💼 Management Samenvatting
Identity governance in Microsoft Entra ID vormt de ruggengraat van een veilig cloudlandschap, omdat elke identiteit, elk recht en elke uitzonderingsprocedure aantoonbaar wordt bestuurd volgens de Nederlandse Baseline voor Veilige Cloud. De ontwerpkeuzes in dit document geven bestuurders en architecten een duidelijk kader om privileges te beperken, misbruik te detecteren en auditbewijzen zonder vertraging aan te leveren.
Aanbeveling
Implementeer een integraal identity-governanceprogramma op Microsoft Entra ID P2, inclusief access reviews, entitlement management, lifecycle workflows en PIM, en borg dat de business eigenaar blijft van elk autorisatiebesluit.
Risico zonder
High
Risk Score
8/10
Implementatie
100u (tech: 60u)
Van toepassing op:
✓ Azure AD
✓ Identity Governance
✓ Identity Governance
Wanneer organisaties geen geïntegreerde governance hebben, ontstaan er structureel overgeprivilegieerde accounts, verouderde gasttoegangen en niet-afgesloten workflowstappen die moeilijk te reconstrueren zijn tijdens forensisch onderzoek. Dat leidt niet alleen tot directe beveiligingsrisico's zoals laterale bewegingen na een accountcompromis, maar ook tot bestuurlijke risico's: BIO 9.02 en ISO 27001 A.9.2.5 vereisen aantoonbare periodieke evaluaties van toegangsrechten. Door dit ontwerp te volgen wordt het compliance-risico verlaagd, wordt de responstijd op incidenten verkort en blijft de regie over gevoelige gegevens bij de juiste eigenaar.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.Governance
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.Governance
Implementatie
Dit ontwerp beschrijft een geïntegreerde aanpak waarin access reviews, entitlement management, lifecycle workflows en Privileged Identity Management elkaar versterken. We hanteren Azure Policy, Microsoft Graph automatisering en Intune-integraties om beleidsregels consistent af te dwingen, terwijl data-eigenaren via gestandaardiseerde approval flows verantwoordelijk blijven voor hun informatie. Het resultaat is een reproduceerbare set configuraties, scripts en beheerprocessen waarmee organisaties elk identiteitsbesluit kunnen verklaren, onderbouwen en herhalen.
Vereisten
Het fundament van identity governance binnen de Nederlandse Baseline voor Veilige Cloud is dat alle organisaties exact weten welke identiteiten bestaan, welke rechten zij dragen en waarom dat toegangsniveau gerechtvaardigd is. Dat begint met het beschikbaar hebben van Azure AD Premium P2 licenties voor alle gebruikers die deelnemen aan access reviews, entitlement management en Privileged Identity Management. Daarnaast moeten er voldoende Microsoft Graph API permissies worden ingericht voor beheerdersaccounts zodat de scripts in code/design/security/identity-governance-design.ps1 zonder onderbreking beleidsdata kunnen lezen en bijwerken. Deze licenties en machtigingen moeten aantoonbaar zijn vastgelegd in het licentiebeheerregister van de organisatie. Beschrijf tevens hoe licentieallocatie wordt bewaakt in relatie tot externe gebruikers en contractors, zodat er geen schaduwaccounts ontstaan. Zonder deze voorbereidingen is het onmogelijk om lifecycle workflows of attestaties te automatiseren. Een tweede vereiste is dat de brondata over identiteiten betrouwbaar en consistent is. Verbind daarom het HR-systeem, de personeelsdatabase of de gemeentelijke gebruikersadministratie via provisioning connectors aan Entra ID en leg vast welke velden leidend zijn voor afdeling, functie, risicoprofiel en contractstatus. Maak per bron een serviceaccount met least privilege en documenteer de netwerkverbindingen, zodat auditors kunnen toetsen dat data-integriteit is geborgd. Controleer dat persoonsdata versleuteld wordt verstuurd, dat de synchronisatieschema's aansluiten op werktijden en dat mislukte synchronisaties automatisch worden gemeld bij het beheerteam. Daarnaast moet elke organisatie vooraf het doel, de scope en de frequentie van access reviews beschrijven. Definieer welke business-applicaties, teamsites, gastgroepen en administratieve rollen binnen scope vallen, koppel daar data-eigenaren aan en stel duidelijke escalaties in voor gemiste recensies. Documenteer honoreringstermijnen, vervaldatums voor rechten en uitzonderingsprocedures zodat reviewers weten hoe zij moeten handelen wanneer een medewerker tijdelijk een ruimer profiel nodig heeft. Leg ook vast welke risico-indicatoren de frequentie verhogen, bijvoorbeeld systemen met staatsgeheime informatie of ketenpartners die onder NIS2 vallen. Operationele teams hebben tooling nodig om signalen snel op te volgen. Richt daarom een dedicated identity governance workspace in waar logboeken, dashboards en Power BI-rapporten samenkomen. Zorg voor veilige opslag van auditbestanden in een SharePoint-site met records management, wijs minimaal twee functioneel beheerders aan voor continuïteit en instrueer SOC-analisten hoe zij identity-events koppelen aan incident response draaiboeken. Vergeet niet om supportscripts vooraf te testen in een sandboxtenant zodat wijzigingen gecontroleerd verlopen en runbooks kunnen worden verfijnd voordat ze productie raken. Tot slot vereist dit ontwerp duidelijke verantwoordelijkheden buiten IT. Communiceer met privacy officers over gegevensminimalisatie, stem met de ondernemingsraad af welke notificaties medewerkers ontvangen en instrueer leveranciers hoe gasttoegang verloopt. Stel per organisatieonderdeel een identity steward aan die wijzigingen in personeel, projecten en ketenpartners tijdig doorgeeft. Borg dat opleidingen en awarenesscampagnes onderdeel zijn van het jaarlijkse opleidingsplan, zodat bestuurders begrijpen wat hun rol is in het attestatieproces en waarom vertraging direct invloed heeft op de beveiliging.
Implementatie
De implementatie start met een grondige analyse van de bestaande identiteitslandschappen. Inventariseer alle applicaties die op Entra ID vertrouwen, documenteer welke groepen en rollen zij gebruiken en breng per applicatie-eigenaar de gewenste governance-parameters in kaart. Stel een datamodel op waarin medewerkers, externen, leveranciers en dienstaccounts afzonderlijke lifecycleprofielen krijgen. Pas naming conventions toe voor groepen en access packages zodat direct zichtbaar is welk proces verantwoordelijk is. Deze voorbereidingsfase is essentieel om later in één oogopslag te kunnen zien welke rechten automatisch worden toegekend en welke slechts tijdelijk gelden. Configureer vervolgens access reviews voor alle gevoelige bronnen. Begin met gastgebruikers en administratieve groepen, omdat hier het risico op privilege-creep het hoogst ligt. Kies per review of de resource owner, groepsleden of een aangewezen reviewerteam verantwoordelijk is voor de attestatie. Stel reminders, automatische beslissingen en escalaties in zodat reviews nooit blijven hangen. Gebruik de optie "recommendations" alleen wanneer er voldoende historische data is, en zorg dat uitkomsten automatisch worden gedocumenteerd in een SharePoint-bibliotheek met retentiebeleid. Voor elke review moet duidelijk zijn welke businessregels bepalen of toegang mag blijven bestaan. Daarna richt je entitlement management in. Maak access packages per procesketen, bijvoorbeeld voor onboarding van consultants, projectteams in de fysieke beveiligingsketen of tijdelijke toegang tot onderzoeksdata. Definieer policies voor aanvraag, goedkeuring, expiratie en verlenging. Koppel de packages aan catalogi die eigendom zijn van de business, zodat zij regie houden over wie welke rechten kan aanmaken. Integreer eventueel een Power Platform-frontend zodat gebruikers aanvragen kunnen volgen en aanvullende informatie kunnen aanleveren, zoals een projectcode of de verwijzing naar een besluit van het mandaatregister. Lifecycle Workflows en Privileged Identity Management vormen de volgende laag. Automatiseer joiner-, mover- en leaver-scenario's door triggers te koppelen aan wijzigingen in het HR-systeem. Voor movers kun je condities aanmaken op basis van functie of standplaats, zodat kritieke wijzigingen automatisch een review van bestaande rechten starten. In PIM activeer je just-in-time toegang voor alle beheerdersrollen, stel goedkeuringen en multi-factor authenticatie verplicht en publiceer een actueel overzicht van actieve activaties aan het SOC. Documenteer eveneens hoe emergency access accounts worden bewaakt en welke beperkte set personen de break-glass procedures mag uitvoeren. Sluit de implementatie af met automatisering en validatie. Het script code/design/security/identity-governance-design.ps1 kan worden gebruikt om configuraties uit te lezen, afwijkingen te signaleren en standaardinstellingen te herhalen in nieuwe tenants. Pas de parameters aan per omgeving, draai de workflow eerst in een testtenant en log uitvoer naar een centrale opslag. Zorg dat elke wijziging via change management verloopt, inclusief communicatie naar data-eigenaren en servicedesk. Combineer deze technische stappen met training voor reviewers en rapportage aan de CIO, zodat governance geen eenmalig project is maar een doorlopend programma.
Gebruik PowerShell-script identity-governance-design.ps1 (functie Invoke-Monitoring) – PowerShell-runbook voor configuratieverificatie en geautomatiseerde rapportage.
Monitoring
Effectieve monitoring van identity governance draait om het continu kunnen aantonen dat beleidsregels daadwerkelijk worden nageleefd. Begin daarom met het definiëren van Key Risk Indicators zoals het aantal openstaande access reviews, het percentage geautomatiseerde beslissingen en het aantal gastgebruikers zonder recente activiteit. Verzamel deze gegevens rechtstreeks uit Microsoft Graph rapportages en koppel ze aan een Power BI-dashboard dat wekelijks wordt ververst. Dit dashboard moet voor bestuurders inzichtelijk maken welke onderdelen van de identiteitsketen extra aandacht nodig hebben en waar aanvullende capaciteit moet worden ingezet. Naast overzichten is er behoefte aan near-real-time signalering. Configureer Azure Monitor en Microsoft Sentinel om events van Identity Governance, PIM en Lifecycle Workflows te verzamelen. Stel analytics rules in die een incident genereren wanneer een reviewer meerdere deadlines mist, wanneer een PIM-activatie buiten kantooruren plaatsvindt zonder ticketnummer of wanneer een lifecycle workflow onverwacht wordt gepauzeerd. Deze regels koppelen identity events rechtstreeks aan het SOC-proces, waardoor afwijkingen sneller worden onderzocht. Een derde monitoringlaag bestaat uit kwaliteitscontroles op de gegevens zelf. Automatiseer controles die verifiëren of elke gebruiker precies één authoritative manager heeft, of alle access packages een actuele eigenaar bezitten en of vervallen gastaccounts daadwerkelijk worden verwijderd. Rapporteer de resultaten wekelijks aan de identity stewards en bespreek structurele afwijkingen in het security governance board. Wanneer dezelfde afwijking drie keer achter elkaar verschijnt, moet er een probleemticket worden geopend met een root cause analyse en een verbeterplan. Vergeet ook de gebruikerservaring niet. Verzamel feedback via korte enquêtes na afgeronde access reviews of PIM-activaties. Deze signalen laten zien of reviewers de instructies begrijpen en of de tooling voldoende context biedt. Combineer feedback met supporttickets om trends te herkennen, zoals afdelingen die consequent dezelfde vragen stellen over gasttoegang. Gebruik deze inzichten om de instructies binnen de review-meldingen, adoptiesessies en kennisartikelen te verbeteren. Tot slot hoort monitoring bij een aantoonbare audittrail. Bewaar alle reviewuitkomsten, workflowlogs en scriptuitvoer minimaal zeven jaar op een locatie met records management. Gebruik immutable storage of versiebeheer zodat geen enkel logbestand ongemerkt kan worden gewijzigd. Documenteer wie toegang heeft tot deze archieven en automatiseer maandelijkse controles op volledigheid. Door monitoring te benaderen als een integraal onderdeel van governance ontstaat een gesloten regelkring waarin signalen leiden tot verbeteringen en verbeteringen opnieuw worden gemeten.
Gebruik PowerShell-script identity-governance-design.ps1 (functie Invoke-Monitoring) – Controleert reviewstatussen, PIM-logs en workflowconsistentie.
Remediatie
Remediatie start met een duidelijk draaiboek zodra signalen laten zien dat identity governance niet langer aan de norm voldoet. Stel per scenario een beslisboom op: wat te doen als een access review is gemist, hoe te handelen bij ongeautoriseerde PIM-activaties en welke stappen volgen wanneer lifecycle workflows niet correct hebben uitgevoerd. Veranker deze afspraken in het beveiligingsbeleid en zorg dat ze direct beschikbaar zijn voor SOC-analisten, service managers en data-eigenaren. Wanneer access reviews achterlopen, moet het identity governance team binnen 24 uur een herstelplan opstellen. Begin met het herstarten van de review, communiceer de nieuwe deadline en documenteer waarom de oorspronkelijke planning niet is gehaald. Activeer escalaties naar de proceseigenaar en, indien nodig, naar de CISO wanneer kritieke systemen zijn geraakt. Automatiseer tijdelijk het intrekken van privileges vanaf een vooraf afgesproken risiconiveau, zodat high-risk accounts niet onbeperkt toegang behouden terwijl de review wordt ingehaald. Voor privileges die zonder toestemming zijn geactiveerd, bijvoorbeeld doordat een beheerder een PIM-rol buiten een change window gebruikte, wordt direct een containmentactie uitgevoerd. De tijdelijke rol wordt ingetrokken, het betrokken account ondergaat een volledige security check (MFA, wachtwoordreset, tokenrevocatie) en het incident krijgt een uniek referentienummer voor verdere analyse. Documenteer de zakelijke context van de activatie en beoordeel of aanvullende training, procesaanpassing of disciplinaire maatregelen nodig zijn. Combineer deze aanpak met continuous access evaluation zodat sessies onmiddellijk worden beëindigd bij risicosignalen. Wanneer lifecycle workflows falen, bijvoorbeeld omdat de HR-connector verkeerde attributen doorgeeft, moet de remediatie twee sporen omvatten. Enerzijds corrigeert het operationele team de huidige gebruikersobjecten door overbodige groepen te verwijderen of vergeten licenties op te ruimen. Anderzijds wordt het onderliggende proces herzien: mappingtabellen, validatieregels en foutafhandeling worden aangepast zodat dezelfde fout zich niet herhaalt. Test na elke wijziging opnieuw in de sandboxtenant en laat de business-eigenaar het resultaat accepteren voordat productie wordt bijgewerkt. Elke remediatie-actie eindigt met rapportage. Leg vast welke controles hebben gefaald, welke data is geraakt, hoeveel accounts zijn aangepast en welk rest-risico acceptabel werd verklaard. Koppel bevindingen aan het risicoregister en plan follow-up audits om na te gaan of maatregelen blijvend effect hebben. Door deze discipline ontstaat een lerende organisatie waar incidenten leiden tot structurele verbeteringen in identity governance.
Gebruik PowerShell-script identity-governance-design.ps1 (functie Invoke-Remediation) – Automatiseert het herstellen van verlopen reviews en ongewenste rechten.
Compliance en Auditing
Compliance binnen identity governance betekent dat elke control uit BIO 9.02 en ISO 27001 A.9.2.5 aantoonbaar wordt uitgevoerd, gelogd en beoordeeld. Richt daarom een controlebibliotheek in waarin per control de doelstelling, de meetmethode, de verantwoordelijke en de bewijsstukken zijn beschreven. Voor access reviews omvat dit bijvoorbeeld de reviewplanning, export van beslissingen, bevestigingen van data-eigenaren en de bewijsstukken dat rechten automatisch zijn ingetrokken. Door het bewijs direct te koppelen aan controls kunnen auditors zonder aanvullende interviews controleren of maatregelen hebben gewerkt. Auditors verwachten dat beslissingen reproduceerbaar zijn. Documenteer daarom niet alleen wat de uitkomst was, maar ook welke criteria zijn gehanteerd. Beschrijf per applicatie welke risicoklassen bestaan, hoe lang rechten geldig blijven en welke uitzonderingen zijn toegestaan. Gebruik deze documentatie tijdens elke audit om aan te tonen dat beslissingen consistent zijn, zelfs wanneer verschillende reviewers betrokken waren. Voeg screenshots of exports van de Entra ID-portalen toe zodat auditors kunnen zien dat configuraties overeenkomen met de documentatie. Daarnaast moeten organisaties kunnen aantonen dat logging tamper-proof is. Bewaar identity governance logs in een write-once-read-many-omgeving of in Microsoft Purview records management met retentie en legal hold. Leg vast welke personen toegang hebben tot deze archieven en voer periodiek een access review uit op de archiefrechten zelf. Combineer dit met hashing of digitale ondertekening van cruciale exportbestanden zodat elke wijziging achteraf detecteerbaar is. Wanneer auditors vragen om een steekproef, kan het team de hashwaarden vergelijken met de oorspronkelijke registratie en zo bewijzen dat het bestand onveranderd is gebleven. Compliance reikt verder dan techniek: procedures moeten aansluiten op wet- en regelgeving. Zorg dat privacy officers controleren of dataminimalisatie wordt toegepast en of verwerkingen rechtmatig zijn. Beschrijf voor elke data-eigenaar hoe verzoeken van betrokkenen (AVG-rechten) invloed hebben op identity governance, bijvoorbeeld wanneer een werknemer vraagt om inzage in alle rollen die hij heeft vervuld. Door deze koppelingen vooraf uit te werken, kan de organisatie snel reageren op juridische verzoeken zonder ad-hocoplossingen te bouwen. Tot slot vereist volwassen auditing continue verbetering. Plan halfjaarlijkse maturity-assessments waarin wordt beoordeeld of governanceprocessen nog passen bij de veranderende dreigingen en regelgeving, zoals NIS2 of de Wet beveiliging netwerk- en informatiesystemen. Rapporteer de uitkomsten aan het Directieberaad en vertaal verbeterpunten naar concrete projecten met budget en eigenaarschap. Wanneer compliance als integraal onderdeel van identity governance wordt gezien, blijft de organisatie aantoonbaar in control en kan zij vertrouwen uitstralen naar toezichthouders, ketenpartners en burgers.
Compliance & Frameworks
- BIO: 9.02 - BIO Baseline Informatiebeveiliging Overheid - 9.02 - Toegangsbeheer
- ISO 27001:2022: A.9.2.5 - ISO 27001:2022 - Review of user toegangsrechten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Identity Governance Design
.DESCRIPTION
Implementation for Identity Governance Design
.NOTES
Filename: identity-governance-design.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/security/identity-governance-design.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Identity Governance Design"
$BIOControl = "9.02"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "identity-governance-design"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder dit programma ontstaan overgeprivilegieerde accounts, verweesde gastgebruikers, onbeheerde serviceaccounts en ontbrekende auditsporen. Daardoor voldoet de organisatie niet aan BIO 9.02 en ISO 27001 A.9.2.5, wordt incidentrespons vertraagd en stijgt de kans op datalekken of boetes aanzienlijk.
Management Samenvatting
Voer kwartaalreviews uit voor gasten en groepen, beoordeel maandelijkse adminrechten, bundel toegangen via entitlement management, automatiseer joiner/mover/leaver met lifecycle workflows en handhaaf just-in-time PIM-toegang. Gebruik Azure AD Premium P2, Microsoft Graph en het script code/design/security/identity-governance-design.ps1 om configuraties te verifiëren. Documenteer alle beslissingen zeven jaar, rapporteer KPI's aan bestuurders en koppel elk proces aan een data-eigenaar zodat privilege creep structureel wordt voorkomen.
- Implementatietijd: 100 uur
- FTE required: 0.75 FTE