š¼ Management Samenvatting
Door self-service purchasing centraal te regelen, voorkomt de organisatie dat individuele medewerkers zelfstandig licenties of aanvullende clouddiensten aanschaffen buiten de reguliere inkoop- en governanceprocessen om. Dit vermindert niet alleen financiĆ«le risico's en ongecontroleerde kosten, maar zorgt er ook voor dat alle gebruikte Microsoft 365- en Power Platform-diensten aantoonbaar binnen het beveiligings- en compliancekader van de organisatie vallen. Voor Nederlandse overheidsorganisaties, waar financiĆ«le transparantie, doelmatigheid en informatieveiligheid zwaar wegen, is een strak gereguleerd aankoopproces van digitale diensten een essentieel onderdeel van goed ictābeheer.
Aanbeveling
Advies: schakel self-service purchasing voor Microsoft 365- en Power Platform-producten centraal uit en dwing alle licentieaankopen af via een gecontroleerd inkoop- en goedkeuringsproces. Hiermee borg je dat alleen geautoriseerde personen namens de organisatie licenties kunnen aanschaffen, dat kosten altijd via de reguliere begroting en financiƫle administratie lopen, en dat alle gebruikte clouddiensten binnen het informatiebeveiligings- en privacybeleid passen.
Risico zonder
Low
Risk Score
3/10
Implementatie
4u (tech: 2u)
Van toepassing op:
ā Microsoft 365
Zonder duidelijke centrale regie op self-service purchasing kunnen medewerkers zelfstandig producten zoals Power BI, Power Apps, Visio of Project aanschaffen met een zakelijke creditcard of via directe facturatie. Dit leidt tot schaduwāIT, versnipperde licenties, onduidelijke eigenaarschap van abonnementen en het risico dat gevoelige gegevens in omgevingen terechtkomen die niet zijn ingericht volgens het eigen beveiligings- en privacybeleid. Daarnaast ontstaat er een verhoogd risico op budgetoverschrijdingen, omdat de uitgaven niet meer eenduidig via de reguliere begroting en inkoop worden bijgehouden. Voor controllers, CISO's en lijnmanagers wordt het dan vrijwel onmogelijk om een volledig en actueel overzicht te hebben van alle gebruikte cloudservices en bijbehorende kosten.
PowerShell Modules Vereist
Primary API: MSCommerce PowerShell
Connection:
Required Modules: MSCommerce
Connection:
Connect-MSCommerceRequired Modules: MSCommerce
Implementatie
In deze richtlijn beschrijven we hoe je self-service purchasing organisatiebreed uitschakelt of strikt beperkt, zodat alle aanschaf van Microsoft 365- en Power Platform-licenties via beheerde processen loopt. De nadruk ligt op het configureren van de MSCommerce-instellingen, het borgen van deze keuze in beleid en procedures, en het inbedden van monitoring en periodieke controles. De technische inrichting gebeurt primair via het MSCommerce PowerShellāmodule en de beheerportalen van Microsoft 365; hierbij worden geen extra schemaāaanpassingen gedaan, maar uitsluitend configuraties aangepast die bepalen wie welke licenties mag aanschaffen. Het resultaat is een gecontroleerd, transparant en auditābaar licentielandschap dat aansluit op de financiĆ«le kaders, de BIOāeisen en het interne governanceāraamwerk van de organisatie.
Vereisten
Voor het inrichten en beheersen van self-service purchasing is het noodzakelijk dat minimaal Ć©Ć©n functionaris beschikt over de juiste beheerrollen in de Microsoft 365-tenant. In de praktijk gaat het om een globale beheerder of een rol met gelijkwaardige rechten die MSCommerce-instellingen mag wijzigen en toegang heeft tot de Microsoft 365-beheerportal. Daarnaast moet er een duidelijke rolverdeling zijn tussen IT-beheer, inkoop/financiĆ«n en informatiebeveiliging, zodat wijzigingen in het aankoopbeleid niet adāhoc plaatsvinden maar altijd zijn afgestemd met de verantwoordelijke procesā en budgeteigenaren. Zorg verder dat er vooraf beleid is vastgesteld waarin staat dat medewerkers geen licenties buiten de centrale processen mogen aanschaffen, en dat eventuele uitzonderingen expliciet worden vastgelegd en periodiek worden herbeoordeeld.
Implementatie
De implementatie van het blokkeren van self-service purchasing bestaat uit een combinatie van technische configuratie en organisatorische afspraken. Technisch wordt de self-service functionaliteit uitgeschakeld via het MSCommerce PowerShell-module, waarmee per productcategorie kan worden vastgelegd of eindgebruikers zelfstandig mogen aankopen of upgraden. Een veelgebruikte configuratie is het expliciet uitschakelen van self-service purchasing voor alle ondersteunde producten met het commando Update-MSCommerceProductPolicy -PolicyId AllowSelfServicePurchase -Enabled $false, nadat eerst met Connect-MSCommerce een beveiligde verbinding met de tenant is opgezet. Het is belangrijk om deze wijziging niet geĆÆsoleerd uit te voeren, maar in te bedden in een kort, formeel wijzigingsvoorstel waarin wordt beschreven waarom de organisatie kiest voor centrale inkoop, welke afdelingen geraakt worden en hoe medewerkers voortaan licentieaanvragen moeten indienen. Communiceer vooraf duidelijk naar de organisatie dat directe aankopen door medewerkers worden geblokkeerd en dat licentiewensen via het reguliere service- of inkoopportaal verlopen. Leg de uiteindelijke configuratie vast in beheerdocumentatie, inclusief de gebruikte cmdlets, verantwoordelijke beheerrol en de datum waarop het beleid is ingegaan, zodat auditors en interne controleafdelingen op een later moment kunnen verifiĆ«ren dat de instelling bewust en gecontroleerd is toegepast.
Gebruik PowerShell-script self-service-purchasing.ps1 (functie Invoke-Monitoring) ā Monitoren.
Monitoring
Na het uitschakelen van self-service purchasing is continue monitoring noodzakelijk om te borgen dat het beleid in stand blijft en dat er geen ongewenste wijzigingen worden doorgevoerd. Met het commando Get-MSCommerceProductPolicies kunnen beheerders periodiek het actuele overzicht opvragen van alle productbeleidsinstellingen in de tenant en controleren of self-service aankopen nog steeds zijn uitgeschakeld voor de relevante producten. Deze controle kan worden opgenomen in een maandelijks of per kwartaal uit te voeren beheerrapportage, waarbij de resultaten worden vastgelegd en bewaard als auditbewijslast. Idealiter wordt er een geautomatiseerd script ingericht dat op vaste momenten draait, de uitkomst van Get-MSCommerceProductPolicies vastlegt en eventuele afwijkingen ten opzichte van het gewenste beleid signaleert aan het beheerteam of de CISO-organisatie. Op die manier ontstaat een gesloten controleloop: beleid wordt niet alleen eenmalig geconfigureerd, maar ook aantoonbaar bewaakt en tijdig gecorrigeerd wanneer iemand per ongeluk instellingen wijzigt of wanneer nieuwe producten worden geĆÆntroduceerd die standaard weer self-service purchasing inschakelen.
Gebruik PowerShell-script self-service-purchasing.ps1 (functie Invoke-Monitoring) ā Controleren.
Remediatie
Wanneer uit monitoring, audits of meldingen blijkt dat self-service purchasing toch (weer) is ingeschakeld of dat er ongewenste individuele uitzonderingen zijn ontstaan, moet de organisatie gestructureerd kunnen remediƫren. De eerste stap is het analyseren welke producten en gebruikers betrokken zijn: gebruik hiervoor de beheerportalen en rapportages om vast te stellen welke licenties buiten de afgesproken processen om zijn aangeschaft. Vervolgens worden de beleidsinstellingen gecorrigeerd door de betreffende product policies opnieuw te configureren en waar nodig met Update-MSCommerceProductPolicy de self-service opties uit te schakelen. Ongeautoriseerde licenties kunnen, in afstemming met de betrokken afdelingen, worden beƫindigd of ondergebracht in het reguliere licentieportfolio, zodat facturatie en eigenaarschap weer duidelijk zijn. Leg alle herstelacties zorgvuldig vast, inclusief datum, scope, betrokken diensten en genomen beslissingen, zodat eventuele financiƫle en compliance-gerelateerde consequenties transparant zijn. Tot slot is het belangrijk om de onderliggende oorzaak te adresseren, bijvoorbeeld door extra communicatie richting medewerkers, aanscherping van het inkoopproces of het aanpassen van interne werkinstructies voor beheerders die MSCommerce-instellingen mogen wijzigen.
Gebruik PowerShell-script self-service-purchasing.ps1 (functie Invoke-Remediation) ā Herstellen.
Compliance en Auditing
Voor Nederlandse overheidsorganisaties is het kunnen aantonen van goed financieel beheer en verantwoorde omgang met digitale diensten een harde randvoorwaarde. Het beleid rondom self-service purchasing draagt hier direct aan bij, omdat het voorkomt dat middelen buiten de reguliere begrotingscyclus worden ingezet en helpt om licentiegebruik te koppelen aan vastgestelde budgetten en programma's. Vanuit de BIO en interne controleraamwerken is het noodzakelijk dat keuzes over het al dan niet toestaan van self-service purchasing expliciet zijn vastgelegd in beleid, procedures en technische configuraties. Documenteer daarom het formele beleid in bijvoorbeeld een informatiebeveiligingsbeleid of financieel beheerbeleid, leg de concrete configuratiestappen vast in beheerprocedures en zorg dat auditrapportages duidelijk laten zien welke controles worden uitgevoerd (zoals periodieke Get-MSCommerceProductPolicies-controles). Bewaar beslisdocumenten, wijzigingsverzoeken, screenshots en PowerShell-uitvoer als audit evidence met een passende bewaartermijn, zodat interne en externe auditors kunnen vaststellen dat de organisatie in control is over de manier waarop cloudlicenties worden aangeschaft en beheerd. Dit versterkt niet alleen de compliancepositie, maar geeft ook bestuur en management vertrouwen dat de inzet van Microsoft 365 en aanverwante diensten onderbouwd, transparant en doelmatig plaatsvindt.
Compliance & Frameworks
- BIO: 9.01 - BIO Baseline Informatiebeveiliging Overheid - 9.01 - Assetmanagement
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Self-Service Purchasing Design
.DESCRIPTION
Implementation for Self-Service Purchasing Design
.NOTES
Filename: self-service-purchasing.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/platform/self-service-purchasing.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Self-Service Purchasing Design"
$BIOControl = "9.01"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "self-service-purchasing"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Low: Wanneer self-service purchasing ingeschakeld blijft, kunnen individuele medewerkers zelfstandig licenties aanschaffen zonder voorafgaande goedkeuring van IT, inkoop of budgethouders. Dit leidt tot budgetoverschrijdingen doordat kosten verspreid en onzichtbaar ontstaan, mogelijk oplopend tot duizenden euro's per maand zonder centrale sturing. Daarnaast ontstaat schaduw-IT: diensten die wel worden gebruikt maar niet bekend zijn bij beheerders of de CISO, waardoor beveiligingsmaatregelen, logging, bewaartermijnen en dataclassificatie mogelijk niet op orde zijn. Ook wordt het lastiger om te voldoen aan interne en externe eisen rondom financiƫle governance en verantwoording, omdat niet helder te herleiden is wie welke diensten heeft aangeschaft en op basis van welk besluit. Het gecombineerde risico is daarmee duidelijk: financiƫle onvoorspelbaarheid, verlies van overzicht op gebruikte cloudservices en een verzwakte informatiebeveiligings- en compliancepositie.
Management Samenvatting
Door self-service purchasing uit te schakelen, voorkom je dat eindgebruikers zelfstandig Microsoft 365- en Power Platform-licenties aanschaffen buiten de afgesproken processen om. Alle licentieaanvragen lopen in plaats daarvan via een centraal ingericht aanvraag- en goedkeuringsproces, waarbij IT, inkoop en informatiebeveiliging kunnen toetsen op noodzaak, kosten, beveiliging en compliance. De technische inrichting is relatief eenvoudig: via het MSCommerce PowerShell-module en de Microsoft 365-beheerportal worden self-service opties per productcategorie gedeactiveerd en worden deze instellingen periodiek gecontroleerd. De meerwaarde is groot: beter kostenbeheer, minder schaduw-IT, een duidelijker licentieportfolio en aantoonbare naleving van interne controleraamwerken en de BIO-vereisten rondom governance en assetmanagement.
- Implementatietijd: 4 uur
- FTE required: 0.05 FTE