πΌ Management Samenvatting
Microsoft 365 Groups vormt de ruggengraat van samenwerking in Teams, SharePoint, Outlook en Planner en bepaalt hoe Nederlandse overheidsorganisaties veilig informatie delen.
Aanbeveling
Implementeer integraal Microsoft 365 Groups governance met gecontroleerde provisioning, verplichte sensitivity labels, expiratiebeleid en continue monitoring zodat samenwerking veilig en audit-proof verloopt.
Risico zonder
Medium
Risk Score
5/10
Implementatie
36u (tech: 20u)
Van toepassing op:
β Microsoft 365 Groups
β Teams
β SharePoint
β Outlook
β Teams
β SharePoint
β Outlook
Zonder strakke governance kunnen medewerkers onbeperkt groepen aanmaken, waardoor gegevens versnipperen, gasttoegang ongecontroleerd groeit en compliance met BIO en AVG moeilijk aantoonbaar wordt; gerichte sturing voorkomt shadow IT en beschermt vertrouwelijke gegevens.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Groups, Microsoft.Graph.Identity.DirectoryManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Groups, Microsoft.Graph.Identity.DirectoryManagement
Implementatie
Dit ontwerpdocument beschrijft het complete governancekader voor Microsoft 365 Groups, inclusief randvoorwaarden, implementatiestappen, monitoring, remediatie en compliance-aanpak voor de Nederlandse Baseline voor Veilige Cloud.
Vereisten
Een effectief governanceprogramma voor Microsoft 365 Groups begint met een helder begrip van de organisatiecontext. Voorafgaand aan de technische configuratie moeten CISO, IT-operations en informatiemanagers overeenstemming bereiken over doelstellingen zoals beperking van gegevensuitwaaiering, naleving van de Baseline Informatiebeveiliging en ondersteuning van hybride samenwerken. Documenteer welke afdelingen groepen mogen aanmaken, hoe gevoeligheden worden ingedeeld en welke bedrijfsprocessen afhankelijk zijn van Teams, SharePoint-ruimten en gedeelde mailboxen. Zonder deze gedeelde uitgangssituatie blijft elke technische maatregel los zand en ontstaan alsnog willekeurige groeipatronen die de beheersbaarheid ondermijnen. Daarnaast is het noodzakelijk om de juiste licenties en identiteitsfunctionaliteit beschikbaar te hebben. Azure AD Premium P1 - tegenwoordig Entra ID P1 - is vereist voor functies als groepslevenscyclusbeheer, zelfbedieningshernieuwing en geautomatiseerde expiratie. Microsoft 365 E3 of E5 licenties leveren de basisservices voor Teams, SharePoint en Exchange waar de groepen op leunen. Controleer ook of administrators beschikken over Microsoft.Graph-modules en een beheeridentiteit met de rollen Global Administrator, Groups Administrator of Privileged Role Administrator voor implementatie-activiteiten. Documenteer deze afhankelijkheden expliciet zodat audits kunnen aantonen dat de technische voorwaarden structureel zijn geborgd. Een tweede vereiste betreft dataclassificatie en labeling. Sensitivity labels moeten vooraf ontworpen zijn met beleidsregels voor externe toegang, gastgebruikers en encryptie-opties die aansluiten op de Nederlandse BIO en AVG. Labels horen gekoppeld te worden aan groepssjablonen zodat teamruimten automatisch de juiste beperkingen toepassen. Dit vraagt om een update van het organisatiebrede classificatieschema, inclusief beschrijvingen van welke gegevenscategorieen binnen Microsoft 365 Groups mogen worden opgeslagen en welke juist uitwijken naar gespecialiseerde platformen zoals SharePoint Records Centers of Azure Data Explorer. Zonder deze voorbereiding wordt labeling een cosmetische stap zonder inhoudelijke bescherming. Procesmatig moeten er duidelijke eigenaarsrollen bestaan. Elke groep kent minstens twee eigenaren die verantwoordelijk zijn voor het opvolgen van expiratieberichten, gastverzoeken en compliance-controles. Er is een governanceboard (stuurcommissie) nodig die eens per kwartaal rapportages bekijkt, uitzonderingen beoordeelt en beleidswijzigingen goedkeurt. Service management moet een intakeprocedure hebben waarin verzoeken om groepstypen, dynamische lidmaatschappen en cross-tenant samenwerking worden geevalueerd op risico's. Documenteer de koppeling met change- en incidentprocessen zodat afwijkingen - bijvoorbeeld een groep zonder eigenaar - automatisch een ticket genereren voor herstel. Tot slot vereisen monitoring en bewijsvoering een werkende integratie met logging- en rapportageplatformen. Koppel auditlogs aan Microsoft Sentinel of een vergelijkbare SIEM, stel Power BI-rapporten samen die group creation trends tonen en publiceer dashboards voor security officers. Zorg dat privacy officers toegang krijgen tot deze gegevens conform AVG-artikel 30, inclusief bewaartermijnen van minimaal drie jaar. Maak afspraken over test- en acceptatieomgevingen zodat beleid eerst veilig kan worden gevalideerd. Wanneer al deze organisatorische en technische randvoorwaarden formeel zijn vastgelegd, ontstaat een solide fundament waarop het implementatieplan kan voortbouwen. Een aanvullende vereiste is het beschikbaar hebben van testdata en migratiescenario's. Inventariseer bestaande groepen, identificeer duplicaten en wees voorbereid om historische teams op te schonen voordat nieuwe beleidsregels ingaan. Stel een communicatiepakket samen met FAQ's, voorbeelden van correcte groepsnamen en stroomschema's voor goedkeuring, zodat gebruikers begrijpen waarom strengere regels noodzakelijk zijn. Combineer dit met training voor service desk en key users, zodat zij aanvragen kunnen begeleiden en escalaties tijdig herkennen.
Implementatie
De implementatie van Microsoft 365 Groups governance start met het inzichtelijk maken van bestaande aanmaakpaden en het creeren van gecontroleerde provisioning. Gebruik een Azure AD (Entra ID) securitygroep om te bepalen wie nieuwe groepen mag opzetten en koppel deze terug naar een aanvraagformulier of een Power App waarin sponsors hun business case toelichten. Door het aanvraagproces te koppelen aan Azure Automation of Power Automate kan elke goedgekeurde aanvraag automatisch de juiste sjabloon kiezen, eigenaren toewijzen en het initiele privacylabel toepassen. Documenteer de stappen nauwkeurig: authenticatie via Connect-MgGraph, selectie van het juiste groepsschema, het invullen van eigenaars en leden en het vastleggen van de primaire workload (Teams, SharePoint of alleen Outlook). Op deze manier ontstaat traceerbaarheid en verklein je de kans op shadow IT.
Een consistente naamgevingsstructuur voorkomt zoekwerk en ondersteunt archivering. Definieer samen met communicatieadviseurs een prefix en suffix waarin regio, organisatieonderdeel en gevoeligheidsniveau zijn opgenomen, bijvoorbeeld GRP-HMN-FIN-ProjectX. Configureer deze regels via Azure AD-naamgevingsbeleid (naming policies) en voeg reserveringslijsten toe zodat misleidende termen, persoonsnamen of vertrouwelijke codes automatisch worden geweigerd. Combineer dit met een taxonomy voor Viva Topics en SharePoint zodat gebruikers in de interface direct herkennen welk type groep ze voor zich hebben. Voor bestaande groepen schrijf je een PowerShell-runbook dat iteratief alle namen controleert, afwijkingen rapporteert en eigenaren begeleidt om correcties goed te keuren voordat updates worden toegepast.
Levenscyclusbeheer draait om expiratie- en hernieuwing. Activeer een global policy (bijvoorbeeld 180 of 365 dagen) en schrijf heldere e-mailsjablonen waarin eigenaren met een klik kunnen vernieuwen of archiveren. Test dit in een pilottenant zodat notificaties niet in spam belanden. Zorg dat het proces voor archiveren gekoppeld is aan SharePoint-retentie en Exchange mailbox policies, zodat chatgesprekken en documenten conform bewaartermijnen worden opgeslagen. Stel daarnaast automatische controles in op groepen zonder eigenaar: gebruik Microsoft Graph om wekelijks lijsten te exporteren en stuur een werkstroom die de service desk laat opvolgen. Door deze huishouding te combineren met periodieke rapportages in Power BI blijven alleen actieve, gesponsorde groepen bestaan.
Voor beveiliging is het verplicht om sensitivity labels en gastinstellingen integraal onderdeel van de provisioning te maken. Maak ten minste drie labels (Open, Intern, Vertrouwelijk) die SharePoint-sharing, Teams-gasttoegang en versleuteling aansturen. Koppel elk label aan Conditional Access zodat externe gebruikers MFA en compliant apparaten gebruiken. Integreer labelselectie in het aanvraagformulier: zonder keuze gaat het verzoek niet verder. Documenteer welke labels externe gebruikers uitsluiten en hoe uitzonderingen door de CISO worden goedgekeurd. Voor scenario's met tijdelijke partners kun je gebruikmaken van Azure AD Access Reviews om gastaccounts automatisch na 30 dagen te verwijderen. Het script microsoft365-groups.ps1 voert controles uit op labelconsistentie, rapporteert afwijkingen aan de governanceboard (stuurcommissie) en kan indien nodig automatisch correcties inschieten. Vergeet bij dit alles niet de koppeling met change- en releasebeheer. Leg vast dat elke wijziging aan policies eerst via een acceptatieomgeving loopt waarin je scripts met lokale debugsettings uitvoert en maximaal vijftien seconden laat draaien zodat beheerprocessen niet blokkeren. Communiceer releasekalenders richting sleutelgebruikers, zorg dat service desk draaiboeken hebben voor veelgestelde vragen en dat adoptiecoaches instructievideo's klaarzetten. Deze zachte maatregelen zorgen ervoor dat governance niet als remmende factor maar als kwaliteitskeurmerk wordt gezien.
Gebruik PowerShell-script microsoft365-groups.ps1 (functie Invoke-Monitoring) β Voert geautomatiseerde governancecontroles uit en levert rapportages voor beheerders..
Monitoring
Monitoring van Microsoft 365 Groups governance vereist een samenhangend beeld van identiteitsplatform, workloads en gebruikersgedrag. Begin met het ontsluiten van telemetrie uit de Entra admin center, het Microsoft 365 admin center en Teams-gebruiksrapporten. Log elke nieuwe groepsaanvraag inclusief goedkeurder, toegepaste sensitivity label en eventuele uitzonderingen. Combineer deze gegevens met Azure AD auditlogs zodat zichtbaar wordt wie wijzigingen aanbrengt in lidmaatschappen, gasttoegang of beleid. Plaats de data in een beveiligde Log Analytics workspace zodat security officers bijna realtime queries kunnen draaien op verdachte patronen, zoals een plotselinge toename van gastuitnodigingen of groepen zonder eigenaar. Gebruik Power BI om dit datamodel te visualiseren. Bouw een dashboard waarin beleidsindicatoren centraal staan: aantal actieve groepen per classificatie, percentage groepen met dubbele eigenaar, ratio tussen interne en externe leden en gemiddelde tijd tot goedkeuring. Voeg filters toe voor organisatieonderdeel, projectcode en gevoeligheidsniveau zodat bestuurders kunnen inzoomen. Combineer deze inzichten met een warmtekaart van expiratieberichten en een trendlijn van hernieuwde versus verwijderde groepen. Door gegevens wekelijks te verversen ontstaat een ritme dat goed aansluit op stuurgroep- en portfoliomeetings. Automatische bewaking houdt risico's laag. Configureer waarschuwingen in Microsoft Sentinel of Defender for Cloud Apps die afgaan wanneer een groep plotseling openbaar wordt gezet, wanneer een gastgebruiker beheerrechten krijgt of wanneer er meer dan tien groepen per uur worden aangemaakt door dezelfde identiteit. Koppel deze waarschuwingen aan het incidentresponsproces zodat de SOC binnen vijftien seconden ziet welke mitigaties beschikbaar zijn. Gebruik daarnaast Entra ID Access Reviews om periodiek te toetsen of gastaccounts nog nodig zijn en publiceer de resultaten richting gegevensbeschermers. Naast realtime signalering is er behoefte aan structurele compliance-controles. Plan een maandelijkse rapportage waarin je steekproeven doet op naamgevingsbeleid, labelconsistentie en aanwezigheid van eigenaars. Documenteer afwijkingen inclusief herstelactie en doorlooptijd. Verifieer dat audittrails minimaal drie jaar beschikbaar blijven, zodat auditors van de Algemene Rekenkamer of interne control-afdelingen kunnen vaststellen dat governanceafspraken werkelijk zijn nageleefd. Vergeet niet om privacy officers te betrekken bij het ontwerpen van queries, zodat rapportages uitsluitend noodzakelijke persoonsgegevens bevatten. Het script microsoft365-groups.ps1 ondersteunt deze monitoringcyclus. Door het met lokale debug-instellingen te draaien, verzamelt het script een momentopname van alle groepen, vergelijkt deze met beleidscriteria en zet waar nodig taken klaar voor het beheerteam. De uitvoering duurt minder dan vijftien seconden en schrijft resultaten weg in een beveiligde opslaglocatie. Integreer het script in een geplande taak zodat dagelijks wordt gecontroleerd of de governanceparameters binnen bandbreedte blijven. Op die manier ontstaat een betrouwbaar controlemechanisme dat technische signalen, organisatorische opvolging en auditverplichtingen met elkaar verbindt. Tot slot hoort monitoring ook menselijke dialoog te stimuleren. Organiseer elke maand een overleg tussen CISO, product owners, functioneel beheer en privacy officers waarin de dashboards worden doorgenomen en waar geleerde lessen uit incidenten worden vertaald naar verbeteracties. Leg besluiten vast in het governancejournaal en update standaardoperatieprocedures meteen na goedkeuring. Gebruik actie- en besluitenlijsten om opvolging zichtbaar te houden voor alle stakeholders. Door data, tooling en overlegstructuren te combineren, blijft het programma wendbaar en kan het snel inspelen op nieuwe samenwerkingsvormen of aangescherpte regelgeving. Zo ontstaat een gedeeld inzicht in risico's en verbeterkansen.
Gebruik PowerShell-script microsoft365-groups.ps1 (functie Invoke-Monitoring) β Automatiseert monitoringruns, bewaakt uitzonderingen en publiceert compliance-rapporten..
Remediatie
Remediatie van Microsoft 365 Groups governance begint bij een helder beeld van afwijkingen. Gebruik de monitoringrapportages om lijsten te genereren met groepen zonder eigenaar, groepen met een onjuist label en teams die hun bewaartermijn naderen. Voor elk scenario definieer je een standaard herstelpad met verantwoordelijkheden en doorlooptijden. Bijvoorbeeld: wanneer een groep geen eigenaar meer heeft doordat medewerkers de organisatie hebben verlaten, krijgt HR binnen twee werkdagen de opdracht een nieuwe eigenaar te nomineren terwijl IT tijdelijk de rol overneemt. Dit voorkomt dat groepen verweesd raken en toch gevoelige informatie blijven bevatten. Naamgeving is een terugkerende bron van inconsistentie. Ontwikkel daarom een geautomatiseerd script dat groepsnamen controleert op het afgesproken patroon en per afwijking een voorstel doet. De eigenaar ontvangt een bericht met de huidige naam, de voorgestelde naam en een korte toelichting waarom deze wijziging nodig is, inclusief impact op Teams, SharePoint en Outlook. Pas de hernoeming pas toe nadat de eigenaar akkoord heeft gegeven zodat gebruikers niet worden verrast. Documenteer elke wijziging in het governancejournaal en koppel het ticket automatisch aan het changeproces, zodat auditors kunnen aantonen dat correcties controleerbaar zijn uitgevoerd. Voor verlopen groepen geldt een combinatie van automatische en handmatige stappen. Het expiratiebeleid verstuurt drie herinneringen, waarna de groep automatisch wordt gemarkeerd voor verwijdering. Het remediatieteam controleert eerst of er lopende projecten of juridische bewaarplichten zijn. Indien verwijdering veilig is, wordt de groep gearchiveerd en worden documenten overgezet naar een Records Center met de juiste retentie. Als gegevens nog nodig zijn, wordt de groep hernieuwd en krijgt de eigenaar een overzicht van verbeterpunten, zoals het toevoegen van een tweede eigenaar of het beperken van gasttoegang. Gastgebruikers vormen een apart risicogebied. Stel een maandelijkse access review in waarin eigenaars bevestigen welke externe accounts mogen blijven. Accounts zonder bevestiging worden automatisch geblokkeerd en na veertien dagen verwijderd. Documenteer per verwijderde gast waarom toegang niet langer nodig was en of er follow-up nodig is richting contractmanagement. Combineer deze aanpak met een notificatie aan de business sponsor zodat zij kunnen toetsen of samenwerking op een ander platform moet worden voortgezet. Voor groepen met het label Vertrouwelijk geldt een strengere lijn: gasttoegang wordt standaard geweigerd en alleen via een formele uitzondering toegestaan, inclusief einddatum en expliciete CISO-goedkeuring. Wanneer groepen geen sensitivity label hebben of een onjuist label voeren, dwingt het script microsoft365-groups.ps1 correcties af. Het script draait met lokale debuginstellingen zodat beheerders precies zien welke acties het uitvoert, en stopt automatisch na vijftien seconden mocht een fout optreden. Voor elke groep controleert het label, vergelijkt dit met de classificatie in het aanvraagregister en past indien nodig het juiste label toe. Als een labelwijziging invloed heeft op gastgebruik of versleuteling, ontvangt de eigenaar een adviesmail met praktische gevolgen en een checklist voor communicatie naar teamleden. Naast technische maatregelen is er een communicatieve component. Stuur een maandelijkse nieuwsbrief naar eigenaars met trends, veelgemaakte fouten en korte handleidingen voor zelfservice-remediatie. Organiseer workshops waarin je stap voor stap demonstreert hoe je een groep hernoemt, een eigenaar toevoegt of een gast verwijdert. Leg nadruk op de voordelen: minder incidentmeldingen, betere zoekresultaten en aantoonbare compliance. Door gebruikers onderdeel te maken van de oplossing halveert doorgaans het aantal afwijkingen binnen twee kwartalen.
Gebruik PowerShell-script microsoft365-groups.ps1 (functie Invoke-Remediation) β Past labels en instellingen automatisch aan en logt herstelacties voor audits..
Compliance en Auditing
Compliance en auditing voor Microsoft 365 Groups governance vraagt om een integrale benadering waarin beleid, controle en bewijsvoering elkaar versterken. Begin met het expliciet koppelen van groepsbeheersing aan de Baseline Informatiebeveiliging Overheid (BIO 9.01), ISO 27001 en de aankomende NIS2-verplichtingen. Vertaal deze normen naar concrete eisen zoals verplichte dubbele eigenaarschap, traceerbare provisioning en periodieke evaluaties van gasttoegang. Leg deze eisen vast in een beleidsdocument dat is goedgekeurd door de CISO en opgenomen in het informatiebeveiligingshandboek. Een sterke audittrail is onmisbaar. Elke configuratiewijziging, van naamgevingsbeleid tot labeldefinitie, moet worden geregistreerd met datum, verantwoordelijke en reden. Gebruik hiervoor Microsoft Purview Audit (Premium) zodat gebeurtenissen vijf tot tien jaar beschikbaar blijven. Koppel auditlogs aan een SIEM of archiefplatform dat alleen toegankelijk is voor geautoriseerde auditors en privacy officers. Zorg dat logbestanden worden versleuteld en dat de bewaartermijnen voldoen aan zowel AVG-artikel 30 (verwerkingsregister) als de Archiefwet. Voer minimaal vier keer per jaar een interne controle uit waarbij steekproeven worden genomen op nieuwe en bestaande groepen. Controleer of de provisioningaanvraag aanwezig is, of het toegepaste label overeenkomt met de gevoeligheid van de opgeslagen documenten en of gastgebruikers zijn vastgelegd in een register. Documenteer de bevindingen in een auditrapport met classificatie (Bijzonder, Hoog, Middel, Laag) en wijs verbeteracties toe aan proceseigenaren. Gebruik een volgtool om voortgang te volgen en koppel statusupdates aan de security board. Compliance houdt ook in dat gebruikersrechten regelmatig worden herbevestigd. Implementeer Access Reviews voor zowel interne leden als externe gasten en laat resultaten goedkeuren door proceseigenaren. Combineer dit met een kwartaalreview van de expiratiepolicy: toon welke groepen zijn verwijderd, hernieuwd of gearchiveerd en toets of de onderliggende data is opgeslagen in het juiste recordmanagementsysteem. Voor Teams die persoonsgegevens verwerken, verplicht je een Data Protection Impact Assessment (DPIA) voordat samenwerking met externe partijen start. Tijdens externe audits moet je aantonen dat governance structureel werkt. Verzamel daarom een standaardset auditbewijzen: provisioningformulieren, e-mailsjablonen voor expiratie, screenshots van naamgevingsbeleid, exportbestanden van Access Reviews en rapportages uit microsoft365-groups.ps1. Bewaar deze bewijzen in een afgeschermde SharePoint-site met versiebeheer en wijs een beheerder aan die verantwoordelijk is voor actualiteit. Zorg dat auditors toegang krijgen tot een leesaccount waarmee ze scripts kunnen uitvoeren in een gesandboxte omgeving met lokale debuginstellingen, zodat ze onafhankelijk kunnen bevestigen dat controles binnen vijftien seconden resultaat opleveren. Communicatie rondom compliance is cruciaal. Publiceer een halfjaarlijkse samenvatting voor het management waarin je laat zien hoe governance bijdraagt aan risicoreductie, welke verbeteringen zijn gerealiseerd en welke nieuwe wet- en regelgeving impact heeft op samenwerking. Gebruik infographics om complexe metrics toegankelijk te maken voor niet-technische stakeholders, maar houd alle details beschikbaar voor auditors. Door transparant te zijn over bevindingen en acties bouw je vertrouwen op en voorkom je verrassingen tijdens formele controles. Tot slot hoort er een duidelijke governancekalender te zijn waarin audits, awareness-sessies en beleidsupdates staan ingepland. Maak gebruik van RACI-matrices om vast te leggen wie verantwoordelijk is voor interpretatie van BIO- en NIS2-eisen, wie wijzigingen implementeert en wie toezicht houdt. Door deze structuur jaarlijks te herzien en de resultaten te delen met ondernemingsraad en leveranciers, blijft het programma in lijn met publieke verwachtingen.
Compliance & Frameworks
- BIO: 9.01 - BIO Baseline Informatiebeveiliging Overheid 9.01 - beheer van bedrijfsmiddelen en toegewezen samenwerkingsruimten.
- ISO 27001:2022: A.9.2.1 - ISO 27001:2022 A.9.2.1 - registratie en intrekking van gebruikersrechten binnen samenwerkingsplatformen.
- NIS2: Artikel - NIS2 artikel 21 verplicht aantoonbare toegangscontrole, lifecyclebeheer en logging voor digitale samenwerking.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Microsoft 365 Groups Design
.DESCRIPTION
Implementation for Microsoft 365 Groups Design
.NOTES
Filename: microsoft365-groups.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/platform/microsoft365-groups.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Microsoft 365 Groups Design"
$BIOControl = "9.01"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "microsoft365-groups"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Zonder governance ontstaan ongecontroleerde groepen, raakt informatie verspreid over talloze Teams en SharePoint-sites, blijven gastaccounts onbeperkt actief en ontbreken auditbewijzen voor BIO, AVG en NIS2. Dit leidt tot shadow IT, datalekken en hoge kosten voor achteraf opschonen.
Management Samenvatting
Voer een gestandaardiseerd aanmaakproces in, dwing naamgeving en labels technisch af, automatiseer expiratie en access reviews en koppel monitoring aan Power BI en microsoft365-groups.ps1. Zo houd je samenwerking beheersbaar, bewijs je compliance en beperk je operationele risico's.
- Implementatietijd: 36 uur
- FTE required: 0.3 FTE