L2 BIO 09.02 ISO A.9.4.3 CIS 1.1.4

Microsoft 365: Privileged Identity Management Implementeren Voor Admin-rollen

📅 2025-10-29
⏱️ 12 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Privileged Identity Management (PIM) voor Microsoft 365 koppelt beheerderstoegang los van permanente roltoewijzingen en introduceert een streng geregisseerd just-in-time model met verplichte meervoudige authenticatie, motivering en expliciete goedkeuring. Daardoor worden krachtige rechten alleen geactiveerd wanneer er een aantoonbare beheeractie nodig is en verdwijnen ze weer zodra de taak is afgerond.

Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
28u (tech: 16u)
Van toepassing op:
M365
Azure AD

Zolang beheeraccounts permanent aan Global Administrator, Exchange Administrator of andere hooggeprivilegieerde rollen zijn gekoppeld, bestaat er een continu aanvalsoppervlak: de inloggegevens van één insider of één geslaagde phishingcampagne volstaan om de volledige tenant over te nemen, auditsporen te wissen of gegevens te exporteren. In de praktijk voeren beheerders slechts een fractie van de tijd daadwerkelijke wijzigingen door, maar hun accounts blijven wel het hele jaar door actief, waardoor ransomware-actoren, geavanceerde persistent threats en kwaadwillende medewerkers een onbeperkte tijdlijn hebben om misbruik te maken. Bovendien ondermijnt permanente toegang elke compliance-aantoonbaarheid; auditors stellen terecht de vraag waarom iemand 24 uur per dag kritieke machtigingen nodig heeft en wie toezicht houdt op het gebruik ervan. PIM doorbreekt dit patroon door beheerders alleen nog maar ‘in aanmerking’ te laten komen voor rollen. Een activering vereist een traceerbare aanvraag met businesscontext, een toegewezen maximale looptijd, bevestiging via MFA op het moment van verhoging en optioneel een tweede paar ogen dat de aanvraag accordeert. Zodra de toegestane tijd is verstreken, trekt het platform de rechten automatisch in en blijft er enkel een auditbaar spoor over van wie, wanneer en waarom toegang heeft gehad. Door deze combinatie van organisatorische governance en technische controle neemt het blootstellingsvenster af van 8.760 uur per jaar naar enkele uren per maand en ontstaat een aantoonbaar sluitende verdedigingslinie tegen credentialdiebstal, sessiekaping en privilege-escalatie.

PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.Identity.Governance

Implementatie

Deze maatregel richt zich op het inrichten van PIM voor alle bedrijfskritische Microsoft 365-beheerrollen, waaronder Global Administrator, Exchange Administrator, SharePoint Administrator, Security Administrator en Compliance Administrator. Het traject bestaat uit een grondige inventarisatie van huidige roltoewijzingen, het herontwerpen van processen rond aanvraag en goedkeuring, het configureren van technische instellingen zoals maximale activatieduur, notificaties, justificatievelden en waarschuwingen, en het uitrollen van een trainings- en communicatiepakket naar beheerders en proceseigenaren. Daarnaast worden noodaccounts expliciet uitgesloten en gedocumenteerd, worden kwartaalgewijze access reviews gepland en worden management-API’s voorbereid voor geautomatiseerde rapportage. Het resultaat is een organisatie waarin escalatie van rechten altijd tijdelijk, gecontroleerd en herleidbaar is, met duidelijke koppelvlakken naar SOC-processen, compliance-eisen en continu verbetermanagement.

Vereisten

  1. Een volwaardige PIM-uitrol start bij een correct licentiefundament en een gedetailleerd overzicht van alle bestaande beheerrollen. Azure AD Premium P2-licenties moeten zijn toegekend aan iedere beheerder die PIM gebruikt, inclusief leden van het SOC, externen en tijdelijke projectteams. Daarbovenop is een actuele inventarisatie vereist waarin per persoon staat vastgelegd welke rol hij of zij nu heeft, welke kritieke systemen worden beheerd, vanuit welke werkplekken wordt ingelogd en welke noodscenario’s geldig zijn. Deze inventarisatie vormt de basis voor de transitie van permanente toewijzingen naar ‘eligible’ toewijzingen en helpt bij het identificeren van dubbele of overbodige rechten. Zorg daarnaast voor hardened beheerderswerkplekken met Conditional Access-beperkingen, omdat PIM alleen effectief is wanneer de sessiecontext betrouwbaar is en niet kan worden misbruikt via onbeheerde apparaten of legacy-protocollen. Maak gebruik van Azure Monitor of Microsoft Sentinel om toekomstige activaties vast te leggen; zonder deze logging kan men geen trendanalyses uitvoeren op opnieuw aangevraagde rechten of verdachte patronen zoals activaties buiten kantoortijd.

    Naast het licentiekader en de inventaris is er een voorbereide communicatie- en trainingslijn nodig richting alle beheerders. Zij moeten begrijpen hoe zij in de toekomst toegang aanvragen, welke justificatie verwacht wordt en welke operationele afspraken gelden rond piekmomenten zoals onderhoudsvensters of incident response. Voeg hierbij specifieke instructies toe voor Managed Service Providers of tijdelijke consultants, zodat duidelijk is hoe hun toegang wordt beëindigd zodra projecten zijn afgerond en hoe zij hun eigen change-registratie aanleveren.
  2. Even belangrijk is een governance-raamwerk waarin goedkeurders, proceseigenaren en auditors precies weten welke controles zij uitvoeren. Definieer voor elke rol of goedkeuring vooraf verplicht is, wat de maximale geldigheidsduur is (bijvoorbeeld vier uur voor Global Administrator en acht uur voor minder kritieke rollen), en welke aanvullende voorwaarden gelden zoals verplicht ticketnummer, referentie naar CAB-besluiten of koppeling met change-managementprocessen. Documenteer welke break-glass-accounts buiten PIM blijven, hoe de wachtwoorden daarvan worden opgeslagen en hoe periodiek wordt getest dat deze accounts nog functioneren. Leg ten slotte vast welke API-verbindingen, PowerShell-modules en loggingkoppelingen worden gebruikt zodat scriptmatige bewaking, SIEM-integraties en periodieke rapportages direct vanaf dag één beschikbaar zijn. Neem in dezelfde set eisen ook een beleid op voor retentie van activatielogs, waarschuwingsdrempels voor mislukte activatiepogingen en de vereisten voor identiteitsbewijs bij spoedacties, zodat er geen discussie ontstaat tijdens audits of post-incident reviews. Beschrijf bovendien hoe verandermanagementteams, HR en leveranciersmanagement betrokken worden, welke controlemomenten gelden bij in- en uitdiensttreding en op welke manier lessons learned worden verwerkt in nieuwe versies van de PIM-configuratie.

Implementatie

De implementatie van Privileged Identity Management vraagt om een strak gecoördineerd traject waarin techniek, processen en verandermanagement gelijktijdig worden aangepakt. Start met een analyse van alle huidige roltoewijzingen in Microsoft Entra ID en breng in kaart welke privileges essentieel zijn voor continuïteit, welke tijdelijk on hold kunnen en welke rechten in de loop der jaren zijn blijven hangen zonder duidelijk doel. Koppel deze analyse aan bestaande change-, incident- en releaseprocessen zodat duidelijk is hoe PIM-aanvragen worden geregistreerd, hoe onderhoudsvensters worden afgehandeld en welke uitzonderingsscenario’s (bijvoorbeeld crisismanagement) een versnelde route krijgen. Communiceer het eindbeeld al in deze fase zodat beheerders begrijpen dat PIM geen extra bureaucratie is maar een instrument dat hen beschermt en tegelijkertijd auditors geruststelt.

  1. Fase 1 draait om ontwerp en configuratie. Gebruik het PIM-beheerportaal of de Microsoft Graph API om per rol de gewenste instellingen vast te leggen: maximale activatieduur, verplichte justificatievelden, e-mailnotificaties, vereiste ticketnummers en aanvullende verificaties zoals Azure AD MFA of Conditional Access policy enforcement. Voor rollen met zeer hoge impact, zoals Global Administrator of Privileged Role Administrator, definieer je een goedkeuringsketen met minimaal twee verantwoordelijke personen zodat functiescheiding aantoonbaar is. Tijdens deze fase leg je meteen vast welke waarschuwingen richting SOC gaan bij activaties buiten kantooruren, mislukte goedkeuringsverzoeken of een plotselinge piek in aanvragen.
  2. Fase 2 richt zich op migratie en validatie. Converteer permanente toewijzingen naar ‘eligible assignments’ en voer dit eerst uit voor een beperkte pilotgroep. Laat de beheerders uit deze pilot gedocumenteerde use-cases doorlopen, waaronder geplande changes, spoedacties en situaties waarin een tweede goedkeurder niet beschikbaar is. Verzamel feedback over wachttijden, notificatie-overload en de bruikbaarheid van justificatievelden en verwerk die direct in de configuratie. Zodra de pilot stabiel verloopt, rol je de instellingen gefaseerd uit per beheerdomein (bijvoorbeeld eerst collaboration, dan identity, daarna compliance) zodat supportteams overzicht houden.
  3. Fase 3 omvat borging en continue verbetering. Activeer automatische access-reviews zodat rol-eigenaren elk kwartaal kunnen bevestigen dat de lijst met eligible gebruikers nog klopt. Koppel PIM-activatielogs aan het SIEM-platform, stel dashboards op voor lijnmanagers en gebruik de rapporten uit Microsoft Graph om het aantal geactiveerde uren, afgewezen aanvragen en openstaande reviews te visualiseren. Werk scenario’s voor incident response uit waarin duidelijk staat beschreven hoe noodaccounts worden gebruikt wanneer PIM of MFA niet beschikbaar is, hoe men terugschakelt naar standaardprocessen en hoe lessons learned worden teruggebracht naar het configuratieontwerp.

Compliance en Auditing

  1. Voor toezichthouders is PIM een direct bewijs dat de organisatie voldoet aan fundamentele eisen voor privileged access. Het CIS Microsoft 365-controledoel 1.1.4 verlangt expliciet dat PIM wordt gebruikt voor tenant-beheerders; door de configuratie en rapportages te documenteren kan de auditor snel verifiëren dat elke activering traceerbaar is, dat MFA en justificatie zijn afgedwongen en dat er geen permanente Global Administrator meer bestaat. Binnen de Baseline Informatiebeveiliging Overheid ondersteunt dezelfde inrichting controle 09.02, waarin tijdsgebonden toekenning en periodieke herbeoordeling van toegangsrechten centraal staan. Door access-reviews in te plannen, goedkeuringsketens te registreren en alle wijzigingen te archiveren in het centrale ISMS ontstaat een volledig audittrail dat het management kan overleggen aan interne audit, de Algemene Rekenkamer of externe assurance-partners. Leg daarbij vast hoe lang activatielogs worden bewaard, hoe onafhankelijkheid wordt geborgd bij goedkeuringen en hoe afwijkingen worden geadresseerd binnen het risicoregister zodat auditors een sluitende driehoek zien van beleid, uitvoering en controle.
  2. Ook internationale kaders profiteren van de PIM-implementatie. ISO/IEC 27001:2022 controle A.9.4.3 vereist dat administratieve toegangsrechten strikt worden beheerd; PIM levert hiervoor concrete evidence in de vorm van activatielogs, notificaties en reviewresultaten. NIS2 Artikel 21 benoemt privileged access management als verplichte organisatorische maatregel voor essentiële en belangrijke entiteiten; de combinatie van tijdelijke toekenning, goedkeuringsflows en noodprocedures biedt aantoonbare invulling aan deze bepaling. Bovendien sluit PIM naadloos aan bij het Zero Trust-principe ‘least privilege’, omdat toegang altijd wordt verleend op basis van context (identiteit, apparaat, risicoscore) en slechts voor de duur van een taak. Leg deze verbanden expliciet vast in het compliance-dossier, koppel rapportages aan het GRC-platform en zorg ervoor dat auditteams real-time inzicht hebben in openstaande reviews, afgewezen aanvragen en overtredingen van policy’s. Door deze rapportages te combineren met forensische logging en het Data Protection Impact Assessment ontstaat een geïntegreerd beeld waarmee de organisatie kan aantonen dat privacy by design en security by design daadwerkelijk zijn gerealiseerd. Neem tevens een standaard-sjabloon op voor regulatorische meldingen, zodat bij een incident direct kan worden aangetoond welke privileges actief waren, welke noodprocedures zijn gevolgd en hoe snel deze zijn ingetrokken.

Monitoring

Gebruik PowerShell-script pim-implementation.ps1 (functie Invoke-Monitoring) – Het PowerShell-script `code/m365/identity-governance/pim-implementation.ps1` bevat de functie `Invoke-Monitoring`, waarmee dagelijks inzicht wordt opgebouwd in alle PIM-activaties. Het script maakt verbinding via `Connect-MgGraph`, leest de auditlogboeken van Microsoft Entra ID uit en plaatst deze gebeurtenissen in een uniform JSON-formaat met metadata over aanvrager, goedkeurder, gebruikte rol, activatieduur en aangeleverde justificatie. Door deze informatie te verrijken met Conditional Access-signalen en Defender for Cloud Apps alerts ontstaat een vroegtijdige waarschuwing wanneer een beheerder afwijkt van het normale gedrag, zoals meerdere activaties buiten kantooruren of verzoeken vanaf een niet-goedgekeurd apparaat. Het script verstuurt de gebeurtenissen naar Microsoft Sentinel en kan optioneel een CSV-rapport genereren voor lijnmanagers, zodat ook buiten het SOC helder is welke escalaties plaatsvinden. De monitoringfunctie voert daarnaast controles uit op openstaande access-reviews, verlopen eligible assignments en beleidsafwijkingen zoals rollen zonder MFA-vereiste. Wanneer een inconsistentie wordt gedetecteerd, stuurt het script een adaptive card naar het beheerteam met concrete herstelacties. Door het script elke vijftien minuten via Azure Automation of een lokale runbook server uit te voeren, blijft de rapportage binnen het in de organisatie afgesproken maximale testvenster van vijftien seconden en ontstaat een near-real-time beeld van privilegegebruik. Documenteer in het operationeel beheerplan hoe deze monitoringresultaten worden beoordeeld tijdens de dagelijkse stand-up, welke escalatieniveaus gelden bij verdachte activaties en hoe corrigerende maatregelen in het risicoregister worden vastgelegd. Zo wordt monitoring niet alleen een technische controle, maar een aantoonbaar onderdeel van de bredere governancestructuur. Gebruik de uitvoer van het script om kernprestatie-indicatoren te meten, zoals het gemiddelde aantal activaties per rol, de verhouding tussen goedgekeurde en afgewezen verzoeken, de tijd die verstrijkt tussen aanvraag en goedkeuring en het aantal keren dat een noodaccount is ingezet. Koppel deze KPI’s aan managementrapportages zodat bestuurders kunnen sturen op reductie van privileges en naleving van interne normen. Plan bovendien kwartaalreviews in waarbij het SOC, identity engineering en audit gezamenlijk de scriptconfiguratie, de authenticatie-instellingen en de integraties met SIEM, ITSM en GRC-systemen valideren. Op die manier blijft de monitoringfunctie actueel bij wijzigingen in API-versies of beleidskaders. Tot slot schrijft de functie automatisch testresultaten weg naar het kwaliteitsdossier, zodat kan worden aangetoond dat het script binnen vijftien seconden voltooid is, welke foutafhandeling plaatsvond en welke versies van benodigde modules zijn gebruikt. Deze informatie is cruciaal voor change control en voor het aantonen van due diligence richting toezichthouders. Door een wekelijkse self-test te plannen waarbij bewust foutieve activatieverzoeken worden gesimuleerd, bewijst de organisatie dat detectie- en responsmechanismen daadwerkelijk werken en dat beheerders bij een afwijking onmiddellijk worden geïnformeerd. Rapporteer de bevindingen uit deze tests in het bestaande continu-verbeterproces (Plan-Do-Check-Act) zodat verbeteracties worden toegewezen, opgevolgd en afgesloten..

Remediatie

Gebruik PowerShell-script pim-implementation.ps1 (functie Invoke-Remediation) – De functie `Invoke-Remediation` in `code/m365/identity-governance/pim-implementation.ps1` automatiseert het herstel van afwijkingen in PIM-configuraties. Wanneer monitoring aangeeft dat een beheerder nog permanente roltoewijzingen bezit, verwijdert het script deze assignment en vervangt deze door een ‘eligible’ variant met vooraf ingestelde looptijd, notificaties en justificatievereiste. Het script controleert eveneens of verplichte MFA en goedkeuring zijn ingeschakeld; ontbrekende instellingen worden direct geactiveerd, waarna een bevestigingsrapport naar het identity-team wordt gestuurd. Dankzij ingebouwde validaties op API-responses en rol-ID’s wordt voorkomen dat verkeerde rollen worden aangepast of dat noodaccounts ten onrechte worden meegenomen. Het herstelproces omvat meer dan alleen technische wijzigingen. `Invoke-Remediation` kan worden uitgevoerd met een parameter die een ticketnummer verwacht. Hierdoor wordt elke wijziging gekoppeld aan het ITSM-systeem en wordt automatisch een notitie geplaatst met details over de gecorrigeerde rol, de betrokken beheerder en de tijdstempel. Bij kritieke rollen vraagt het script een expliciete bevestiging aan een tweede engineer voordat de wijziging wordt doorgevoerd, zodat functiescheiding wordt geborgd. Wanneer een configuratie niet automatisch kan worden hersteld—bijvoorbeeld omdat een rol in gebruik is tijdens een incident—wordt een uitzonderingsrapport opgesteld en naar de proceseigenaar gestuurd met concrete vervolgacties. Daarnaast kan het script de betreffende beheerder een instructiemail sturen waarin het nieuwe proces wordt uitgelegd en waarin eventuele aanvullende training wordt aangeboden. Na succesvolle remediatie draait het script een verificatiecyclus waarin wordt gecontroleerd of de nieuwe instellingen daadwerkelijk actief zijn, of alle notificaties zijn verzonden en of het auditlogboek de wijziging heeft vastgelegd. De resultaten worden geëxporteerd naar een JSON- en CSV-bestand zodat zowel technische teams als auditors dezelfde informatie kunnen gebruiken. Omdat het script binnen vijftien seconden moet zijn afgerond, wordt er gebruikgemaakt van parallelle API-calls en worden statusupdates alleen gelogd wanneer een stap langer dan twee seconden duurt. Zo blijft het reparatieproces snel genoeg voor operationeel gebruik tijdens onderhoudsvensters en verstoor je geen lopende beheeractiviteiten. Leg tot slot vast in het beheerhandboek hoe vaak het script preventief wordt uitgevoerd, hoe uitkomsten worden besproken in het CAB en hoe verbeterpunten worden teruggekoppeld naar beleid en standaarden, zodat remediatie een permanent onderdeel vormt van de kwaliteitscyclus. Voeg aan dit handboek een beslisboom toe die aangeeft wanneer aanvullende handmatige controles nodig zijn, hoe escalaties richting de CISO verlopen en hoe lessons learned worden vertaald naar updates in processen, training en tooling..

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS PIM (Privileged Identity Management) Implementation .DESCRIPTION Verifies PIM is implemented for privileged role assignments .NOTES NL Baseline v2.0 Requires: Azure AD Premium P2 or Microsoft 365 E5 #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph [CmdletBinding()] param([switch]$Monitoring) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "PIM Implementation Check" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Invoke-Monitoring { try { Connect-MgGraph -Scopes "PrivilegedAccess.Read.AzureAD", "RoleManagement.Read.All" -ErrorAction Stop -NoWelcome try { $pimRoles = Invoke-MgGraphRequest -Method GET ` -Uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleInstances" -ErrorAction Stop $result = @{ isCompliant = ($pimRoles.value.Count -gt 0) eligibleAssignments = $pimRoles.value.Count assignments = @() } Write-Host " PIM Eligible Role Assignments: $($result.eligibleAssignments)" -ForegroundColor $( if ($result.eligibleAssignments -gt 0) { 'Green' }else { 'Red' } ) if ($result.eligibleAssignments -gt 0) { Write-Host "`n Sample PIM assignments:" -ForegroundColor Cyan $pimRoles.value | Select-Object -First 5 | ForEach-Object { Write-Host " • Principal: $($_.principalId)" -ForegroundColor Gray Write-Host " Role: $($_.roleDefinitionId)" -ForegroundColor Gray } } else { Write-Host "`n [FAIL] No PIM role assignments found" -ForegroundColor Red Write-Host " All admin roles are permanent (high risk!)" -ForegroundColor Red } Write-Host "`n PIM Benefits:" -ForegroundColor Cyan Write-Host " • Just-in-time privileged access" -ForegroundColor Gray Write-Host " • Time-bound role activation" -ForegroundColor Gray Write-Host " • Approval workflows" -ForegroundColor Gray Write-Host " • Audit trail for all activations" -ForegroundColor Gray Write-Host "`n ⚠️ Requires: Azure AD Premium P2 or M365 E5" -ForegroundColor Yellow if ($result.isCompliant) { Write-Host "`n[OK] COMPLIANT - PIM is configured" -ForegroundColor Green exit 0 } else { Write-Host "`n[FAIL] NON-COMPLIANT - No PIM assignments!" -ForegroundColor Red Write-Host "Configure in: Azure AD > Privileged Identity Management" -ForegroundColor Yellow exit 1 } } catch { Write-Host " ⚠️ PIM not available (requires Premium P2)" -ForegroundColor Yellow exit 0 } } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } try { if ($Monitoring) { Invoke-Monitoring } else { Write-Host "Use: -Monitoring" -ForegroundColor Yellow } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Critical: Critical - Permanent admin access is permanent aanvalsoppervlak. Compromised admin heeft indefinite privileges. PIM reduces exposure window 99%+.

Management Samenvatting

PIM voor M365: eligible assignments, time-limited (max 8h), approval + MFA + justification vereist. vereist Azure AD P2. Voldoet aan CIS 1.1.4 L2, BIO 9.02, nul Trust. Setup: 16u technical + 12u organizational.