💼 Management Samenvatting
Het ontwerp van Intune device configuration profiles vormt de ruggengraat voor uniforme apparaatbeveiliging binnen de Nederlandse Baseline voor Veilige Cloud. Door één coherent raamwerk voor Windows-, iOS-, Android- en macOS-eindpunten te definiëren, worden instellingen voor netwerktoegang, certificaten, applicaties en systeemverharding op een gecontroleerde manier uitgerold. Dat zorgt ervoor dat endpoints dezelfde beleidsregels volgen, ongeacht de locatie van de gebruiker of het type apparaat dat wordt ingezet.
Aanbeveling
IMPLEMENTEER DEVICE CONFIGURATION
Risico zonder
High
Risk Score
8/10
Implementatie
64u (tech: 40u)
Van toepassing op:
✓ Intune
✓ Windows
✓ iOS
✓ Android
✓ macOS
✓ Windows
✓ iOS
✓ Android
✓ macOS
Zodra organisaties afhankelijk zijn van handmatige configuratie, ontstaat er drift tussen bouwstenen zoals firewallregels, BitLocker, Wi-Fi-profielen en privacy-instellingen. Intune configuration profiles voorkomen deze inconsistenties doordat security baselines (CIS, Microsoft), aangepaste beleidsregels en platformgerichte beperkingen allemaal centraal worden afgedwongen. Daarmee worden risicovolle functies uitgeschakeld, worden netwerkverbindingen automatisch voorzien van de juiste certificaten en krijgen nieuwe toestellen nog vóór de eerste werkdag de volledige set instellingen. Zonder deze aanpak blijft naleving van BIO- en NIS2-eisen hangen in spreadsheets en controles achteraf, terwijl gebruikers alsnog instellingen kunnen wijzigen zonder dat dit zichtbaar is voor het securityteam.
Implementatie
De moderne Settings Catalog levert per Windows-versie duizenden instelbare parameters zodat organisaties tot op detailniveau kunnen sturen. Administrative Templates bieden een cloud-alternatief voor traditionele groepsbeleidinstellingen, waarmee onder meer Office, Edge en Teams consistent worden geconfigureerd. Voor mobiele platforms worden device restrictions gebruikt om functies als AirDrop, persoonlijke hotspot of onbeveiligde opslag uit te schakelen, terwijl endpointbeveiligingsprofielen Defender- en firewallbeleid afdwingen. Wi-Fi- en VPN-profielen automatiseren connectiviteit, certificaatprofielen zetten SCEP- en PKCS-certificaten uit, en maatwerk via OMA-URI vult hiaten in de standaardcatalogus op. Het resultaat is een gelaagde set profielen waar security-baselines de basis vormen en aanvullende profielen scenario-specifieke maatregelen uitrollen.
Vereisten
Een volwassen ontwerp begint met aantoonbare Intune-licenties voor alle relevante gebruikers en serviceaccounts, inclusief EMS E5- of Microsoft 365 E5-varianten zodat Security Baselines, Defender for Endpoint en geavanceerde rapporten beschikbaar zijn. Naast licenties is een helder doelarchitectuurdocument nodig waarin per platform exact staat beschreven welke functionaliteit is toegestaan, welke instellingen verplicht zijn en waar uitzonderingen kunnen worden toegekend. Die architectuur moet de verbinding leggen tussen de uitgangspunten van de Nederlandse Baseline voor Veilige Cloud, de bedrijfscontinuïteitseisen en de technische mogelijkheden van de Settings Catalog. Door deze eisen vooraf op elkaar af te stemmen, kunnen ontwerpbeslissingen direct worden getoetst aan zowel compliance-eisen als gebruikersexpectaties.
Een tweede vereiste is een volledige inventarisatie van apparaten en beheerscenario’s. Denk aan gedeelde werkplekken op gemeenten, hybride laptops bij inspectiediensten, mobiele toestellen voor handhavers en gespecialiseerde endpoints in operationele omgevingen. Voor elk scenario moet duidelijk zijn welke configuraties kritisch zijn voor beveiliging en welke instellingen juist flexibel moeten blijven om de dienstverlening niet te verstoren. Deze inventarisatie voedt de mapping van baseline-instellingen naar concrete profielen, inclusief voorwaarden voor dynamische groepen en filters zodat configuraties alleen terechtkomen op apparaten waar ze daadwerkelijk van toepassing zijn.
Verder is het noodzakelijk dat security baselines zoals CIS Microsoft 365 en de Microsoft Intune Security Baseline reeds zijn geïmporteerd en beoordeeld. Teams moeten vastleggen welke instellingen ongewijzigd blijven, welke worden aangescherpt en waar bewust wordt afgeweken met een onderbouwde risicoanalyse. Die documentatie vormt later de basis voor auditbewijslast richting BIO-paragraaf 12.06 en ISO 27001 A.12.6.2. Zonder deze voorbereide baselines ontbreekt de logica om onderscheid te maken tussen standaardhardening en aanvullende scenario’s, waardoor projecten stagneren in eindeloze discussies over defaults.
Een vierde vereiste betreft testvoorzieningen. Er moet een representatieve pilotgroep zijn met devices die alle relevante besturingssystemen, beheerscenario’s en applicatiecombinaties afdekken. De pilotgroep krijgt toegang tot een gescheiden testtenant of minstens tot een dedicated Intune deployment ring met eigen configuratieprofielen en rapportages. Alleen als gebruikers, beheerders en security-analisten gezamenlijk validaties uitvoeren, ontstaat vertrouwen dat instellingen geen bedrijfsprocessen verstoren. Testresultaten horen te worden vastgelegd in een standaard change-sjabloon, zodat latere wijzigingen tegen dezelfde kwaliteitslat kunnen worden aangehouden.
Een vijfde randvoorwaarde is dat de technische keten voor certificaatuitgifte, netwerksegmentatie en identiteit klaarstaat. Zonder betrouwbare PKI kunnen SCEP- en PKCS-profielen geen clientcertificaten installeren en valt het voordeel van automatische Wi-Fi- of VPN-configuratie weg. Ook moeten Conditional Access- en compliance policies in Entra ID synchroon lopen met configuratieprofielen; anders kunnen apparaten die niet aan de instellingen voldoen alsnog bedrijfskritische applicaties benaderen. Het configuration team stemt daarom vroegtijdig af met netwerk- en identityarchitecten om afhankelijkheden te documenteren en terugvalscenario’s uit te werken voor het geval de distributie van certificaten tijdelijk stokt.
Tot slot vraagt een volwassen baseline om governance: een stuurmechanisme voor profielconflicten, een changeproces voor uitzonderingen, duidelijke eigenaarschap per profiel en communicatie naar gebruikers over zichtbare wijzigingen. Door vanaf dag één dashboards en rapportages te koppelen aan het configuration managementproces ontstaat inzicht in naleving en kan het management sturen op feitelijke cijfers over uitrolpercentages en compliance. Deze governance moet expliciet beschrijven hoe nieuwe applicaties of businessinitiatieven hun configuratie-eisen aanleveren, hoe het CAB besluiten documenteert en hoe lessons learned uit incidenten worden verwerkt in aangepaste profielen. Daarmee wordt configuratiebeheer een continue dialoog tussen security, operations en de lijnorganisatie in plaats van een eenmalig project.
Implementatie
De implementatie start met het analyseren van de huidige configuratiestatus via Intune device reports, Defender for Endpoint exposure score en eventuele Azure AD sign-in logs. Op basis van dat beeld definieert het ontwerpteam duidelijke uitrolgolven, waarbij eerst de kritieke instellingen uit security baselines worden geactiveerd voordat aanvullende scenario’s worden toegevoegd. Hiervoor wordt een projectteam samengesteld met vertegenwoordigers van security, werkplekbeheer, netwerk, PKI en servicedesk. Zij vertalen de eerder opgestelde requirements naar concrete profielsets en leggen in het configuration managementplan vast welke profielen leidend zijn, hoe toewijzing aan dynamische groepen verloopt en welke fallback-mechanismen gelden voor uitzonderingen. Door het configuration profile-ontwerp naast het identity- en applicatielandschap te leggen, kunnen afhankelijkheden zoals single sign-on, certificaatketens en compliance policies vroegtijdig worden afgevangen. Zodra het ontwerp is goedgekeurd, worden de benodigde profielen aangemaakt. Security baselines worden gekloond en aangepast binnen een eigen versiebeheerstructuur waarin iedere wijziging wordt voorzien van een change-nummer en verwijzing naar risico-acceptatiebesluiten. Voor Windows wordt de Settings Catalog gebruikt om BitLocker-beleid, Windows Hello for Business, lokale firewallprofielen, Credential Guard en exploitbescherming te configureren. Administrative Templates vullen dit aan met Office-, Edge- en Teams-policy’s, waarbij legacy GPO’s systematisch worden vertaald naar cloudpolicy’s. Voor iOS, iPadOS en Android Enterprise worden device restrictions ingericht die onder meer AirDrop, ontwikkelaarsopties, USB-functies en onbeheerde cloudopslag reduceren. Tegelijkertijd worden Wi-Fi-, VPN- en certificaatprofielen opgesteld zodat apparaten na inschrijving onmiddellijk veilig verbinden met bedrijfsnetwerken. Elke profielset wordt toegewezen aan een beperkte pilotgroep. Automatische meldingen in Intune en het Change Advisory Board-portaal informeren testers over geplande wijzigingen. Tijdens de pilotperiode monitoren beheerders of apparaten de nieuwe profielen ontvangen, controleren zij in Endpoint analytics de impact op prestaties en vragen zij gebruikers naar eventuele hinder. Bevindingen leiden tot iteratieve aanpassingen, waarbij verschuivingen in prioriteiten of gedetecteerde conflictsituaties worden vastgelegd in het configuratiedossier. Pas wanneer de pilot stabiel draait, worden toewijzingen uitgebreid naar productieringen, te beginnen met devices die 24/7 ondersteuning hebben en eindigend met kritieke operationele omgevingen. Een belangrijke stap is de integratie met SOC-processen. Nieuwe configuraties worden gekoppeld aan specifieke analytische regels in Microsoft Sentinel, zodat het security operations center direct ziet welke waarschuwingen gerelateerd zijn aan een recente beleidswijziging. Ook worden runbooks bijgewerkt waarin staat hoe analisten moeten reageren als een apparaat een kritieke instelling mist, bijvoorbeeld door een herinschrijving te forceren of een remote action uit te voeren. Door implementatie en detectie aan elkaar te koppelen, wordt inzichtelijk of een beveiligingsincident het gevolg is van een ontwerpfout, een uitrolprobleem of bewust beleid. Na de productie-uitrol wordt het beheer geborgd. Intune rapportages zoals Device configuration status, Settings catalog drift en Non-compliant profiles voeden dagelijkse controles door het security operations team. Automatische meldingen richting Microsoft Sentinel of Defender for Cloud Apps signaleren wanneer apparaten afwijken. Het beheerteam documenteert tevens hoe nieuwe Windows- of iOS-versies worden beoordeeld voordat zij naar productie gaan, zodat toekomstige wijzigingen gecontroleerd verlopen. Iedere grote wijziging doorloopt opnieuw een verkorte pilot in een adoptiering, waarbij lessons learned worden gedeeld via een digitaal handboek voor beheerders. Door deze keten van ontwerp, validatie, gefaseerde uitrol en operationeel toezicht te volgen, blijft configuratiebeheer een continu proces dat herleidbaar voldoet aan de Nederlandse Baseline voor Veilige Cloud.
Compliance en Auditing
Compliance is geen bijproduct maar het primaire bewijs dat de inrichting van Intune device configuration daadwerkelijk de lijnen van de Nederlandse Baseline voor Veilige Cloud volgt. Elke profielwijziging wordt gekoppeld aan een controlereferentie, zoals BIO 12.06.01 voor beheersmaatregelen in de levenscyclus van informatiesystemen of ISO 27001 A.12.6.2 voor het structureel beheer van technische kwetsbaarheden. Door per controle aan te tonen welke Intune-instellingen worden afgedwongen, ontstaat een direct verband tussen beleidstekst en technische realisatie. Dit maakt audits eenvoudiger en zorgt ervoor dat nieuwe eisen uit NIS2 of sectorale normenkaders snel kunnen worden vertaald naar configuratiewijzigingen binnen dezelfde governance. Het auditspoor begint met versiebeheer van profielen. Elke wijziging krijgt een uniek versienummer, een verantwoordelijke en een link naar het goedkeuringsdocument. De changelog beschrijft waarom de wijziging noodzakelijk is, welke risico’s ermee worden gemitigeerd en welke testresultaten beschikbaar zijn. Dit dossier vormt later het primaire bewijs dat maatregelen niet slechts op papier bestaan maar daadwerkelijk zijn uitgerold. Aan de controletabel wordt een automatisch rapport gekoppeld dat uit Intune exporteert welke apparaten de profielen hebben ontvangen en welke uitzonderingen zijn toegestaan. Auditoren kunnen daardoor steekproeven nemen en direct zien welke business owner een afwijking heeft goedgekeurd en wanneer die opnieuw moet worden beoordeeld. Daarnaast wordt compliance bewaakt met continue monitoring. Defender for Endpoint en Microsoft Sentinel genereren waarschuwingen wanneer een apparaat instellingen overslaat of wanneer een gebruiker probeert beveiligingsfuncties uit te schakelen. Deze signalen worden gecorreleerd met Intune compliance policies zodat duidelijk wordt of een incident het gevolg is van een ontbrekende configuratie of van een mislukte uitrol. Door de combinatie van realtime signalering en maandelijkse compliance-rapportages wordt aantoonbaar dat de organisatie technische kwetsbaarheden tijdig detecteert en oplost, exact zoals ISO 27001 voorschrijft. Audits vragen ook om bewijs van effectiviteit. Daarom wordt elk kwartaal een configuratiereview uitgevoerd waarbij het securityteam samen met werkplekbeheer nagaat of nieuwe dreigingen vragen om aanvullende instellingen dan wel of bestaande profielen geoptimaliseerd moeten worden. Verslagen van deze reviews worden opgeslagen als audit evidence, inclusief beslissingen over acceptabele risico’s en de redenatie waarom bepaalde instellingen (nog) niet zijn geactiveerd. Dit voorkomt discussies met auditors over zogenaamde compensating controls, omdat er altijd een actueel overzicht is van genomen besluiten, verantwoordelijken en termijnen. Verder wordt de keten van naleving versterkt door gebruikerscommunicatie en training. Wanneer een nieuw profiel functies beperkt of privacy-instellingen aanscherpt, wordt het besluit uitgelegd in begrijpelijke taal, inclusief verwijzing naar wettelijke eisen zoals AVG artikel 32. Gebruikers tekenen digitaal voor kennisname, wat later laat zien dat organisatorische maatregelen het technische beleid ondersteunen. Tegelijkertijd worden beheerders en servicedeskmedewerkers getraind in het herkennen van configuratiedrift, zodat zij tickets niet afdoen als gebruikersfout maar direct nagaan of een profiel correct is toegepast. Tot slot wordt compliance duurzaam gemaakt via geautomatiseerde rapportages richting management en auditcomités. Maandelijkse dashboards tonen het percentage apparaten dat volledig conform profielen draait, welke uitzonderingen nog openstaan en welke risico-acceptaties binnen de gestelde termijn opnieuw moeten worden beoordeeld. Door dit transparante rapportageproces blijft het gesprek over configuratiebeheer actueel tijdens directie- en stuurgroepvergaderingen. Zo ontstaat een sluitende keten van beleid, implementatie en toetsing waarin zowel interne als externe toezichthouders kunnen volgen hoe configuraties bijdragen aan de bredere risicobeheersing.
Monitoring
Gebruik PowerShell-script device-configuration.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Gebruik PowerShell-script device-configuration.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- CIS M365: Control configuratiebeheer (L1) - Automated configuration
- BIO: 12.06.01 - Security configuration
- ISO 27001:2022: A.12.6.2 - Technical kwetsbaarheidsbeheer
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Device Configuration Profiles Design
.DESCRIPTION
Implementation for Device Configuration Profiles Design
.NOTES
Filename: device-configuration.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/platform/device-configuration.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Device Configuration Profiles Design"
$CISControl = "Intune Benchmark"
$BIOControl = "12.06"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "device-configuration"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder automated configuration = inconsistent security (some devices hardened, others not), manual overhead (GPO complexity), configuration drift (settings revert), delayed security policy application new devices. Het risico is HOOG - configuration management.
Management Samenvatting
Device Configuration: Intune Configuration Profiles - Security Baselines (CIS-aligned - Windows/iOS/Android), Device restrictions (block USB, camera, Bluetooth per scenario), Network settings (WiFi, VPN auto-connect), Certificate deployment (PKI automation), Administrative Templates (GPO replacement - cloud-based), Custom scripts (advanced hardening). Activatie: Intune → Configuration profiles → Assign to device groups. Gratis (Intune included M365). Verplicht CIS Benchmarks, BIO 12.02. Implementatie: 40-64 uur (profiles + pilot + rollout). FOUNDATION endpoint security - automated consistent hardening.
- Implementatietijd: 64 uur
- FTE required: 0.3 FTE