💼 Management Samenvatting
Microsoft Teams organisatiebrede toegangsinstellingen definiëren de tenant-niveau basislijn voor externe toegang, gasten-samenwerking, federatiebeleid, team-aanmaakrechten en organisatiebrede teams. Deze fundamentele configuratie bepaalt de beveiligingspositie en samenwerkingsmogelijkheden voor de gehele organisatie en moet zorgvuldig worden ontworpen om zakelijke samenwerkingsbehoeften te balanceren met strikte beveiligings- en compliance-vereisten.
Aanbeveling
IMPLEMENTEER ORGANISATIEBREDE INSTELLINGEN
Risico zonder
Medium
Risk Score
5/10
Implementatie
6u (tech: 2u)
Van toepassing op:
✓ Microsoft Teams
Organisatiebrede Teams-instellingen vormen de fundamentele laag van Teams-governance die van toepassing is op alle gebruikers, teams en communicatie binnen de tenant. Een onjuiste configuratie kan leiden tot omvangrijke beveiligingslekken of te restrictieve beleidsregels die de zakelijke productiviteit belemmeren. Externe federatie-instellingen bepalen of medewerkers kunnen communiceren met gebruikers in andere Microsoft 365-organisaties. Dit is essentieel voor zakelijke partnerschappen, maar zonder controles kan dit leiden tot ongecontroleerde informatie-uitwisseling waarbij medewerkers gevoelige bedrijfsinformatie kunnen delen met concurrenten. Voormalige medewerkers die naar andere bedrijven zijn gegaan, kunnen nog steeds chatten met huidige medewerkers, en phishing-risico's ontstaan wanneer aanvallers nep Microsoft 365-tenants opzetten en proberen te federeren met de organisatie voor verkenning. De organisatiebrede schakelaar voor gastentoegang is een noodstop die alle gastensamenwerking in- of uitschakelt. Het volledig uitschakelen van gastentoegang kan zakelijke partnerschappen blokkeren die afhankelijk zijn van Teams-samenwerking met externe consultants, leveranciers of klanten. Onbeperkte gastentoegang zonder passend beheer kan echter leiden tot proliferatie van gastgebruikers waarbij honderden externe gebruikers toegang hebben zonder levenscyclusbeheer of periodieke beoordelingen. Organisatiebrede team-aanmaakmachtigingen bepalen of alle medewerkers teams kunnen aanmaken versus een beperkte aanpak. Onbeperkte aanmaak leidt tot team-proliferatie met duizenden dubbele en verweesde teams binnen maanden, maar te restrictieve beleidsregels waarbij alleen IT teams kan maken, creëren knelpunten die de zakelijke wendbaarheid belemmeren. De mogelijkheid van organisatiebrede teams om automatisch alle medewerkers toe te voegen aan specifieke teams zoals Bedrijfsaankondigingen is krachtig voor massacommunicatie, maar kan leiden tot meldingsoverbelasting bij misbruik, informatielekken wanneer alle medewerkers inhoud kunnen zien die gevoelig is, en compliance-problemen wanneer externe contractanten automatisch worden toegevoegd aan alleen-interne communicatie. Standaard team-instellingen voor nieuwe teams (openbaar versus privé zichtbaarheid, gastentoegang standaard toestaan, welke apps vooraf zijn geïnstalleerd) bepalen de beveiligingsbasislijn voor alle nieuwe teams. Onveilige standaardinstellingen zoals 'openbare' teams met ingeschakelde gastentoegang en leuke apps vooraf geïnstalleerd kunnen leiden tot onbedoelde gegevensblootstelling. Deze organisatiebrede instellingen zijn onomkeerbaar in hun impact omdat ze van toepassing zijn op alle tienduizenden gebruikers en duizenden teams tegelijkertijd. Dit betekent dat onjuiste configuratie omvangrijke beveiligingsincidenten kan veroorzaken (bijvoorbeeld onbedoelde inschakeling van onbeperkte gastentoegang waardoor alle teams worden blootgesteld aan externe gebruikers) of organisatiebrede productiviteitsimpact (bijvoorbeeld het uitschakelen van externe federatie waardoor alle partnercommunicatie wordt verbroken). Een juist ontwerp van organisatiebrede instellingen vereist zorgvuldige balans waarbij externe toegang via een toegestane lijst voor domeinen alleen vertrouwde partnerorganisaties toestaat, gastentoegang is ingeschakeld maar met strikte Azure AD B2B-beperkingen en verplichte levenscyclusbeoordelingen, team-aanmaak is beperkt tot goedgekeurde groepen met zelfservice aanvraagportaal, organisatiebrede teams spaarzaam worden gebruikt alleen voor kritieke bedrijfsbrede communicatie, en veilige standaardinstellingen zijn geconfigureerd waarbij nieuwe teams privé zijn, gastentoegang standaard is uitgeschakeld tenzij expliciet ingeschakeld, en alleen goedgekeurde apps zijn vooraf geïnstalleerd. Deze instellingen vormen de eerste verdedigingslinie voor Teams-beveiliging en moeten worden geconfigureerd vóór brede Teams-uitrol om later kostbare herstelwerkzaamheden te voorkomen.
Implementatie
Deze maatregel definieert uitgebreide organisatiebrede Teams-instellingen met verschillende configuratielagen. Externe toegangs- (federatie) beleidsregels moeten worden geconfigureerd in het Teams-beheercentrum onder Externe toegang. De aanbevolen aanpak is het gebruik van een toegestane lijst voor domeinen met expliciet toegestane partnerdomeinen, bijvoorbeeld partners.nl of vendor-consultancy.com, waarbij alleen die domeinen kunnen communiceren met de organisatie via Teams-federatie. Geblokkeerde domeinen kunnen concurrenten of verdachte organisaties specificeren, en het volledig blokkeren van alle externe domeinen is geschikt voor zeer gevoelige omgevingen zoals defensie, overheid geclassificeerd, of zeer restrictief bedrijfsbeleid. Organisatiebrede gastentoegang moet zorgvuldig worden ingeschakeld met restrictieve Azure AD-gastinstellingen waarbij gastgebruikers beperkte machtigingen hebben zoals het niet kunnen inventariseren van de directory, het niet kunnen uitnodigen van andere gasten, het niet kunnen zien van de volledige organisatiestructuur, verplichte MFA-afdwinging voor alle gastauthenticaties via Conditional Access-beleidsregels specifiek voor gastgebruikers, domeinbeperkingen die consumenten-e-maildomeinen zoals gmail.com blokkeren en alleen zakelijke e-maildomeinen toestaan, en automatische gastgebruikerslevenscyclus met driemaandelijkse toegangsbeoordelingen door teameigenaren en 90-dagen inactiviteitsverval. Team-aanmaakmachtigingen moeten worden beperkt tot aangewezen groepen waarbij een Azure AD-beveiligingsgroep 'Team Creators' wordt gemaakt met goedgekeurde gebruikers zoals afdelingsmanagers, projectleiders en senior medewerkers. Onbeperkte aanmaak door alle gebruikers wordt sterk afgeraden tenzij de organisatie klein is (minder dan 100 personen), en zelfservice aanvraagportalen kunnen worden geïmplementeerd via Power Apps of ServiceNow waarbij gebruikers teamaanvragen indienen met zakelijke rechtvaardiging en geautomatiseerde inrichting plaatsvindt na goedkeuring. Organisatiebrede teams moeten spaarzaam worden gebruikt waarbij maximaal 1-3 organisatiebrede teams zoals 'Bedrijfsaankondigingen' voor bestuurscommunicatie, 'IT Helpdesk' voor organisatiebrede IT-ondersteuning, mogelijk 'Sociaal' voor medewerkersbetrokkenheid, maar met bewustzijn dat organisatiebrede teams automatisch ALLE medewerkers toevoegen (inclusief toekomstige aanwervingen) wat niet geschikt is voor de meeste gebruikssituaties. Standaardinstellingen voor nieuwe teams moeten veilige basislijnen implementeren waarbij nieuwe teams standaard privé zijn (alleen leden kunnen inhoud zien) in plaats van openbaar (volledige organisatiezichtbaarheid), gastentoegang standaard is uitgeschakeld waarbij teameigenaren expliciet moeten inschakelen voor specifieke teams na rechtvaardiging, ledenmachtigingen zijn beperkt waarbij leden geen andere leden kunnen toevoegen of verwijderen (alleen eigenaren), teams of kanalen niet kunnen verwijderen, en kanaalaanmaak beperkt tot eigenaren alleen om proliferatie te voorkomen, en alleen goedgekeurde apps zijn automatisch geïnstalleerd waarbij leuke apps zoals Giphy en Polly polls zijn verwijderd en alleen zakelijke apps zoals Planner en OneNote blijven. Bestandsdelinginstellingen kunnen externe bestandsdeling via opslag van derden blokkeren waarbij alleen OneDrive of SharePoint is toegestaan. Vergaderingsinstellingen kunnen standaard lobbybeleidsregels configureren waarbij externe deelnemers automatisch in de lobby wachten op toelating, opname-standaardinstellingen kunnen automatische opname inschakelen voor compliance, en vergaderingschat kan worden uitgeschakeld voor formele vergaderingen. Standaard gevoeligheidslabels kunnen worden geconfigureerd waarbij bepaalde afdelingen automatisch restrictieve labels krijgen op nieuwe teams. Het communicatieplan moet gebruikers informeren over organisatiebrede instellingen, waarom bepaalde beperkingen bestaan, en hoe uitzonderingen kunnen worden aangevraagd voor legitieme zakelijke behoeften. De migratiestrategie voor bestaande tenants moet huidige instellingen auditen, risicovolle configuraties identificeren zoals onbeperkte externe toegang of gastgebruikersproliferatie, een herstelplan ontwikkelen met zakelijke impactbeoordeling, wijzigingen organisatiebreed communiceren met adequate kennisgevingsperiode, en wijzigingen implementeren tijdens onderhoudsvenster met terugdraaplan. De implementatie kost 8-16 uur voor beleidsontwikkeling met stakeholderafstemming, configuratie in Teams-beheercentrum en Azure AD, testen van alle scenario's, ontwikkeling van communicatiemateriaal en helpdeskvoorbereiding voor gebruikersvragen. Deze organisatiebrede instellingen zijn absoluut fundamenteel en moeten vroeg in de Teams-implementatie worden geconfigureerd - het oplossen van proliferatie of beveiligingsproblemen achteraf met duizenden teams is extreem kostbaar.
Vereisten
Voordat organisatiebrede Teams-instellingen kunnen worden geconfigureerd, moeten verschillende vereisten worden vervuld om een succesvolle en veilige implementatie te garanderen. Deze vereisten omvatten technische machtigingen, goedgekeurd beleid, governance-richtlijnen en duidelijke gebruikssituaties voor organisatiebrede teams. Het begrijpen en vervullen van deze vereisten is essentieel om latere problemen te voorkomen en ervoor te zorgen dat de configuratie voldoet aan zowel beveiligings- als zakelijke behoeften.
De primaire technische vereiste is de beschikbaarheid van een Teams-beheerder met voldoende machtigingen. Deze rol vereist globale beheerdersrechten of specifieke Teams-beheerdersmachtigingen binnen Microsoft 365. De Teams-beheerder moet toegang hebben tot het Teams-beheercentrum en Azure Active Directory voor het configureren van gastgebruikersinstellingen en Conditional Access-beleidsregels. Bovendien zijn Azure AD-beheerdersrechten nodig voor het maken van beveiligingsgroepen en het configureren van gastgebruikerslevenscyclusbeheer. Zonder deze machtigingen kunnen kritieke instellingen niet worden geconfigureerd, wat de beveiligingspostuur van de organisatie in gevaar brengt.
Een goedgekeurd extern samenwerkingsbeleid is een fundamentele vereiste voordat organisatiebrede instellingen kunnen worden geïmplementeerd. Dit beleid moet duidelijk definiëren welke externe organisaties als vertrouwde partners worden beschouwd, onder welke omstandigheden gastentoegang is toegestaan, en welke beveiligingscontroles moeten worden toegepast. Het beleid moet worden goedgekeurd door de juiste stakeholders, waaronder de Chief Information Security Officer (CISO), de Chief Information Officer (CIO), en indien van toepassing, de privacy officer of data protection officer. Het beleid moet ook compliance-vereisten adresseren, zoals AVG-vereisten voor het delen van gegevens met externe partijen, en moet regelmatig worden herzien om ervoor te zorgen dat het actueel blijft met veranderende bedrijfsbehoeften en bedreigingslandschappen.
Gastentoegangsvereisten moeten zorgvuldig worden gedefinieerd voordat organisatiebrede instellingen worden geconfigureerd. Organisaties moeten bepalen welke typen externe gebruikers toegang nodig hebben, zoals externe consultants, leveranciers, partners of klanten. Voor elk type gastgebruiker moeten specifieke vereisten worden vastgesteld, inclusief authenticatiemethoden (zoals verplichte multi-factor authenticatie), toegangsduur, en welke resources toegankelijk moeten zijn. Bovendien moeten procedures worden ontwikkeld voor het aanvragen, goedkeuren en beheren van gastentoegang, inclusief periodieke toegangsbeoordelingen en automatische intrekking van toegang na inactiviteit. Deze vereisten moeten worden gedocumenteerd en gecommuniceerd naar alle relevante stakeholders om ervoor te zorgen dat gastentoegang op een gecontroleerde en veilige manier wordt beheerd.
Team-aanmaakgovernance is een kritieke vereiste die bepaalt wie teams kan aanmaken en onder welke voorwaarden. Organisaties moeten een duidelijk beleid ontwikkelen dat definieert welke rollen of groepen teams mogen aanmaken, welke goedkeuringsprocessen moeten worden gevolgd, en welke standaardinstellingen moeten worden toegepast op nieuwe teams. Dit governance-beleid moet team-proliferatie voorkomen terwijl het voldoende flexibiliteit biedt voor zakelijke behoeften. Bovendien moeten procedures worden vastgesteld voor het beheren van bestaande teams, inclusief regelmatige audits om inactieve of overbodige teams te identificeren, en processen voor het archiveren of verwijderen van teams die niet langer nodig zijn.
Het definiëren van duidelijke gebruikssituaties voor organisatiebrede teams is essentieel voordat deze functionaliteit wordt ingeschakeld. Organisatiebrede teams voegen automatisch alle medewerkers toe, inclusief toekomstige aanwervingen, wat betekent dat ze alleen geschikt zijn voor zeer specifieke gebruikssituaties zoals bedrijfsbrede aankondigingen, IT-helpdeskondersteuning, of andere kritieke organisatiebrede communicatie. Organisaties moeten vooraf bepalen welke teams als organisatiebrede teams moeten worden geconfigureerd, wie de eigenaren van deze teams zullen zijn, en welke contentrichtlijnen van toepassing zijn. Zonder duidelijke gebruikssituaties kunnen organisatiebrede teams leiden tot meldingsoverbelasting, informatielekken, of compliance-problemen wanneer externe contractanten automatisch worden toegevoegd aan alleen-interne communicatie.
Implementatie
De implementatie van organisatiebrede Teams-instellingen vereist een systematische aanpak waarbij verschillende configuratielagen worden geconfigureerd in zowel het Teams-beheercentrum als Azure Active Directory. Deze implementatie moet worden uitgevoerd door een ervaren Teams-beheerder met voldoende kennis van zowel Teams-governance als Azure AD-configuratie. Het is essentieel om de implementatie uit te voeren tijdens een gepland onderhoudsvenster om verstoring van de dagelijkse activiteiten te minimaliseren, en om een terugdraaplan te hebben voor het geval er onverwachte problemen optreden.
De eerste stap in de implementatie is het configureren van externe toegangsinstellingen in het Teams-beheercentrum. Navigeer naar het Teams-beheercentrum en selecteer Organisatiebrede instellingen, gevolgd door Externe toegang. Hier kunt u de toegestane lijst voor externe domeinen configureren door specifieke partnerdomeinen toe te voegen die als vertrouwd worden beschouwd. Deze toegestane lijst functioneert als een toegestane lijst mechanisme waarbij alleen expliciet goedgekeurde domeinen kunnen communiceren met uw organisatie via Teams-federatie. Voeg alleen domeinen toe die expliciet zijn goedgekeurd in het extern samenwerkingsbeleid, en overweeg om concurrenten of verdachte organisaties toe te voegen aan een blokkeerlijst om te voorkomen dat medewerkers per ongeluk communiceren met deze organisaties. Voor zeer gevoelige omgevingen zoals defensieorganisaties, geclassificeerde overheidsinstellingen, of organisaties met zeer restrictief bedrijfsbeleid kan het volledig blokkeren van alle externe domeinen worden overwogen, hoewel dit zakelijke partnerschappen kan belemmeren en de samenwerking met externe partijen kan beperken.
De volgende stap is het configureren van organisatiebrede gastentoegang. In het Teams-beheercentrum, onder Organisatiebrede instellingen, selecteert u Gastentoegang en schakelt u deze zorgvuldig in met de juiste beperkingen. Vervolgens moet u naar Azure Active Directory navigeren om aanvullende gastgebruikersinstellingen te configureren. Configureer restrictieve instellingen waarbij gastgebruikers de directory niet kunnen inventariseren, geen andere gasten kunnen uitnodigen, en de volledige organisatiestructuur niet kunnen zien. Implementeer verplichte multi-factor authenticatie voor alle gastauthenticaties door een Conditional Access-beleidsregel te maken die specifiek is gericht op gastgebruikers. Configureer domeinbeperkingen die consumenten-e-maildomeinen zoals gmail.com blokkeren en alleen zakelijke e-maildomeinen toestaan. Stel automatische gastgebruikerslevenscyclus in met driemaandelijkse toegangsbeoordelingen door teameigenaren en automatische intrekking van toegang na 90 dagen inactiviteit.
Team-aanmaakmachtigingen moeten worden geconfigureerd om team-proliferatie te voorkomen, een fenomeen waarbij het aantal teams exponentieel groeit zonder adequate governance. Maak een Azure AD-beveiligingsgroep genaamd 'Team Creators' of 'Teams Aanmakers' en voeg alleen goedgekeurde gebruikers toe, zoals afdelingsmanagers, projectleiders en senior medewerkers die de verantwoordelijkheid hebben gekregen om teams te beheren. In het Teams-beheercentrum, onder Organisatiebrede instellingen, selecteert u Teams en configureert u de team-aanmaakinstellingen om alleen leden van de 'Team Creators' groep toe te staan teams aan te maken. Deze beperking voorkomt dat willekeurige medewerkers teams aanmaken zonder zakelijke rechtvaardiging, wat leidt tot duizenden dubbele teams, verweesde teams zonder eigenaar, en verwarring over welke teams actief zijn. Voor organisaties die zelfservice willen aanbieden zonder de beveiligingsrisico's van onbeperkte team-aanmaak, kunt u een aanvraagportaal implementeren via Power Apps of ServiceNow waarbij gebruikers teamaanvragen kunnen indienen met zakelijke rechtvaardiging, en geautomatiseerde inrichting plaatsvindt na goedkeuring door een goedgekeurde autoriteit zoals een afdelingsmanager of IT-governance team.
Als organisatiebrede teams nodig zijn, moeten deze spaarzaam worden geconfigureerd. Beperk het aantal organisatiebrede teams tot maximaal 1-3 teams, zoals 'Bedrijfsaankondigingen' voor bestuurscommunicatie, 'IT Helpdesk' voor organisatiebrede IT-ondersteuning, of mogelijk 'Sociaal' voor medewerkersbetrokkenheid. Houd er rekening mee dat organisatiebrede teams automatisch alle medewerkers toevoegen, inclusief toekomstige aanwervingen, wat betekent dat ze alleen geschikt zijn voor zeer specifieke gebruikssituaties. Configureer duidelijke contentrichtlijnen en eigenaarschapsregels voor elk organisatiebrede team om misbruik te voorkomen.
Standaardinstellingen voor nieuwe teams moeten worden geconfigureerd om een veilige basislijn te implementeren. In het Teams-beheercentrum, onder Organisatiebrede instellingen, selecteert u Teams en configureert u de standaardinstellingen zodat nieuwe teams standaard privé zijn (alleen leden kunnen inhoud zien) in plaats van openbaar (volledige organisatiezichtbaarheid). Schakel gastentoegang standaard uit, zodat teameigenaren deze expliciet moeten inschakelen voor specifieke teams na rechtvaardiging. Beperk ledenmachtigingen zodat leden geen andere leden kunnen toevoegen of verwijderen (alleen eigenaren), teams of kanalen niet kunnen verwijderen, en kanaalaanmaak beperkt is tot eigenaren alleen om sprawl te voorkomen. Configureer automatische app-installaties zodat alleen goedgekeurde zakelijke apps zoals Planner en OneNote worden geïnstalleerd, en verwijder leuke apps zoals Giphy en Polly polls.
Aanvullende instellingen die moeten worden geconfigureerd omvatten bestandsdelinginstellingen die externe bestandsdeling via opslag van derden blokkeren waarbij alleen OneDrive of SharePoint is toegestaan. Deze beperking voorkomt dat medewerkers gevoelige documenten delen via onbeveiligde cloudopslagdiensten van derden zoals Dropbox of Google Drive, wat kan leiden tot gegevenslekken en compliance-schendingen. Vergaderingsinstellingen kunnen standaard lobbybeleidsregels configureren waarbij externe deelnemers automatisch in de lobby wachten op toelating door de vergaderingsorganisator, wat voorkomt dat onbevoegde externe deelnemers ongecontroleerd toegang krijgen tot gevoelige vergaderingen. Opname-standaardinstellingen kunnen automatische opname inschakelen voor compliance-doeleinden, waarbij alle vergaderingen worden opgenomen voor audit- en nalevingsdoeleinden, hoewel dit privacy-overwegingen vereist en moet worden gecommuniceerd naar alle medewerkers. De mogelijkheid om vergaderingschat uit te schakelen voor formele vergaderingen kan worden geconfigureerd om te voorkomen dat informele discussies plaatsvinden tijdens belangrijke zakelijke vergaderingen. Standaard gevoeligheidslabels kunnen worden geconfigureerd waarbij bepaalde afdelingen automatisch restrictieve labels krijgen op nieuwe teams, bijvoorbeeld waarbij HR-teams automatisch een 'Vertrouwelijk' label krijgen vanwege de gevoelige aard van personeelsgegevens. Na voltooiing van de configuratie moet een grondige test worden uitgevoerd om ervoor te zorgen dat alle instellingen correct werken en dat er geen onbedoelde gevolgen zijn voor de dagelijkse activiteiten. Deze tests moeten verschillende scenario's omvatten, zoals het testen van externe toegang met goedgekeurde en niet-goedgekeurde domeinen, het testen van gastentoegang met verschillende authenticatiemethoden, en het verifiëren dat team-aanmaakbeperkingen correct worden toegepast.
Compliance en Auditing
Organisatiebrede Teams-instellingen spelen een cruciale rol bij het voldoen aan verschillende compliance-vereisten en governance-standaarden die van toepassing zijn op Nederlandse overheidsorganisaties en bedrijven. Deze instellingen bieden de fundamentele controles die nodig zijn om te voldoen aan BIO-normen, ISO 27001-vereisten, en AVG-verplichtingen. Het is essentieel om te begrijpen hoe organisatiebrede instellingen bijdragen aan compliance en welke auditbewijzen moeten worden verzameld om te demonstreren dat de organisatie voldoet aan deze vereisten.
De Baseline Informatiebeveiliging Overheid (BIO) vereist specifieke controles voor toegangsbeheer en governance. BIO-controle 11.02.01 richt zich op toegangsgovernance en vereist dat organisaties passende maatregelen treffen om toegang tot informatiesystemen te beheren en te controleren. Organisatiebrede Teams-instellingen ondersteunen deze controle door het implementeren van centrale toegangscontroles die van toepassing zijn op alle gebruikers en teams binnen de tenant. Door externe toegang te beperken tot goedgekeurde partnerdomeinen, gastentoegang te beheren met strikte beperkingen, en team-aanmaak te beperken tot goedgekeurde groepen, voldoen organisaties aan de vereisten voor toegangsgovernance zoals gespecificeerd in BIO 11.02.01.
ISO 27001-controle A.9.1.1 vereist dat organisaties een toegangscontrolebeleid vaststellen, implementeren en onderhouden. Organisatiebrede Teams-instellingen vormen een essentieel onderdeel van dit toegangscontrolebeleid door het definiëren van standaardinstellingen die van toepassing zijn op alle teams en gebruikers. De configuratie van veilige standaardinstellingen, zoals privé teams standaard, uitgeschakelde gastentoegang tenzij expliciet ingeschakeld, en beperkte ledenmachtigingen, draagt bij aan het voldoen aan ISO 27001 A.9.1.1 door ervoor te zorgen dat toegang wordt beheerd volgens een gedefinieerd beleid dat consistent wordt toegepast binnen de organisatie.
De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen. Organisatiebrede Teams-instellingen dragen bij aan AVG-compliance door het implementeren van toegangscontroles die voorkomen dat onbevoegde personen toegang krijgen tot persoonsgegevens die zijn opgeslagen in Teams. Door gastentoegang te beperken tot alleen zakelijke e-maildomeinen, verplichte multi-factor authenticatie te vereisen voor gastgebruikers, en automatische levenscyclusbeheer te implementeren met periodieke toegangsbeoordelingen, voldoen organisaties aan AVG-vereisten voor gegevensbescherming en toegangsbeheer.
Auditbewijzen die moeten worden verzameld om compliance te demonstreren omvatten documentatie van alle organisatiebrede instellingen, inclusief screenshots of exports van de configuratie in het Teams-beheercentrum en Azure Active Directory. Deze documentatie moet regelmatig worden bijgewerkt wanneer wijzigingen worden aangebracht, en moet worden bewaard voor ten minste drie jaar zoals vereist door verschillende compliance-standaarden. Bovendien moeten toegangsbeoordelingen worden gedocumenteerd, inclusief wie toegang heeft beoordeeld, wanneer de beoordeling heeft plaatsgevonden, en welke acties zijn ondernomen als resultaat van de beoordeling. Deze auditbewijzen zijn essentieel voor het demonstreren van compliance tijdens externe audits en voor het identificeren van gebieden waar verbetering nodig is.
Regelmatige compliance-audits moeten worden uitgevoerd om ervoor te zorgen dat organisatiebrede instellingen blijven voldoen aan alle toepasselijke vereisten. Deze audits moeten de huidige configuratie vergelijken met de vereisten van BIO, ISO 27001, en AVG, en moeten eventuele afwijkingen identificeren die moeten worden gecorrigeerd. Bovendien moeten audits worden uitgevoerd wanneer wijzigingen worden aangebracht in compliance-vereisten of wanneer nieuwe bedreigingen worden geïdentificeerd die aanvullende controles vereisen. Door regelmatige audits uit te voeren en actie te ondernemen op basis van de bevindingen, kunnen organisaties ervoor zorgen dat hun organisatiebrede Teams-instellingen blijven voldoen aan alle toepasselijke compliance-vereisten.
Monitoring
Voortdurende monitoring van organisatiebrede Teams-instellingen is essentieel om ervoor te zorgen dat de configuratie blijft voldoen aan beveiligings- en compliance-vereisten, en om eventuele wijzigingen of afwijkingen tijdig te detecteren. Monitoring moet worden uitgevoerd op regelmatige basis, idealiter wekelijks of maandelijks, afhankelijk van de grootte van de organisatie en de frequentie van wijzigingen. Het doel van monitoring is om te verifiëren dat alle organisatiebrede instellingen correct zijn geconfigureerd, dat er geen onbevoegde wijzigingen zijn aangebracht, en dat de instellingen blijven voldoen aan het goedgekeurde beleid.
De primaire monitoringactiviteiten omvatten het controleren van externe toegangsinstellingen om te verifiëren dat alleen goedgekeurde partnerdomeinen zijn toegestaan en dat er geen onbevoegde domeinen zijn toegevoegd aan de toegestane lijst. Bovendien moeten geblokkeerde domeinen worden gecontroleerd om ervoor te zorgen dat concurrenten of verdachte organisaties correct zijn geblokkeerd. Gastentoegangsinstellingen moeten worden gemonitord om te verifiëren dat restrictieve instellingen actief zijn, dat verplichte multi-factor authenticatie is geconfigureerd voor gastgebruikers, en dat domeinbeperkingen correct zijn ingesteld. Team-aanmaakmachtigingen moeten worden gecontroleerd om te verifiëren dat alleen goedgekeurde groepen teams kunnen aanmaken en dat er geen onbevoegde wijzigingen zijn aangebracht aan de 'Team Creators' groep.
Monitoring van organisatiebrede teams is cruciaal om ervoor te zorgen dat alleen goedgekeurde teams als organisatiebrede teams zijn geconfigureerd en dat er geen onbevoegde organisatiebrede teams zijn toegevoegd. Bovendien moeten de eigenaren en contentrichtlijnen van organisatiebrede teams worden gecontroleerd om ervoor te zorgen dat ze nog steeds voldoen aan de goedgekeurde gebruikssituaties. Standaardinstellingen voor nieuwe teams moeten worden gemonitord om te verifiëren dat veilige standaardinstellingen actief zijn, zoals privé teams standaard, uitgeschakelde gastentoegang tenzij expliciet ingeschakeld, en beperkte ledenmachtigingen.
Automatische monitoring kan worden geïmplementeerd met behulp van PowerShell-scripts die regelmatig de configuratie controleren en waarschuwingen genereren wanneer afwijkingen worden gedetecteerd. Deze scripts moeten de huidige configuratie vergelijken met de goedgekeurde baseline en moeten eventuele verschillen rapporteren aan de beheerders. Bovendien kunnen Microsoft Graph API en Teams Admin Center worden gebruikt om programmatisch de configuratie te controleren en te rapporteren. Logboeken moeten worden bijgehouden van alle monitoringactiviteiten, inclusief wanneer controles zijn uitgevoerd, welke afwijkingen zijn gedetecteerd, en welke acties zijn ondernomen om afwijkingen te corrigeren.
Naast technische monitoring moeten ook procesmatige controles worden uitgevoerd, zoals het controleren of toegangsbeoordelingen daadwerkelijk worden uitgevoerd volgens het goedgekeurde schema, of gastgebruikers die niet langer toegang nodig hebben daadwerkelijk worden verwijderd, en of nieuwe teamaanvragen worden verwerkt volgens het goedgekeurde proces. Deze procesmatige controles zijn essentieel om ervoor te zorgen dat niet alleen de technische configuratie correct is, maar dat ook de governance-processen effectief worden uitgevoerd.
Gebruik PowerShell-script teams-org-access.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Gebruik PowerShell-script teams-org-access.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- BIO: 11.02.01 - Organisatiebrede toegangsgovernance
- ISO 27001:2022: A.9.1.1 - Toegangscontrole en authenticatiebeleid
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Teams Organization Access Design
.DESCRIPTION
Implementation for Teams Organization Access Design
.NOTES
Filename: teams-org-access.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/collaboration/teams-org-access.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Teams Organization Access Design"
$CISControl = "8.1.x"
$BIOControl = "13.02"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "teams-org-access"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Ongecontroleerde organisatiebrede Teams-instellingen leiden tot beveiligingslekken, inconsistente beleidsregels en ongecontroleerde externe toegang. Basislijnbeveiliging ontbreekt. Compliance: BIO 11.02. Het risico is MEDIUM - basislijnbeveiliging.
Management Samenvatting
Teams Organisatiebrede Instellingen: Externe toegangscontrole (domein toegestane lijst), Gastentoegangsbeleidsregels (goedkeuring vereist), Teams-aanmaakgovernance (wie kan aanmaken), Standaard vergaderingsbeleidsregels, App-machtigingen (blokkeer risicovolle apps), Gegevensclassificatie. Activatie: Teams-beheerder → Organisatiebrede instellingen → Beveiligingsbasislijn. Gratis. Verplicht BIO 11.02. Implementatie: 2-6 uur. Fundamentele Teams-beveiligingsconfiguratie.
- Implementatietijd: 6 uur
- FTE required: 0.03 FTE