💼 Management Samenvatting
Een zorgvuldig beheer van Microsoft 365-services en add-ins voorkomt dat toevallig geactiveerde functies de beveiligingsarchitectuur verzwakken en biedt ruimte voor gerichte innovatie.
Aanbeveling
Beperk Microsoft 365-services en add-ins tot het strikt noodzakelijke portfolio en documenteer elk besluit inclusief risicoafweging, eigenaarschap en fallbackscenario.
Risico zonder
Low
Risk Score
3/10
Implementatie
8u (tech: 4u)
Van toepassing op:
✓ Microsoft 365
Wanneer afdelingen zelfstandig experimentele services inschakelen, ontstaan privacyrisico's, dubbele functionaliteit en verhoogde beheercomplexiteit; centrale regie houdt de tenant zuiver en compliant.
PowerShell Modules Vereist
Primary API: Microsoft 365 Admin Center
Connection:
Required Modules:
Connection:
N/ARequired Modules:
Implementatie
Deze richtlijn beschrijft hoe Nederlandse overheidsorganisaties services en add-ins selecteren, configureren en periodiek toetsen aan beleid, waarbij techniek, governance en gebruikersadoptie naadloos worden verbonden.
Vereisten
Een doordachte governancestructuur voor Microsoft 365-services en add-ins begint met een multidisciplinair team dat beslissingsbevoegdheid combineert met inhoudelijke kennis. De CISO of security officer fungeert als eigenaar van het beleidskader, terwijl product owners, functioneel beheerders en vertegenwoordigers van de lijnorganisatie de operationele uitvoering realiseren. Zonder deze samenstelling ontstaat versnippering over beleidsdomeinen, waardoor instellingen onnodig veel services actief houden en beleid inconsistent wordt toegepast. Publieke organisaties moeten bovendien rekening houden met de BIO, de AVG en sectorale verordeningen, waardoor governance niet slechts een technische aangelegenheid is maar direct raakt aan rechtmatigheid en publieke verantwoording. Daarom is het noodzakelijk om vooraf een charter op te stellen waarin rollen, escalaties en besluitvormingscycli zijn beschreven en waartegen elk nieuw verzoek kan worden getoetst.
Naast governance is gecontroleerde toegang cruciaal: minimaal twee globale beheerders en een workloadbeheerder met beperkte rechten zijn nodig om wijzigingen gecontroleerd te implementeren en het vier ogen principe te borgen. Deze personen beschikken over accounts met meervoudige authenticatie, Conditional Access, Privileged Identity Management en Just-In-Time elevation zodat gevoelige instellingen niet permanent openstaan. Verder moet een actueel overzicht beschikbaar zijn van alle Microsoft 365-services die door beleidsteams en ketenpartners worden gebruikt, inclusief afhankelijkheden met Entra ID, SharePoint, Teams, Viva en Exchange. Dat overzicht hoort samen met gegevensclassificatieprofielen, omdat sommige add-ins documenten verwerken die onder staatsgeheim, politiegegevens of bijzondere persoonsgegevens vallen en dus aanvullende logging, encryptie en verwerkersovereenkomsten vereisen. Het dossier bevat ook de lifecycle van licenties, zodat duidelijk is welke diensten standaard geactiveerd worden na het toekennen van nieuwe licentieplannen.
Voorafgaand aan elk wijzigingsproject bevestigen juridische en privacy officers dat de gegevensverwerking binnen de kaders van AVG, Wpg of andere domeinspecifieke wetgeving valt. Zij toetsen of een gegevensbeschermingseffectbeoordeling noodzakelijk is en leggen vast welke categorieën persoonsgegevens mogelijk via add-ins beschikbaar komen. Procurement en contractmanagement leveren de licentievoorwaarden en onderliggende verwerkersovereenkomsten, zodat duidelijk is welke services optioneel zijn en welke anti-leveringsclausules gelden. De communicatieafdeling bereidt sjablonen voor waarmee medewerkers op de hoogte worden gebracht van wijzigingen in bijvoorbeeld Sway, Forms of Viva Insights, inclusief instructies voor alternatieve tooling. Zonder deze voorbereidende documenten is het onmogelijk om transparant naar ondernemingsraden, cliëntenraden of gemeentelijke raden te rapporteren.
Een technische readiness-check afronden is minstens zo belangrijk. Beheer beschikt over toegang tot het Microsoft 365 Admin Center, relevante PowerShell-modules, Microsoft Graph-appregistraties en logging via Microsoft Sentinel of Log Analytics om configuraties te exporteren. Het script services-addins.ps1 wordt getest in een geïsoleerde tenant zodat zeker is dat cmdlets en API-rechten functioneren zonder productiegegevens te wijzigen. Change- en releaseprocessen sluiten aan op bestaande ITIL- of BIO-procedures, inclusief fallbackplannen wanneer kritieke services per ongeluk worden uitgeschakeld. Ook zijn test-, acceptatie- en productieomgevingen ingericht zodat wijzigingen eerst gecontroleerd kunnen worden uitgeprobeerd en automatische kwaliteitscontroles beschikbaar zijn.
Door deze vereisten vooraf te borgen ontstaat een controleerbare set uitgangspunten die auditors eenvoudig kunnen verifiëren. Het voorkomt dat individuele projectteams experimenteren met add-ins buiten zicht van centrale beveiliging en waarborgt dat besluitvorming reproduceerbaar is. Bovendien creëert het een eenduidige bron voor gebruikerscommunicatie, waardoor draagvlak ontstaat voor het beperken van verouderde of risicovolle diensten. De vereisten vormen daarmee het fundament voor de implementatie-, monitoring- en remediatiestappen die volgen.
Implementatie
Het implementatieproces start met een volledige inventarisatie van alle actieve services en add-ins binnen de tenant en gekoppelde tenants voor samenwerkingsverbanden. Deze inventaris wordt vergeleken met het beleid en levert direct inzicht in welke functies standaard zijn geactiveerd en welke ooit handmatig zijn ingeschakeld. Door per dienst te beschrijven welk doel ze dient, welke data wordt verwerkt en wie de eigenaar is, ontstaat een gedeeld referentiekader waarover besluitvorming kan plaatsvinden. Tegelijkertijd worden technische afhankelijkheden vastgelegd, zodat duidelijk is of het uitschakelen van een dienst impact heeft op processen zoals subsidieaanvragen, handhavingsdossiers of bestuurlijke rapportages. Deze inventaris vormt de nulmeting voor KPI's rond rationalisatie en beveiliging.
Gebruik PowerShell-script services-addins.ps1 (functie Invoke-Monitoring) – Voert gecontroleerde metingen en configuratie-exporten uit ter ondersteuning van besluitvorming..
Op basis van de inventaris organiseert het governance team beslissessies waarin risicoprofielen worden gekoppeld aan concrete usecases. Diensten met een laag risico maar geringe toegevoegde waarde worden aangewezen als kandidaat om uit te zetten, terwijl bedrijfskritische functies een verbeter- of mitigatieplan krijgen. Voor elk besluit wordt vastgelegd welke privacy-eisen gelden, welke compensatiecontroles nodig zijn en hoe gebruikersalternatieven worden ingericht. De besluitvorming resulteert in een roadmap met fasering per afdeling, waardoor pilots, productieomgevingen en externe partners in hetzelfde tempo meebewegen. Het resultaat is een transparant stappenplan waarin elke wijziging gekoppeld is aan een verantwoordelijke, een communicatiemoment en duidelijke succeskritische factoren.
Wijzigingen verlopen via gecontroleerde changeprocedures. Eerst wordt een sandbox of dedicated testtenant ingericht waarin identieke policies, licenties en add-ins aanwezig zijn. Daar worden instellingen zoals Sway, Viva Engage of externe Outlook-add-ins experimenteel uitgeschakeld terwijl functionele teams toetsen of processen blijven werken. Bevindingen worden gedocumenteerd en vormen de basis voor een definitief wijzigingsverzoek richting productie. Door deze werkwijze te combineren met releasekalenders van onderwijsperiodes, fiscale jaarwissels of verkiezingscampagnes voorkomt de organisatie dat belangrijke communicatiekanalen plotseling verdwijnen.
Voor de technische uitvoering gebruikt het team het Microsoft 365 Admin Center, aanvullende PowerShell-commando's en het script services-addins.ps1. Het script draait met beperkte rechten en genereert zowel configuratie-exporten als rapportages die aantonen welke instellingen zijn gewijzigd. Waar mogelijk worden instellingen via Microsoft Graph of Infrastructure-as-Code benaderingen geautomatiseerd, zodat toekomstige configuratiedrift automatisch wordt gecorrigeerd. Extra aandacht gaat uit naar auditlogging: elke wijziging wordt voorzien van ticketreferenties, tijdstempels en verantwoordelijke personen, waardoor achteraf eenvoudig is vast te stellen of een wijziging gepland was of een incident betrof.
Na de technische configuratie volgt adoptie en evaluatie. Intranetberichten en gerichte meldingen in Teams leggen uit waarom bepaalde services verdwijnen of juist strenger worden geconfigureerd, en verwijzen naar alternatieven zoals SharePoint-communicatiesites of Power Platform-apps met beter toezicht. Supportmedewerkers ontvangen kennisartikelen met standaardantwoorden en instructies om uitzonderingen gecontroleerd aan te vragen. Tijdens de evaluatie vergelijkt het projectteam de gerealiseerde resultaten met de vooraf gedefinieerde KPI's, worden lessons learned toegevoegd aan het governance charter en wordt vastgesteld welke verbeteringen nodig zijn voor de volgende iteratie.
Monitoring
Monitoring van Microsoft 365-services draait om meer dan alleen controleren of een schuifje aan of uit staat. Het begint met het inrichten van een centraal dashboard waarin wijzigingen, gebruikstrends en afwijkingen zichtbaar worden gemaakt voor zowel security officers als product owners. Brondata komen uit het Microsoft 365 Admin Center, Audit Logs, Microsoft Graph-rapportage-eindpunten en het script services-addins.ps1 dat periodiek configuraties exporteert. Door deze gegevens te combineren ontstaat een vroegtijdig waarschuwingssysteem dat signalen afgeeft wanneer een dienst onverwacht opnieuw is geactiveerd, wanneer er plotseling een stijging optreedt in het aantal gebruikers of wanneer een add-in afwijkende machtigingen vraagt.
Het dashboard bevat indicatoren die aansluiten op de prioriteiten van Nederlandse publieke organisaties. Zo wordt gemeten hoeveel gebruikers Viva Insights of MyAnalytics dagelijks gebruiken, of Sway presentaties exporteert naar externe domeinen en of Cortana nog steeds is uitgesloten binnen gevoelige tenants. De indicatoren zijn gekoppeld aan drempelwaarden die in lijn zijn met het risicoprofiel: bij overschrijding volgt automatisch een melding naar het beheerteam en de security officer. Door deze aanpak hoeven beheerders niet meer handmatig elke service te controleren, maar kunnen zij hun aandacht richten op echte afwijkingen.
Naast near-realtime zichtbaarheid is trendanalyse essentieel. Maandelijkse rapportages tonen hoe vaak uitzonderingen zijn aangevraagd, welke diensten structureel worden ingeschakeld na wijzigingen en hoe gebruikers het portfolio ervaren. Deze informatie wordt gedeeld met beleidsmakers en communicatieafdelingen, zodat zij kunnen bepalen of aanvullende instructies of trainingen nodig zijn. Trendrapportages dienen bovendien als input voor budgetgesprekken: wanneer blijkt dat bepaalde premiumservices nauwelijks waarde toevoegen, kan de licentiemanager gerichte besparingsvoorstellen doen.
Monitoring omvat ook het testen van de effectiviteit van blokkades. Penetratietests en geautomatiseerde scripts proberen bewust om niet-goedgekeurde add-ins te activeren of diensten via Graph API te manipuleren. De resultaten worden vergeleken met beleidsintenties om te bevestigen dat technische maatregelen het gewenste effect hebben. Indien blijkt dat gebruikers via creatieve routes alsnog een dienst activeren, wordt de blokkade aangescherpt of wordt een beter alternatief aangeboden om shadow IT te voorkomen.
Door monitoring te koppelen aan duidelijke escalatiepaden kan de organisatie snel handelen. Elke afwijking wordt geregistreerd in het servicemanagementsysteem met verwijzing naar de meetwaarde, het gedefinieerde beleid en het voorgestelde vervolgonderzoek. Zo ontstaat een lerende cyclus waarin controles steeds beter aansluiten op de werkelijkheid en waarin auditors altijd kunnen terugvinden welke signalen zijn onderzocht en welke besluiten daaruit voortkwamen.
Gebruik PowerShell-script services-addins.ps1 (functie Invoke-Monitoring) – Automatiseert configuratiecontroles en levert bewijsbestanden voor dashboards en audits..
Remediatie
Wanneer monitoring aantoont dat ongewenste services opnieuw zijn geactiveerd of dat add-ins buiten beleid functioneren, start een gestructureerd remediatieproces. Het team bepaalt eerst of het om een gebruikersfout, een geautomatiseerd proces of een wijziging vanuit Microsoft gaat. Daarna wordt beoordeeld of directe uitschakeling mogelijk is zonder bedrijfsvoering te verstoren. In kritieke gevallen wordt een tijdelijke maatregel genomen, zoals een Conditional Access-beperking of een transportregel die functionaliteit inperkt tot het wijzigingsvenster beschikbaar is. Elk besluit wordt vastgelegd, inclusief de risicoafweging en de verwachte impact op medewerkers.
Remediatie vraagt om nauwe samenwerking tussen security, compliance, product owners en communicatie. Security levert de technische analyse, compliance bewaakt dat maatregelen sporen met de BIO en AVG, product owners beoordelen de functionele gevolgen en communicatie zorgt voor heldere boodschappen richting eindgebruikers. Door deze samenwerking kan het team niet alleen herstelacties uitvoeren, maar ook de achterliggende oorzaken adresseren, zoals onduidelijke documentatie of ontbrekende alternatieven. De combinatie van correctieve en preventieve maatregelen voorkomt dat dezelfde afwijking terugkeert.
Technisch gezien wordt herstel uitgevoerd via het Microsoft 365 Admin Center, gespecialiseerde PowerShell-commando's of de scriptfunctionaliteit in services-addins.ps1. Het script kan herstelacties herhalen over meerdere tenants of workloads en logt automatisch welke instellingen zijn aangepast. Waar mogelijk worden wijzigingen verpakt in herbruikbare configuratieprofielen of beleidsregels, zodat toekomstige implementaties direct in lijn liggen met het gewenste eindbeeld. Dit verkleint de kans op configuratiedrift en voorkomt handmatige foutgevoeligheid.
Na elke remediatie volgt een evaluatie. Het team controleert of de dienst daadwerkelijk is uitgeschakeld of opnieuw is geconfigureerd, valideert dat gebruikersalternatieven beschikbaar zijn en verzekert zich ervan dat auditlogging de wijziging heeft vastgelegd. Bevindingen worden opgenomen in een kennisbank zodat support, projectleiders en auditors kunnen teruglezen welke incidenten speelden en hoe deze zijn opgelost. Door remediatie op deze manier te professionaliseren, verandert het proces van een ad-hocreactie naar een voorspelbare kwaliteitsborging die aansluit op de bredere beveiligingsstrategie.
Bij noodscenario's, bijvoorbeeld wanneer een dienst tijdens een crisis tijdelijk noodzakelijk is, bestaat een escalatiepad met expliciete einddatums. De CIO kan een tijdelijke toestemmingscode verstrekken die maximaal dertig dagen geldig is en automatisch verloopt. Tussentijds wordt elke week herbeoordeeld of de noodzaak nog bestaat. Zodra de situatie normaliseert, schakelt het script de dienst uit, worden logbestanden veiliggesteld en volgt een evaluatie. Deze discipline zorgt ervoor dat ad-hocbesluiten niet stiekem permanent worden.
Gebruik PowerShell-script services-addins.ps1 (functie Invoke-Remediation) – Past gecontroleerde wijzigingen toe, registreert herstelacties en biedt rollback-scripts..
Compliance en Auditing
Compliance en auditing draaien bij services en add-ins om aantoonbaarheid: het moet helder zijn wie wanneer besloot een dienst in of uit te schakelen, welke risico's daarbij zijn onderkend en welke controles beschikbaar zijn. Documentatie begint met een jaarlijks bijgewerkte catalogus waarin per dienst wordt beschreven welke doelgroepen toegang hebben, welke data wordt verwerkt en welke wettelijke grondslag van toepassing is. Deze catalogus wordt gekoppeld aan beleidsteksten, DPIA-uitkomsten en verwerkersovereenkomsten, zodat auditors onmiddellijk kunnen controleren of een actueel besluit past binnen de juridische kaders.
Voor BIO-controle 13.02 is het noodzakelijk om niet alleen beleidsintenties te tonen, maar ook operationele bewijzen. Daarom bewaart de organisatie exports van het script services-addins.ps1, auditlogboekvermeldingen van het Microsoft 365 Admin Center en rapporten die aantonen dat instellingen daadwerkelijk zijn doorgevoerd. Elk bewijsstuk wordt voorzien van metadata zoals datum, verantwoordelijke en referentie naar een change- of incidentnummer. Deze aanpak maakt het voor auditteams eenvoudig om steekproeven uit te voeren zonder de reguliere operatie te verstoren.
Tijdens interne controles en externe audits worden scenario's doorlopen waarin een auditor vraagt aan te tonen dat een specifieke dienst bewust is uitgeschakeld. Het team toont dan de beleidsbesluiten, de technische configuratie en de monitoringrapportages waaruit blijkt dat de dienst niet buiten scope wordt gebruikt. Daarnaast wordt aangetoond dat gebruikerscommunicatie heeft plaatsgevonden en dat ondersteuning beschikbaar is voor medewerkers die alsnog toegang nodig hebben via een uitzonderingsprocedure. Dit sluit aan op de eisen van transparantie en zorgvuldigheid die voor publieke organisaties gelden.
Een volwassen nalevingsproces betekent ook dat bevindingen worden opgevolgd. Wanneer auditors aanbevelingen doen, wordt een verbeterplan opgesteld met deadlines, eigenaren en meetbare resultaten. De voortgang wordt opgenomen in hetzelfde dashboard als de operationele monitoring, zodat bestuurders en toezichthouders real-time zicht hebben op resterende acties. Zo ontstaat een geïntegreerde compliancecyclus waarin beleid, uitvoering, bewijs en verbetering elkaar versterken.
Tot slot wordt compliance geborgd door opleidingen en oefeningen. Beheerteams volgen jaarlijks trainingen over nieuwe Microsoft 365-diensten, privacywetgeving en sectorale richtlijnen zoals NIS2. Tijdens tabletop-oefeningen wordt geoefend met scenario's waarin een add-in onverwacht persoonsgegevens exporteert of een dienst in strijd blijkt met wetgeving. De leerpunten worden verwerkt in het governance charter en in standaardoperatingprocedures, zodat naleving niet afhankelijk is van individuele experts maar onderdeel van de organisatiecultuur blijft.
Compliance & Frameworks
- BIO: 13.02 - BIO Baseline Informatiebeveiliging Overheid - 13.02 - Information services
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
M365 Services & Add-ins Design
.DESCRIPTION
Implementation for M365 Services & Add-ins Design
.NOTES
Filename: services-addins.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/platform/services-addins.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "M365 Services & Add-ins Design"
$BIOControl = "13.02"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "services-addins"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Low: Zonder centrale regie blijven experimentele diensten actief, ontstaan onduidelijke gegevensstromen en kan de tenant onverwacht functies heractiveren, waardoor privacy-incidenten, licentiekosten en supportdruk oplopen.
Management Samenvatting
Rationaliseer het dienstenlandschap via een inventarisatie, beleidsbesluiten, gecontroleerde implementaties met services-addins.ps1 en continue monitoring. Zo wordt het aanvalsoppervlak verkleind, blijven gebruikersinstructies eenduidig en beschikt de organisatie over volledig auditbewijs voor BIO 13.02.
- Implementatietijd: 8 uur
- FTE required: 0.1 FTE