Edge Workspaces Managed

Microsoft Edge Workspaces biedt gebruikers de mogelijkheid om browsertabbladen te delen en samen te werken in gedeelde werkruimten. Zonder centrale beheercontrole kunnen gebruikers echter onbeperkt workspaces aanmaken en delen, wat kan leiden tot onbeheerde toegang tot bedrijfsgevoelige informatie. Deze instelling is essentieel voor het handhaven van een veilige omgeving omdat het organisaties in staat stelt om de functionaliteit te beheren via Microsoft Intune, waardoor alleen geautoriseerde en gecontroleerde workspaces kunnen worden gebruikt. Dit voorkomt bekende aanvalsvectoren waarbij kwaadwillenden misbruik kunnen maken van onbeheerde gedeelde werkruimten om toegang te krijgen tot gevoelige gegevens.

Implementatie

Dit beleid configureert de Edge Workspaces-functionaliteit via Microsoft Intune device configuratiebeleidsregels. Door de registry-waarde EdgeWorkspacesEnabled in te stellen op 0, wordt de functionaliteit uitgeschakeld of beheerd via centrale configuratie. Dit zorgt ervoor dat organisaties volledige controle hebben over wie workspaces kan aanmaken, delen en beheren, wat essentieel is voor het naleven van beveiligings- en compliance-vereisten binnen Nederlandse overheidsorganisaties.

Vereisten

Voor de implementatie van Edge Workspaces Managed zijn specifieke technische en organisatorische vereisten noodzakelijk die zorgvuldig moeten worden geëvalueerd voordat de configuratie wordt uitgerold. De fundamentele vereiste is dat de organisatie beschikt over Microsoft Intune als Mobile Device Management (MDM) oplossing, aangezien dit beleid uitsluitend kan worden geconfigureerd via device configuratiebeleidsregels binnen de Intune-omgeving. Zonder Intune is het niet mogelijk om deze instelling centraal te beheren en af te dwingen op alle endpoints binnen de organisatie, wat betekent dat organisaties zonder MDM-infrastructuur eerst moeten investeren in de implementatie van Microsoft Intune voordat zij Edge Workspaces Managed kunnen implementeren. Deze vereiste is van cruciaal belang omdat de configuratie afhankelijk is van de centrale beheercapaciteiten die Intune biedt voor het distribueren en handhaven van beveiligingsinstellingen op schaal.

Naast de aanwezigheid van Microsoft Intune is het vereist dat alle doelapparaten correct zijn ingeschreven in de Intune-service. Dit betekent dat zowel Windows-apparaten als andere ondersteunde platforms zoals macOS, iOS en Android correct moeten zijn geregistreerd en beheerd via de Intune-service voordat het Edge Workspaces Managed-beleid kan worden toegepast. Voor hybride omgevingen waarbij apparaten zowel via on-premises Active Directory als Azure AD worden beheerd, is het belangrijk dat de juiste synchronisatie en configuratieprofielen zijn ingesteld om ervoor te zorgen dat apparaatregistraties correct worden gesynchroniseerd tussen de verschillende directory-services. Organisaties moeten ook rekening houden met de verschillende typen apparaatregistraties, zoals persoonlijke apparaten die worden gebruikt voor werkdoeleinden, waarbij aanvullende configuratie nodig kan zijn om ervoor te zorgen dat het beleid correct wordt toegepast ongeacht het type registratie.

Vanuit een organisatorisch perspectief is het noodzakelijk dat de IT-afdeling beschikt over de juiste rechten en rollen binnen Microsoft Intune om het Edge Workspaces Managed-beleid te kunnen configureren en beheren. Specifiek zijn de rollen Intune-beheerder of globale beheerder vereist voor het configureren van device configuratiebeleidsregels, wat betekent dat organisaties moeten zorgen voor een duidelijke rolverdeling en toegangsbeheer binnen hun Intune-omgeving. Daarnaast moet er een duidelijk proces zijn voor het testen van beleidsregels voordat deze worden uitgerold naar productieomgevingen, om te voorkomen dat essentiële functionaliteit onbedoeld wordt uitgeschakeld of dat gebruikersproductiviteit wordt beïnvloed door ongeteste configuraties. Dit testproces moet omvatten: het identificeren van een representatieve testgroep, het uitvoeren van uitgebreide tests in een gecontroleerde omgeving, het monitoren van gebruikersfeedback en het documenteren van eventuele problemen of onbedoelde gevolgen voordat het beleid wordt uitgerold naar de volledige organisatie.

Technisch gezien vereist deze configuratie toegang tot de Windows Registry op de doelapparaten, wat betekent dat apparaten moeten worden beheerd met voldoende rechten om registry-wijzigingen toe te staan. Het registrypad HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge moet kunnen worden gewijzigd door de MDM-service, wat vereist dat apparaten volledig worden beheerd en niet in een gedeeltelijk beheerde of onbeheerde staat verkeren. Voor niet-beheerde apparaten of apparaten zonder de juiste MDM-configuratie zal deze instelling niet kunnen worden afgedwongen, wat betekent dat organisaties moeten zorgen voor een volledige apparaatbeheerstrategie die alle relevante endpoints omvat. Bovendien moeten organisaties rekening houden met verschillende Windows-versies en -edities, omdat sommige configuraties mogelijk verschillen tussen Windows 10 en Windows 11, of tussen verschillende Windows-edities zoals Pro, Enterprise of Education.

Tot slot is het belangrijk dat de organisatie beschikt over een duidelijk communicatieplan voor gebruikers die mogelijk worden beïnvloed door de implementatie van Edge Workspaces Managed. Aangezien Edge Workspaces een functionaliteit is die gebruikers mogelijk al gebruiken voor dagelijkse werkzaamheden en samenwerking, moet er transparantie zijn over waarom deze functionaliteit wordt beheerd of uitgeschakeld, en wat de alternatieven zijn voor samenwerking en het delen van browsertabbladen binnen de organisatie. Dit communicatieplan moet gebruikers vooraf informeren over de wijzigingen, uitleggen welke alternatieve methoden beschikbaar zijn voor het delen van browsertabbladen en samenwerking, en duidelijke richtlijnen bieden voor het verkrijgen van ondersteuning of het aanvragen van uitzonderingen indien nodig. Effectieve communicatie voorkomt gebruikersfrustratie en zorgt ervoor dat gebruikers begrijpen dat de wijzigingen worden doorgevoerd om de beveiliging en compliance van de organisatie te verbeteren, niet om hun productiviteit te beperken.

Implementatie

De implementatie van Edge Workspaces Managed begint met het voorbereiden van de Microsoft Intune-omgeving en het zorgvuldig plannen van de implementatiestrategie. Als eerste stap moet de beheerder inloggen op het Microsoft Endpoint Manager admin center en navigeren naar de sectie voor device configuratiebeleidsregels, waar een nieuw beleid wordt aangemaakt specifiek voor Microsoft Edge met de categorie Security geselecteerd. Deze initiële configuratie vereist dat de beheerder beschikt over de juiste rechten binnen Intune, zoals de rol van Intune-beheerder of globale beheerder, om ervoor te zorgen dat het beleid correct kan worden aangemaakt en geconfigureerd. Tijdens deze voorbereidingsfase is het belangrijk om te bepalen welke apparaten en gebruikersgroepen in eerste instantie zullen worden beïnvloed door het nieuwe beleid, en om een duidelijke roadmap te ontwikkelen voor de gefaseerde uitrol naar de volledige organisatie.

Binnen het nieuwe beleid moet de specifieke instelling voor Edge Workspaces worden geconfigureerd door de instelling EdgeWorkspacesEnabled in te stellen op de waarde 0, wat betekent dat de functionaliteit wordt beheerd via centrale configuratie in plaats van door individuele gebruikers. Het is belangrijk om te begrijpen dat deze waarde niet per se de functionaliteit volledig uitschakelt, maar wel zorgt dat deze alleen kan worden gebruikt wanneer dit expliciet is toegestaan via andere beleidsregels of configuraties, waardoor organisaties flexibiliteit behouden om Edge Workspaces te gebruiken in gecontroleerde scenario's terwijl onbeheerd gebruik wordt voorkomen. Deze configuratiebenadering maakt het mogelijk om een balans te vinden tussen beveiliging en functionaliteit, waarbij organisaties kunnen kiezen om Edge Workspaces volledig uit te schakelen of om het gebruik ervan te beperken tot specifieke geautoriseerde groepen of scenario's.

Na het configureren van de instelling moet het beleid worden toegewezen aan de juiste groepen via Azure AD-groepen, waarbij organisaties kunnen kiezen voor een gefaseerde implementatie die begint met een beperkte testgroep voordat het beleid wordt uitgerold naar de volledige organisatie. Het wordt sterk aanbevolen om eerst een testgroep te selecteren met beperkte gebruikers die representatief zijn voor de verschillende gebruikersrollen en apparaattypen binnen de organisatie, zodat de impact kan worden geëvalueerd en eventuele problemen kunnen worden geïdentificeerd en opgelost voordat het beleid wordt uitgerold naar alle gebruikers. Deze gefaseerde aanpak minimaliseert het risico op onbedoelde gevolgen en zorgt ervoor dat eventuele configuratiefouten of compatibiliteitsproblemen kunnen worden opgelost voordat ze een breed effect hebben op de organisatie.

Voor de technische implementatie kan gebruik worden gemaakt van het bijbehorende PowerShell-script edge-workspaces-managed.ps1, dat functionaliteit biedt voor zowel monitoring als remediatie om organisaties te ondersteunen bij het implementeren en handhaven van de Edge Workspaces Managed-configuratie. Tijdens de implementatiefase kan het script worden gebruikt om te controleren of de registry-instelling correct is geconfigureerd op doelapparaten door te verifiëren of het registrypad HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge bestaat en of de waarde EdgeWorkspacesEnabled correct is ingesteld op 0. Dit script kan worden uitgevoerd op individuele apparaten of via een gecentraliseerde deployment-tool om de configuratie te verifiëren op meerdere apparaten tegelijk, wat vooral nuttig is tijdens de initiële implementatie wanneer organisaties willen bevestigen dat het Intune-beleid correct wordt toegepast op alle doelapparaten.

Na de initiële configuratie en toewijzing van het beleid moet er een wachttijd worden ingebouwd voor de synchronisatie tussen Microsoft Intune en de doelapparaten, omdat Intune beleidsregels synchroniseert met apparaten op basis van verschillende triggers waaronder periodieke synchronisaties die automatisch plaatsvinden op vaste intervallen, handmatige synchronisaties die door gebruikers of beheerders kunnen worden geïnitieerd, en event-driven synchronisaties die worden getriggerd door specifieke gebeurtenissen zoals apparaatregistratie of beleidswijzigingen. Het kan enige tijd duren voordat alle apparaten de nieuwe configuratie hebben ontvangen en toegepast, afhankelijk van factoren zoals de synchronisatiefrequentie, netwerkconnectiviteit, en of apparaten actief zijn en verbonden met het netwerk. Organisaties moeten rekening houden met deze synchronisatietijd bij het plannen van de implementatie en moeten niet verwachten dat wijzigingen onmiddellijk worden toegepast op alle apparaten.

Tijdens de implementatie is het cruciaal om uitgebreide monitoring uit te voeren om te verifiëren dat het beleid correct wordt toegepast op alle doelapparaten en om eventuele problemen of niet-compliant apparaten te identificeren voordat ze een beveiligingsrisico vormen. Het PowerShell-script kan worden uitgevoerd met de parameter -Monitoring om de compliance-status te controleren op individuele apparaten of op schaal via deployment-tools, waarbij het script rapporteert of apparaten voldoen aan de geconfigureerde instellingen of dat er afwijkingen zijn gedetecteerd. Apparaten die niet compliant zijn, moeten worden geïdentificeerd en geanalyseerd om te begrijpen waarom de configuratie niet is toegepast, wat kan variëren van technische problemen zoals synchronisatiefouten of onvoldoende rechten, tot organisatorische problemen zoals conflicterende beleidsregels of apparaten die niet correct zijn geregistreerd in Intune.

Voor organisaties met complexe omgevingen, zoals hybride configuraties waarbij apparaten zowel via on-premises Active Directory als Azure AD worden beheerd, of omgevingen met meerdere tenant-structuren waarbij verschillende organisaties of afdelingen verschillende Intune-tenants gebruiken, is aanvullende planning vereist om ervoor te zorgen dat het Edge Workspaces Managed-beleid correct wordt toegepast in alle relevante omgevingen. In dergelijke scenario's moet worden overwogen hoe het beleid wordt toegepast op verschillende typen apparaten, of er uitzonderingen nodig zijn voor specifieke gebruikersgroepen of apparaten met speciale vereisten, en hoe de configuratie wordt gesynchroniseerd tussen verschillende beheersystemen om ervoor te zorgen dat alle apparaten consistent worden beheerd ongeacht hun registratiemethode of beheeromgeving.

Na succesvolle implementatie moet de configuratie worden gedocumenteerd in de organisatorische beleidsdocumentatie, waarbij alle relevante informatie wordt vastgelegd over waarom het beleid is geïmplementeerd, welke groepen en apparaten zijn toegewezen, wat de verwachte impact is op gebruikers, en welke procedures zijn gevolgd tijdens de implementatie. Deze documentatie is essentieel voor toekomstige audits en compliance-verificaties, voor het begrijpen van de beveiligingsconfiguratie van de organisatie door nieuwe teamleden of externe auditors, en voor het onderhouden van een historisch overzicht van wijzigingen aan beveiligingsconfiguraties die kan worden gebruikt voor troubleshooting of voor het analyseren van de effectiviteit van beveiligingsmaatregelen over tijd.

Gebruik PowerShell-script edge-workspaces-managed.ps1 (functie Invoke-Monitoring) – Het monitoring-script controleert of de Edge Workspaces-instelling correct is geconfigureerd op het apparaat door de registry-waarde te verifiëren..

Monitoring

Continue monitoring van de Edge Workspaces Managed-configuratie is essentieel om te waarborgen dat de beveiligingsinstellingen consistent worden toegepast op alle apparaten binnen de organisatie en om eventuele afwijkingen of problemen tijdig te identificeren voordat ze een beveiligingsrisico vormen. Monitoring moet worden uitgevoerd op verschillende niveaus waaronder technische compliance waarbij wordt gecontroleerd of de configuratie correct is toegepast op alle apparaten, gebruikersgedrag waarbij wordt geanalyseerd hoe gebruikers reageren op de beheerde functionaliteit en of zij alternatieve methoden zoeken om de beperkingen te omzeilen, en organisatorische impact waarbij wordt geëvalueerd of de configuratie de gewenste beveiligingsdoelen bereikt zonder onbedoelde negatieve gevolgen voor productiviteit of gebruikerservaring. Deze meerdere monitoringniveaus zorgen ervoor dat organisaties een volledig beeld krijgen van de effectiviteit van de Edge Workspaces Managed-configuratie en kunnen reageren op zowel technische als organisatorische uitdagingen die kunnen ontstaan.

Op technisch niveau moet regelmatig worden gecontroleerd of de registry-instelling EdgeWorkspacesEnabled correct is geconfigureerd op alle beheerde apparaten binnen de organisatie, waarbij het bijbehorende PowerShell-script functionaliteit biedt voor geautomatiseerde compliance-controles die kunnen worden uitgevoerd op individuele apparaten of op schaal via deployment-tools. Het script controleert of het registrypad HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge bestaat en of de waarde EdgeWorkspacesEnabled is ingesteld op 0, wat de gewenste configuratie is voor Edge Workspaces Managed. Wanneer het script wordt uitgevoerd met de parameter -Monitoring, retourneert het een compliance-status die aangeeft of het apparaat voldoet aan de vereisten, samen met gedetailleerde informatie over de huidige configuratie en eventuele afwijkingen die zijn gedetecteerd. Deze technische monitoring moet regelmatig worden uitgevoerd, idealiter wekelijks of maandelijks afhankelijk van de grootte van de organisatie en de frequentie van configuratiewijzigingen, om ervoor te zorgen dat configuratiedrift tijdig wordt gedetecteerd en gecorrigeerd.

Voor grootschalige omgevingen met honderden of duizenden apparaten wordt sterk aanbevolen om monitoring te automatiseren via Microsoft Intune Compliance Policies of via Microsoft Endpoint Manager, omdat handmatige monitoring op deze schaal niet haalbaar is en belangrijke afwijkingen kunnen worden gemist. Deze tools kunnen periodiek automatisch controleren of apparaten voldoen aan de geconfigureerde beleidsregels en kunnen automatisch meldingen genereren wanneer niet-compliant apparaten worden gedetecteerd, waardoor beheerders proactief kunnen reageren op configuratiedrift waarbij apparaten na verloop van tijd afwijken van de gewenste configuratie door factoren zoals gebruikers die handmatig instellingen wijzigen, conflicterende beleidsregels, of technische problemen met de synchronisatie. Automatische monitoring via Intune Compliance Policies kan ook worden geconfigureerd om automatische remediatie uit te voeren wanneer niet-compliant apparaten worden gedetecteerd, wat de handmatige interventie vermindert die nodig is om de configuratie te handhaven en zorgt voor consistente toepassing van beveiligingsinstellingen door de gehele organisatie.

Naast technische compliance moet ook worden gemonitord hoe gebruikers reageren op de beheerde Edge Workspaces-functionaliteit en of zij alternatieve methoden zoeken om de beperkingen te omzeilen, wat kan wijzen op een behoefte aan betere communicatie, alternatieve oplossingen, of aanpassingen aan het beleid. Dit gebruikersgedrag kan worden gemonitord via verschillende methoden waaronder gebruikersonderzoeken die periodiek worden uitgevoerd om feedback te verzamelen over de impact van de configuratie op dagelijkse werkzaamheden, helpdesk-tickets die worden geanalyseerd om patronen te identificeren in gebruikersvragen of problemen die verband houden met Edge Workspaces, en het analyseren van gebruikersgedrag binnen de organisatie waarbij wordt gekeken naar trends in het gebruik van alternatieve samenwerkingsmethoden of het delen van browsertabbladen. Als gebruikers bijvoorbeeld consistent alternatieve methoden zoeken om browsertabbladen te delen buiten de beheerde omgeving, kan dit wijzen op een behoefte aan betere communicatie over waarom de functionaliteit wordt beheerd, alternatieve oplossingen die beschikbaar zijn voor samenwerking, of aanpassingen aan het beleid om specifieke use cases toe te staan die belangrijk zijn voor de productiviteit van gebruikers.

Monitoring moet ook aandacht besteden aan de impact op productiviteit en samenwerking, omdat beveiligingsmaatregelen belangrijk zijn maar niet onnodig de werkprocessen van gebruikers mogen belemmeren of frustratie moeten veroorzaken die kan leiden tot shadow IT of het omzeilen van beveiligingsmaatregelen. Door regelmatig te evalueren of de configuratie de gewenste beveiligingsdoelen bereikt zonder negatieve gevolgen voor de gebruikerservaring, kunnen organisaties een balans vinden tussen beveiliging en bruikbaarheid die ervoor zorgt dat gebruikers hun werk effectief kunnen uitvoeren terwijl de organisatie beschermd blijft tegen beveiligingsrisico's. Deze evaluatie moet omvatten: het meten van de impact op productiviteit door te kijken naar metrics zoals de tijd die gebruikers nodig hebben om taken uit te voeren, het aantal helpdesk-tickets dat verband houdt met Edge Workspaces, en feedback van gebruikers over hoe de configuratie hun dagelijkse werkzaamheden beïnvloedt. Als monitoring aangeeft dat de configuratie significante negatieve gevolgen heeft voor productiviteit of gebruikerservaring, moeten organisaties overwegen om het beleid aan te passen of alternatieve oplossingen te bieden die zowel beveiliging als bruikbaarheid waarborgen.

Voor compliance-doeleinden moet monitoring worden gedocumenteerd en gerapporteerd in een gestructureerd formaat dat kan worden gebruikt tijdens interne en externe audits om aan te tonen dat de organisatie proactief beveiligingsmaatregelen implementeert en monitort. Dit is met name belangrijk voor Nederlandse overheidsorganisaties die moeten voldoen aan BIO-normen en andere compliance-vereisten die regelmatige rapportages en documentatie vereisen over de status van beveiligingsconfiguraties. Regelmatige rapportages over de compliance-status van Edge Workspaces Managed moeten worden gegenereerd en bewaard, waarbij informatie wordt vastgelegd over het percentage apparaten dat compliant is, eventuele niet-compliant apparaten en de redenen hiervoor, en acties die zijn ondernomen om compliance te verbeteren. Deze rapportages kunnen worden gebruikt tijdens audits om aan te tonen dat de organisatie een volwassen monitoringproces heeft en proactief werkt aan het handhaven van beveiligingsconfiguraties, wat belangrijk is voor het verkrijgen en behouden van certificeringen zoals ISO 27001 of het voldoen aan BIO-normen.

Geavanceerde monitoring kan ook gebruikmaken van Microsoft Sentinel of andere Security Information and Event Management (SIEM) oplossingen om Edge Workspaces-gerelateerde gebeurtenissen te analyseren en trends te identificeren die kunnen wijzen op beveiligingsrisico's of gebruikersfrustratie. Hoewel Edge Workspaces zelf mogelijk geen uitgebreide logging biedt die direct kan worden geanalyseerd in SIEM-oplossingen, kunnen andere signalen zoals pogingen om alternatieve delenmethoden te gebruiken, ongebruikelijke browsergedragingen die kunnen wijzen op het omzeilen van beveiligingsmaatregelen, of patronen in helpdesk-tickets die verband houden met Edge Workspaces-functionaliteit, worden geanalyseerd om inzicht te krijgen in hoe gebruikers reageren op de configuratie en of er beveiligingsrisico's zijn die moeten worden aangepakt. Deze geavanceerde monitoringbenadering maakt het mogelijk om proactief te reageren op potentiële beveiligingsrisico's voordat ze escaleren en om gebruikerservaringen te verbeteren door trends te identificeren die kunnen wijzen op behoeften aan betere communicatie of alternatieve oplossingen.

Het is belangrijk om monitoring te zien als een continu proces dat regelmatig wordt uitgevoerd en wordt geëvalueerd, niet als een eenmalige activiteit die alleen plaatsvindt tijdens de initiële implementatie. Beveiligingsconfiguraties moeten regelmatig worden geëvalueerd en bijgewerkt op basis van nieuwe bedreigingen die kunnen ontstaan, wijzigingen in de organisatie zoals groei, reorganisaties, of nieuwe gebruikersgroepen, of feedback van gebruikers die kan wijzen op behoeften aan aanpassingen aan het beleid. Door een gestructureerde monitoringaanpak te volgen die regelmatige evaluaties omvat, kunnen organisaties ervoor zorgen dat Edge Workspaces Managed effectief blijft bijdragen aan de algehele beveiligingspostuur van de organisatie en dat de configuratie wordt aangepast aan veranderende behoeften en omstandigheden. Deze continue monitoringbenadering zorgt ervoor dat beveiligingsmaatregelen relevant en effectief blijven over tijd en dat organisaties kunnen reageren op nieuwe uitdagingen of kansen voor verbetering die kunnen ontstaan.

Gebruik PowerShell-script edge-workspaces-managed.ps1 (functie Invoke-Monitoring) – Het monitoring-script voert een technische compliance-controle uit door de registry-instelling te verifiëren en rapporteert de status terug aan de beheerder..

Remediatie

Wanneer monitoring aangeeft dat apparaten niet voldoen aan de Edge Workspaces Managed-configuratie, moet er een gestructureerde remediatieaanpak worden gevolgd die zowel technische correctie van niet-compliant apparaten omvat als het aanpakken van onderliggende oorzaken die hebben geleid tot de configuratiedrift, om ervoor te zorgen dat hetzelfde probleem zich niet opnieuw voordoet en dat de configuratie consistent wordt gehandhaafd over tijd. Deze remediatieaanpak moet worden gezien als een continu proces dat niet alleen gericht is op het corrigeren van individuele apparaten, maar ook op het verbeteren van de algehele configuratiebeheerprocessen en het voorkomen van toekomstige configuratiedrift door systematische problemen aan te pakken die kunnen leiden tot niet-compliant apparaten.

Voor apparaten die technisch niet compliant zijn, kan het bijbehorende PowerShell-script worden gebruikt voor automatische remediatie die de configuratie herstelt naar de gewenste staat zonder handmatige interventie. Het script kan worden uitgevoerd met de parameter -Remediation, wat ervoor zorgt dat het registrypad HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge wordt aangemaakt indien dit niet bestaat, en dat de waarde EdgeWorkspacesEnabled wordt ingesteld op 0 om de gewenste configuratie te herstellen. Het script voert eerst uitgebreide controles uit om te verifiëren of de benodigde rechten aanwezig zijn op het apparaat, of het registrypad toegankelijk is, en of er geen conflicterende processen zijn die de wijziging kunnen blokkeren, en genereert duidelijke foutmeldingen wanneer remediatie niet kan worden uitgevoerd zodat beheerders kunnen begrijpen waarom de remediatie is mislukt en welke stappen nodig zijn om het probleem op te lossen. Deze automatische remediatiebenadering is vooral effectief voor apparaten die tijdelijk zijn afgeweken van de gewenste configuratie door factoren zoals gebruikers die handmatig instellingen hebben gewijzigd of technische problemen met de synchronisatie, en kan worden geautomatiseerd via Intune Compliance Policies om ervoor te zorgen dat niet-compliant apparaten automatisch worden gecorrigeerd zonder handmatige interventie.

Automatische remediatie via Intune Compliance Policies is de voorkeursmethode voor grootschalige omgevingen met honderden of duizenden apparaten, omdat handmatige remediatie op deze schaal niet haalbaar is en belangrijke niet-compliant apparaten kunnen worden gemist. Wanneer een apparaat wordt gedetecteerd als niet-compliant door Intune Compliance Policies, kan Intune automatisch een remediatiescript uitvoeren om de configuratie te corrigeren, waarbij het script wordt uitgevoerd in de context van het systeemaccount met voldoende rechten om registry-wijzigingen door te voeren. Dit vermindert de handmatige interventie die nodig is om de configuratie te handhaven en zorgt voor consistente toepassing van beveiligingsinstellingen door de gehele organisatie, terwijl het ook zorgt voor snelle remediatie van niet-compliant apparaten zodra ze worden gedetecteerd, wat het beveiligingsrisico minimaliseert dat ontstaat wanneer apparaten niet-compliant zijn. Automatische remediatie via Intune kan ook worden geconfigureerd om te rapporteren over de successnelheid van remediatie en eventuele problemen die optreden tijdens het remediatieproces, wat beheerders helpt om trends te identificeren en het remediatieproces te verbeteren.

Echter, technische remediatie alleen is niet voldoende om ervoor te zorgen dat configuratiedrift niet opnieuw optreedt, omdat het alleen de symptomen aanpakt zonder de onderliggende oorzaken te adresseren die hebben geleid tot de niet-compliant status. Het is daarom belangrijk om grondig te onderzoeken waarom apparaten niet-compliant zijn geworden door te analyseren welke factoren hebben bijgedragen aan de configuratiedrift, waarbij mogelijke oorzaken kunnen zijn: gebruikers die handmatig registry-instellingen wijzigen omdat zij niet begrijpen waarom de configuratie is ingesteld of omdat zij alternatieve functionaliteit nodig hebben, conflicterende beleidsregels die verschillende waarden instellen voor dezelfde registry-instelling waardoor apparaten inconsistent worden geconfigureerd, of problemen met de Intune-synchronisatie die ervoor zorgen dat beleidsregels niet correct worden toegepast op apparaten. Door de onderliggende oorzaak te identificeren en aan te pakken via methoden zoals gebruikerseducatie over waarom de configuratie belangrijk is, het oplossen van conflicterende beleidsregels, of het verbeteren van de Intune-synchronisatieconfiguratie, kan worden voorkomen dat hetzelfde probleem zich opnieuw voordoet en kan de algehele configuratiebeheerprocessen worden verbeterd.

Voor apparaten waarop automatische remediatie niet werkt, bijvoorbeeld vanwege beperkte rechten die voorkomen dat het remediatiescript de registry-instellingen kan wijzigen, technische problemen zoals beschadigde registry-structuren of conflicterende software die de wijzigingen blokkeert, of apparaten die niet correct zijn geregistreerd in Intune waardoor automatische remediatie niet kan worden uitgevoerd, moet handmatige interventie worden overwogen als alternatieve remediatiemethode. In dergelijke gevallen moet een beheerder fysiek of via remote access toegang krijgen tot het apparaat om de configuratie handmatig te corrigeren door het registrypad te controleren en de waarde EdgeWorkspacesEnabled handmatig in te stellen op 0, of door andere methoden te gebruiken zoals Group Policy of lokale beheertools om de configuratie te herstellen. Het is belangrijk om deze handmatige interventies te documenteren en te analyseren om patronen te identificeren die kunnen wijzen op systematische problemen zoals een gebrek aan rechten op bepaalde apparaten, technische problemen met specifieke apparaattypen of configuraties, of organisatorische problemen zoals apparaten die niet correct zijn geregistreerd of beheerd, zodat deze systematische problemen kunnen worden aangepakt om toekomstige handmatige interventies te voorkomen.

Remediatie moet ook aandacht besteden aan gebruikerscommunicatie en gebruikerservaring, omdat gebruikers mogelijk worden beïnvloed wanneer een configuratie wordt gecorrigeerd die hun dagelijkse werkzaamheden of gebruikerservaring heeft beïnvloed. Wanneer een configuratie wordt gecorrigeerd die mogelijk gebruikersgedrag heeft beïnvloed, zoals wanneer gebruikers Edge Workspaces hebben gebruikt voor samenwerking en deze functionaliteit wordt uitgeschakeld door de remediatie, moeten gebruikers worden geïnformeerd over wat er is gebeurd en waarom de configuratie is gecorrigeerd, zodat zij begrijpen dat de wijziging is doorgevoerd om de beveiliging van de organisatie te verbeteren en niet om hun productiviteit te beperken. Dit helpt om vertrouwen te behouden tussen gebruikers en de IT-afdeling en voorkomt dat gebruikers proberen om configuraties opnieuw te wijzigen of alternatieve methoden zoeken om de beperkingen te omzeilen, wat kan leiden tot shadow IT of andere beveiligingsrisico's. Effectieve communicatie tijdens remediatie moet ook informatie bevatten over alternatieve methoden die beschikbaar zijn voor gebruikers om hun werkzaamheden uit te voeren, zodat gebruikers niet worden belemmerd in hun productiviteit terwijl de beveiligingsconfiguratie wordt gehandhaafd.

In sommige gevallen kan het nodig zijn om uitzonderingen te maken voor specifieke apparaten of gebruikersgroepen die legitieme redenen hebben om Edge Workspaces te gebruiken buiten de beheerde omgeving, zoals ontwikkelaars die Edge Workspaces nodig hebben voor het testen van applicaties of het ontwikkelen van nieuwe functionaliteit, testteams die Edge Workspaces gebruiken voor het testen van gebruikersscenario's, of andere gebruikersgroepen met specifieke werkvereisten die Edge Workspaces-functionaliteit vereisen. In dergelijke scenario's moet een formeel uitzonderingsproces worden gevolgd waarbij de uitzondering wordt gedocumenteerd met duidelijke rechtvaardiging waarom de uitzondering nodig is, wordt goedgekeurd door de juiste autoriteiten zoals de CISO of security officer, en regelmatig wordt geëvalueerd om te bepalen of de uitzondering nog steeds nodig is of kan worden ingetrokken wanneer de omstandigheden veranderen. Dit formele uitzonderingsproces zorgt ervoor dat uitzonderingen niet willekeurig worden verleend maar alleen wanneer er legitieme zakelijke redenen zijn, en dat uitzonderingen worden beheerd en gecontroleerd om ervoor te zorgen dat ze niet onnodig worden verlengd of uitgebreid naar andere gebruikers of apparaten zonder goede rechtvaardiging.

Na remediatie moet worden geverifieerd dat de correctie succesvol is geweest en dat het apparaat nu compliant is met de Edge Workspaces Managed-configuratie, wat kan worden gedaan door het monitoring-script opnieuw uit te voeren op de gerepareerde apparaten om te bevestigen dat de registry-instelling correct is geconfigureerd en dat het apparaat voldoet aan de vereisten. Daarnaast moet worden gecontroleerd of de remediatie geen onbedoelde gevolgen heeft gehad, zoals het uitschakelen van andere functionaliteiten die afhankelijk zijn van Edge Workspaces, het veroorzaken van prestatieproblemen door conflicterende configuraties, of het beïnvloeden van gebruikerservaringen op manieren die niet waren voorzien tijdens de remediatieplanning. Deze verificatie moet worden uitgevoerd binnen een redelijke tijd na de remediatie, idealiter binnen 24 tot 48 uur, om ervoor te zorgen dat eventuele problemen tijdig worden gedetecteerd en opgelost voordat ze een bredere impact hebben op de organisatie of gebruikerservaringen.

Voor continue verbetering van het configuratiebeheerproces moet remediatie-informatie worden geanalyseerd om trends te identificeren die kunnen wijzen op systematische problemen of kansen voor verbetering van het beleid of de implementatie. Als bepaalde typen apparaten of gebruikersgroepen consistent niet-compliant zijn, kan dit wijzen op een behoefte aan aanvullende training voor gebruikers over waarom de configuratie belangrijk is en hoe zij kunnen voorkomen dat zij onbedoeld instellingen wijzigen, betere communicatie over beveiligingsbeleid en de impact op gebruikers, of aanpassingen aan het beleid zelf om rekening te houden met specifieke use cases of vereisten die belangrijk zijn voor bepaalde gebruikersgroepen. Door remediatie te zien als een leerproces waarbij elke niet-compliant situatie wordt gebruikt om het configuratiebeheerproces te verbeteren, kunnen organisaties hun beveiligingsconfiguraties continu verbeteren en optimaliseren om ervoor te zorgen dat configuratiedrift wordt geminimaliseerd en dat beveiligingsinstellingen effectief worden gehandhaafd zonder onnodige impact op gebruikerservaringen of productiviteit.

Gebruik PowerShell-script edge-workspaces-managed.ps1 (functie Invoke-Remediation) – Het remediatiescript corrigeert automatisch de Edge Workspaces-configuratie door de registry-instelling te herstellen naar de gewenste waarde..

Compliance en Auditing

Edge Workspaces Managed draagt bij aan de naleving van verschillende beveiligings- en compliance-standaarden die relevant zijn voor Nederlandse overheidsorganisaties, waarbij de configuratie moet worden gezien als onderdeel van een bredere beveiligingsstrategie die gericht is op het beschermen van gevoelige informatie en het waarborgen van gecontroleerde toegang tot bedrijfsgegevens. Deze configuratie is niet alleen een technische maatregel, maar vormt een belangrijk onderdeel van de algehele compliance-postuur van de organisatie en moet worden geïntegreerd in de bredere beveiligings- en governance-processen om ervoor te zorgen dat de organisatie voldoet aan alle relevante normen en regelgeving. Door Edge Workspaces centraal te beheren, kunnen organisaties aantonen dat zij proactief werken aan het beveiligen van hun IT-omgeving en het beschermen van gevoelige informatie tegen onbeheerde toegang of datalekken, wat essentieel is voor het verkrijgen en behouden van certificeringen en het voldoen aan compliance-vereisten.

Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang omdat deze normen specifiek zijn ontwikkeld voor de publieke sector en de minimale beveiligingsvereisten definiëren die overheidsorganisaties moeten implementeren om gevoelige informatie te beschermen. Binnen de BIO-normen valt Edge Workspaces Managed onder controle 13.01.01, die betrekking heeft op technische beveiligingsmaatregelen die moeten worden geïmplementeerd om onbevoegde toegang tot informatie te voorkomen en om te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige gegevens. Door Edge Workspaces centraal te beheren via Microsoft Intune, kunnen organisaties aantonen dat zij proactief maatregelen nemen om onbeheerde toegang tot gevoelige informatie te voorkomen en dat zij controle hebben over wie workspaces kan aanmaken, delen en beheren, wat essentieel is voor het voldoen aan BIO-controle 13.01.01. Dit is met name relevant in de context van gedeelde werkruimten waar meerdere gebruikers toegang hebben tot dezelfde browsertabbladen en documenten, omdat onbeheerde toegang tot dergelijke gedeelde omgevingen kan leiden tot datalekken of onbevoegde toegang tot gevoelige informatie die wordt gedeeld binnen de workspace.

De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen tegen onbevoegde toegang, verlies, of vernietiging, waarbij Edge Workspaces Managed een belangrijke technische maatregel vormt die bijdraagt aan de naleving van AVG-vereisten. Edge Workspaces Managed draagt hieraan bij door ervoor te zorgen dat gedeelde werkruimten alleen kunnen worden gebruikt binnen gecontroleerde en beheerde omgevingen waar organisaties controle hebben over wie toegang heeft tot de gedeelde informatie en hoe deze informatie wordt beschermd. Dit voorkomt dat persoonsgegevens onbedoeld worden gedeeld met onbevoegde personen of buiten de gecontroleerde omgevingen van de organisatie, wat kan leiden tot AVG-schendingen en aanzienlijke boetes. Bovendien helpt de centrale beheerbenadering organisaties om te voldoen aan AVG-vereisten zoals het recht op gegevenswissing (Artikel 17), omdat organisaties controle hebben over waar persoonsgegevens worden opgeslagen en gedeeld, en kunnen ervoor zorgen dat gegevens worden verwijderd wanneer dit wordt gevraagd door betrokkenen.

Voor ISO 27001-certificering valt deze configuratie onder controle A.12.6.1, die betrekking heeft op technisch kwetsbaarheidsbeheer en vereist dat organisaties technische kwetsbaarheden identificeren, evalueren en mitigeren om de beveiliging van hun informatiesystemen te waarborgen. Hoewel Edge Workspaces zelf niet per se een kwetsbaarheid is in de traditionele zin van het woord, vormt onbeheerd gebruik ervan wel een beveiligingsrisico omdat het kan leiden tot onbevoegde toegang tot gevoelige informatie, datalekken, of het delen van informatie buiten gecontroleerde omgevingen. Door de functionaliteit centraal te beheren via Microsoft Intune, kunnen organisaties aantonen dat zij risico's identificeren en mitigeren die voortvloeien uit het gebruik van collaboratieve tools en gedeelde werkruimten, wat essentieel is voor het voldoen aan ISO 27001-controle A.12.6.1. Deze risicomitigatiebenadering maakt deel uit van een bredere informatiebeveiligingsmanagementsysteem (ISMS) dat vereist is voor ISO 27001-certificering, waarbij Edge Workspaces Managed een concrete maatregel vormt die aantoont dat de organisatie proactief werkt aan het beveiligen van haar IT-omgeving.

CIS Controls, specifiek Security Controls op niveau L1 die gericht zijn op basisbeveiligingsmaatregelen die alle organisaties moeten implementeren, benadrukken het belang van security hardening waarbij onnodige functionaliteiten worden uitgeschakeld of beperkt om de aanvalsoppervlakte te verkleinen en het risico op beveiligingsincidenten te verminderen. Edge Workspaces Managed is een voorbeeld van security hardening omdat het onnodige functionaliteiten beperkt of beheert die kunnen worden misbruikt voor onbevoegde toegang of datalekken, waarbij organisaties controle hebben over wie Edge Workspaces kan gebruiken en onder welke omstandigheden. Door standaardinstellingen te configureren die beveiliging vooropstellen en onbeheerd gebruik van Edge Workspaces te voorkomen, voldoen organisaties aan de principes van secure by default configuratie die wordt aanbevolen door CIS Controls, waarbij beveiliging wordt ingebouwd in de standaardconfiguratie in plaats van te vertrouwen op gebruikers om beveiligingsinstellingen handmatig te configureren. Deze secure by default benadering is essentieel voor het verminderen van het risico op beveiligingsincidenten en voor het waarborgen dat alle apparaten binnen de organisatie worden beveiligd volgens dezelfde standaarden, ongeacht de technische kennis of beveiligingsbewustzijn van individuele gebruikers.

Voor audit-doeleinden is het essentieel dat alle configuraties worden gedocumenteerd in een gestructureerd formaat dat kan worden gebruikt tijdens interne en externe audits om aan te tonen dat de organisatie proactief beveiligingsmaatregelen implementeert en monitort. Deze documentatie moet omvatten: informatie over waarom Edge Workspaces Managed is geïmplementeerd en welke beveiligingsrisico's het adresseert, welke groepen en apparaten zijn toegewezen aan het beleid en waarom deze specifieke toewijzingen zijn gekozen, wat de compliance-status is van de configuratie en hoe deze wordt gemonitord en gehandhaafd, en welke procedures zijn gevolgd tijdens de implementatie en het onderhoud van de configuratie. Regelmatige rapportages over de compliance-status moeten worden gegenereerd en bewaard, waarbij informatie wordt vastgelegd over het percentage apparaten dat compliant is, eventuele niet-compliant apparaten en de redenen hiervoor, en acties die zijn ondernomen om compliance te verbeteren. Deze rapportages kunnen worden gebruikt tijdens interne en externe audits om aan te tonen dat de organisatie een volwassen configuratiebeheerproces heeft en proactief werkt aan het handhaven van beveiligingsconfiguraties, wat belangrijk is voor het verkrijgen en behouden van certificeringen zoals ISO 27001 of het voldoen aan BIO-normen.

Audit-evidence voor Edge Workspaces Managed bestaat uit verschillende componenten die samen een volledig beeld geven van de configuratie en de compliance-status, waarbij elk component belangrijk is voor het aantonen dat de organisatie voldoet aan relevante normen en regelgeving. Ten eerste moeten de Intune-configuratiebeleidsregels worden gedocumenteerd, inclusief screenshots of exports van de configuratie-instellingen die aantonen dat het beleid correct is geconfigureerd met de waarde EdgeWorkspacesEnabled ingesteld op 0, en informatie over wanneer het beleid is aangemaakt, door wie het is geconfigureerd, en welke wijzigingen zijn doorgevoerd over tijd. Ten tweede moeten compliance-rapportages worden bijgehouden die aantonen dat apparaten voldoen aan de geconfigureerde instellingen, waarbij regelmatige rapportages worden gegenereerd die informatie bevatten over het percentage compliant apparaten, eventuele niet-compliant apparaten en de redenen hiervoor, en acties die zijn ondernomen om compliance te verbeteren. Ten derde moeten eventuele uitzonderingen of afwijkingen worden gedocumenteerd met duidelijke rechtvaardigingen waarom de uitzondering nodig is, goedkeuringen van de juiste autoriteiten zoals de CISO of security officer, en informatie over wanneer de uitzondering is verleend en wanneer deze wordt geëvalueerd om te bepalen of deze nog steeds nodig is. Deze audit-evidence componenten vormen samen een volledig overzicht van de Edge Workspaces Managed-configuratie en kunnen worden gebruikt tijdens audits om aan te tonen dat de organisatie voldoet aan relevante compliance-vereisten.

De bewaartermijn voor audit-evidence moet worden bepaald op basis van organisatorische vereisten en relevante wet- en regelgeving die van toepassing zijn op de organisatie, waarbij verschillende normen en regelgeving verschillende bewaartermijnen kunnen vereisen voor verschillende typen documentatie. Voor Nederlandse overheidsorganisaties wordt over het algemeen een bewaartermijn van minimaal één jaar aanbevolen voor configuratiedocumentatie en compliance-rapportages, hoewel specifieke vereisten kunnen variëren afhankelijk van de aard van de organisatie, de gevoeligheid van de gegevens die worden beheerd, en de specifieke normen of regelgeving die van toepassing zijn. Het is belangrijk om regelmatig te evalueren of de bewaartermijn nog steeds voldoet aan de actuele vereisten en om verouderde documentatie op een veilige manier te archiveren of te verwijderen wanneer de bewaartermijn is verstreken, waarbij rekening moet worden gehouden met eventuele wettelijke vereisten voor het bewaren van bepaalde typen documentatie voor langere perioden. Deze bewaartermijnbeheer zorgt ervoor dat organisaties voldoen aan alle relevante vereisten voor het bewaren van audit-evidence, terwijl het ook voorkomt dat onnodige documentatie wordt bewaard die niet meer relevant is of die niet meer nodig is voor compliance-doeleinden.

Tijdens audits moeten beheerders in staat zijn om duidelijk uit te leggen waarom Edge Workspaces Managed is geïmplementeerd en hoe het bijdraagt aan de algehele beveiligingspostuur van de organisatie, waarbij zij niet alleen technische kennis moeten hebben over hoe de configuratie werkt, maar ook het vermogen moeten hebben om de configuratie te plaatsen in de context van bredere beveiligings- en compliance-doelstellingen. Dit vereist dat beheerders begrijpen welke beveiligingsrisico's Edge Workspaces Managed adresseert, hoe de configuratie bijdraagt aan de naleving van relevante normen zoals BIO, AVG, of ISO 27001, en hoe de configuratie past binnen de bredere beveiligingsstrategie van de organisatie. Door regelmatige training en documentatie kunnen beheerders zich voorbereiden op dergelijke vragen tijdens audits en aantonen dat de organisatie een volwassen en doordachte aanpak heeft voor beveiligingsconfiguratie, waarbij beslissingen worden genomen op basis van risicoanalyses en compliance-vereisten in plaats van ad-hoc implementaties. Deze voorbereiding is essentieel voor succesvolle audits en voor het aantonen dat de organisatie serieus omgaat met beveiliging en compliance, wat belangrijk is voor het verkrijgen en behouden van certificeringen en voor het opbouwen van vertrouwen bij stakeholders en externe partijen.

Compliance & Frameworks

• CIS M365: Control Security Controls (L1) - Security hardening
• BIO: 13.01.01 - Technical security measures
• ISO 27001:2022: A.12.6.1 - Technical vulnerability management

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Beheer workspaces.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE