💼 Management Samenvatting
Microsoft Teams vormt het centrale samenwerkingsplatform voor Nederlandse overheidsorganisaties, waarbij dagelijks gevoelige informatie wordt gedeeld, besproken en opgeslagen. Van bestuurlijke besluitvorming en crisismanagement tot burgerparticipatie en ketensamenwerking: Teams bevat een schat aan vertrouwelijke informatie die beschermd moet worden tegen ongeautoriseerde toegang, datalekken en beveiligingsincidenten. Zonder een uitgebreide en goed doordachte beveiligingsconfiguratie lopen organisaties aanzienlijke risico's op compliance-schendingen, datalekken en reputatieschade.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
112u (tech: 48u)
Van toepassing op:
✓ Microsoft 365
✓ Microsoft Teams
✓ Teams Admin Center
✓ Azure AD
✓ Conditional Access
✓ Microsoft Teams
✓ Teams Admin Center
✓ Azure AD
✓ Conditional Access
Onvoldoende geconfigureerde Teams-beveiliging vormt een kritiek beveiligingsrisico voor Nederlandse overheidsorganisaties. Wanneer Teams-beveiligingsinstellingen niet centraal worden beheerd en geconfigureerd, ontstaan er inconsistenties waarbij sommige teams of gebruikers wel adequate beveiligingsmaatregelen hebben terwijl anderen kwetsbaar zijn voor beveiligingsincidenten. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige informatie, datalekken wanneer externe partijen onbedoeld toegang krijgen tot interne teams, schending van de AVG wanneer persoonsgegevens onvoldoende worden beschermd, en mogelijke boetes van toezichthouders zoals de Autoriteit Persoonsgegevens. Bovendien vereisen de AVG, BIO en NIS2 dat organisaties passende technische maatregelen treffen om informatie te beschermen en toegang te controleren. Zonder een gestructureerde aanpak voor Teams-beveiligingsconfiguratie kunnen organisaties niet aantoonbaar borgen dat zij voldoen aan deze vereisten, wat kan leiden tot compliance-schendingen en verlies van vertrouwen van burgers en bestuur.
PowerShell Modules Vereist
Primary API: Microsoft 365 Admin Center, Teams Admin Center, Azure AD
Connection:
Required Modules: MicrosoftTeams, Microsoft.Graph, AzureAD
Connection:
PowerShell, Microsoft GraphRequired Modules: MicrosoftTeams, Microsoft.Graph, AzureAD
Implementatie
Dit artikel beschrijft hoe Nederlandse overheidsorganisaties een complete Teams-beveiligingsconfiguratie kunnen implementeren die alle aspecten van Teams-beveiliging omvat: messaging-beleidsregels voor chat- en kanaalbeveiliging, app-beleidsregels voor het beheren van externe apps en integraties, meeting-beleidsregels voor vergaderingsbeveiliging, live event-beleidsregels voor webinars en publieke evenementen, en calling-beleidsregels voor telefoon- en videogesprekken. We behandelen de governance en beleidskaders, de technische implementatie van alle Teams-beleidsregels, de koppeling met Azure AD Conditional Access voor toegangscontrole, de integratie met gevoeligheidslabels en data loss prevention, de monitoring en logging van Teams-activiteiten, en de borging van compliance met AVG, BIO en NIS2. Het gekoppelde PowerShell-script helpt organisaties om de configuratie van alle Teams-beveiligingsinstellingen te controleren, te inventariseren welke teams of gebruikers onvoldoende beveiligd zijn, en te rapporteren over compliance-status voor auditdoeleinden.
Governance en Beleidskader voor Teams-Beveiliging
Een effectief Teams-beveiligingskader begint bij een helder governancemodel dat expliciet wordt onderschreven door bestuur en directie. Voor Nederlandse overheidsorganisaties betekent dit dat er een formeel beleidsdocument moet zijn dat vastlegt welke beveiligingsniveaus gelden voor verschillende typen Teams-omgevingen, wie verantwoordelijk is voor het configureren van Teams-beveiligingsinstellingen, welke beleidsregels moeten worden toegepast, en hoe wordt omgegaan met uitzonderingen. Dit beleidsdocument moet aansluiten bij bestaande informatiebeveiligings- en privacybeleidsstukken en moet expliciet verwijzen naar de relevante artikelen uit de AVG, BIO-normen en sectorspecifieke regelgeving zoals de Wbni voor vitale aanbieders of NIS2 voor essentiële en belangrijke entiteiten.
Het governancekader moet verschillende beveiligingsniveaus definiëren op basis van de gevoeligheid van de informatie die binnen Teams wordt gedeeld en besproken. Een laag niveau kan bijvoorbeeld gelden voor algemene communicatieteams waarbij alleen interne medewerkers deelnemen en waarbij geen gevoelige informatie wordt besproken. Voor deze teams kunnen basisbeveiligingsopties worden toegepast, zoals standaard messaging-beleidsregels en beperkte externe app-toegang. Een medium niveau kan gelden voor projectteams waarbij ook externe partijen deelnemen, waarbij gevoelige bedrijfsinformatie wordt besproken, of waarbij persoonsgegevens worden behandeld. Voor deze teams moeten strengere beveiligingsopties worden toegepast, zoals gevoeligheidslabels, beperkte externe delen, en uitgebreide logging. Een hoog niveau kan gelden voor bestuursteams, crisismanagement-teams, of teams waarbij staatsgevoelige of zeer vertrouwelijke informatie wordt besproken. Voor deze teams moeten maximale beveiligingsopties worden toegepast, zoals end-to-end encryptie, strikte toegangscontrole via Conditional Access, het uitsluiten van externe apps, en uitgebreide monitoring en logging.
Een cruciaal onderdeel van governance is de rolverdeling en verantwoordelijkheden. Het beleidsdocument moet expliciet vastleggen wie verantwoordelijk is voor het definiëren van Teams-beleidsregels op organisatieniveau, wie verantwoordelijk is voor het toewijzen van beleidsregels aan gebruikers of groepen, wie verantwoordelijk is voor het monitoren van Teams-activiteiten en beveiligingsincidenten, en wie verantwoordelijk is voor het periodiek beoordelen van de effectiviteit van Teams-beveiligingsmaatregelen. In de praktijk zijn dit vaak IT-beheer of informatiebeveiliging die Teams-beleidsregels definiëren en configureren, proceseigenaren of teamleiders die zorgen voor naleving van beveiligingsvereisten binnen hun teams, en compliance-officers die periodiek controleren of Teams voldoen aan beveiligingsvereisten. Door deze rollen expliciet vast te leggen voorkomt u dat Teams-beveiliging wordt vergeten of onvoldoende wordt toegepast.
Het governancekader moet ook processen bevatten voor uitzonderingen en escalaties. Soms zijn er legitieme redenen om af te wijken van het standaardbeleid, bijvoorbeeld bij publieke webinars waarbij anonieme toegang nodig is voor burgerparticipatie, of bij crisissituaties waarbij snelle samenwerking met externe experts vereist is en strikte beveiligingsmaatregelen praktisch niet haalbaar zijn. Het kader moet vastleggen hoe dergelijke uitzonderingen worden aangevraagd, wie deze goedkeurt, hoe lang ze geldig zijn, en hoe ze worden gedocumenteerd voor auditdoeleinden. Daarnaast moet het kader processen bevatten voor het afhandelen van incidenten waarbij Teams-beveiliging mogelijk is gecompromitteerd, zoals ongeautoriseerde toegang, datalekken, of beveiligingsincidenten waarbij gevoelige informatie is blootgesteld.
Messaging-Beveiligingsbeleidsregels
Messaging-beleidsregels bepalen hoe gebruikers kunnen communiceren via chat en kanalen in Microsoft Teams. Deze beleidsregels zijn essentieel voor het beveiligen van communicatie en het voorkomen van ongeautoriseerde informatie-uitwisseling. Organisaties kunnen verschillende messaging-beleidsregels definiëren voor verschillende gebruikersgroepen, waardoor zij gedifferentieerde beveiligingsniveaus kunnen toepassen op basis van functie, afdeling of gevoeligheidsniveau. Standaard bevat Teams een globaal messaging-beleid dat op alle gebruikers van toepassing is, maar organisaties kunnen aangepaste beleidsregels maken die specifieke beveiligingsopties toepassen.
Een belangrijk aspect van messaging-beveiliging is de controle over wie kan chatten en wie kan kanalen maken. Organisaties kunnen configureren dat alleen organisatoren of teamleiders nieuwe kanalen kunnen maken, wat voorkomt dat gebruikers onbeperkt kanalen aanmaken en daardoor overzicht verliezen. Bovendien kunnen organisaties configureren of gebruikers privékanalen kunnen maken, wat nuttig kan zijn voor gevoelige projecten maar ook een beveiligingsrisico kan vormen wanneer privékanalen worden gebruikt om informatie buiten het zicht van compliance en monitoring te houden. Voor Nederlandse overheidsorganisaties is het verstandig om privékanalen toe te staan maar te vereisen dat deze worden beheerd en gemonitord, zodat compliance-officers kunnen verifiëren dat gevoelige informatie correct wordt beschermd.
Chat-beveiliging omvat ook controle over wie bestanden kan delen via chat, wie links kan delen, en wie externe gebruikers kan uitnodigen. Organisaties kunnen configureren dat alleen organisatoren bestanden kunnen delen, of dat alle gebruikers bestanden kunnen delen maar dat externe delen wordt geblokkeerd door gevoeligheidslabels of data loss prevention. Bovendien kunnen organisaties configureren of gebruikers externe gebruikers kunnen uitnodigen via chat, wat een beveiligingsrisico kan vormen wanneer gevoelige informatie wordt gedeeld met onbevoegde externe partijen. Voor gevoelige teams is het verstandig om externe uitnodigingen te beperken tot organisatoren of teamleiders, zodat er controle is over wie toegang krijgt tot gevoelige informatie.
Een cruciaal aspect van messaging-beveiliging is de integratie met data loss prevention en gevoeligheidslabels. Microsoft 365 ondersteunt gevoeligheidslabels die kunnen worden toegepast op Teams-teams en kanalen, en die kunnen worden geconfigureerd om externe delen te blokkeren of te beperken. Door gevoeligheidslabels te koppelen aan messaging-beleidsregels kunt u ervoor zorgen dat teams met het label 'Vertrouwelijk' of 'Intern' niet kunnen chatten met externe gebruikers, zelfs wanneer messaging-beleidsregels externe communicatie toestaan. Data loss prevention-beleidsregels kunnen aanvullende controles bieden door te detecteren wanneer gebruikers proberen gevoelige informatie te delen via chat en deze acties te blokkeren of te waarschuwen. Deze technische maatregelen vormen een belangrijke verdedigingslinie, maar moeten worden aangevuld met training en bewustwording omdat gebruikers altijd manieren kunnen vinden om beveiligingsmaatregelen te omzeilen als ze niet begrijpen waarom deze belangrijk zijn.
App-Beveiligingsbeleidsregels en Externe Integraties
App-beleidsregels bepalen welke apps en integraties gebruikers kunnen installeren en gebruiken binnen Microsoft Teams. Deze beleidsregels zijn essentieel voor het beveiligen van Teams tegen kwaadaardige of onveilige apps die gevoelige informatie kunnen lekken of beveiligingsrisico's kunnen introduceren. Organisaties kunnen verschillende app-beleidsregels definiëren voor verschillende gebruikersgroepen, waardoor zij gedifferentieerde beveiligingsniveaus kunnen toepassen op basis van functie, afdeling of gevoeligheidsniveau. Standaard bevat Teams een globaal app-beleid dat alle apps toestaat, maar organisaties kunnen aangepaste beleidsregels maken die specifieke apps blokkeren of toestaan.
Een belangrijk aspect van app-beveiliging is de controle over welke apps beschikbaar zijn in de Teams-appstore. Organisaties kunnen configureren dat alleen goedgekeurde apps beschikbaar zijn, waarbij een centrale lijst wordt bijgehouden van apps die zijn goedgekeurd voor gebruik binnen de organisatie. Deze goedkeuringslijst moet regelmatig worden beoordeeld om te verifiëren dat apps nog steeds veilig zijn en dat zij voldoen aan beveiligings- en privacyvereisten. Bovendien kunnen organisaties configureren of gebruikers externe apps kunnen installeren, wat een beveiligingsrisico kan vormen wanneer onveilige apps worden geïnstalleerd zonder centrale controle. Voor Nederlandse overheidsorganisaties is het verstandig om externe app-installatie te beperken tot IT-beheer of informatiebeveiliging, zodat er controle is over welke apps worden gebruikt en dat deze apps voldoen aan beveiligingsvereisten.
Bot-beveiliging is een cruciaal onderdeel van app-beveiliging omdat bots toegang kunnen hebben tot gevoelige informatie en acties kunnen uitvoeren namens gebruikers. Organisaties kunnen configureren welke bots zijn toegestaan, of bots toegang hebben tot gevoelige informatie, en of bots acties kunnen uitvoeren zoals het delen van bestanden of het uitnodigen van gebruikers. Voor gevoelige teams is het verstandig om bot-toegang te beperken tot goedgekeurde bots die zijn gecontroleerd op beveiligings- en privacyvereisten. Bovendien moeten organisaties processen hebben voor het beoordelen en goedkeuren van nieuwe bots voordat deze worden gebruikt binnen Teams, waarbij wordt gecontroleerd of bots voldoen aan beveiligingsvereisten en of zij toegang hebben tot alleen de informatie die nodig is voor hun functie.
Externe integraties vormen een aanzienlijk beveiligingsrisico omdat zij toegang kunnen hebben tot gevoelige informatie en deze kunnen delen met externe systemen. Organisaties kunnen configureren welke externe integraties zijn toegestaan, of externe integraties toegang hebben tot gevoelige informatie, en of externe integraties gegevens kunnen exporteren naar externe systemen. Voor Nederlandse overheidsorganisaties is het verstandig om externe integraties te beperken tot goedgekeurde integraties die zijn gecontroleerd op beveiligings- en privacyvereisten, en om te vereisen dat externe integraties voldoen aan AVG-vereisten wanneer zij toegang hebben tot persoonsgegevens. Bovendien moeten organisaties processen hebben voor het beoordelen en goedkeuren van nieuwe externe integraties voordat deze worden gebruikt, waarbij wordt gecontroleerd of integraties voldoen aan beveiligingsvereisten en of zij gegevensbescherming bieden die voldoet aan AVG-vereisten.
Conditional Access en Toegangscontrole
Azure AD Conditional Access biedt geavanceerde toegangscontrole voor Microsoft Teams door te vereisen dat gebruikers voldoen aan specifieke voorwaarden voordat zij toegang krijgen. Deze voorwaarden kunnen omvatten: multi-factor authenticatie, vertrouwde netwerken of apparaten, geografische locaties, of risicogebaseerde voorwaarden zoals verdachte aanmeldingsactiviteiten. Conditional Access-beleidsregels kunnen worden toegepast op Teams-specifieke scenario's, zoals toegang tot Teams-webapps, toegang tot Teams-mobiele apps, of toegang tot Teams-desktopapps, waardoor organisaties gedifferentieerde beveiligingsniveaus kunnen toepassen op basis van het toegangstype.
Voor Nederlandse overheidsorganisaties is het verstandig om Conditional Access-beleidsregels te configureren die multi-factor authenticatie vereisen voor alle Teams-toegang, behalve wanneer gebruikers toegang hebben vanaf vertrouwde netwerken of apparaten. Dit biedt een extra laag van beveiliging tegen ongeautoriseerde toegang, vooral wanneer gebruikers toegang hebben vanaf externe locaties of onbeheerde apparaten. Bovendien kunnen organisaties configureren dat toegang tot Teams wordt geblokkeerd vanaf bepaalde geografische locaties, wat nuttig kan zijn voor het voorkomen van toegang vanaf risicovolle locaties of voor het voldoen aan data residency-vereisten. Voor gevoelige teams kunnen organisaties ook configureren dat toegang alleen is toegestaan vanaf beheerde apparaten die voldoen aan compliance-vereisten, zoals BitLocker-encryptie, up-to-date antivirussoftware, en geïnstalleerde beveiligingsupdates.
Risicogebaseerde Conditional Access biedt geavanceerde beveiliging door toegang te blokkeren of aanvullende verificatie te vereisen wanneer Azure AD Identity Protection verdachte aanmeldingsactiviteiten detecteert. Deze activiteiten kunnen omvatten: aanmeldingen vanaf onbekende locaties, aanmeldingen vanaf geïnfecteerde apparaten, of aanmeldingen die overeenkomen met bekende aanvalspatronen. Voor Nederlandse overheidsorganisaties is het verstandig om risicogebaseerde Conditional Access in te schakelen voor Teams-toegang, waarbij gebruikers worden geblokkeerd of aanvullende verificatie wordt vereist wanneer hoog risico wordt gedetecteerd. Dit biedt proactieve beveiliging tegen accountovername en andere beveiligingsbedreigingen, wat essentieel is voor het beschermen van gevoelige informatie binnen Teams.
App-beveiligingsbeleidsregels kunnen worden gecombineerd met Conditional Access om aanvullende beveiliging te bieden voor Teams-mobiele apps. Microsoft Intune App Protection-beleidsregels kunnen worden geconfigureerd om te vereisen dat Teams-mobiele apps worden beveiligd met pincodes of biometrische authenticatie, dat gevoelige gegevens worden versleuteld, en dat gegevens worden gewist wanneer apparaten worden gecompromitteerd of verloren. Voor Nederlandse overheidsorganisaties is het verstandig om App Protection-beleidsregels te configureren voor Teams-mobiele apps, vooral wanneer gebruikers toegang hebben tot gevoelige informatie via mobiele apparaten. Dit biedt een extra laag van beveiliging tegen gegevenslekken wanneer mobiele apparaten verloren gaan of worden gestolen, wat essentieel is voor het beschermen van gevoelige informatie en het voldoen aan AVG-vereisten.
Monitoring, Logging en Compliance
Continue monitoring van Teams-activiteiten is essentieel om te detecteren wanneer beveiligingsincidenten optreden, wanneer ongeautoriseerde personen toegang krijgen tot teams, of wanneer gevoelige informatie wordt gedeeld zonder toestemming. Microsoft 365 biedt uitgebreide logging via de unified audit log, die alle activiteiten binnen Teams vastlegt, inclusief wie teams heeft aangemaakt, wie heeft deelgenomen aan teams, wanneer gebruikers zijn toegetreden en verlaten, wie bestanden heeft gedeeld, en of externe apps zijn geïnstalleerd. Deze logboeken kunnen worden doorzocht via het Microsoft 365 compliance center of via PowerShell, en kunnen worden geëxporteerd naar een SIEM-oplossing zoals Microsoft Sentinel voor geavanceerde analyse en detectie van verdachte patronen.
Het monitoringproces moet regelmatig controleren of Teams-beveiligingsinstellingen correct zijn geconfigureerd, of teams voldoen aan beveiligingsvereisten op basis van hun gevoeligheidsniveau, of er ongebruikelijke activiteiten zijn die kunnen wijzen op beveiligingsincidenten, en of externe apps correct worden beheerd en gemonitord. Het PowerShell-script kan worden gebruikt om deze controles te automatiseren en om rapporten te genereren voor compliance-rapportage. Daarnaast moeten teamleiders regelmatig worden geïnformeerd over de beveiligingsstatus van hun teams, zodat zij kunnen verifiëren dat beveiligingsvereisten worden nageleefd en dat er geen onbevoegde toegang is verleend.
Voor compliance met de AVG is het belangrijk om te kunnen aantonen welke maatregelen zijn genomen om persoonsgegevens te beschermen binnen Teams. Teams-beveiligingsconfiguratie moet daarom worden gedocumenteerd in het verwerkingsregister, waarbij wordt vastgelegd welke technische maatregelen zijn toegepast om vertrouwelijkheid te waarborgen, wie toegang heeft gehad tot teams waarin persoonsgegevens worden besproken, en hoe gevoelige informatie wordt beveiligd. Wanneer externe apps of integraties toegang hebben tot persoonsgegevens, moet ook een verwerkersovereenkomst worden afgesloten die expliciet beschrijft hoe persoonsgegevens worden beschermd en hoe wordt voldaan aan AVG-vereisten. Auditlogboeken moeten worden bewaard voor de vereiste bewaartermijn, meestal minimaal zeven jaar voor overheidsorganisaties, en moeten beschikbaar zijn voor toezichthouders zoals de Autoriteit Persoonsgegevens wanneer deze daarom vragen.
Voor BIO-naleving zijn Teams-beveiligingsconfiguraties relevant voor verschillende normen, waaronder BIO 9.01 die eist dat toegangsrechten worden beheerd en dat onbevoegde toegang wordt voorkomen, BIO 13.02 die eist dat externe toegang wordt gecontroleerd en gelogd, en BIO 12.01 die eist dat informatie wordt geclassificeerd en dat passende beveiligingsmaatregelen worden toegepast op basis van de classificatie. Het Teams-beveiligingsbeleid moet daarom expliciet aansluiten bij de informatieclassificatie en moet ervoor zorgen dat alleen teams met de juiste beveiligingsniveau worden gebruikt voor verschillende typen informatie. Voor NIS2-vereisten moeten essentiële en belangrijke entiteiten kunnen aantonen dat zij passende maatregelen hebben genomen om beveiligingsrisico's te beheren, inclusief het beveiligen van communicatiekanalen en het monitoren van toegang tot systemen en netwerken. Teams-beveiligingsconfiguraties vormen een concrete manier om deze vereisten in te vullen door granulaire controle te bieden over toegang tot teams en door uitgebreide logging en monitoring te bieden.
Gebruik PowerShell-script teams-security-configuration.ps1 (functie Invoke-ComplianceReport) – Genereert een compliance-rapport met overzicht van Teams-beveiligingsconfiguratie, beleidstoewijzingen en compliance-status voor auditdoeleinden..
Compliance & Frameworks
- BIO: 9.01, 13.02, 12.01, 18.03 - Teams-beveiligingsconfiguratie ondersteunt BIO-naleving door toegangsrechten te beheren, externe toegang te controleren en te loggen, passende beveiligingsmaatregelen toe te passen op basis van informatieclassificatie, en opname en loggen van activiteiten te beheren.
- ISO 27001:2022: A.9.2.2, A.9.2.3, A.13.2.1, A.12.4.1 - Teams-beveiligingsconfiguratie ondersteunt ISO 27001-naleving door externe gebruikersrechten te beheren en te reviewen, door beleidsregels en procedures te hebben voor informatie-uitwisseling, door toegangsrechten regelmatig te beoordelen, en door event logging te implementeren.
- NIS2: Artikel - Teams-beveiligingsconfiguratie ondersteunt NIS2-vereisten door passende maatregelen te bieden voor het beveiligen van communicatiekanalen, het beheren van toegang tot systemen en netwerken, en door uitgebreide logging en monitoring te bieden voor risicobeheer.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Teams-beveiligingsconfiguratie: Uitgebreide beveiligingsinstellingen voor Microsoft Teams
.DESCRIPTION
Controleert en rapporteert over Teams-beveiligingsconfiguratie voor messaging-beleidsregels, app-beleidsregels,
meeting-beleidsregels, Conditional Access en toegangscontrole.
Helpt Nederlandse overheidsorganisaties bij het aantoonbaar maken van compliance met AVG, BIO en NIS2-vereisten
voor Teams-beveiliging en toegangscontrole.
.NOTES
Filename: teams-security-configuration.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Created: 2025-01-27
Last Modified: 2025-01-27
Related JSON: content/m365/collaboration/teams-security-configuration.json
Requires: Microsoft 365-licenties, Teams Admin Center toegang
Modules: MicrosoftTeams, Microsoft.Graph, AzureAD
.EXAMPLE
.\teams-security-configuration.ps1 -Monitoring
Controleert Teams-beveiligingsconfiguratie voor alle beleidsregels
.EXAMPLE
.\teams-security-configuration.ps1 -ComplianceReport -OutputPath .\compliance-rapport.txt
Genereert een compliance-rapport met overzicht van Teams-beveiligingsconfiguratie
.EXAMPLE
.\teams-security-configuration.ps1 -Monitoring -DebugMode
Controleert Teams-beveiligingsconfiguratie met voorbeelddata voor lokale test
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter(Mandatory = $false, HelpMessage = "Voer monitoring uit van Teams-beveiligingsconfiguratie")]
[switch]$Monitoring,
[Parameter(Mandatory = $false, HelpMessage = "Genereer een compliance-rapport")]
[switch]$ComplianceReport,
[Parameter(Mandatory = $false, HelpMessage = "Pad naar het rapportbestand (alleen bij -ComplianceReport)")]
[string]$OutputPath,
[Parameter(Mandatory = $false, HelpMessage = "Voer een veilige lokale test uit met voorbeelddata")]
[switch]$DebugMode
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Teams-beveiligingsconfiguratie" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Connect-RequiredServices {
<#
.SYNOPSIS
Maakt verbinding met vereiste Microsoft 365-services
#>
try {
if ($DebugMode) {
Write-Host "DebugMode: Services worden niet daadwerkelijk verbonden" -ForegroundColor Yellow
return $true
}
Write-Host "Verbinden met Microsoft 365-services..." -ForegroundColor Gray
# Controleer en verbind met Microsoft Teams
if (Get-Module -ListAvailable -Name MicrosoftTeams) {
try {
$teamsSession = Get-PSSession | Where-Object { $_.ConfigurationName -like "*Teams*" -and $_.State -eq "Opened" }
if (-not $teamsSession) {
Write-Host " Verbinden met Microsoft Teams..." -ForegroundColor Gray
# In productie: Connect-MicrosoftTeams
Write-Host " Teams verbinding (gesimuleerd)" -ForegroundColor Green
}
else {
Write-Host " Bestaande Teams sessie gevonden" -ForegroundColor Green
}
}
catch {
Write-Host " Waarschuwing: Teams verbinding niet beschikbaar" -ForegroundColor Yellow
}
}
else {
Write-Host " Waarschuwing: MicrosoftTeams module niet geïnstalleerd" -ForegroundColor Yellow
}
# Controleer en verbind met Microsoft Graph
if (Get-Module -ListAvailable -Name Microsoft.Graph) {
try {
$graphContext = Get-MgContext -ErrorAction SilentlyContinue
if (-not $graphContext) {
Write-Host " Verbinden met Microsoft Graph..." -ForegroundColor Gray
# In productie: Connect-MgGraph -Scopes "Directory.Read.All", "User.Read.All", "Policy.Read.All"
Write-Host " Graph verbinding (gesimuleerd)" -ForegroundColor Green
}
else {
Write-Host " Bestaande Graph sessie gevonden" -ForegroundColor Green
}
}
catch {
Write-Host " Waarschuwing: Microsoft Graph verbinding niet beschikbaar (optioneel)" -ForegroundColor Yellow
}
}
else {
Write-Host " Waarschuwing: Microsoft.Graph module niet geïnstalleerd (optioneel)" -ForegroundColor Yellow
}
# Controleer en verbind met Azure AD
if (Get-Module -ListAvailable -Name AzureAD) {
try {
$azureADContext = Get-AzureADCurrentSessionInfo -ErrorAction SilentlyContinue
if (-not $azureADContext) {
Write-Host " Verbinden met Azure AD..." -ForegroundColor Gray
# In productie: Connect-AzureAD
Write-Host " Azure AD verbinding (gesimuleerd)" -ForegroundColor Green
}
else {
Write-Host " Bestaande Azure AD sessie gevonden" -ForegroundColor Green
}
}
catch {
Write-Host " Waarschuwing: Azure AD verbinding niet beschikbaar (optioneel)" -ForegroundColor Yellow
}
}
else {
Write-Host " Waarschuwing: AzureAD module niet geïnstalleerd (optioneel)" -ForegroundColor Yellow
}
return $true
}
catch {
Write-Host " FOUT: Kan geen verbinding maken met vereiste services" -ForegroundColor Red
Write-Host " Controleer of de vereiste modules zijn geïnstalleerd" -ForegroundColor Yellow
throw "Verbinding mislukt: $_"
}
}
function Get-TeamsSecurityConfiguration {
<#
.SYNOPSIS
Haalt Teams-beveiligingsconfiguratie op voor alle beleidsregels
.OUTPUTS
PSCustomObject met configuratie-informatie
#>
try {
if ($DebugMode) {
Write-Host "DebugMode: Retourneert voorbeeldconfiguratie" -ForegroundColor Yellow
return [PSCustomObject]@{
MessagingPoliciesConfigured = $true
MessagingPoliciesAssigned = 5
UsersWithoutMessagingPolicy = 3
AppPoliciesConfigured = $true
AppPoliciesAssigned = 4
UsersWithoutAppPolicy = 4
ExternalAppsBlocked = $true
MeetingPoliciesConfigured = $true
MeetingPoliciesAssigned = 6
UsersWithoutMeetingPolicy = 2
ConditionalAccessEnabled = $true
ConditionalAccessPoliciesCount = 3
SensitivityLabelsApplied = $true
TeamsWithSensitivityLabels = 12
TeamsWithoutSensitivityLabels = 8
IsCompliant = $false
Status = "Gedeeltelijk geconfigureerd"
}
}
Write-Host "Ophalen van Teams-beveiligingsconfiguratie..." -ForegroundColor Gray
# In productie zouden hier echte cmdlets worden gebruikt:
# $messagingPolicies = Get-CsTeamsMessagingPolicy
# $appPolicies = Get-CsTeamsAppPermissionPolicy
# $meetingPolicies = Get-CsTeamsMeetingPolicy
# $conditionalAccessPolicies = Get-AzureADMSConditionalAccessPolicy
# $assignedPolicies = Get-CsUserPolicyAssignment
# Voor nu retourneren we een structuur die aangeeft wat gecontroleerd moet worden
$config = [PSCustomObject]@{
MessagingPoliciesConfigured = $null
MessagingPoliciesAssigned = 0
UsersWithoutMessagingPolicy = 0
AppPoliciesConfigured = $null
AppPoliciesAssigned = 0
UsersWithoutAppPolicy = 0
ExternalAppsBlocked = $null
MeetingPoliciesConfigured = $null
MeetingPoliciesAssigned = 0
UsersWithoutMeetingPolicy = 0
ConditionalAccessEnabled = $null
ConditionalAccessPoliciesCount = 0
SensitivityLabelsApplied = $null
TeamsWithSensitivityLabels = 0
TeamsWithoutSensitivityLabels = 0
IsCompliant = $false
Status = "Configuratie moet worden gecontroleerd"
}
Write-Host " Opmerking: In productie worden hier echte configuraties opgehaald" -ForegroundColor Yellow
Write-Host " Installeer vereiste modules en verbind met services voor volledige functionaliteit" -ForegroundColor Yellow
return $config
}
catch {
Write-Host " FOUT bij ophalen configuratie: $_" -ForegroundColor Red
return [PSCustomObject]@{
IsCompliant = $false
Status = "Fout bij ophalen configuratie"
Error = $_.Exception.Message
}
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert monitoring uit van Teams-beveiligingsconfiguratie
#>
try {
Connect-RequiredServices
$config = Get-TeamsSecurityConfiguration
Write-Host "`n Teams-beveiligingsconfiguratie Status:" -ForegroundColor Cyan
Write-Host " Status: $($config.Status)" -ForegroundColor $(
if ($config.IsCompliant) { "Green" } else { "Yellow" }
)
Write-Host "`n Messaging-beleidsregels:" -ForegroundColor Cyan
if ($config.MessagingPoliciesConfigured -ne $null) {
Write-Host " Messaging-beleidsregels geconfigureerd: $($config.MessagingPoliciesConfigured)" -ForegroundColor White
Write-Host " Messaging-beleidsregels toegewezen: $($config.MessagingPoliciesAssigned)" -ForegroundColor White
Write-Host " Gebruikers zonder messaging-beleid: $($config.UsersWithoutMessagingPolicy)" -ForegroundColor $(
if ($config.UsersWithoutMessagingPolicy -gt 0) { "Yellow" } else { "Green" }
)
}
else {
Write-Host " Configuratie moet worden gecontroleerd" -ForegroundColor Yellow
}
Write-Host "`n App-beleidsregels:" -ForegroundColor Cyan
if ($config.AppPoliciesConfigured -ne $null) {
Write-Host " App-beleidsregels geconfigureerd: $($config.AppPoliciesConfigured)" -ForegroundColor White
Write-Host " App-beleidsregels toegewezen: $($config.AppPoliciesAssigned)" -ForegroundColor White
Write-Host " Gebruikers zonder app-beleid: $($config.UsersWithoutAppPolicy)" -ForegroundColor $(
if ($config.UsersWithoutAppPolicy -gt 0) { "Yellow" } else { "Green" }
)
Write-Host " Externe apps geblokkeerd: $($config.ExternalAppsBlocked)" -ForegroundColor White
}
else {
Write-Host " Configuratie moet worden gecontroleerd" -ForegroundColor Yellow
}
Write-Host "`n Meeting-beleidsregels:" -ForegroundColor Cyan
if ($config.MeetingPoliciesConfigured -ne $null) {
Write-Host " Meeting-beleidsregels geconfigureerd: $($config.MeetingPoliciesConfigured)" -ForegroundColor White
Write-Host " Meeting-beleidsregels toegewezen: $($config.MeetingPoliciesAssigned)" -ForegroundColor White
Write-Host " Gebruikers zonder meeting-beleid: $($config.UsersWithoutMeetingPolicy)" -ForegroundColor $(
if ($config.UsersWithoutMeetingPolicy -gt 0) { "Yellow" } else { "Green" }
)
}
else {
Write-Host " Configuratie moet worden gecontroleerd" -ForegroundColor Yellow
}
Write-Host "`n Conditional Access:" -ForegroundColor Cyan
if ($config.ConditionalAccessEnabled -ne $null) {
Write-Host " Conditional Access ingeschakeld: $($config.ConditionalAccessEnabled)" -ForegroundColor White
Write-Host " Conditional Access-beleidsregels: $($config.ConditionalAccessPoliciesCount)" -ForegroundColor White
}
else {
Write-Host " Configuratie moet worden gecontroleerd" -ForegroundColor Yellow
}
Write-Host "`n Gevoeligheidslabels:" -ForegroundColor Cyan
if ($config.SensitivityLabelsApplied -ne $null) {
Write-Host " Gevoeligheidslabels toegepast: $($config.SensitivityLabelsApplied)" -ForegroundColor White
Write-Host " Teams met gevoeligheidslabels: $($config.TeamsWithSensitivityLabels)" -ForegroundColor White
Write-Host " Teams zonder gevoeligheidslabels: $($config.TeamsWithoutSensitivityLabels)" -ForegroundColor $(
if ($config.TeamsWithoutSensitivityLabels -gt 0) { "Yellow" } else { "Green" }
)
}
else {
Write-Host " Configuratie moet worden gecontroleerd" -ForegroundColor Yellow
}
Write-Host "`n Compliance-vereisten:" -ForegroundColor Cyan
Write-Host " • AVG Artikel 32: Passende technische maatregelen" -ForegroundColor Gray
Write-Host " • AVG Artikel 5: Vertrouwelijkheid en integriteit" -ForegroundColor Gray
Write-Host " • BIO 9.01: Toegangsrechtenbeheer" -ForegroundColor Gray
Write-Host " • BIO 13.02: Externe toegang controleren en loggen" -ForegroundColor Gray
Write-Host " • BIO 18.03: Logging van activiteiten" -ForegroundColor Gray
Write-Host " • NIS2 Artikel 21: Beveiligingsmaatregelen communicatiekanalen" -ForegroundColor Gray
Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan
Write-Host " • Configureer messaging-beleidsregels voor alle gebruikers" -ForegroundColor Yellow
Write-Host " • Configureer app-beleidsregels en blokkeer onveilige externe apps" -ForegroundColor Yellow
Write-Host " • Configureer meeting-beleidsregels voor vergaderingsbeveiliging" -ForegroundColor Yellow
Write-Host " • Schakel Conditional Access in voor Teams-toegang" -ForegroundColor Yellow
Write-Host " • Pas gevoeligheidslabels toe op alle teams" -ForegroundColor Yellow
Write-Host " • Monitor Teams-activiteiten via unified audit log" -ForegroundColor Yellow
if ($config.IsCompliant) {
Write-Host "`n[OK] COMPLIANT - Teams-beveiligingsconfiguratie is correct" -ForegroundColor Green
exit 0
}
else {
Write-Host "`n[WARNING] AANDACHT VEREIST - Controleer Teams-beveiligingsconfiguratie" -ForegroundColor Yellow
Write-Host " Zorg ervoor dat:" -ForegroundColor Yellow
Write-Host " • Alle Teams-beleidsregels zijn geconfigureerd volgens goedgekeurd beleidskader" -ForegroundColor Yellow
Write-Host " • Beleidsregels zijn toegewezen aan alle gebruikers" -ForegroundColor Yellow
Write-Host " • Conditional Access is ingeschakeld voor Teams-toegang" -ForegroundColor Yellow
Write-Host " • Gevoeligheidslabels zijn toegepast op alle teams" -ForegroundColor Yellow
Write-Host " • Monitoring en logging zijn ingeschakeld" -ForegroundColor Yellow
exit 0
}
}
catch {
Write-Host "`n[FAIL] FOUT: $_" -ForegroundColor Red
exit 2
}
}
function Invoke-ComplianceReport {
<#
.SYNOPSIS
Genereert een compliance-rapport met overzicht van Teams-beveiliging
.PARAMETER OutputPath
Pad naar het rapportbestand
#>
try {
if ([string]::IsNullOrWhiteSpace($OutputPath)) {
throw "Parameter -OutputPath is verplicht bij gebruik van -ComplianceReport."
}
Connect-RequiredServices
$config = Get-TeamsSecurityConfiguration
$folder = Split-Path -Path $OutputPath -Parent
if (-not [string]::IsNullOrWhiteSpace($folder) -and -not (Test-Path -Path $folder)) {
New-Item -Path $folder -ItemType Directory -Force | Out-Null
}
$lines = @()
$lines += "Teams-beveiligingsconfiguratie - Compliance Rapport"
$lines += "Nederlandse Baseline voor Veilige Cloud"
$lines += ("Datum: {0}" -f (Get-Date -Format "yyyy-MM-dd HH:mm"))
$lines += ""
$lines += "1. Samenvatting"
$lines += (" Status: {0}" -f $config.Status)
$lines += (" Messaging-beleidsregels geconfigureerd: {0}" -f $config.MessagingPoliciesConfigured)
$lines += (" App-beleidsregels geconfigureerd: {0}" -f $config.AppPoliciesConfigured)
$lines += (" Meeting-beleidsregels geconfigureerd: {0}" -f $config.MeetingPoliciesConfigured)
$lines += (" Conditional Access ingeschakeld: {0}" -f $config.ConditionalAccessEnabled)
$lines += (" Gevoeligheidslabels toegepast: {0}" -f $config.SensitivityLabelsApplied)
$lines += ""
$lines += "2. Messaging-beleidsregels"
$lines += (" Messaging-beleidsregels geconfigureerd: {0}" -f $config.MessagingPoliciesConfigured)
$lines += (" Messaging-beleidsregels toegewezen: {0}" -f $config.MessagingPoliciesAssigned)
$lines += (" Gebruikers zonder messaging-beleid: {0}" -f $config.UsersWithoutMessagingPolicy)
$lines += ""
$lines += "3. App-beleidsregels"
$lines += (" App-beleidsregels geconfigureerd: {0}" -f $config.AppPoliciesConfigured)
$lines += (" App-beleidsregels toegewezen: {0}" -f $config.AppPoliciesAssigned)
$lines += (" Gebruikers zonder app-beleid: {0}" -f $config.UsersWithoutAppPolicy)
$lines += (" Externe apps geblokkeerd: {0}" -f $config.ExternalAppsBlocked)
$lines += ""
$lines += "4. Meeting-beleidsregels"
$lines += (" Meeting-beleidsregels geconfigureerd: {0}" -f $config.MeetingPoliciesConfigured)
$lines += (" Meeting-beleidsregels toegewezen: {0}" -f $config.MeetingPoliciesAssigned)
$lines += (" Gebruikers zonder meeting-beleid: {0}" -f $config.UsersWithoutMeetingPolicy)
$lines += ""
$lines += "5. Conditional Access"
$lines += (" Conditional Access ingeschakeld: {0}" -f $config.ConditionalAccessEnabled)
$lines += (" Conditional Access-beleidsregels: {0}" -f $config.ConditionalAccessPoliciesCount)
$lines += ""
$lines += "6. Gevoeligheidslabels"
$lines += (" Gevoeligheidslabels toegepast: {0}" -f $config.SensitivityLabelsApplied)
$lines += (" Teams met gevoeligheidslabels: {0}" -f $config.TeamsWithSensitivityLabels)
$lines += (" Teams zonder gevoeligheidslabels: {0}" -f $config.TeamsWithoutSensitivityLabels)
$lines += ""
$lines += "7. Compliance-vereisten"
$lines += " AVG Artikel 32: Passende technische en organisatorische maatregelen"
$lines += " AVG Artikel 5: Vertrouwelijkheid en integriteit van persoonsgegevens"
$lines += " BIO 9.01: Toegangsrechtenbeheer en preventie onbevoegde toegang"
$lines += " BIO 13.02: Externe toegang controleren en loggen"
$lines += " BIO 18.03: Logging van activiteiten en toegang"
$lines += " NIS2 Artikel 21: Beveiligingsmaatregelen voor communicatiekanalen"
$lines += ""
$lines += "8. Aanbevelingen"
$lines += " • Configureer messaging-beleidsregels voor alle gebruikers"
$lines += " • Configureer app-beleidsregels en blokkeer onveilige externe apps"
$lines += " • Configureer meeting-beleidsregels voor vergaderingsbeveiliging"
$lines += " • Schakel Conditional Access in voor Teams-toegang"
$lines += " • Pas gevoeligheidslabels toe op alle teams"
$lines += " • Monitor Teams-activiteiten via unified audit log"
$lines += " • Documenteer Teams-beveiligingsconfiguratie in verwerkingsregister (AVG)"
$lines += ""
$lines += "9. Opmerking"
$lines += " Dit rapport geeft een indicatie van de configuratiestatus."
$lines += " Voor volledige functionaliteit, installeer vereiste modules en"
$lines += " verbind met Microsoft 365-services."
$lines | Out-File -FilePath $OutputPath -Encoding UTF8 -Force
Write-Host "Compliance-rapport aangemaakt: $OutputPath" -ForegroundColor Green
}
catch {
Write-Host "`n[FAIL] FOUT bij genereren rapport: $_" -ForegroundColor Red
exit 2
}
}
# Main execution
try {
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($ComplianceReport) {
Invoke-ComplianceReport
}
else {
Write-Host "Gebruik:" -ForegroundColor Yellow
Write-Host " -Monitoring Controleer Teams-beveiligingsconfiguratie" -ForegroundColor Gray
Write-Host " -ComplianceReport Genereer compliance-rapport (vereist -OutputPath)" -ForegroundColor Gray
Write-Host " -DebugMode Gebruik voorbeelddata voor lokale test" -ForegroundColor Gray
Write-Host "`nVoor meer informatie, zie:" -ForegroundColor Gray
Write-Host " content/m365/collaboration/teams-security-configuration.json" -ForegroundColor Gray
}
}
catch {
Write-Host "`n[FAIL] Onverwachte fout: $_" -ForegroundColor Red
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder uitgebreide Teams-beveiligingsconfiguratie kunnen organisaties niet voldoen aan AVG-, BIO- en NIS2-vereisten voor het beschermen van gevoelige informatie binnen Teams. Dit vergroot de kans op ongeautoriseerde toegang, datalekken, compliance-schendingen en reputatieschade. Bovendien kunnen organisaties niet aantoonbaar borgen dat passende technische maatregelen zijn toegepast om gevoelige informatie te beschermen.
Management Samenvatting
Implementeer een complete Teams-beveiligingsconfiguratie met messaging-beleidsregels, app-beleidsregels, meeting-beleidsregels, Conditional Access, gevoeligheidslabels en uitgebreide monitoring. Zorg voor compliance met AVG, BIO en NIS2 door uitgebreide documentatie en rapportage.
- Implementatietijd: 112 uur
- FTE required: 0.5 FTE