 Management Samenvatting

Een hybride SharePoint-architectuur vormt een zorgvuldig ontworpen brug tussen bestaande on-premises investeringen en de moderne Microsoft 365-omgeving. Door SharePoint Server en SharePoint Online te laten samenwerken in één logisch geheel ontstaat een gecontroleerd migratiepad dat gebruikers continuïteit, uniforme zoekervaringen en directe toegang tot moderne clouddiensten zoals OneDrive for Business biedt, zonder de risico’s van een big-bang-migratie.

Aanbeveling
Implementeer wanneer er nog substantiële on-premises SharePoint-workloads bestaan en de organisatie een gecontroleerde, gefaseerde migratie naar Microsoft 365 nastreeft.
Risico zonder
Medium
Risk Score
6/10
Implementatie
60u (tech: 40u)
Van toepassing op:
SharePoint On-Premises
SharePoint Online

Overheidsorganisaties en grote ondernemingen hebben vaak tientallen jaren aan informatiehuishouding opgebouwd op on-premises SharePoint-farms. Deze omgevingen bevatten maatwerksjablonen voor collegebesluiten, workflows voor vergaderstukken, koppelingen met zaak- en documentmanagementsystemen en petabytes aan gearchiveerde dossiers. Een directe verplaatsing naar de cloud zou niet alleen leiden tot langdurige uitval van kritieke processen, maar ook compliancerisico’s opleveren wanneer bewaarplichten of nationale soevereiniteitsregels vereisen dat bepaalde gegevens nog on-premises worden opgeslagen. Daarnaast zijn er functionele afhankelijkheden, zoals maatwerk webparts met server-side code of farmoplossingen die niet worden ondersteund in SharePoint Online en dus eerst herschreven moeten worden. Een hybride opzet maakt het mogelijk om afdelingen gefaseerd te migreren, lessen uit iedere tranche direct door te voeren en legacy-functionaliteit tijdelijk te laten bestaan naast moderne cloudservices. Omdat identiteiten via Azure AD Connect worden gesynchroniseerd, ervaren medewerkers een naadloze aanmelding terwijl beheerders de vrijheid behouden om workloads in het tempo van de organisatie te verplaatsen. De hybride periode biedt bovendien ruimte om governance, informatiebeveiliging en adoptieplan parallel te actualiseren, zodat de uiteindelijke volledige cloudlanding aantoonbaar veilig en beheersbaar verloopt.

Implementatie

De maatregel beschrijft een samenhangende hybride architectuur waarin alle kernonderdelen van SharePoint zowel functioneel als organisatorisch worden geïntegreerd. Hybrid Search zorgt ervoor dat de zoekindex in SharePoint Online draait, terwijl on-premises inhoud via cloud search service application wordt gecrawld en veilig naar de index wordt verzonden. Hierdoor ontvangen medewerkers in één zoekopdracht resultaatsets uit beide werelden, inclusief relevante refiners, uniforme beveiligingstrimming en consistente rankingmodellen. De Hybrid OneDrive-omleiding stuurt bestaande My Sites automatisch door naar OneDrive for Business, waardoor gebruikers onmiddellijk profiteren van moderne synchronisatieclients, mobiele toegang en versiebeheer, terwijl het beheerteam de on-premises persoonlijke sites gecontroleerd kan afbouwen. Via Hybrid Sites kunnen gebruikers zowel lokale als online teamsites volgen en vanuit hun profiel starten, waardoor de scheidslijn tussen omgevingen verdwijnt. Profielgegevens, taxonomieën en termstores blijven synchroon dankzij Hybrid User Profiles en Hybrid Taxonomy, zodat metadata, publieksprofielen en zoeknavigatie overal herkenbaar zijn. Met Hybrid Business Connectivity Services kunnen cloudsites nog steeds veilige verbindingen maken met interne databronnen, essentieel voor bijvoorbeeld financiële rapportages of zaaksystemen. De technische realisatie vereist minimaal SharePoint Server 2013 SP1 maar idealiter versie 2016, 2019 of Subscription Edition, een betrouwbare Azure AD Connect-implementatie voor identiteitskoppeling, OAuth-trusts tussen farm en tenant, gecertificeerde SSL-configuraties en gecontroleerde netwerkuitgangen naar Microsoft 365-eindpunten. Naast techniek omvat het traject scenario-testing, adoptiecommunicatie, beheerafspraken en een migratie-roadmap waarin duidelijk is vastgelegd welke sites, records en maatwerkcomponenten per fase overgaan.

Vereisten

  1. Een robuuste SharePoint Server-omgeving (bij voorkeur 2016, 2019 of Subscription Edition) vormt de technische basis van de hybride architectuur. De omgeving moet draaien op ondersteunde Windows Server-versies, beschikken over actuele beveiligingsupdates en redundant zijn opgezet zodat crawls, service applications en webfront-ends tijdens de hybride fase gegarandeerd beschikbaar blijven. Capaciteitsplannen voor opslag, geheugen en netwerk doorvoer horen actueel te zijn, inclusief growth forecasts voor de volledige duur van de hybride periode. Daarnaast moet het beheerteam beschikken over monitoringdashboards waarmee prestaties en foutmeldingen proactief worden gevolgd, zodat vertragingen of indexeringsproblemen direct zichtbaar zijn en geen verstoring veroorzaken in de cloudervaring.
  2. Een volledig beheerde Microsoft 365-tenant met SharePoint Online-licenties is vereist om moderne functies zoals OneDrive for Business, Microsoft Search en cloudgebaseerde compliancefuncties aan te bieden. Dit houdt tevens in dat tenantinstellingen voor informatiebeveiliging, data residency en compliance reeds afgestemd zijn op de Nederlandse Baseline voor Veilige Cloud, zodat er geen discrepantie ontstaat tussen het beveiligingsniveau van de on-premises omgeving en dat van de cloud. Conditional Access, dataverliespreventie en eDiscovery-configuraties moeten vooraf zijn ingericht, zodat gebruikers dezelfde beschermingsmaatregelen ervaren ongeacht waar hun documenten worden opgeslagen. Zonder dit niveau van volwassen tenantbeheer is het onmogelijk om hybride workloads veilig te laten landen.
  3. Azure AD Connect of een gelijkwaardige identiteitsvoorziening is noodzakelijk om gebruikers, groepen en attributen veilig te synchroniseren. De synchronisatie moet zorgvuldig worden ingericht met staging, filtering en write-backopties voor bijvoorbeeld wachtwoord- of attributenwijzigingen. Alleen met een betrouwbare identiteitslaag kunnen Single Sign-On, profielsynchronisatie en consistente machtigingen tussen beide omgevingen worden gegarandeerd. Daarnaast moeten beheerprocessen bestaan voor noodherstel van de synchronisatieconfiguratie, inclusief documentatie van de gebruikte serviceaccounts, Multi-Factor Authentication-instellingen en procedures om objectconflicten of soft-match-issues snel op te lossen.
  4. De Hybrid Configuration Wizard en aanvullende PowerShell-scripts moeten beschikbaar zijn op een beheerserver met de juiste moduleversies. Deze tooling automatiseert de configuratie van OAuth-trusts, Service Principal-registraties en zoekcomponenten. Het beheerteam dient vooraf testdraaien te hebben uitgevoerd in een acceptatieomgeving om scripts, logging en rollbackscenario’s te valideren voordat productie wordt geraakt. Gedetailleerde installatiehandleidingen, versiebeheer in Git en geautoriseerde changeverzoeken horen onderdeel te zijn van deze voorbereidingsfase, zodat auditors kunnen nagaan welke configuratiestappen exact zijn doorlopen en welke controles op vier-ogenprincipe zijn uitgevoerd.
  5. Een gecontroleerd netwerkpad tussen het datacenter en Microsoft 365 is onmisbaar. Dit omvat uitgaand HTTPS-verkeer via bekende eindpunten, eventueel gebruik van ExpressRoute of andere dedicated connectiviteit, en inspectiemaatregelen die modern TLS ondersteunen zonder verkeer te breken. Tevens moeten firewalls en proxy’s zodanig worden ingericht dat cloud crawlers de benodigde on-premises content kunnen bereiken zonder beveiligingslekken te introduceren. Organisaties dienen aanvullende netwerksegmentatie toe te passen voor het beheerverkeer van de SharePoint-farm, inclusief Intrusion Detection en verplichte logging van configuratiewijzigingen, zodat de hybride koppeling geen nieuwe aanvalsvector wordt.
  6. Een gedetailleerd migratie- en adoptieplan, inclusief besluitvorming over archivering, retentie en uiteindelijke uitfasering van on-premises componenten, vormt het organisatorische fundament. Hierin worden per afdeling de scope, kwaliteitscriteria, testmomenten, communicatiestrategieën en afhankelijkheden beschreven. Zonder dit plan verwordt een hybride traject tot een eindeloze tussenfase zonder duidelijk einddoel, waardoor kosten oplopen en compliancevoordelen uitblijven. Het plan moet bovendien een stuurgroep benoemen, escalatiepaden vastleggen, KPI’s definiëren voor gebruik en tevredenheid, en budget reserveren voor training en change management, zodat de hybride fase aantoonbaar bijdraagt aan de strategische cloudtransitie.

Implementatie

Het implementatiepad voor een SharePoint-hybride omgeving begint met een gezamenlijke architectuursessie waarin informatiebeveiliging, functioneel beheer en infrastructuur de doelarchitectuur en de randvoorwaarden bekrachtigen. Vervolgens wordt de on-premises farm geaudit op patchniveau, certificaatstatus, serviceaccounts en zoekconfiguratie, zodat technische schulden direct zichtbaar zijn. Pas wanneer deze basis op orde is, wordt Azure AD Connect ingericht met staged synchronisatie, objectfiltering en monitoring via Azure AD Connect Health. Na een succesvolle identiteitskoppeling volgt het configureren van de vereiste trustrelaties via de Hybrid Configuration Wizard. Deze wizard creëert de OAuth-trust tussen de SharePoint-farm en de Microsoft 365-tenant, registreert benodigde Service Principals en activeert de cloud search service application. De uitvoering vraagt om een beheerserver met de laatste SharePoint Management Shell, ingelogd met een account dat zowel farmadministrator als SharePoint Online Administrator is. Wanneer de wizard is afgerond, wordt op de on-premises omgeving de cloud search service application geconfigureerd met content sources per webapplicatie en worden crawlregels voorzien van content access-accounts die voldoen aan het least-privilege-principe. Tegelijkertijd wordt in SharePoint Online gecontroleerd of de Hybrid Features zijn ingeschakeld, zoals Hybrid Sites, Hybrid OneDrive en ingeplande profielsynchronisatie. Elke feature krijgt een eigen testscenario: voor zoekfunctionaliteit wordt gecontroleerd of lokale documenten na de volgende incremental crawl verschijnen in Microsoft Search; voor OneDrive-omleiding logt men in op een on-premises My Site en wordt verwacht dat de gebruiker automatisch in de cloudbibliotheek terechtkomt zonder foutmeldingen; voor profielen wordt een wijziging in een on-premises profielveld gedaan om na te gaan of de aanpassing binnen overeengekomen tijd in de cloud zichtbaar is. Parallel aan de technische oplevering worden governance-artefacten geüpdatet, zoals wijzigingsprocessen, adoptiecommunicatie en supportinstructies. Vervolgens definieert het projectteam migratiewaves, meestal op basis van organisatorische eenheden of informatieclassificaties. Elke wave kent prevalidatie (inhoudsselectie, kwaliteitscontrole, metadata-afspraken), een gepland venster voor daadwerkelijke migratie met tooling zoals SharePoint Migration Tool of partneroplossingen, en een postvalidatie met gebruikersacceptatie. Gedurende de gehele hybride periode wordt monitoring ingericht op crawlfouten, Azure AD Connect Health, SharePoint Online service health en auditlogs, zodat afwijkingen snel worden opgepakt. Om de beschikbaarheid te waarborgen, wordt voor iedere kritieke component een fallbackscenario beschreven, inclusief procedures om de trust tijdelijk te pauzeren of om zoekindexering terug te zetten naar een on-premises-only modus. Het project rondt elke wave af met een lessons-learned-sessie en past de draaiboeken meteen aan. Daarna organiseren communicatieteams trainingssessies waarin gebruikers leren hoe ze hybride zoekresultaten interpreteren, hoe zij nieuwe OneDrive-synchronisatieclients installeren en welke ondersteuning beschikbaar is tijdens de overgang. Servicedeskmedewerkers ontvangen uitgebreide runbooks met standaardoplossingen voor de meest voorkomende hybride incidenten, aangevuld met escalatiestappen naar derde-lijnsteams of leveranciers. Voor de technische borging worden Infrastructure-as-Code-sjablonen en PowerShell-scripts in een broncodebeheerplatform geplaatst, zodat wijzigingen traceerbaar zijn en peer reviews kunnen plaatsvinden. Tot slot definieert de stuurgroep duidelijke succescriteria, zoals vermindering van on-premises opslag, stijgende adoptie van OneDrive en aantoonbare daling van supporttickets rond zoekfunctionaliteit. Deze KPI’s worden elk kwartaal geëvalueerd en gedeeld met directie en audit. Pas wanneer alle inhoud is overgezet, maatwerk is gemoderniseerd en beheerteams klaar zijn voor volledige cloudoperatie, wordt een gecontroleerde decommissioning van de on-premises omgeving voorbereid, inclusief dataverwijdering conform bewaartermijnen, het intrekken van certificaten en serviceaccounts én het informeren van auditors met een eindrapportage waarin alle controles, trainingsactiviteiten en testresultaten zijn opgenomen.

Compliance en Auditing

Een hybride SharePoint-architectuur mag uitsluitend worden ingezet wanneer de organisatie kan aantonen dat het beveiligings- en privacybeleid consequent wordt toegepast op beide platformen. Dit begint met een bijgewerkte DPIA waarin de verwerkingslocaties, dataflows en technische maatregelen in kaart zijn gebracht en waarin expliciet staat beschreven welke gegevens nog on-premises blijven en waarom. Voor iedere stap in het migratiepad worden maatregelen uit de Baseline Informatiebeveiliging Overheid vertaald naar concrete controls, zoals logging, scheiding van verantwoordelijkheden en herstelprocedures, zodat auditors gemakkelijk kunnen toetsen of dezelfde normen gelden in het datacenter en in Microsoft 365. Authenticatie- en autorisatiemodellen horen identiek te zijn, inclusief periodieke recertificatie van machtigingen en aantoonbare implementatie van meervoudige authenticatie voor beheerdersaccounts. Logbestanden uit beide werelden worden centraal verzameld in bijvoorbeeld Microsoft Sentinel of Splunk, waarna use-cases zoals ongeautoriseerde toegang tot vertrouwelijke dossiers of mislukte synchronisaties direct kunnen worden gedetecteerd. Daarnaast moet de organisatie aantonen hoe gegevensbewaartermijnen consistent zijn ingericht. Dit houdt in dat records management, eDiscovery en verwerkingsregisters de hybride realiteit weerspiegelen, inclusief procedures voor inzage- en verwijderverzoeken, escalatiepaden naar de Functionaris Gegevensbescherming en duidelijke instructies voor medewerkers die verzoeken afhandelen. Voor gevoelige of staatsgeheime informatie moet worden onderbouwd dat netwerksegmentatie, versleuteling en sleutelbeheer voldoen aan de Nederlandse normen, ook wanneer gegevens tijdelijk in de cloudindex worden opgeslagen. Daarbij worden cryptografische sleutels beheerd via een gecontroleerd Hardware Security Module-proces en wordt vastgelegd wie sleutelmaterialen mag benaderen. Verder is leveranciersmanagement cruciaal: overeenkomsten met Microsoft en eventuele migratiepartners moeten verwerkingsverantwoordelijkheden, subverwerkers en auditrechten beschrijven, zodat de organisatie juridisch grip houdt op de volledige keten. Binnen de interne governancestructuur krijgt de Chief Information Security Officer de verantwoordelijkheid om kwartaalrapportages op te leveren over de werking van de hybride controls, inclusief uitkomsten van penetratietesten, hersteltests en lessons learned. Daarnaast moeten lijnmanagers aantonen dat gebruikers bewust zijn van de hybride omgangsregels door middel van verplichte awareness-sessies en toetsresultaten. Data-classificatiebeleid wordt herzien zodat duidelijk is welke informatietypen wanneer naar de cloud mogen verhuizen, welke aanvullende pseudonimisering of versleuteling nodig is en welke uitzonderingsroutes bestaan voor hooggerubriceerde dossiers. Ten minste één keer per jaar voert de interne auditdienst een steekproef uit op migratiewaves om te bevestigen dat bewaartermijnen, koppelingen met zaaksystemen en vernietigingsverklaringen correct zijn verwerkt. Daarbij wordt gecontroleerd of audit trails aantoonbaar zijn opgeslagen, digitaal zijn ondertekend en gedurende minimaal vijf jaar beschikbaar blijven voor externe toezichthouders. Ook moet de organisatie beschrijven hoe incident response-teams omgaan met hybride beveiligingsincidenten: wie leidt het onderzoek, hoe worden betrokken cloudlogs veiliggesteld en binnen welke termijn worden meldplichten richting Autoriteit Persoonsgegevens geactiveerd. Naast deze interne beheersmaatregelen is het raadzaam om eens per twee jaar een onafhankelijke derde partij een assurance-onderzoek te laten uitvoeren op de hybride voorziening, zodat verbeterpunten objectief worden vastgesteld en gedeeld met de CIO-raad. Tenslotte dienen auditrapportages beschikbaar te zijn die per migratiewave laten zien welke controles zijn uitgevoerd, welke issues zijn gevonden en hoe deze zijn gemitigeerd. Alleen zo blijft de organisatie aantoonbaar in control gedurende de volledige transitieperiode en kan zij richting toezichthouders onderbouwen dat de hybride fase geen afbreuk doet aan wettelijke verplichtingen.

Monitoring

Gebruik PowerShell-script sharepoint-hybrid.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Gebruik PowerShell-script sharepoint-hybrid.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS SharePoint Hybrid Design .DESCRIPTION Implementation for SharePoint Hybrid Design .NOTES Filename: sharepoint-hybrid.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/design/collaboration/sharepoint-hybrid.json #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "SharePoint Hybrid Design" $BIOControl = "13.01" function Connect-RequiredServices { # Connection logic based on API } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "sharepoint-hybrid" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } # Compliance check implementation # Based on: Design Document $result.Details += "Compliance check - implementation required based on control" $result.NonCompliantCount = 1 return $result } function Invoke-Remediation { Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan # Remediation implementation Write-Host " Configuration applied" -ForegroundColor Green Write-Host "`n[OK] Remediation completed" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total: $($result.TotalResources)" -ForegroundColor White Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green $color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" } Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color return $result } function Invoke-Revert { Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance if ($result.IsCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red } } } catch { Write-Error $_ }

Risico zonder implementatie

Risico zonder implementatie
Medium: Een directe cutover van grote farms veroorzaakt langdurige uitval, hoge kans op mislukte migraties en beperkte rollbackopties. Het overslaan van een hybride fase vergroot bovendien de kans op compliance-incidenten doordat maatwerk en bewaarplichten onvoldoende getest worden.

Management Samenvatting

SharePoint Hybrid maakt veilige co-existentie mogelijk tussen bestaande SharePoint Server-omgevingen en SharePoint Online. Door hybride zoekfunctionaliteit, OneDrive-omleiding en uniforme profieldiensten te combineren ontstaat een migratiepad per afdeling, met duidelijke identiteitsintegratie via Azure AD Connect en tooling zoals de Hybrid Configuration Wizard. Alleen relevant voor organisaties met resterende on-premises investeringen; cloud-only tenants kunnen deze maatregel overslaan.