L1 BIO 16.01 ISO A.12.4.1 CIS 18.9.19.2

Admin Reduced License Footprint

📅 2025-11-20
⏱️ 2 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Deze maatregel verkleint het aantal Microsoft 365-licenties dat aan beheerdersaccounts is gekoppeld door administratieve taken strikt te scheiden van dagelijkse productiviteit, waardoor zowel het aanvalsoppervlak als de licentiekosten dalen zonder verlies van controle.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Windows

Door beheertaken uitsluitend vanuit afzonderlijke accounts met tijdelijke rechten uit te voeren, wordt credentialdiefstal aanzienlijk bemoeilijkt en blijft aantoonbaar welke werkzaamheden onder streng toezicht plaatsvinden; dit is essentieel voor organisaties in de Nederlandse publieke sector die onder BIO en AVG vallen.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

De maatregel combineert Microsoft Entra Privileged Identity Management, Intune en Conditional Access om admin reduced license footprints af te dwingen, zodat beheerders alleen tijdens een gecontroleerde taak tijdelijk een uitgebreide licentie krijgen en deze automatisch weer verliezen zodra de taak is afgerond.

Vereisten

Een effectieve strategie voor een beperkt licentieprofiel begint bij het vaststellen van de reikwijdte van beheeraccounts. Inventariseer alle typen beheerders, van Global Administrator tot SharePoint-, Exchange- en Power Platform-beheerders, en koppel ze aan een concreet takenpakket. Documenteer waarom elke rol noodzakelijk is, welke toestemmingen horen bij operationele processen en hoe vaak de rechten werkelijk gebruikt worden. Deze analyse wordt ondersteund door Microsoft Entra-rollenrapporten, Privileged Identity Management-logs en SIEM-data, zodat duidelijk wordt welke accounts structureel in gebruik zijn en welke enkel voor noodscenario’s bestaan. Zonder deze basis is het onmogelijk om een overtuigende businesscase te maken richting bestuurders en compliance-officers die moeten instemmen met de minimale licentiestrategie. Daarnaast is er organisatorische voorbereiding nodig. Bestuur en CISO moeten een formeel besluit vastleggen dat productiebeheer alleen plaatsvindt via afzonderlijke accounts met het kleinste toegangsoppervlak. In dat besluit hoort een beschrijving van de scheiding tussen persoonlijke accounts, noodtoegang en tijdelijke administratieve identiteit. Train servicedesk en change advisory board zodat zij weten dat aanvragen voor extra licenties altijd langs een governanceproces lopen met vier-ogenprincipe, periodieke herbevestiging en registratie in het identiteitsregister. Neem afspraken op over onboarding en offboarding van beheerders, inclusief HR-controles, VOG-controle waar vereist en verplichte security awareness-training gericht op misbruik van privileges. Vanuit technisch perspectief zijn er specifieke bouwstenen nodig. Microsoft Entra P1- of P2-licenties leveren de basis voor Just-in-Time roltoewijzing en voorwaardelijke toegang. Intune of Configuration Manager is noodzakelijk om apparaatbeleid af te dwingen dat persoonlijke accounts blokkeert op beheerdersstations. Defender for Cloud Apps, Unified Audit Logs en Microsoft 365 Lighthouse leveren de telemetrie om afwijkingen snel op te sporen. Zorg dat minimaal twee geïsoleerde werkstations beschikbaar zijn voor break-glass-accounts en voorzie deze van hardening, Local Administrator Password Solution, Credential Guard en Just Enough Administration. Deze infrastructuur maakt het mogelijk om beheeraccounts alleen te activeren wanneer er een aantoonbare bedrijfsbehoefte is en houdt tegelijkertijd continuïteit beschikbaar voor calamiteiten. Voer parallel aan de technische voorbereidingen een impactanalyse uit op leveranciers, ketenpartners en externe beheerders. Veel organisaties in de publieke sector besteden nichebeheer uit; controleer daarom contractueel of dienstverleners dezelfde licentierestricties toepassen en welke bewijslast zij kunnen leveren. Indien leveranciers eigen tenants gebruiken, leg dan vast hoe gescheiden licenties worden gecontroleerd tijdens toegang tot gedeelde resources of via Azure Lighthouse. De uitkomsten van deze analyse vertaal je naar aanvullende eisen in SLA’s, toezichtplannen en security clauses, zodat de volledige keten voldoet aan de afgesproken norm en zwakke schakels geen onbeperkte licenties behouden. Tot slot moeten organisaties aantonen dat de maatregel in overeenstemming is met wet- en regelgeving. Documenteer in het verwerkingsregister waarom extra licenties zijn verwijderd, welke persoonsgegevens worden verwerkt bij het uitschakelen van accounts en hoe lang loggegevens worden bewaard voor audits. Stel een communicatieplan op richting auditors waarin wordt uitgelegd hoe het beperkte licentiemodel toch continue beschikbaarheid van kritieke functies garandeert via noodaccounts. Leg vast welke KPI’s worden gemeten, zoals het aantal actieve admin-licenties, het percentage tijdelijke toewijzingen via PIM en het aantal ingrepen dat zonder verhoogde rechten kon worden afgerond. Pas wanneer deze randvoorwaarden aanwezig zijn, kan de implementatiefase verantwoord van start gaan.

Implementatie

Begin met het consolideren van alle bestaande beheerdersaccounts in een tijdelijk overzicht dat licenties, roltoewijzingen, MFA-status en laatste gebruiksmoment bevat. Gebruik Microsoft Graph, Entra-rapportages en exports uit de Microsoft 365 admin portal om accounts te identificeren die onbeperkte E5- of E3-licenties behouden terwijl ze slechts incidenteel beheer uitvoeren. Breng ook in kaart welke accounts aan menselijke beheerders toebehoren en welke door automatiseringsscripts worden gebruikt, zodat de juiste licentievorm (bijvoorbeeld serviceaccount zonder mailbox) kan worden gekozen. Nadat het overzicht is gevalideerd door security, operations en financieel beheer, deactiveer je licenties voor accounts die uitsluitend via Privileged Identity Management werken en koppel je ze aan een dedicated administratieve licentiepool. Leg deze pool vast in het licentiebeleid, wijs twee verantwoordelijken toe voor periodieke review en documenteer in het configuration management database welke licenties tot welke beheerfunctie behoren. Vervolgens richt je PIM in zodat kritieke rollen enkel via Just-in-Time toewijzing beschikbaar komen. Creëer activatieregels met verplichte meervoudige authenticatie, begrens de duur tot maximaal zestig minuten en eis een werkorder- of incidentreferentie voordat het verzoek wordt goedgekeurd. Automatiseer goedkeuringen door Change Advisory Board-leden te koppelen aan PIM-approval workflows, zodat er altijd een tweede paar ogen meekijkt. Voor dagelijkse beheerwerkzaamheden maak je rol-specifieke groepen, zoals Exchange Recipient Management of SharePoint Admin, die standaard geen Office-applicaties, mailboxen of Teams-licenties toegewezen krijgen. Door deze groepen aan Intune compliance policies en Azure Automation runbooks te koppelen, worden extra apps automatisch verwijderd zodra iemand adminrechten activeert en kan shadow IT niet ontstaan. Implementeer daarna technische controles op de werkstations die voor beheer worden gebruikt. Met Endpoint Privilege Management, Defender for Endpoint en lokale beveiligingsinstellingen blokkeer je aanmeldingen van adminaccounts op reguliere werkplekken en dwing je sign-in exclusief af op geharde admin werkstations. Intune configureert hiervoor device compliance policies, AppLocker-profielen, BitLocker-encryptie en een beveiligingsbaseline die de aanvalsvector van tokenhergebruik drastisch verkleint. Tegelijkertijd publiceer je een Conditional Access-beleid dat alleen aanmeldingen van adminaccounts toestaat vanaf goedgekeurde apparaten met actuele patchstand, sessiebeperkingen toepast zodra de PIM-timer afloopt en break-glass-scenario’s beschrijft waarin noodaccounts tijdelijk een licentie mogen lenen. Communiceer de werkwijze breed via runbooks, knowledge articles, e-learning en verandercommunicatie. Elke beheerder ontvangt instructies hoe hij een beheeractie plant, welke licentie hij tijdelijk activeert, op welke werkplek hij moet inloggen en welke logging automatisch wordt verzameld. Betrek het service management team zodat change-meldingen automatisch controleren of de uitvoerder de juiste beperkte licentie gebruikt en of er een PIM-activatie is geregistreerd. Voeg aan elke change template een checklist toe voor licentiereductie, zodat afwijkingen meteen worden gesignaleerd, en organiseer simulaties waarin beheerders aantonen dat zij hun productiviteitsaccount strikt scheiden van het adminaccount. Tot slot valideer je de volledige configuratie met geautomatiseerde testen en een gecontroleerde pilot. Gebruik PowerShell-scripts uit code/m365/identity-governance/admin-reduced-license-footprint.ps1 om aanmeldingen, licentiekoppelingen en PIM-logs door te lichten en stuur de resultaten naar het SOC-dashboard. Laat de scripts draaien in een stagingtenant en controleer dat licenties worden ingetrokken zodra de beheeractie voltooid is, dat Exchange- en SharePoint-functies niet beschikbaar zijn buiten het beheervenster en dat auditlogs een aantoonbaar spoor bevatten. Documenteer alle bevindingen in het acceptatierapport, laat de Chief Information Security Officer formeel goedkeuren dat de maatregel productierijp is en plan een herbeoordeling drie maanden na uitrol om eventuele kinderziektes te verhelpen.

Gebruik PowerShell-script admin-reduced-license-footprint.ps1 (functie Invoke-Monitoring) – Monitoren.

monitoring

Monitoring van een beperkt licentieprofiel begint bij volledige zichtbaarheid in identiteits- en licentielogs. Activeer Unified Audit Logging, zet Entra sign-in logs door naar Microsoft Sentinel en configureer Graph audit logs zodat elke licentiewijziging wordt vastgelegd met tijdstempel, actor, workload en wijzigingsreden. Verzamel daarnaast Intune compliance rapportages die tonen vanaf welke apparaten adminaccounts zijn gebruikt en combineer deze met Defender for Cloud Apps-activiteit om ongewone browser- of API-sessies te detecteren. Configureer een retentietermijn van minimaal 365 dagen, archiveer logs in een immutable storage-account en verifieer maandelijks via checksum-rapporten dat de logcollectie ononderbroken is gebleven. Met deze gegevens bouw je detectieregels die specifiek letten op licentiereductie. Voorbeelden zijn een waarschuwing wanneer een adminaccount langer dan twee uur een E5-licentie behoudt, wanneer een adminaccount zich aanmeldt op een apparaat dat niet als beheerstation is geregistreerd of wanneer een licentie wordt toegewezen zonder bijbehorende PIM-activatie. Sentinel-analytics kunnen correlaties leggen tussen PIM-activaties, Conditional Access-resultaten en Intune-compliancestatus. Gebruik KQL-queries om baselines te definiëren, stel alert throttling in om alert-moeheid te voorkomen en laat playbooks automatisch een ticket openen of een PIM-rol intrekken wanneer grenzen worden overschreden. Naast geautomatiseerde detectie is periodieke rapportage essentieel. Stel een wekelijkse rapportage samen waarin het aantal toegewezen adminlicenties, het aantal PIM-activaties, het gemiddelde duurvenster, het aantal geweigerde verzoeken en de financiële impact worden beschreven. Visualiseer de trends in Power BI, voeg geografische of afdelingsfilters toe en deel het rapport met CISO, operations leads en financieel beheer zodat iedereen inzicht heeft in kostenbesparing en risicoverlaging. Voeg kwalitatieve duiding toe door de belangrijkste incidenten en lessons learned te beschrijven, bijvoorbeeld waarom een afwijking geaccepteerd moest worden tijdens een calamiteit, en registreer verbeteracties in het risk register. Integreer de monitoringsignalen bovendien direct met operationele processen. Koppel Sentinel-alerts aan ITSM-systemen zodat elk licentie-incident automatisch een prioriteit en oplostijd meekrijgt en wijs runbooks toe aan specifieke teams. Maak gebruik van Logic Apps om, zodra een alert ontstaat, meteen aanvullende context op te halen uit HR-systemen, PIM en Intune, zodat analisten geen tijd verliezen aan handmatig zoekwerk. Plan driemaandelijkse tests waarin het SOC een scenario doorloopt waarbij een beheeraccount bewust een licentie behoudt; evalueer hoe snel detectie optreedt, of escalatiepaden werken en of communicatie met bestuurders op tijd plaatsvindt. Maak monitoring bovendien voorspellend door machine-learningfuncties in Sentinel of Defender for Cloud Apps te benutten die afwijkende licentiepatronen herkennen voordat beleidsgrenzen worden overschreden. Train de modellen met historische PIM- en licentiedata, label false positives, voer een maandelijkse kwaliteitscontrole uit met het SOC en combineer de inzichten met threat intelligence over aanvallen op adminaccounts. Wanneer nieuwe tactieken worden gesignaleerd, scherpen de regels zich automatisch aan en groeit monitoring uit tot een proactieve verdedigingslaag die incidenten voorkomt. Tot slot moet monitoring direct bijdragen aan continue verbetering. Definieer Key Risk Indicators zoals het percentage beheerhandelingen dat zonder licentiewijziging kon plaatsvinden, het aantal adminaccounts met dubbele factor authenticatie, het aantal accounts dat langer dan dertig dagen geen beheeractie heeft uitgevoerd en de tijd die nodig is om een aflopende licentie te beëindigen. Koppel deze indicatoren aan het bredere risicodashboard van de Nederlandse Baseline voor Veilige Cloud zodat bestuurders zien hoe de maatregel bijdraagt aan de BIO- en AVG-eisen. Gebruik security councils om de data te bespreken, benoem procesaanpassingen en voer binnen twee sprints verbetervoorstellen uit, zodat de monitoringfunctie relevant en actueel blijft.

Gebruik PowerShell-script admin-reduced-license-footprint.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Remediatie begint zodra monitoring aangeeft dat een beheeraccount een licentie draagt die niet overeenkomt met de afgesproken tijdspanne of apparaatbeperking. Classificeer het incident onmiddellijk: gaat het om een menselijke fout, een noodzakelijk break-glass-scenario of een mogelijk compromittering? Documenteer de context in het ticketingsysteem en verzamel alle relevante logs zodat forensisch onderzoek direct kan starten. Informeer de dienstdoende Incident Commander zodat hij of zij kan besluiten of aanvullende maatregelen, zoals het isoleren van een werkstation of het blokkeren van een Conditional Access-beleid, noodzakelijk zijn. Na de classificatie volgt een gecontroleerde herstelactie. Indien er geen legitieme reden bestaat, verwijder je direct de uitgebreide licentie, deactiveer je de PIM-rol en forceer je een wachtwoordreset of re-issuance van FIDO2-keys. Controleer tegelijk of er sessietokens actief zijn in Exchange Online, SharePoint of Azure Resource Manager en beëindig deze via PowerShell of het Entra-portaal. Wanneer het incident plaatsvindt tijdens een productiechange, herprioriteer je de change en zorg je dat de werkzaamheden worden hervat door een beheerder met een correct geconfigureerde licentie, zodat de bedrijfscontinuïteit behouden blijft. Vervolgens voer je een grondige oorzaak-analyse uit. Onderzoek waarom het licentiemechanisme faalde: waren de beleidsscripts niet succesvol, ontbrak er een approval in PIM, of heeft iemand handmatig een licentie toegevoegd zonder runbook te volgen? Interviews met betrokken beheerders, review van change-documentatie en analyse van automation logs geven antwoord. De bevindingen lever je aan bij het risk management team, dat bepaalt of het risico opnieuw beoordeeld moet worden of dat aanvullende controls nodig zijn. Communicatie speelt hierbij een sleutelrol. Zodra een remediatieactie start, informeer je de dienstverantwoordelijke, de product owner en – indien van toepassing – de functionaris gegevensbescherming over de impact. Leg vast welke systemen tijdelijk beperkt beschikbaar zijn en welke noodmaatregelen gelden. Plan een post-incident review binnen vijf werkdagen waarin technische, organisatorische en juridische aspecten samenkomen en waarin wordt besloten of policies, licentieprofielen of trainingsprogramma’s moeten worden aangepast. Door structureel terug te koppelen naar alle stakeholders ontstaat draagvlak en wordt remediatie niet gezien als ad-hoc ingreep maar als onderdeel van een volwassen kwaliteitscyclus. Gebruik meetbare indicatoren om de effectiviteit van remediatie inzichtelijk te maken. Registreer per incident hoe lang het duurde om de licentie terug te draaien, hoeveel systemen tijdelijk werden beïnvloed en welke preventieve maatregelen daaruit volgden. Publiceer deze statistieken maandelijks richting security governance zodat trends zichtbaar worden; een stijgende lijn in doorlooptijd is een signaal dat processen of tooling opgeschaald moeten worden. Koppel de cijfers aan trainingen, bijvoorbeeld door te laten zien dat teams die recent een oefening volgden sneller herstellen, zodat investeringen gericht kunnen worden ingezet. Tot slot implementeer je structurele verbeteringen. Werk runbooks bij, voeg extra validatiestappen toe aan de scripts in code/m365/identity-governance/admin-reduced-license-footprint.ps1, plan extra awareness-sessies en veranker lessons learned in de change templates. Rapporteer de remediatie-uitkomsten aan de CISO en bespreek ze in de beveiligingsraad, zodat duidelijk is dat de organisatie aantoonbaar in control blijft over haar licentieprofiel. Door elk incident op deze manier te behandelen, stijgt de betrouwbaarheid van het beperkte licentiemodel en neemt het vertrouwen van auditors merkbaar toe.

Gebruik PowerShell-script admin-reduced-license-footprint.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Auditing

Deze maatregel ondersteunt rechtstreeks de Nederlandse Baseline voor Veilige Cloud en de onderliggende BIO-, CIS- en ISO-controles. Door licenties alleen tijdelijk toe te kennen aan beheeraccounts, kan een organisatie aantonen dat privileged access management is ingericht volgens BIO 16.01 en ISO 27001 A.12.4.1, waarbij zowel logging als accountability is geborgd. Beschrijf in het verwerkingsregister welke persoonsgegevens (zoals UPN, rol en tijdstempel) worden verwerkt tijdens licentiewijzigingen en hoe deze informatie via Sentinel of een SIEM beschikbaar blijft voor audits. Vermeld tevens dat break-glass-accounts onderworpen zijn aan dezelfde registratie, ook al behouden zij een minimaal licentiepakket voor calamiteiten. Voor de AVG is het van belang dat alleen noodzakelijke gegevens worden verwerkt en dat de bewaartermijnen helder zijn. Licht daarom toe dat licentielogs na 365 dagen automatisch worden gearchiveerd of geanonimiseerd, tenzij er een lopend onderzoek is. Documenteer in beleid hoe betrokkenen hun rechten kunnen uitoefenen wanneer hun beheeraccount wordt aangepast, bijvoorbeeld door inzicht te krijgen in welke licentie tijdelijk actief was en waarom. Zorg dat deze procedures overeenkomen met de Data Protection Impact Assessment die voor de Microsoft 365-omgeving is uitgevoerd. Auditors vragen vaak naar bewijs dat licentiebeperkingen consistent worden toegepast. Bereid daarom auditpakketten voor met overzichten van adminaccounts, PIM-activaties, licentie-aanvragen en change-logs waarin de scheiding van taken zichtbaar is. Voeg screenshots of exportbestanden toe die aantonen dat Conditional Access en Intune-profielen daadwerkelijk enforced zijn. Tijdens interviews met auditors kun je langs deze bewijslijn lopen en uitleggen hoe monitoring, remediatie en rapportage samenwerken, inclusief hoe afwijkingen worden beoordeeld in het risk register en welke hersteltermijnen daarbij horen. Voor bestuursrapportages stel je een vaste structuur op waarin licentiereductie wordt gekoppeld aan risicobereidheid, financiële besparing en naleving. Beschrijf per kwartaal welke uitzonderingen zijn verleend, hoe lang ze duurden, welke mitigerende maatregelen zijn toegepast en hoe dit zich verhoudt tot de afgesproken risk appetite. Gebruik deze rapportages om beslissingen over toekomstige investeringen, zoals uitbreiding van PIM of aanschaf van aanvullende licentie-optimalisatietools, te onderbouwen en leg vast wie verantwoordelijk is voor opvolging van auditbevindingen. Neem daarnaast externe toetsing op in het controlemateriaal. Plan jaarlijkse reviews door een onafhankelijke auditor of ketenpartner die steekproeven uitvoert op licentietoewijzingen en bekijkt of rapportages overeenkomen met de werkelijkheid. Documenteer eventuele bevindingen en koppel ze aan verbeteracties met eigenaars, deadlines en controlemomenten. Door deze externe blik vast onderdeel te maken van de governancecyclus ontstaat extra zekerheid dat de organisatie niet in een eigen bubbel terechtkomt en blijft de naleving toekomstbestendig. Tot slot leg je vast hoe deze maatregel aansluit op nationale en sectorale kaders, zoals de Rijksbrede Instructie Informatiebeveiliging en aanvullende afspraken binnen ketensamenwerkingen. Verwijs naar governancefora waarin besluiten worden genomen over licentiekaders, benoem welke rollen tekenbevoegd zijn voor uitzonderingen en beschrijf hoe vaak bestuurders rapportages ontvangen. Documenteer ook hoe besluitvorming wordt gedeeld met medezeggenschapsraden en externe toezichthouders, zodat maatschappelijke verantwoording aantoonbaar is en licentiereductie nadrukkelijk onderdeel vormt van compliance en risicobeheersing. Organiseer periodieke kennissessies met auditors, privacy officers en technische teams om wijzigingen in wet- en regelgeving, Microsoft-roadmaps en interne processen te synchroniseren. Door samen de implicaties te bespreken, worden beleidsaanpassingen sneller doorgevoerd, blijft documentatie up-to-date en worden verrassingen tijdens compliance-audits voorkomen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Admin Reduced License Footprint .DESCRIPTION Checks if dedicated admin accounts have minimal licenses (best practice) .NOTES NL Baseline v2.0 Dedicated admin accounts should have minimal licenses to reduce cost #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph [CmdletBinding()] param([switch]$Monitoring) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Admin Reduced License Footprint" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Invoke-Monitoring { try { Connect-MgGraph -Scopes "Directory.Read.All", "RoleManagement.Read.All" -ErrorAction Stop -NoWelcome $adminRoles = Get-MgDirectoryRole -All | Where-Object { $_.DisplayName -match 'Global Administrator|Privileged Role' } $result = @{ totalAdmins = 0; withMultipleLicenses = 0; adminDetails = @() } Write-Host " Checking admin account licenses..." -ForegroundColor Cyan foreach ($role in $adminRoles) { $members = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id -All foreach ($member in $members) { $result.totalAdmins++ $user = Get-MgUser -UserId $member.Id -Property "UserPrincipalName,AssignedLicenses" $licenseCount = $user.AssignedLicenses.Count if ($licenseCount -gt 1) { $result.withMultipleLicenses++ } $result.adminDetails += @{ UPN = $user.UserPrincipalName Licenses = $licenseCount } $color = if ($licenseCount -le 1) { 'Green' }else { 'Yellow' } Write-Host " $($user.UserPrincipalName): $licenseCount licenses" -ForegroundColor $color } } Write-Host "`n Summary:" -ForegroundColor Cyan Write-Host " Total Admin Accounts: $($result.totalAdmins)" -ForegroundColor White Write-Host " With Multiple Licenses: $($result.withMultipleLicenses)" -ForegroundColor Yellow Write-Host " Minimal Licenses: $($result.totalAdmins - $result.withMultipleLicenses)" -ForegroundColor Green Write-Host "`n Best Practice:" -ForegroundColor Cyan Write-Host " • Dedicated admin accounts = minimal licenses" -ForegroundColor Gray Write-Host " • Reduces cost" -ForegroundColor Gray Write-Host " • Only assign what's needed for admin tasks" -ForegroundColor Gray Write-Host " • Users should have separate admin account" -ForegroundColor Gray Write-Host "`n ℹ️ Manual review recommended" -ForegroundColor Yellow exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } try { if ($Monitoring) { Invoke-Monitoring } else { Write-Host "Use: -Monitoring (Manual review)" -ForegroundColor Yellow } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat #> [CmdletBinding()] param() try { Write-Host "[INFO] Remediation wordt uitgevoerd..." -ForegroundColor Cyan # TODO: Implementeer remediation logica Write-Host "[OK] Remediation completed" -ForegroundColor Green } catch { Write-Error "Remediation failed: $_" throw } }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder licentiereductie behouden beheeraccounts onnodige productiviteitsrechten, waardoor credentialdiefstal direct leidt tot toegang tot e-mail, Teams en gevoelige data en audits aantonen dat toegangsbeheer niet aantoonbaar proportioneel is.

Management Samenvatting

Scheid beheer- en gebruikerslicenties, activeer tijdelijke rechten via PIM en controleer continu via Intune, Conditional Access en auditlogging.