💼 Management Samenvatting
Remote Access Authenticatie bepaalt of medewerkers, ingehuurde specialisten en ketenpartners veilig toegang krijgen tot Microsoft 365 wanneer zij buiten het vertrouwde netwerk werken. Het combineert identiteitsbewijzen, device-compliance, sessiecontext en dataclassificatie om te beslissen of een verbinding wordt toegestaan, beperkt of geblokkeerd.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
240u (tech: 140u)
Van toepassing op:
✓ Microsoft 365
✓ Microsoft Entra ID
✓ Microsoft Defender
✓ Microsoft Intune
✓ Microsoft Entra ID
✓ Microsoft Defender
✓ Microsoft Intune
Hybride werk vraagt om permanente beschikbaarheid van gegevens, terwijl dreigingsactoren gericht inspelen op zwakheden in thuisnetwerken, gedeelde apparaten en legacy VPN’s. Zonder doordachte authenticatieketen ontstaan blinde vlekken in logging, compliance en governance, waardoor organisaties geen aantoonbare controle hebben over wie op afstand welke informatie inzieht.
PowerShell Modules Vereist
Primary API: Microsoft Graph Conditional Access API
Connection:
Required Modules: Microsoft.Graph.Authentication, Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraph met Policy.Read.All en Directory.Read.AllRequired Modules: Microsoft.Graph.Authentication, Microsoft.Graph.Identity.SignIns
Implementatie
Dit artikel beschrijft hoe organisaties binnen de Nederlandse Baseline voor Veilige Cloud een volledig remote access authenticatieprogramma ontwerpen, implementeren en monitoren. We behandelen strategische kaders, architectuurprincipes, governance, operationele processen en de ondersteunende PowerShell-automatisering voor continue bewaking en remediatie.
Strategische kaders voor remote access authenticatie
Remote werken is in de Nederlandse publieke sector geen uitzondering meer maar de kern van dagelijkse dienstverlening. Beleidsmedewerkers, inspecteurs, zorgprofessionals en externe partners verbinden zich vanuit woningen, tijdelijke projectlocaties en internationale overlegtafels met Microsoft 365 om dossiers bij te werken en besluiten voor te bereiden. Elke sessie loopt via netwerken buiten de controle van de organisatie en gebruikt apparaten die wisselen tussen zakelijk en persoonlijk gebruik. Remote Access Authenticatie vormt daardoor het voornaamste slot op de digitale voordeur: alleen wie aantoonbaar betrouwbaar, contextbewust en tijdig gecontroleerd is, krijgt toegang tot kritieke informatie. Zonder volwassen authenticatiestrategie ontstaat een situatie waarin individuele teams zelf oplossingen improviseren, waardoor beleid versnipperd raakt en governancecommissies het overzicht verliezen. Bovendien eisen opdrachtgevers en toezichthouders dat iedere digitale interactie dezelfde mate van zekerheid biedt als een fysieke aanwezigheidspas, zodat digitale besluitvorming bestuurlijk houdbaar blijft.
Cyberdreigingen volgen precies deze remote patronen. Aanvallers proberen sessies over te nemen via gestolen tokens, achterhaalde VPN-configuraties of gecompromitteerde thuisrouters. Wanneer authenticatie zich uitsluitend richt op wachtwoorden of generieke MFA-prompts, kan een kwaadwillende met relatief weinig moeite een geldige gebruiker nabootsen. Nederlandse overheidsorganisaties verwerken staatsgeheime informatie, persoonsgegevens uit basisregistraties en toezichtdossiers met hoge politieke gevoeligheid; een enkel geslaagd remote-aanvalspad kan daardoor maatschappelijke verstoring veroorzaken en het vertrouwen in digitale publieke dienstverlening aantasten. Remote Access Authenticatie moet daarom risicosignalen combineren: identiteit, apparaatgezondheid, locatie, tijdstip, sessierisico en dataclassificatie. Alleen dan kan een organisatie aantonen dat iedere verbinding bewust is beoordeeld en dat toegang dynamisch wordt aangepast zodra risico-indicatoren veranderen.
De Nederlandse Baseline voor Veilige Cloud vertaalt wettelijke kaders zoals de BIO, de Archiefwet, de AVG en de aankomende NIS2-verplichtingen naar concrete eisen voor cloudomgevingen. Remote toegang staat daarin centraal omdat vrijwel elke moderne werkstroom hybride is. Bestuurders verwachten aantoonbare koppelingen tussen beleidsdoelen en technische maatregelen: hoe borgt de organisatie dat volksvertegenwoordigers veilig thuis kunnen inloggen? Hoe voorkomt de toezichthouder dat internationaal werkende teams gevoelige gegevens downloaden op onbeveiligde apparaten? Remote Access Authenticatie biedt het antwoord door beleid, proces en technologie te verbinden. Het geeft bestuurders inzicht in welke scenario’s zijn toegestaan, welke uitzonderingen tijdelijk bestaan en welke escalaties ingrijpen wanneer risico’s oplopen. Daarmee verandert remote toegang van een noodoplossing tijdens crises in een structurele voorziening met aantoonbare kwaliteitsnormen.
Een remote authenticatieprogramma reikt verder dan identity-teams. Het raakt HR-processen rond onboarding van externe specialisten, financiële afspraken met leveranciers die vanuit externe cloudomgevingen werken en communicatieafdelingen die medewerkers trainen om prompts verantwoord te behandelen. De architectuur moet rekening houden met dataminimalisatie en archivering: wie op afstand werkt, mag alleen datgene zien wat relevant is voor de taak en elke sessie moet traceerbaar blijven voor audits en Woo-verzoeken. Daarom worden remote sessies gekoppeld aan Purview-labels, logging-pijplijnen en security-operationsprocedures. Pas wanneer deze keten sluitend is, zijn bestuurders bereid om kritieke processen structureel te digitaliseren.
Strategisch gezien vormt Remote Access Authenticatie de brug tussen innovatie en risicobeheersing. Organisaties willen flexibel samenwerken met kennisinstellingen, regionale partners en Europese agentschappen zonder telkens fysieke hubs op te tuigen. Tegelijkertijd moeten zij bewijzen dat de digitale werkomgeving net zo veilig is als het klassieke kantoornetwerk. Door remote authenticatie tot prioriteit te maken in jaarplannen, investeringscycli en CISO-roadmaps ontstaat een gedeeld vocabulaire over risico, vertrouwen en toegang. Dit artikel biedt dat raamwerk en laat zien hoe architectuur, implementatie en monitoring elkaar versterken binnen de Nederlandse Baseline voor Veilige Cloud.
Architectuur en technisch ontwerp voor remote authenticatie
Remote Access Authenticatie rust op een referentiearchitectuur waarin Microsoft Entra ID, Intune, Defender for Endpoint en Defender for Cloud Apps samen beslissen over elke sessie. De identiteit levert primaire signalen zoals gebruikersrisico, aanmeldgeschiedenis en toegewezen rollen. Device management voegt naleving van configuratieprofielen, patchniveau en jailbreakdetectie toe. Defender for Endpoint levert realtime informatie over lopende processen, terwijl Defender for Cloud Apps sessiecontext en dataclassificatie bewaakt. Deze signalen komen samen in Conditional Access waar beleid beslist of toegang wordt toegestaan, beperkt of volledig geblokkeerd. Architectuurteams modelleren deze keten als een Zero Trust Control Plane waarin geen enkel signaal dominant is maar juist de combinatie zorgt voor betrouwbaarheid.
Belangrijk is dat authenticatie niet stopt bij inloggen. Remote gebruikers verplaatsen zich continu, schakelen tussen apparaten en openen zowel SaaS-diensten als on-premises applicaties via Secure Hybrid Access. Het technisch ontwerp moet daarom sessies herbeoordelen. Sign-in frequenties zorgen ervoor dat gevoelige applicaties elke vier tot twaalf uur opnieuw authenticatie eisen, terwijl Continuous Access Evaluation direct ingrijpt bij risicoverhoging zoals wachtwoordresets of verdachte locaties. Named Locations definiëren welke netwerken als vertrouwd worden beschouwd en welke automatisch als remote worden aangemerkt. Hierdoor kunnen policies onderscheid maken tussen een rijkskantoor, een Europees agentschap en een hotelnetwerk zonder complexe firewallregels.
Authenticatiemethoden zelf worden eveneens gelaagd. Passwordless oplossingen zoals Windows Hello for Business of FIDO2-keys vormen de primaire methode voor medewerkers met hoog risico. Phishing-resistente MFA via Authentication Strength profielen is verplicht wanneer iemand buiten het vertrouwde netwerk werkt. Daarnaast kan een organisatie apparaatgerichte eisen koppelen: alleen compliant devices met actuele Defender-signatures en BitLocker versleuteling krijgen volledige toegang, terwijl browsersessies op persoonlijke apparaten direct worden omgeleid naar een gecontroleerde modus via Defender for Cloud Apps. Zo ontstaat een spectrum waarin remote gebruikers precies die toegang ontvangen die past bij het risicoprofiel van het moment.
Voor applicaties die nog afhankelijk zijn van traditionele VPN of legacy protocollen biedt het architectuurontwerp brugoplossingen. Secure Hybrid Access via Application Proxy of partnerintegraties met ZTNA-oplossingen zorgt ervoor dat dezelfde Conditional Access policies blijven gelden, zelfs wanneer de applicatie niet native cloud-aware is. Logging uit deze componenten stroomt naar Microsoft Sentinel of een Rijksbreed SIEM zodat remote sessies integraal worden gemonitord. Hierdoor kunnen SOC-analisten dreigingspatronen ontdekken die anders buiten beeld zouden blijven, bijvoorbeeld wanneer een aanvaller van locatie wisselt om detectie te omzeilen.
Architectuurdocumentatie moet ten slotte aantonen hoe remote authenticatie integreert met processen zoals change management, service delivery en business continuity. Diagrammen beschrijven dataflows tussen Entra ID, Intune, Defender en Purview, inclusief encryptiestandaarden en failover-mechanismen. Daarbij horen testscenario’s voor calamiteiten: wat gebeurt er wanneer een identity provider tijdelijk onbereikbaar is, hoe schakelt de organisatie over op break-glass accounts, en welke fallback is beschikbaar voor vitale diensten? Door deze scenario’s vooraf te modelleren ontstaat niet alleen een technisch solide oplossing maar ook het vertrouwen dat remote toegang tijdens crisissituaties beschikbaar blijft zonder concessies aan beveiliging.
Implementatie, governance en operationeel beheer
De implementatie van Remote Access Authenticatie volgt een programmatische aanpak die begint met een volwassenheidsmeting. Organisaties inventariseren welke gebruikersgroepen structureel remote werken, welke applicaties zij benaderen en welke bestaande uitzonderingen zijn toegestaan. Op basis daarvan definieert de stuurgroep doelbeelden per doelgroep, inclusief minimale authenticatiesterkte, toegestane apparaten en benodigde sessiebeperkingen. Dit besluit wordt vastgelegd in een bestuurlijk charter dat verwijst naar de Nederlandse Baseline voor Veilige Cloud en de bijbehorende compliance-normen. Zo ontstaat een toetsingskader dat latere discussies over uitzonderingen objectief maakt.
Vervolgens wordt een iteratieve roadmap uitgevoerd. Pilotgroepen testen nieuwe Conditional Access policies eerst in report-only modus om inzicht te krijgen in impact en onverwachte blokkades. Communicatieteams bereiden remote medewerkers voor via scenario-gebaseerde training waarin zij leren waarom een extra authenticatiestap nodig is wanneer zij buiten het rijksnetwerk werken of een device niet volledig compliant is. Governanceboards beoordelen uitzonderingen op basis van risico en tijdsduur en leggen vast hoe escalaties verlopen wanneer een remote gebruiker kritiek werk uitvoert tijdens een incident. Door deze stappen als agile programma te organiseren blijft het tempo hoog terwijl de controle behouden blijft.
Gebruik PowerShell-script remote-access-authentication.ps1 (functie Invoke-RemoteAccessAssessment) – Voert een geautomatiseerde controle uit op Conditional Access policies, named locations en authenticatiemethoden voor remote gebruikers en rapporteert of de minimale eisen van het programma worden gehaald..
Het PowerShell-script ondersteunt het programma door na elke sprint te verifiëren of policies daadwerkelijk zijn ingeschakeld en welke remote scenario’s nog niet door maatregelen worden afgedekt. De rapportage wordt opgeslagen in het auditdossier en gedeeld met het CIO-beraad zodat beslissingen evidence-based zijn. Wanneer het script aangeeft dat een bepaalde gebruikersgroep nog geen compliant apparaat vereist, kan de product owner direct een wijzigingsverzoek voorbereiden waardoor de iteratiecyclus wordt verkort.
Operationeel beheer vraagt om duidelijke rolverdeling. Identity engineers beheren de Conditional Access policies en Authentication Strength profielen; Intune-beheerders bewaken device compliance en Threat Protection signalen; het SOC volgt remote sessies in Sentinel en koppelt incidenten aan de juiste runbooks. Iedere wijziging doorloopt het changeproces met verplichte impactanalyse, regressietests en communicatie naar gebruikers. Door deze governance te koppelen aan OKR’s en KPI’s blijft remote authenticatie zichtbaar in kwartaalrapportages en budgetcycli.
Documentatie sluit de implementatie af. Elke policy wordt gedocumenteerd met doel, scope, afhankelijkheden en fallback. Uitzonderingen bevatten een einddatum en verantwoordelijke eigenaar. Hierdoor kunnen auditors eenvoudig controleren of remote toegang binnen de afgesproken risicobandbreedte blijft. Daarnaast vormt de documentatie de basis voor kennisoverdracht wanneer nieuwe leveranciers of projectteams aansluiten bij de Nederlandse Baseline voor Veilige Cloud.
Monitoring, rapportage en voortdurende compliance
Remote Access Authenticatie levert pas blijvende waarde wanneer monitoring structureel is ingericht. Securityteams combineren Microsoft Graph exports, Intune compliance-rapporten en Sentinel-dashboards om dagelijks inzicht te krijgen in remote sessies. Zij analyseren patronen zoals plotselinge toename van niet-compliant apparaten, sessies vanuit ongebruikelijke landen of gebruikers die herhaaldelijk fallback-methoden kiezen. Deze inzichten worden gedeeld met lijnmanagement en juridische teams zodat maatregelen worden afgestemd op operationele realiteit.
Een volwassen monitoringsmodel omvat ook feedbackloops naar beleid. Wanneer het SOC constateert dat een bepaald proces structureel buiten kantooruren wordt uitgevoerd, kan de governanceboard besluiten om de authenticatiesterkte voor die processen aan te passen of specifieke devices te certificeren. Evenzo worden lessons learned uit incidenten vertaald naar nieuwe controls, bijvoorbeeld extra sessiecontroles voor gebruikers die met staatsgeheime dossiers werken. Door deze iteratieve werkwijze blijft het programma relevant terwijl dreigingen evolueren.
Gebruik PowerShell-script remote-access-authentication.ps1 (functie Invoke-RemoteAccessRemediation) – Genereert een remediatiechecklist met prioriteiten voor remote policies, device-eisen en authenticatiesterktes op basis van de laatst uitgevoerde assessment..
Het script voorziet in een maximumtesttijd van vijftien seconden via de Debug-modus en kan daardoor veilig in CI/CD-pipelines, Azure Automation of lokale validaties worden opgenomen. Elke uitvoering levert een JSON-rapport op dat direct in compliance-dashboards kan worden geladen. Door monitoring en remediatie te automatiseren ontstaat een closed-loop besturingsmodel waarin afwijkingen snel zichtbaar zijn en herstelacties onderbouwd worden.
Compliance-rapportages verwijzen naar deze meetresultaten. Voor BIO en NIS2 worden kwartaaloverzichten opgesteld waarin staat hoeveel remote sessies volledig compliant waren, hoeveel uitzonderingen zijn goedgekeurd en hoe snel incidenten zijn afgehandeld. AVG-verantwoordelijken krijgen inzicht in hoe remote authenticatie data-minimalisatie ondersteunt doordat gevoelige dossiers uitsluitend op goedgekeurde apparaten beschikbaar zijn. Dit maakt het mogelijk om richting toezichthouders, rekenkamers en burgers te laten zien dat remote toegang niet wordt overgelaten aan improvisatie maar onderdeel is van volwassen digitale weerbaarheid.
Door monitoring te koppelen aan enterprise risk management ontstaat bovendien een economische onderbouwing. Wanneer remote authenticatie leidt tot minder incidenten en lagere herstelkosten, kan het bestuur aantonen dat investeringen zich terugverdienen. Tegelijkertijd blijven resterende risico’s zichtbaar, zodat bestuurders en volksvertegenwoordigers bewust besluiten kunnen nemen over het openstellen van nieuwe digitale diensten of het toelaten van aanvullende partners tot de Microsoft 365-omgeving.
Compliance & Frameworks
- CIS M365: Control 1.4 (L2) - CIS Microsoft 365 Foundations vereist dat remote toegang uitsluitend wordt toegestaan na sterke authenticatie, device compliance en logging.
- BIO: 09.04, 12.01, 12.04 - BIO hoofdstukken over toegangsbeheer, gebruik van mobiele voorzieningen en logging verplichten risicogestuurde authenticatie voor externe verbindingen.
- ISO 27001:2022: A.5.15, A.5.18, A.8.19 - ISO 27001:2022 benadrukt sterke gebruikersverificatie, veilige toegang tot diensten en bescherming van communicatiekanalen voor remote werken.
- NIS2: Artikel - NIS2 verlangt aantoonbare technische en organisatorische maatregelen om toegang tot kritieke diensten te beveiligen, inclusief remote sessies.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Valideert remote access authenticatiebeleid binnen Microsoft 365.
.DESCRIPTION
Dit script hoort bij het artikel 'remote-access-authentication' uit de Nederlandse Baseline voor Veilige Cloud.
Het script controleert Conditional Access policies, named location-criteria en authenticatiemethoden die specifiek van toepassing zijn
op remote gebruikers. Het ondersteunt twee scenario's:
- Monitoring (-Monitoring): verzamelt configuraties, berekent de compliance-status en toont een samenvatting.
- Remediatie (-Remediation): geeft gerichte aanbevelingen op basis van de laatste monitoringsresultaten.
Met -DebugMode wordt voorbeelddata gebruikt zodat lokale tests binnen 15 seconden afronden zonder Graph-verbinding.
.NOTES
Author : Nederlandse Baseline voor Veilige Cloud
Filename : remote-access-authentication.ps1
Created : 2025-11-27
Required Scopes: Policy.Read.All, Policy.ReadWrite.ConditionalAccess, Directory.Read.All
Related JSON : content/m365/identity/remote-access-authentication.json
.EXAMPLE
.\remote-access-authentication.ps1 -Monitoring -DebugMode
Toont een snelle lokale simulatie van de remote access beoordeling.
.EXAMPLE
.\remote-access-authentication.ps1 -Monitoring
Voert de controle live uit tegen Microsoft Graph.
.EXAMPLE
.\remote-access-authentication.ps1 -Remediation -WhatIf
Genereert hersteladviezen zonder acties uit te voeren.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[switch]$Monitoring,
[switch]$Remediation,
[switch]$DebugMode,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'SilentlyContinue'
function Write-Banner {
param(
[string]$Title
)
Write-Host ""
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $Title -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
}
function Test-RequiredModules {
param (
[string[]]$Modules
)
foreach ($module in $Modules) {
if (-not (Get-Module -ListAvailable -Name $module)) {
throw "Benodigde module '$module' is niet geïnstalleerd. Installeer deze module om het script uit te voeren zonder -DebugMode."
}
}
}
function Connect-GraphIfNeeded {
if ($DebugMode) {
return
}
Test-RequiredModules -Modules @("Microsoft.Graph.Authentication", "Microsoft.Graph.Identity.SignIns")
$ctx = Get-MgContext -ErrorAction SilentlyContinue
if (-not $ctx) {
Connect-MgGraph -Scopes "Policy.Read.All","Policy.ReadWrite.ConditionalAccess","Directory.Read.All" -NoWelcome -ErrorAction Stop | Out-Null
return
}
$requiredScopes = @("Policy.Read.All","Directory.Read.All")
$missingScopes = $requiredScopes | Where-Object { $_ -notin $ctx.Scopes }
if ($missingScopes.Count -gt 0) {
Connect-MgGraph -Scopes "Policy.Read.All","Policy.ReadWrite.ConditionalAccess","Directory.Read.All" -NoWelcome -ErrorAction Stop | Out-Null
}
}
function Get-ConditionalAccessPolicies {
if ($DebugMode) {
return @(
[PSCustomObject]@{
displayName = "CA - Remote Access Baseline"
state = "enabled"
conditions = @{
locations = @{
includeLocations = @("All")
excludeLocations = @("NamedLocation:Trusted-Offices")
}
}
grantControls = @{
builtInControls = @("mfa","compliantDevice")
authenticationStrength = @{
displayName = "Passwordless protection"
}
}
sessionControls = @{
signInFrequency = @{
value = 12
type = "hours"
}
applicationEnforcedRestrictions = @{
isEnabled = $true
}
}
},
[PSCustomObject]@{
displayName = "CA - Remote Browser Limited"
state = "enabled"
conditions = @{
locations = @{
includeLocations = @("NamedLocation:Worldwide")
excludeLocations = @()
}
}
grantControls = @{
builtInControls = @("mfa","approvedApplication")
}
sessionControls = @{
persistentBrowser = @{
isEnabled = $true
mode = "never"
}
}
}
)
}
$policies = @()
$uri = "https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies?`$top=50"
while ($uri) {
$response = Invoke-MgGraphRequest -Method GET -Uri $uri -ErrorAction Stop
if ($response.value) {
$policies += $response.value
}
$uri = $response.'@odata.nextLink'
}
return $policies
}
function Get-RemoteAccessInsight {
param(
[object[]]$Policies
)
$remotePolicies = @()
foreach ($policy in $Policies) {
if ($policy.state -ne "enabled") {
continue
}
$conditions = $policy.conditions
$locationScope = $conditions.locations
$appliesToRemote = $false
if ($locationScope) {
$include = @($locationScope.includeLocations)
$exclude = @($locationScope.excludeLocations)
if ($include -contains "All") {
if ($exclude -and $exclude.Count -gt 0) {
$appliesToRemote = $true
}
}
elseif ($include.Count -gt 0) {
$appliesToRemote = $true
}
}
else {
$appliesToRemote = $true
}
if (-not $appliesToRemote) {
continue
}
$grant = $policy.grantControls
$session = $policy.sessionControls
$builtIn = @()
if ($grant -and $grant.builtInControls) {
$builtIn = @($grant.builtInControls)
}
$requiresMfa = $builtIn -contains "mfa"
$requiresCompliantDevice = $builtIn -contains "compliantDevice"
$requiresAppProtection = $builtIn -contains "approvedApplication" -or $builtIn -contains "requireAppProtectionPolicy"
$hasSessionControl = $false
$requiresPhishingResistant = $false
if ($grant -and $grant.authenticationStrength -and $grant.authenticationStrength.displayName) {
$requiresPhishingResistant = ($grant.authenticationStrength.displayName -match "phishing") -or ($grant.authenticationStrength.displayName -match "passwordless")
}
if ($session) {
if ($session.signInFrequency -or $session.applicationEnforcedRestrictions -or $session.persistentBrowser) {
$hasSessionControl = $true
}
}
$remotePolicies += [PSCustomObject]@{
Name = $policy.displayName
RequiresMfa = $requiresMfa
RequiresCompliantDevice = $requiresCompliantDevice
RequiresAppProtection = $requiresAppProtection
RequiresPhishingResistant = $requiresPhishingResistant
HasSessionControls = $hasSessionControl
}
}
$hasMfaPolicy = ($remotePolicies | Where-Object { $_.RequiresMfa -or $_.RequiresPhishingResistant }).Count -gt 0
$hasDevicePolicy = ($remotePolicies | Where-Object { $_.RequiresCompliantDevice -or $_.RequiresAppProtection }).Count -gt 0
$hasSessionPolicy = ($remotePolicies | Where-Object { $_.HasSessionControls }).Count -gt 0
$hasPhishingResistant = ($remotePolicies | Where-Object { $_.RequiresPhishingResistant }).Count -gt 0
$score = 0
if ($hasMfaPolicy) { $score++ }
if ($hasDevicePolicy) { $score++ }
if ($hasSessionPolicy) { $score++ }
if ($hasPhishingResistant) { $score++ }
$status = if ($score -ge 4) { "Compliant" } elseif ($score -ge 2) { "Partially Compliant" } else { "Non-Compliant" }
return [PSCustomObject]@{
Policies = $remotePolicies
TotalPolicies = $remotePolicies.Count
HasMfaPolicy = $hasMfaPolicy
HasDevicePolicy = $hasDevicePolicy
HasSessionPolicy = $hasSessionPolicy
HasPhishingResistant = $hasPhishingResistant
Status = $status
}
}
function Invoke-RemoteAccessAssessment {
Write-Banner -Title "Remote Access Authenticatie - Monitoring"
Connect-GraphIfNeeded
$policies = Get-ConditionalAccessPolicies
$insight = Get-RemoteAccessInsight -Policies $policies
Write-Host ""
Write-Host ("Gevonden remote policies: {0}" -f $insight.TotalPolicies) -ForegroundColor Cyan
Write-Host (" - MFA of phishing-resistent verplicht: {0}" -f $insight.HasMfaPolicy) -ForegroundColor Gray
Write-Host (" - Compliant device of app-protectie vereist: {0}" -f $insight.HasDevicePolicy) -ForegroundColor Gray
Write-Host (" - Sessiesturing actief: {0}" -f $insight.HasSessionPolicy) -ForegroundColor Gray
Write-Host (" - Phishing-resistente authenticatie aanwezig: {0}" -f $insight.HasPhishingResistant) -ForegroundColor Gray
switch ($insight.Status) {
"Compliant" { Write-Host "[OK] Remote access authenticatie voldoet aan de minimumeisen." -ForegroundColor Green }
"Partially Compliant" { Write-Host "[WAARSCHUWING] Er zijn maatregelen aanwezig maar niet volledig dekkend." -ForegroundColor Yellow }
default { Write-Host "[FAIL] Remote access policies beschermen gebruikers onvoldoende." -ForegroundColor Red }
}
if ($insight.Policies.Count -gt 0) {
Write-Host ""
$insight.Policies | Select-Object Name,RequiresMfa,RequiresCompliantDevice,RequiresAppProtection,HasSessionControls | Format-Table | Out-String | Write-Host
}
return $insight
}
function Invoke-RemoteAccessRemediation {
param(
[pscustomobject]$Assessment
)
Write-Banner -Title "Remote Access Authenticatie - Remediatie"
if (-not $Assessment) {
$Assessment = Invoke-RemoteAccessAssessment
}
if ($Assessment.Status -eq "Compliant") {
Write-Host "[INFO] Geen directe remediatie-acties vereist. Documenteer de huidige configuratie in het auditdossier." -ForegroundColor Green
return
}
Write-Host ""
Write-Host "Aanbevolen maatregelen:" -ForegroundColor Cyan
if (-not $Assessment.HasMfaPolicy) {
if ($WhatIf) {
Write-Host " WhatIf: zou een Conditional Access policy aanmaken die remote locaties verplicht phishing-resistente MFA gebruiken." -ForegroundColor Yellow
}
else {
Write-Host " - Maak een Remote policy die buiten vertrouwde locaties alleen toegang verleent na phishing-resistente MFA of passwordless authenticatie." -ForegroundColor Yellow
}
}
if (-not $Assessment.HasDevicePolicy) {
Write-Host " - Voeg 'Require compliant device' of 'Require app protection policy' toe aan de remote policy zodat niet-goedgekeurde apparaten enkel web-only toegang krijgen." -ForegroundColor Yellow
}
if (-not $Assessment.HasSessionPolicy) {
Write-Host " - Activeer sign-in frequentie en application enforced restrictions zodat downloads vanaf onbeheerde apparaten worden geblokkeerd." -ForegroundColor Yellow
}
if (-not $Assessment.HasPhishingResistant) {
Write-Host " - Configureer Authentication Strength profielen die FIDO2 of Windows Hello for Business verplichten voor hybride werk." -ForegroundColor Yellow
}
Write-Host ""
Write-Host "Documenteer elke wijziging via het changeproces en voer dit script opnieuw uit om compliance te bevestigen." -ForegroundColor Cyan
}
try {
if (-not $Monitoring -and -not $Remediation) {
Write-Banner -Title "Remote Access Authenticatie"
Write-Host "Gebruik -Monitoring voor een auditcontrole of -Remediation voor hersteladvies." -ForegroundColor Cyan
Write-Host "Voeg -DebugMode toe voor veilige lokale tests (looptijd < 15 seconden)." -ForegroundColor Cyan
return
}
if ($Monitoring) {
Invoke-RemoteAccessAssessment | Out-Null
}
if ($Remediation) {
$assessment = $null
if (-not $Monitoring) {
$assessment = Invoke-RemoteAccessAssessment
}
Invoke-RemoteAccessRemediation -Assessment $assessment
}
}
catch {
Write-Error "Fout in remote-access-authentication.ps1: $_"
throw
}
finally {
if (-not $DebugMode) {
Disconnect-MgGraph -ErrorAction SilentlyContinue | Out-Null
}
Write-Host ""
Write-Host "========================================" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder remote access authenticatieprogramma blijven gestolen accounts, onbeheerde apparaten en ongecontroleerde sessies een directe dreiging. Auditors kunnen dan aantonen dat de organisatie niet voldoet aan BIO, NIS2 en AVG, wat leidt tot sancties, herstelkosten en verlies van vertrouwen bij burgers en bestuurders.
Management Samenvatting
Bouw een Zero Trust-gedreven authenticatieketen voor alle remote gebruikers met sterke verificatie, device compliance, sessiebeperkingen en continue monitoring. Gebruik het script om configuraties te toetsen en koppelingen met governance en compliance dagelijks te bewijzen.
- Implementatietijd: 240 uur
- FTE required: 0.6 FTE