💼 Management Samenvatting
Deze beveiligingsinstelling configureert de functionaliteit voor begeleide overstap (guided switch) in Microsoft Edge, waardoor gebruikers worden begeleid bij het overschakelen tussen verschillende browserprofielen of accounts.
Aanbeveling
CONSIDER
Risico zonder
Low
Risk Score
1/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Edge
Het uitschakelen van de begeleide overstap-functionaliteit is belangrijk voor organisaties die strikte controle willen behouden over de gebruikerservaring en voorkomen dat gebruikers onbedoeld tussen verschillende profielen of accounts wisselen. Dit vermindert het risico op onbedoelde toegang tot verkeerde accounts of het delen van gevoelige informatie tussen verschillende contexten. Bovendien voorkomt het verwarring bij gebruikers en zorgt het voor een meer voorspelbare en beheersbare browseromgeving die voldoet aan organisatorische beveiligingsstandaarden.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Dit beveiligingsregel configureert het beleid via Microsoft Intune device configuratiebeleidsregels om de begeleide overstap-functionaliteit uit te schakelen. Wanneer deze instelling is geactiveerd, worden gebruikers niet meer begeleid bij het wisselen tussen profielen of accounts, wat resulteert in een meer gecontroleerde en veiligere browseromgeving die beter aansluit bij de beveiligingsvereisten van Nederlandse overheidsorganisaties.
Vereisten
Voor het implementeren van deze beveiligingsinstelling zijn verschillende technische en organisatorische vereisten van toepassing. Allereerst is Microsoft Intune vereist als mobiele apparaatbeheeroplossing (MDM) voor het beheren van Microsoft Edge-instellingen binnen de organisatie. Intune biedt de mogelijkheid om device configuratiebeleidsregels toe te passen die specifiek gericht zijn op browserinstellingen en gebruikerservaring. Organisaties moeten beschikken over een geldige Microsoft 365 licentie die Intune omvat, zoals Microsoft 365 E3, E5, of een vergelijkbare licentie die device management mogelijk maakt. Daarnaast is het noodzakelijk dat de beheerders die deze instelling configureren beschikken over de juiste bevoegdheden binnen Intune, met name de rol van Intune-beheerder of globale beheerder. Vanuit technisch perspectief moeten alle doelapparaten geregistreerd zijn in Microsoft Intune en moeten ze ondersteuning bieden voor de configuratie van Microsoft Edge-beleid. Dit betekent dat de apparaten moeten draaien op een ondersteund besturingssysteem zoals Windows 10, Windows 11, of mobiele platforms zoals iOS en Android waarop Microsoft Edge beschikbaar is. De Edge-browser moet bovendien geïnstalleerd zijn en bij voorkeur de nieuwste versie draaien om optimale compatibiliteit te garanderen met de beleidsinstellingen. Organisatorisch gezien is het belangrijk dat er een duidelijk beleid bestaat over het gebruik van browserprofielen en accountbeheer binnen de organisatie. Dit beleid moet worden gecommuniceerd naar eindgebruikers zodat zij begrijpen waarom bepaalde functionaliteiten zijn uitgeschakeld en wat de verwachte gedragingen zijn. Bovendien moet er een proces zijn voor het testen van deze instellingen in een testomgeving voordat ze worden uitgerold naar productie, om te voorkomen dat onbedoelde gevolgen optreden voor de gebruikerservaring of productiviteit.
Implementatie
De implementatie van het uitschakelen van de begeleide overstap-functionaliteit in Microsoft Edge vereist een gestructureerde aanpak die begint met het voorbereiden van de omgeving en het configureren van de juiste beleidsregels binnen Microsoft Intune. Het implementatieproces start met het inloggen op de Microsoft Endpoint Manager admin center, waar beheerders toegang hebben tot alle device management functionaliteiten. Vervolgens navigeren beheerders naar de sectie voor device configuratiebeleidsregels, waar specifieke instellingen voor Microsoft Edge kunnen worden geconfigureerd. Binnen deze configuratieomgeving moeten beheerders zoeken naar de instelling die betrekking heeft op guided switch of begeleide overstap, en deze instelling uitschakelen door de waarde in te stellen op 'Uitgeschakeld' of 'Disabled'. Het is belangrijk om tijdens deze configuratie aandacht te besteden aan de scope van het beleid, waarbij beheerders moeten bepalen welke gebruikersgroepen of apparaten worden beïnvloed door deze instelling. Organisaties kunnen ervoor kiezen om het beleid toe te passen op alle apparaten binnen de organisatie, of specifiek te richten op bepaalde afdelingen, gebruikersgroepen of apparaatcategorieën. Na het configureren van de instelling moet het beleid worden toegewezen aan de gewenste doelgroepen, waarna Intune automatisch begint met het uitrollen van de configuratie naar de betreffende apparaten. Het uitrolproces kan enige tijd in beslag nemen, afhankelijk van het aantal apparaten en de netwerkverbindingen. Beheerders kunnen de status van de implementatie monitoren via het Intune-dashboard, waar real-time informatie beschikbaar is over de succesvolle toepassing van het beleid op verschillende apparaten. Voor het automatiseren van dit proces en het monitoren van de configuratiestatus kunnen organisaties gebruik maken van het PowerShell-script guided-switch-disabled.ps1, dat beschikbaar is in de code directory. Dit script biedt functionaliteit voor het controleren van de huidige configuratiestatus en het verifiëren dat de instelling correct is toegepast op alle doelapparaten.
Gebruik PowerShell-script guided-switch-disabled.ps1 (functie Invoke-Monitoring) – Het PowerShell-script biedt geautomatiseerde monitoringfunctionaliteit voor het verifiëren van de configuratiestatus van de begeleide overstap-instelling op alle beheerde apparaten..
Monitoring
Effectieve monitoring van de begeleide overstap-instelling is essentieel om te verzekeren dat de beveiligingsconfiguratie consistent wordt toegepast en blijft functioneren zoals bedoeld. Monitoring omvat zowel proactieve controle als reactieve verificatie wanneer er wijzigingen worden gedetecteerd in de configuratie of wanneer gebruikers problemen melden. Binnen Microsoft Intune kunnen beheerders gebruik maken van de ingebouwde rapportagefunctionaliteiten om de compliance status van het beleid te monitoren. Het Intune-dashboard toont real-time informatie over hoeveel apparaten het beleid succesvol hebben ontvangen, hoeveel apparaten nog in behandeling zijn, en hoeveel apparaten mogelijk fouten hebben ondervonden tijdens de toepassing van het beleid. Deze informatie is cruciaal voor het identificeren van potentiële problemen en het nemen van corrigerende maatregelen wanneer nodig. Naast de standaard Intune-rapportage kunnen organisaties gebruik maken van geavanceerde monitoringoplossingen die integratie bieden met Microsoft Graph API, waardoor gedetailleerde informatie kan worden verzameld over de configuratiestatus van individuele apparaten en gebruikers. Deze geautomatiseerde monitoringoplossingen kunnen worden geconfigureerd om regelmatig controles uit te voeren en automatische meldingen te genereren wanneer afwijkingen worden gedetecteerd. Het PowerShell-script guided-switch-disabled.ps1 biedt specifieke monitoringfunctionaliteit die beheerders kunnen gebruiken om programmatisch de status van de configuratie te verifiëren. Dit script kan worden geïntegreerd in bestaande monitoring- en rapportageprocessen, waardoor organisaties een geautomatiseerde en schaalbare aanpak kunnen implementeren voor het bewaken van deze beveiligingsinstelling. Regelmatige monitoring moet worden uitgevoerd volgens een vastgesteld schema, bijvoorbeeld wekelijks of maandelijks, afhankelijk van de organisatorische vereisten en het risiconiveau. Daarnaast moeten beheerders alert blijven op wijzigingen in de Microsoft Edge-configuratie die mogelijk invloed kunnen hebben op deze instelling, zoals updates aan het browserbeleid of wijzigingen in de Intune-configuratie.
Gebruik PowerShell-script guided-switch-disabled.ps1 (functie Invoke-Monitoring) – Het monitoring script verifieert de configuratiestatus van de begeleide overstap-instelling op alle beheerde apparaten en genereert rapporten over de compliance status..
Remediatie
Wanneer monitoring aangeeft dat de begeleide overstap-instelling niet correct is toegepast op bepaalde apparaten, of wanneer gebruikers problemen melden die verband houden met deze configuratie, is een gestructureerd remediatieproces noodzakelijk. Het remediatieproces begint met het identificeren van de oorzaak van het probleem, wat kan variëren van configuratiefouten tot synchronisatieproblemen tussen Intune en de apparaten. Beheerders moeten eerst de specifieke apparaten identificeren waarop het beleid niet correct is toegepast, wat kan worden gedaan via het Intune-dashboard of door gebruik te maken van de monitoringrapporten. Eenmaal geïdentificeerd, moeten beheerders onderzoeken waarom het beleid niet succesvol is toegepast. Veelvoorkomende oorzaken zijn onder meer problemen met de apparaatregistratie in Intune, netwerkconnectiviteitsproblemen die voorkomen dat het apparaat de configuratie kan ophalen, of conflicterende beleidsregels die de instelling overschrijven. In sommige gevallen kan het nodig zijn om het apparaat opnieuw te registreren in Intune of om de synchronisatie tussen het apparaat en Intune handmatig te forceren. Voor apparaten waarop het beleid niet automatisch kan worden toegepast, kunnen beheerders gebruik maken van het PowerShell-script guided-switch-disabled.ps1 met de Invoke-Remediation functie, die automatisch corrigerende maatregelen kan uitvoeren om de configuratie te herstellen. Dit script kan de configuratie opnieuw toepassen, conflicterende instellingen identificeren en oplossen, en de synchronisatie tussen Intune en het apparaat forceren. Na het uitvoeren van remediatiemaatregelen is het belangrijk om te verifiëren dat de configuratie succesvol is hersteld en dat het apparaat nu voldoet aan de beveiligingsvereisten. Dit kan worden gedaan door opnieuw de monitoringfunctionaliteit uit te voeren en te controleren of de compliance status is verbeterd. Daarnaast moeten beheerders documenteren welke remediatiemaatregelen zijn genomen en waarom, zodat deze informatie kan worden gebruikt voor toekomstige probleemoplossing en om patronen te identificeren die kunnen wijzen op systematische problemen die een meer structurele oplossing vereisen.
Gebruik PowerShell-script guided-switch-disabled.ps1 (functie Invoke-Remediation) – Het remediatie script voert automatisch corrigerende maatregelen uit om de begeleide overstap-instelling te herstellen op apparaten waarop de configuratie niet correct is toegepast..
Compliance en Auditing
Het uitschakelen van de begeleide overstap-functionaliteit draagt bij aan de naleving van verschillende beveiligingsstandaarden en compliance frameworks die relevant zijn voor Nederlandse overheidsorganisaties. Deze instelling sluit aan bij de BIO (Baseline Informatiebeveiliging Overheid) normen, specifiek controle 13.01.01 die betrekking heeft op technische beveiligingsmaatregelen. Door de begeleide overstap uit te schakelen, verminderen organisaties het risico op onbedoeld wisselen tussen accounts of profielen, wat kan leiden tot onjuiste toegang tot gegevens of het per ongeluk delen van informatie tussen verschillende contexten. Dit draagt direct bij aan de bescherming van persoonsgegevens en gevoelige informatie, wat essentieel is voor naleving van de Algemene Verordening Gegevensbescherming (AVG). Vanuit ISO 27001 perspectief, specifiek controle A.12.6.1 over technisch beveiligingsbeheer, helpt deze instelling bij het implementeren van technische controles die de beveiliging van informatiesystemen verbeteren. De configuratie zorgt voor een meer gecontroleerde en voorspelbare gebruikersomgeving, wat bijdraagt aan het verminderen van beveiligingsrisico's die kunnen ontstaan door gebruikersfouten of onbedoelde acties. Voor auditdoeleinden is het belangrijk dat organisaties documenteren hoe deze instelling is geconfigureerd, welke apparaten en gebruikersgroepen worden beïnvloed, en hoe de compliance status wordt gemonitord. Deze documentatie moet worden bijgehouden gedurende de volledige levenscyclus van de configuratie en moet beschikbaar zijn voor interne en externe auditors die de beveiligingsmaatregelen van de organisatie evalueren. Regelmatige audits moeten worden uitgevoerd om te verifiëren dat de instelling correct is toegepast en blijft functioneren zoals bedoeld, en dat eventuele wijzigingen in de configuratie worden gedocumenteerd en goedgekeurd volgens de organisatorische change management processen.
Compliance & Frameworks
- CIS M365: Control Security Controls (L1) - Security hardening
- BIO: 13.01.01 - Technical security measures
- ISO 27001:2022: A.12.6.1 - Technical vulnerability management
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Security: Guided Switch Disabled
.DESCRIPTION
CIS - Guided browser switch prompts moeten disabled in enterprise.
.NOTES
Filename: guided-switch-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\GuidedSwitchEnabled|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "GuidedSwitchEnabled"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "guided-switch-disabled.ps1"; PolicyName = "Guided Switch Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Guided switch disabled" }else { $r.Details += "Guided switch enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Guided switch disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Low: Wanneer de begeleide overstap-functionaliteit niet wordt uitgeschakeld, bestaat er een verhoogd risico dat gebruikers onbedoeld wisselen tussen verschillende browserprofielen of accounts, wat kan leiden tot onjuiste toegang tot gegevens of het per ongeluk delen van gevoelige informatie tussen verschillende contexten. Hoewel het risiconiveau relatief laag is in vergelijking met andere beveiligingsbedreigingen, kan het cumulatief effect van dergelijke incidenten significant zijn voor organisaties die werken met gevoelige overheidsinformatie.
Management Samenvatting
Schakel de begeleide overstap-functionaliteit uit in Microsoft Edge via Intune device configuratiebeleidsregels om een meer gecontroleerde en veiligere browseromgeving te creëren die voldoet aan organisatorische beveiligingsstandaarden.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE