💼 Management Samenvatting
Een zorgvuldig ontworpen RBAC-strategie zorgt ervoor dat iedere beheerder alleen de strikt noodzakelijke rechten krijgt en dat kritieke workloads binnen Microsoft 365 en Azure consequent gescheiden blijven.
Aanbeveling
Implementeer een integraal RBAC- en PIM-programma dat strikt least privilege afdwingt en noodtoegang gecontroleerd houdt.
Risico zonder
Critical
Risk Score
9/10
Implementatie
64u (tech: 40u)
Van toepassing op:
✓ Azure AD
✓ Microsoft 365
✓ Azure RBAC
✓ Microsoft 365
✓ Azure RBAC
Structurele overprivileging is een van de grootste aanvalsvectoren binnen cloudomgevingen. Permanente Global Administrator-rechten vergroten de kans op diefstal van inloggegevens, misbruik door insiders en onbedoelde configuratiefouten. Door just-in-time rechten via Privileged Identity Management (PIM) af te dwingen, wordt de blootstelling per beheeractie teruggebracht tot enkele uren en is iedere stap volledig traceerbaar.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.Governance, Microsoft.Graph.Identity.DirectoryManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.Governance, Microsoft.Graph.Identity.DirectoryManagement
Implementatie
Dit ontwerpdocument beschrijft een volledige RBAC-strategie voor de Nederlandse Baseline voor Veilige Cloud, inclusief rolmodelleur, Azure AD PIM-configuraties, procedures voor noodtoegang, consentworkflows voor applicaties en governanceafspraken voor audits en naleving.
Vereisten
Een robuuste rolgebaseerde toegangsstrategie start met een scherpe afbakening van de digitale kroonjuwelen die de Nederlandse publieke sector moet beschermen. Organisaties brengen al hun Azure AD-tenants, Microsoft 365-workloads, bedrijfskritische SaaS-koppelingen en hybride identiteiten in kaart en koppelen die vervolgens aan dataclassificaties uit de Baseline Informatiebeveiliging Overheid (BIO). Pas wanneer duidelijk is welke processen mission critical zijn, kan worden bepaald welke rollen minimaal nodig zijn om beheerhandelingen uit te voeren. Dit vereiste fundament bevat ook een duidelijke taxonomie van identiteiten: menselijke beheerders, dienstaccounts, automatiseringsidentiteiten en externe partners krijgen elk hun eigen beleidsset, zodat incidenten nooit doorsijpelen naar citizen services, basisregistraties of vitale infrastructuur. Een tweede basiseis betreft licenties en platformfuncties. Azure AD Premium P2 is noodzakelijk om Privileged Identity Management (PIM) te activeren, maar het is even belangrijk dat organisaties een lifecycleproces hebben voor licentietoewijzing aan beheerders. Finance- en inkoopteams reserveren capaciteit zodat iedere beheerder een continue P2-licentie heeft, zelfs wanneer iemand tijdelijk in een andere functie werkt. Daarnaast is een gedeelde configuratiebibliotheek met standaard Conditional Access-beleidsregels verplicht, inclusief break-glass-uitzonderingen en serviceaccounts met beperkingen op netwerk en apparaatstatus. Zonder deze voorbereide bouwstenen verzanden implementaties in ad-hoc uitzonderingen die moeilijk te auditen zijn en ontstaat technische schuld. De volgende vereiste richt zich op personele en organisatorische randvoorwaarden. Iedere beheerrol moet gekoppeld zijn aan een beschreven persona met taken, bevoegdheden, escalatiepaden en vervanging bij afwezigheid. Security officers leggen vast hoe de scheiding tussen identity-, workload- en platformteams wordt gerealiseerd en welke fallback beschikbaar is bij ziekte of crisissituaties. Voor elke persona bestaat een trainingsplan waarin onder andere het gebruik van PIM, het interpreteren van auditlogs, het veiligstellen van bewijsmateriaal en het uitvoeren van noodprocedures aan bod komt. Dit plan wordt aangevuld met een jaarlijkse integriteits- of betrouwbaarheidstoets, zodat privileged toegang alleen wordt verleend aan medewerkers met een recente screening. Tot slot vereist een volwassen RBAC-strategie ondersteunende tooling en detectiecapaciteit. Logcollectie uit Azure AD, Defender for Cloud Apps, Microsoft Sentinel en Microsoft Purview Access Reviews wordt centraal ingericht zodat waarschuwingen over privilege-escalaties binnen minuten zichtbaar zijn. Emergency access-accounts worden fysiek gescheiden beheerd, opgeslagen in verzegelde kluizen, getest op een gepland schema en continu gemonitord op iedere aanmelding. Het beleid verplicht daarnaast dat alle applicatiebeheerteams een consentregister bijhouden voor enterprise-apps en delegated permissions, inclusief risicobeoordeling en goedkeuringsbesluiten. Deze combinatie van licenties, processen, training en monitoring vormt de minimale set randvoorwaarden voordat er ook maar één rolwijziging wordt uitgevoerd. Daarnaast eisen we dat de ownership- en governance-structuur ondubbelzinnig is. Elke rol in de matrix krijgt een eigenaar die verantwoordelijk is voor documentatie, wijzigingsvoorstellen en periodieke herbeoordeling. Het governanceboard voor de Nederlandse Baseline voor Veilige Cloud plant elk kwartaal een sessie waarin nieuwe workloads, fusies of uitbestedingen worden besproken, zodat het RBAC-model meegroeit met organisatorische veranderingen. Risico-eigenaren krijgen dashboards waarin zij kunnen zien welke beheerders toegang hebben tot hun systemen en of verplichte reviewtaken zijn uitgevoerd. Door deze organisatorische borging te combineren met technische maatregelen blijven de vereisten actueel en wordt voorkomen dat oude uitzonderingen ongemerkt in productie blijven bestaan. Als onderdeel van de vereisten wordt ook een continue verbetercyclus vastgelegd. Lessons learned uit incidenten, audits en penetratietests worden minimaal elk kwartaal vertaald naar aangepaste rolbeschrijvingen, aanvullende trainingsmodules of nieuwe technische controles. De cyclus omvat een review door het CISO-office, validatie door proceseigenaren en communicatie naar alle betrokken beheerders. Hierdoor blijft de vereistenbibliotheek levend en sluit zij altijd aan op actuele dreigingen.
Implementeeratie
De implementatie begint met het modelleren van rollen vanuit bedrijfsprocessen in plaats van vanuit individuele gebruikers. Architecten creëren een matrix waarin elke workloadactie, zoals Exchange-transportregels aanpassen of Intune-device policies publiceren, is gekoppeld aan een standaardrol. Vervolgens bepalen zij of ingebouwde Azure- of Microsoft 365-rollen voldoen of dat er custom rollen nodig zijn, waarbij het uitgangspunt altijd least privilege blijft. Deze rolmatrix wordt gekoppeld aan Conditional Access-profielen zodat kritieke acties alleen mogelijk zijn vanaf compliant apparaten, met meervoudige authenticatie en netwerksegmentatie voor beheerders. Door deze voorbereiding kunnen toewijzingen later in Privileged Identity Management (PIM) eenvoudig worden geautomatiseerd. Daarna richten beheerders PIM volledig in. Elke permanente roltoewijzing wordt omgezet naar een eligible status met duidelijke activeringsregels: een maximale duur van acht uur, verplichte justificatie, optionele ticketreferentie en goedkeuring door een rolbeheerder bij hoogrisicoprofielen zoals Global Administrator of Privileged Role Administrator. Notificaties gaan naar zowel het security operations center als naar de eigenaar van het betreffende systeem, zodat activeringen altijd door minimaal twee mensen worden gezien. Voor minder kritieke rollen kan auto-approval worden gebruikt, mits er compensatiemaatregelen zijn zoals geautomatiseerde post-activation reviews.
Het proces omvat ook de inrichting van noodtoegang en applicatiebeheer. Twee cloud-only break-glass-accounts behouden permanente Global Administrator-rechten maar worden uitgesloten van Conditional Access en PIM; de wachtwoorden liggen in verzegelde kluizen, worden regelmatig vernieuwd en maandelijks getest in een gecontroleerd scenario. Voor applicaties wordt de admin consent-workflow geactiveerd, waarbij ontwikkelaars eerst een risicovragenlijst invullen. Alleen wanneer de data-eigenaar, security officer en tenant admin akkoord geven, mag een applicatie privileged scopes aanvragen. Audittrail-informatie wordt automatisch opgeslagen in Microsoft Purview of een vergelijkbaar register om AVG-aanvragen later te kunnen beantwoorden. Tot slot wordt de implementatie verankerd in dagelijkse werkprocessen. Change managementteams voegen RBAC-controles toe aan elke wijzigingsaanvraag, servicedesks gebruiken vooraf goedgekeurde sjablonen voor tijdelijke roltoewijzingen en HR-systemen leveren triggers wanneer mensen van functie veranderen. Nieuwe beheerders krijgen eerst een sandboxtenant waarin zij PIM-activeringen kunnen oefenen via het script `code/design/platform/rbac-strategy.ps1`, waarna ze pas toegang krijgen tot productie. Door technische configuraties te combineren met opleiding, communicatie en lifecycle-automatisering blijft het model duurzaam en schaalbaar. Parallel aan de technische inrichting wordt een automatiseringslaag gebouwd. Infrastructure-as-code-definities voor rollen, PIM-instellingen en Conditional Access-beleid worden opgeslagen in een Git-repository en via pull requests beheerd. Elke wijziging doorloopt code review, unit tests en validatie in een niet-productie tenant voordat promotie naar productie plaatsvindt. CI/CD-pijplijnen publiceren automatisch documentatie en sturen notificaties naar het governanceboard, zodat inzichtelijk is wie welke wijziging heeft doorgevoerd. Integraties met HR- en ITSM-systemen zorgen ervoor dat onboarding- en offboarding-events direct worden vertaald naar roltoewijzingen of intrekkingen. Hierdoor verdwijnt handwerk, worden fouten sneller gevonden en kan het programma blijven meegroeien met nieuwe workloads en organisatiestructuren. Verandermanagement krijgt dezelfde aandacht als techniek. Communicatiecampagnes leggen stap voor stap uit waarom beheeraccounts voortaan via PIM verlopen, welke voordelen dat biedt voor burgers en welke ondersteuning beschikbaar is voor beheerders. KPI’s over adoptie, zoals het aantal succesvolle PIM-activeringen tijdens de pilot of de daling in permanente toewijzingen, worden gedeeld met leidinggevenden zodat zij capaciteit vrijmaken voor coaching en ondersteuning. Deze focus op menselijk gedrag zorgt ervoor dat het implementatieplan niet alleen technisch correct is, maar ook daadwerkelijk wordt geaccepteerd door iedere beheerder.
Gebruik PowerShell-script rbac-strategy.ps1 (functie Invoke-Monitoring) – monitor RBAC compliance.
monitoring
Effectieve monitoring start met een helder beeld van welke signalen daadwerkelijk iets zeggen over privilegegebruik. Azure AD-auditlogs, PIM-activiteit, Defender for Cloud Apps-alerts, Microsoft Purview Access Reviews en Microsoft Sentinel-analyses worden gekoppeld aan één dataplatform met een retentie van minimaal twaalf maanden. SOC-analisten configureren queries die afwijkende activeringen detecteren, zoals escalaties buiten kantoortijden, dubbele activeringen binnen één uur, aanmeldingen vanaf niet-geverifieerde locaties of het plotseling activeren van meerdere hoge rollen door dezelfde persoon. Door deze bronnen samen te voegen ontstaat een continu beeld van wie wanneer welke rechten gebruikt en welke systemen daardoor geraakt zijn. Vervolgens worden prestatie-indicatoren vastgesteld die het volwassenheidsniveau van de RBAC-strategie tastbaar maken. Voorbeelden zijn het percentage permanente toewijzingen per workload, de gemiddelde duur van PIM-sessies, het aantal geweigerde consentaanvragen, de tijd tussen het beëindigen van een dienstverband en het intrekken van privileged accounts, en de mate waarin break-glass-accounts worden aangeroepen tijdens oefeningen. Deze KPI’s worden maandelijks besproken in het security governance board, gekoppeld aan risiconiveaus en vergeleken met afgesproken drempelwaarden. Wanneer een KPI boven de drempel komt, activeert het team een verbeterplan, bijvoorbeeld aanvullende training, het automatiseren van intrekkingen of het aanscherpen van justificatievelden. Monitoring richt zich ook op incidentrespons. Integraties met Microsoft Sentinel zorgen ervoor dat verdachte PIM-activeringen direct een automatiseringstrack starten: het betrokken account wordt tijdelijk geblokkeerd, een forensisch snapshot van het systeem wordt gemaakt, ticketing krijgt een hoog-prioriteitsmelding en het CSIRT ontvangt context via Teams. Emergency access-accounts krijgen afzonderlijke alertprofielen met sms-, e-mail- en telefonische notificaties, zodat ongeautoriseerd gebruik nooit onopgemerkt blijft. Lessons learned uit echte incidenten en oefeningen worden vertaald naar nieuwe detectieregels, zodat het systeem continu verbetert. Het script `code/design/platform/rbac-strategy.ps1` levert aanvullende bewijslast en automatisering. Met de functie `Invoke-Monitoring` wordt wekelijks een rapport gegenereerd waarin roltoewijzingen, activeringslogs, afwijkende patronen en aanbevelingen voor follow-up worden samengebracht. De output wordt opgeslagen in een beveiligde storage-account met role-based toegang en wordt gedeeld met zowel operations als internal audit. Door het script via Azure Automation of GitHub Actions te plannen, is het toezicht consistent en onafhankelijk van individuele beheerders. Om monitoring toekomstbestendig te houden wordt data science ingezet voor trendanalyses en voorspellende detectie. Sentinel-notebooks combineren RBAC-data met threat intelligence over misbruik van admin-accounts, waardoor analisten zien welke rollen het meest worden aangevallen en welke preventieve aanpassingen nodig zijn. Workshops met beheerders leveren kwalitatieve feedback op over ruis in meldingen of ontbrekende context. Deze inzichten worden teruggevoerd in het detectieontwerp, zodat monitoring niet alleen reactief is maar ook proactief bijstuurt. Daarnaast worden API’s ontsloten naar risicoregisters en dashboards voor bestuurders, zodat zij realtime inzicht hebben in de staat van privileged toegang. Monitoringresultaten worden bovendien gebenchmarkt tegen sectorcollega’s en wettelijke normen. Door deelname aan samenwerkingsverbanden zoals het Overheidsbreed Cyberprogramma kunnen organisaties trends vergelijken en best practices uitwisselen. De inzichten worden verwerkt in rapportages naar toezichthouders en in kwartaalupdates voor de raad van bestuur, zodat besluitvorming plaatsvindt op basis van actuele data in plaats van aannames. Service-eigenaren ontvangen wekelijks een leesbaar rapport waarin afwijkingen worden vertaald naar concrete acties, zoals het intrekken van ongebruikte groepen of het aanscherpen van een werkproces. Hierdoor wordt monitoring onderdeel van de reguliere beheeragenda en niet alleen een taak van het SOC.
Gebruik PowerShell-script rbac-strategy.ps1 (functie Invoke-Monitoring) – RBAC health check.
Remediatie
Remediatie start met een duidelijk gedefinieerde triage. Zodra monitoring een afwijking signaleert, kwalificeert het RBAC-team het incident op basis van risicoclassificatie: kritieke cloudbeheerders, workload-specifieke rollen of applicatieconsent. Voor elke categorie bestaat een draaiboek dat beschrijft welke stappen binnen het eerste uur, de eerste dag en de daaropvolgende week moeten worden uitgevoerd. Communicatieafspraken met het SOC, het CSIRT en proceseigenaren zijn vooraf getest, zodat iedereen weet wie beslissingsbevoegd is om toegang tijdelijk te blokkeren. Deze aanpak voorkomt dat tijdelijke mitigerende maatregelen blijven liggen en zorgt ervoor dat bewijs direct wordt veiliggesteld voor forensisch onderzoek. Het belangrijkste correctiemechanisme is het verwijderen van permanente toewijzingen en het afdwingen van PIM. Beheerders gebruiken gedocumenteerde change scripts om rechten in bulk om te zetten naar eligible status, ongebruikte rollen te verwijderen of te brede custom rollen op te splitsen. Tijdens deze werkzaamheden wordt het principe van segregation of duties bewaakt door iedere wijziging te laten controleren door een tweede beheerder of auditor, waarbij elektronisch ondertekenen via het ITSM-systeem verplicht is. Alle wijzigingen worden geregistreerd in het centrale accessregister, inclusief motivatie, verwijzing naar het incidentticket en verwachte datum van afronding. Wanneer noodaccounts of uitzonderingen betrokken zijn, volgt een aanvullende set stappen. Break-glass-accounts krijgen nieuwe wachtwoorden, Conditional Access-uitzonderingen worden herbevestigd en het management ontvangt een rapport met tijdlijn, impact en lessons learned. Indien een derde partij verantwoordelijk blijkt voor misbruik, wordt contractueel vastgelegd welke verbeteringen en rapportages worden verlangd voordat toegang wordt hersteld. De juridische afdeling controleert of meldingsplichten onder NIS2 of AVG worden geactiveerd en ondersteunt bij communicatie naar toezichthouders. Deze transparantie is essentieel richting inspecties, raden van bestuur en interne auditcommissies. Het script `code/design/platform/rbac-strategy.ps1` bevat de functie `Invoke-Remediation`, waarmee controles geautomatiseerd kunnen worden uitgevoerd. Het script inventariseert permanente toewijzingen, controleert of PIM correct is toegepast, vergelijkt resultaten met de rolmatrix en genereert een uitvoerbaar werkpakket voor beheerders. Door het script in een gecontroleerde pipeline te draaien, is iedere remediatiestap herleidbaar en kan het rapport direct worden toegevoegd aan het auditdossier. Zo wordt remediatie een reproduceerbaar proces in plaats van een ad-hoc inspanning. Regelmatige oefeningen zorgen ervoor dat alle remediatiestappen in de praktijk uitvoerbaar blijven. Het RBAC-team organiseert tabletop-sessies en technische dry-runs waarin scripts worden getest, logging wordt gevalideerd en communicatielijnen worden geoefend. De resultaten worden vertaald naar verbeterpunten, bijvoorbeeld extra automatisering, aanvullende detectieregels of een aangepaste escalatiematrix. Door lessons learned te documenteren in het RBAC-handboek ontstaat een lerende organisatie die bij ieder incident sneller reageert en minder herstelwerk nodig heeft. Om duurzaamheid te borgen worden remediatie-acties afgesloten met een effectmeting. Iedere afronding bevat indicatoren zoals het aantal verwijderde permanente accounts, de tijd tussen detectie en herstel, de verbeterde dekking van detectieregels en de feedback van proceseigenaren. Deze gegevens voeden het verbeterprogramma en bepalen welke processen extra automatisering, training of governance nodig hebben. Zo ontstaat een meetbare cyclus waarin remediatie niet alleen problemen oplost maar ook structurele verbeteringen oplevert. Technische integraties tussen SIEM, ITSM en identity governance zorgen bovendien voor een gesloten keten. Wanneer een incidentticket wordt aangemaakt, controleert een automatiseringsrunbook direct of er nog actieve sessies zijn, herroept tokenrechten en documenteert de genomen acties in hetzelfde ticket. Hierdoor ontstaat een volledig spoor zonder dat beheerders informatie hoeven te knippen en plakken tussen systemen.
Gebruik PowerShell-script rbac-strategy.ps1 (functie Invoke-Remediation) – Remediate RBAC issues.
Compliance en Auditing
Compliance en auditing starten met het definiëren van een jaarlijks toetsingsplan dat aansluit op de BIO, ISO 27001 en NIS2-eisen. Het plan beschrijft welke controles door internal audit worden uitgevoerd, welke door de lijnorganisatie en welke door externe auditors. Elke controle koppelt duidelijke criteria aan RBAC-activiteiten, zoals het vereiste dat alle Global Administrator-toewijzingen maximaal negen maanden oud zijn en via PIM verlopen. Door deze eisen vooraf te documenteren kan het RBAC-team gericht bewijs verzamelen in plaats van achteraf dossiers te reconstrueren. Een tweede pijler is het beheer van auditbewijs. Roltoewijzingsoverzichten, PIM-configuraties, consentbeslissingen en emergency access-tests worden volgens een vast sjabloon opgeslagen in een beveiligde SharePoint-site of Purview-records management. Metadata geeft aan wie het bewijs heeft aangeleverd, welke periode het dekt en wanneer het verloopt. Retentieperioden van minimaal zeven jaar zorgen ervoor dat organisaties tijdens onderzoeken kunnen aantonen hoe privilegebeheer in het verleden was ingericht. Compliance vergt daarnaast continue evaluatie van regelgeving. Nieuwe BIO-profielen, aanvullende NIS2-uitvoeringswetgeving of specifieke eisen van Rijksbrede programma’s worden vertaald naar concrete RBAC-controles. Bijvoorbeeld: wanneer een sectorale norm vraagt om vier-ogen-principes bij iedere rolwijziging, wordt het goedkeuringsproces in PIM en ITSM aangepast om automatische bewijslijnen te genereren. Door juridische en privacy-experts periodiek te betrekken, blijven de maatregelen toekomstbestendig en wordt voorkomen dat verouderde procedures tot findings leiden. Auditors verwachten daarnaast dat organisaties onafhankelijk kunnen aantonen hoe uitzonderingen zijn beheerd. Daarom wordt voor iedere afwijking, zoals tijdelijke permanente toegang of een prioritaire incidentrespons, een exception record aangemaakt met duidelijke looptijd, eigenaar en goedkeuring. Het compliance-team bewaakt dat de uitzondering tijdig wordt beëindigd en dat compenserende maatregelen aantoonbaar zijn uitgevoerd. Tijdens readiness-assessments worden steekproeven genomen uit deze records om de kwaliteit van documentatie te toetsen en gebruikers bewust te maken van de eisen die aan privileged toegang worden gesteld. Digitale ondertekening en automatisering spelen ook een rol. Toetsingsrapporten worden voorzien van elektronische handtekeningen van de verantwoordelijke CISO en proceseigenaar, waarna ze worden opgeslagen in een onveranderbare repository. Dashboards in Power BI of Azure Monitor tonen realtime of audits binnen planning liggen en welke verbeteracties nog openstaan. Deze transparantie naar bestuurders en toezichthouders maakt duidelijk dat RBAC een integraal onderdeel is van de Nederlandse Baseline voor Veilige Cloud en geen optionele maatregel. Tot slot wordt auditing verankerd in governance. De CISO rapporteert kwartaalresultaten aan de bestuurder, inclusief trendanalyses, openstaande verbeteracties en lessons learned uit audits. Afwijkingen worden opgenomen in het enterprise risk register zodat de volgende bestuursvergaderingen expliciet besluiten over prioritering en budget. Hierdoor wordt RBAC niet gezien als een eenmalig project, maar als een continu controleobject dat aantoonbaar bijdraagt aan de Nederlandse Baseline voor Veilige Cloud. Alle betrokken teams krijgen daarom specifieke trainingspaden over audit-readiness, documentatie-eisen en het veilig aanleveren van bewijsmateriaal. Nieuwe medewerkers volgen een onboardingmodule over RBAC-compliance, terwijl ervaren beheerders jaarlijks een update krijgen over gewijzigde wet- en regelgeving. De combinatie van processen, tooling en mensgerichte borging zorgt ervoor dat naleving niet slechts een papieren verplichting is, maar een ingebakken onderdeel van de dagelijkse operatie. Daarnaast onderhouden organisaties een community of practice waarin compliance officers, auditors en technische beheerders casussen delen, risico’s bespreken en checklists actualiseren. Deze samenwerking versnelt kennisdeling, verkleint de kans op interpretatieverschillen en zorgt ervoor dat verbeteringen uit één domein direct worden overgenomen door andere teams.
Compliance & Frameworks
- CIS M365: Control 5.1.1 (L1) - CIS Controls v8 5.1.1 - Zorg ervoor dat alleen door de organisatie beheerde en goedgekeurde groepen bestaan voor privileged toegang
- BIO: 9.02 - BIO Baseline Informatiebeveiliging Overheid - 9.02 - Gebruikerstoegang en privileges
- ISO 27001:2022: A.9.2.3 - ISO 27001:2022 - Beheer van geprivilegieerde toegangsrechten
- NIS2: Artikel - NIS2 - Sterke toegangscontrole, authenticatie en least privilege voor essentiële diensten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
M365 RBAC Strategy Design
.DESCRIPTION
Implementation for M365 RBAC Strategy Design
.NOTES
Filename: rbac-strategy.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/platform/rbac-strategy.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "M365 RBAC Strategy Design"
$BIOControl = "9.02"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "rbac-strategy"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Zonder dit programma blijven permanente beheeraccounts bestaan, waardoor credential theft, insider threats en misconfiguraties direct leiden tot verstoring van bedrijfsprocessen en mogelijke AVG- of NIS2-incidenten. Standing access betekent 365 dagen blootstelling; PIM verkleint dat venster tot enkele uren en maakt iedere handeling auditbaar.
Management Samenvatting
Ontwerp een rolmatrix op basis van BIO-classificaties, gebruik waar mogelijk ingebouwde rollen en zet alle privileges om naar eligible status in Azure AD PIM met justificatie, goedkeuring en maximale activeringsduur van acht uur. Richt break-glass-accounts gescheiden in, beheer consent voor applicaties via een formele workflow en voer kwartaalreviews uit op alle privileged assignments. Automatiseer monitoring en remediatie met het script `code/design/platform/rbac-strategy.ps1` en leg alle bewijzen vast voor BIO 9.02, ISO 27001 en NIS2-audits.
- Implementatietijd: 64 uur
- FTE required: 0.5 FTE