💼 Management Samenvatting
Retention policies in Microsoft 365 vormen de technische implementatie van retentiebeleid en bepalen concreet welke informatie hoe lang wordt bewaard in Exchange, SharePoint, OneDrive en Teams. Voor Nederlandse overheidsorganisaties is een correcte configuratie van deze policies essentieel om wettelijke bewaarplichten na te komen, dataminimalisatie te realiseren en compliance met de Archiefwet, AVG en BIO te waarborgen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
60u (tech: 40u)
Van toepassing op:
✓ Microsoft 365 E3
✓ Microsoft 365 E5
✓ Exchange Online
✓ SharePoint Online
✓ OneDrive for Business
✓ Microsoft Teams
✓ Office 365
✓ Microsoft 365 E5
✓ Exchange Online
✓ SharePoint Online
✓ OneDrive for Business
✓ Microsoft Teams
✓ Office 365
Zonder correct geconfigureerde retention policies kunnen Nederlandse overheidsorganisaties niet voldoen aan hun wettelijke verplichtingen. De Archiefwet vereist dat bepaalde categorieën overheidsinformatie voor langere perioden of blijvend worden bewaard, terwijl de AVG voorschrijft dat persoonsgegevens niet langer worden bewaard dan noodzakelijk. Zonder geautomatiseerde retention policies moeten beheerders handmatig data beheren, wat leidt tot menselijke fouten, inconsistenties en het risico dat informatie te vroeg wordt verwijderd of onnodig lang wordt bewaard. Dit kan resulteren in archiefrechtelijke tekortkomingen, AVG-schendingen met boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet, en reputatieschade wanneer datalekken optreden door onbeheerde data-opslag. Bovendien vereist de BIO dat organisaties passende maatregelen treffen voor het beheer van de volledige levenscyclus van informatie, inclusief vernietiging na afloop van bewaartermijnen. Microsoft 365 biedt via Microsoft Purview Data Lifecycle Management krachtige mogelijkheden om retention policies te configureren die automatisch informatie bewaren of vernietigen op basis van configureerbare regels, maar deze functionaliteit vereist een doordachte technische implementatie om effectief te zijn.
PowerShell Modules Vereist
Primary API: Microsoft Purview (Security & Compliance PowerShell)
Connection:
Required Modules: ExchangeOnlineManagement
Connection:
Connect-IPPSSessionRequired Modules: ExchangeOnlineManagement
Implementatie
Dit artikel biedt een praktische gids voor het technisch configureren van retention policies in Microsoft 365 via Microsoft Purview Data Lifecycle Management. Het artikel beschrijft stap voor stap hoe retention policies worden aangemaakt voor verschillende workloads zoals Exchange Online, SharePoint Online, OneDrive for Business en Microsoft Teams, hoe retention rules worden geconfigureerd met specifieke bewaartermijnen en acties, en hoe policies worden toegepast op specifieke locaties of gebruikersgroepen. Daarnaast wordt uitgebreid ingegaan op geavanceerde configuratie-opties zoals adaptive scopes voor dynamische toepassing, exclude filters voor uitzonderingen, en de combinatie met retention labels voor meer granulariteit. Het artikel behandelt ook praktische aspecten zoals het monitoren van policy-status, het verifiëren van correcte toepassing, het troubleshooten van veelvoorkomende problemen, en het beheren van wijzigingen en uitzonderingen. Nederlandse overheidsorganisaties leren hoe zij retention policies kunnen configureren die aansluiten op hun bewaarschema, hoe zij kunnen verifiëren dat policies correct werken, en hoe zij compliance kunnen aantonen richting auditors en toezichthouders door middel van geautomatiseerde controles en rapportage.
Vereisten en basisconfiguratie
Voor het configureren van retention policies in Microsoft 365 zijn specifieke licentievereisten en bevoegdheden nodig. Microsoft Purview Data Lifecycle Management, waarin retention policies worden beheerd, is beschikbaar voor organisaties met Microsoft 365 E3 of E5-licenties. Microsoft 365 E1 biedt beperkte retention-mogelijkheden, maar ontbeert geavanceerde functies zoals adaptive scopes en exclude filters. Voor volledige functionaliteit moeten alle gebruikers en workloads waarvoor retention policies moeten gelden, beschikken over E3 of E5-licenties. Daarnaast zijn specifieke beheerdersrollen vereist: Compliance Administrator voor het maken en beheren van retention policies, Security Administrator voor het configureren van beveiligingsinstellingen die retention policies kunnen beïnvloeden, en Records Management Administrator voor geavanceerde records management-functionaliteit. Organisaties die gebruik maken van Microsoft 365 Government of andere gespecialiseerde cloud-omgevingen moeten verifiëren dat Data Lifecycle Management beschikbaar is in hun specifieke tenant-configuratie.
De technische implementatie begint met het verbinden met Microsoft Purview via Security & Compliance PowerShell. De ExchangeOnlineManagement-module bevat de benodigde cmdlets zoals Connect-IPPSSession voor authenticatie, Get-RetentionCompliancePolicy voor het opvragen van bestaande policies, en New-RetentionCompliancePolicy voor het aanmaken van nieuwe policies. Voordat retention policies worden geconfigureerd, moeten organisaties een duidelijk beeld hebben van hun bewaarschema: welke informatiecategorieën welke bewaartermijnen vereisen, welke workloads moeten worden afgedekt, en of er specifieke uitzonderingen of uitsluitingen nodig zijn. Dit bewaarschema vormt de basis voor de technische configuratie en moet zijn gedocumenteerd voordat de implementatie begint. Daarnaast is het verstandig om eerst een test-policy aan te maken en te verifiëren dat deze correct werkt voordat productie-policies worden geconfigureerd.
Een belangrijke overweging bij de configuratie is de relatie tussen retention policies en andere informatiebeveiligingsmechanismen in Microsoft 365. Retention policies werken samen met sensitivity labels, eDiscovery holds, litigation holds en records management, waarbij er specifieke prioriteitsregels gelden wanneer meerdere mechanismen van toepassing zijn. EDiscovery holds en litigation holds hebben bijvoorbeeld altijd voorrang op retention policies, wat betekent dat informatie die onder een hold valt niet wordt verwijderd, ongeacht de retention policy-instellingen. Organisaties moeten daarom zorgvuldig nadenken over de interactie tussen verschillende mechanismen en ervoor zorgen dat hun configuratie geen conflicten veroorzaakt. Bovendien moeten organisaties rekening houden met de impact van retention policies op gebruikerservaring: wanneer retention policies automatisch items verwijderen, kunnen gebruikers deze niet meer terugvinden, wat kan leiden tot verwarring of frustratie als dit niet duidelijk wordt gecommuniceerd.
Stap-voor-stap configuratie van retention policies
De configuratie van retention policies begint met het definiëren van de policy zelf via de New-RetentionCompliancePolicy-cmdlet. Een retention policy heeft een unieke naam, een optionele beschrijving, en specificeert op welke workloads de policy van toepassing is: Exchange voor e-mailberichten, SharePoint voor sites en documentenbibliotheken, OneDrive voor persoonlijke bestanden, en Teams voor kanalen en chats. Organisaties kunnen kiezen voor een organisation-wide policy die automatisch op alle locaties van toepassing is, of voor een specifieke policy die alleen op bepaalde sites, mailboxen of gebruikersgroepen wordt toegepast. Voor Nederlandse overheidsorganisaties is het verstandig om te beginnen met een generieke policy die alle workloads afdekt met een standaard bewaartermijn, bijvoorbeeld zeven jaar conform veelvoorkomende archiefwetvereisten, en vervolgens specifieke policies toe te voegen voor uitzonderingen of bijzondere categorieën informatie.
Na het aanmaken van de policy moet een retention rule worden geconfigureerd die de daadwerkelijke retentieregels definieert. De New-RetentionComplianceRule-cmdlet koppelt een rule aan een policy en specificeert de retention duration in dagen, de retention action (Keep, KeepAndDelete, of DeleteOnly), en optionele voorwaarden zoals content types of gevoelige informatie. Voor Nederlandse overheidsorganisaties is de KeepAndDelete-actie meestal het meest geschikt: informatie wordt bewaard voor de gespecificeerde periode en vervolgens automatisch verwijderd, wat zorgt voor dataminimalisatie conform AVG-vereisten. De retention duration wordt bepaald op basis van het bewaarschema: veelvoorkomende termijnen zijn zeven jaar voor algemene overheidsinformatie conform archiefwet, vijf jaar voor financiële administratie, of specifieke termijnen voor sectoren zoals zorg of belastingen. Organisaties moeten ervoor zorgen dat de retention duration correct wordt berekend: Microsoft 365 gebruikt dagen als eenheid, dus zeven jaar komt overeen met 2555 dagen.
Gebruik PowerShell-script retention-policies-configured.ps1 (functie Invoke-Monitoring) – Controleert of retention policies correct zijn geconfigureerd in Microsoft 365, inclusief policy-status, rule-configuratie en toepassing op workloads.
Voor geavanceerde scenario's kunnen organisaties gebruik maken van adaptive scopes, waarmee retention policies dynamisch kunnen worden toegepast op basis van gebruikers- of site-eigenschappen. Adaptive scopes maken het mogelijk om bijvoorbeeld alleen retention policies toe te passen op gebruikers in bepaalde afdelingen, of op sites met specifieke metadata-tags. Dit is vooral nuttig voor grote organisaties waar verschillende afdelingen verschillende retentievereisten hebben. Exclude filters bieden de mogelijkheid om specifieke locaties of gebruikers uit te sluiten van een retention policy, bijvoorbeeld wanneer bepaalde mailboxen onder een aparte litigation hold vallen of wanneer specifieke sites permanente bewaring vereisen. De configuratie van adaptive scopes en exclude filters vereist een goed begrip van de organisatiestructuur en de eigenschappen die beschikbaar zijn in Microsoft 365, en moet zorgvuldig worden getest voordat deze in productie wordt gezet.
Na de configuratie is het essentieel om te verifiëren dat retention policies correct zijn toegepast. Microsoft 365 heeft enige tijd nodig om retention policies te verwerken en toe te passen, wat kan variëren van enkele minuten tot uren, afhankelijk van de omvang van de tenant en het aantal betrokken locaties. Organisaties kunnen de status van retention policies monitoren via het Microsoft Purview Compliance-portaal of via PowerShell-cmdlets zoals Get-RetentionCompliancePolicy en Get-RetentionComplianceRule. Het is verstandig om na het configureren van een nieuwe policy minimaal 24 uur te wachten voordat wordt gecontroleerd of deze daadwerkelijk actief is en correct wordt toegepast. Daarnaast kunnen organisaties gebruik maken van content search of eDiscovery-tools om te verifiëren dat items die onder een retention policy vallen inderdaad worden bewaard of verwijderd zoals verwacht. Deze verificatiestappen zijn cruciaal voor compliance en moeten regelmatig worden herhaald om te zorgen dat retention policies blijven functioneren zoals bedoeld.
Compliance en framework mapping
Correct geconfigureerde retention policies in Microsoft 365 ondersteunen directe compliance met meerdere frameworks die voor Nederlandse overheidsorganisaties relevant zijn. De Baseline Informatiebeveiliging Overheid (BIO) vereist in norm 12.04 dat organisaties systematisch beheer van informatie realiseren, inclusief het beheer van bewaartermijnen en vernietiging van informatie na afloop van de bewaartermijn. Retention policies in Microsoft 365 bieden een technische implementatie van deze vereiste door geautomatiseerd bewaartermijnen af te dwingen en informatie te vernietigen wanneer deze niet langer nodig is. Norm 18.01 vereist bovendien dat organisaties logging en archivering inrichten, waarbij retention policies kunnen helpen om te zorgen dat relevante informatie wordt bewaard voor archiveringsdoeleinden en dat logging consistent wordt toegepast over alle workloads.
De Algemene Verordening Gegevensbescherming (AVG) vereist in artikel 5 dat persoonsgegevens niet langer worden bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verzameld, en dat organisaties passende technische en organisatorische maatregelen treffen om dataminimalisatie te realiseren. Retention policies in Microsoft 365 helpen organisaties te voldoen aan deze vereiste door automatisch persoonsgegevens te vernietigen wanneer de bewaartermijn is verstreken, zonder dat handmatige interventie nodig is. Artikel 32 vereist bovendien passende technische maatregelen voor de beveiliging van persoonsgegevens, waarbij retention policies kunnen bijdragen door ervoor te zorgen dat verouderde of onnodige persoonsgegevens niet langer worden bewaard, wat het risico op datalekken reduceert. Organisaties moeten echter wel zorgvuldig zijn met de configuratie van retention policies om ervoor te zorgen dat deze niet leiden tot te vroege vernietiging van persoonsgegevens die nog nodig zijn voor wettelijke verplichtingen of gerechtelijke procedures.
De Archiefwet vereist dat Nederlandse overheidsorganisaties bepaalde categorieën informatie voor langere perioden of blijvend bewaren, waarbij selectielijsten bepalen welke informatie welke bewaartermijn heeft. Retention policies kunnen worden geconfigureerd om deze bewaartermijnen technisch af te dwingen, maar organisaties moeten ervoor zorgen dat hun configuratie aansluit op de formele selectielijsten en dat zij kunnen aantonen dat retention policies correct zijn toegepast. Voor informatie die blijvend moet worden bewaard, moeten organisaties bovendien rekening houden met de noodzaak voor migratie naar een archiefsysteem of permanente bewaring, waarbij retention policies kunnen helpen om ervoor te zorgen dat informatie niet verloren gaat voordat migratie plaatsvindt. De NIS2-richtlijn vereist dat essentiële en belangrijke entiteiten passende maatregelen treffen voor de beveiliging van netwerk- en informatiesystemen, waarbij retention policies kunnen bijdragen door ervoor te zorgen dat relevante informatie voor incidentrespons en logging wordt bewaard, terwijl onnodige informatie wordt verwijderd om het aanvalsoppervlak te reduceren.
Monitoring en verificatie
Regelmatige monitoring van retention policies is essentieel om te zorgen dat deze correct blijven functioneren en dat compliance-vereisten worden nagekomen. Organisaties moeten minimaal maandelijks controleren of alle geconfigureerde retention policies nog actief zijn, of retention rules correct zijn gekoppeld aan policies, en of policies correct worden toegepast op alle beoogde workloads en locaties. Daarnaast moeten organisaties periodiek verifiëren of de retention duration en retention actions nog aansluiten bij het actuele bewaarschema en of wijzigingen in wet- of regelgeving vereisen dat retention policies worden aangepast. Het Microsoft Purview Compliance-portaal biedt verschillende rapportages en dashboards voor het monitoren van retention policies, maar voor gedetailleerde controles en geautomatiseerde verificatie zijn PowerShell-scripts het meest geschikt.
Gebruik PowerShell-script retention-policies-configured.ps1 (functie Invoke-Remediation) – Configureert retention policies in Microsoft 365 om te voldoen aan de Nederlandse Baseline voor Veilige Cloud en compliance-vereisten.
Het bijbehorende PowerShell-script retention-policies-configured.ps1 biedt geautomatiseerde monitoringfunctionaliteit die alle retention policies in de tenant inventariseert, de configuratie verifieert, en een rapportage genereert van de compliance-status. Het script controleert of policies zijn geconfigureerd voor alle vereiste workloads, of retention rules correct zijn gekoppeld met de juiste retention duration en retention actions, en of policies actief zijn en worden toegepast zoals verwacht. De resultaten kunnen worden geëxporteerd naar CSV of JSON voor verdere analyse of integratie in GRC-systemen, en kunnen worden gebruikt als auditbewijs richting toezichthouders en externe auditors. Het script ondersteunt ook een debug-modus waarin lokale tests kunnen worden uitgevoerd zonder verbinding met Microsoft 365, wat nuttig is voor ontwikkeling en validatie van de controlelogica.
Voor een volledige audit trail moeten organisaties documenteren welke retention policies zijn geconfigureerd, wanneer deze zijn aangemaakt of gewijzigd, wie verantwoordelijk is voor het beheer ervan, en welke besluiten zijn genomen met betrekking tot uitzonderingen of afwijkingen. Deze documentatie moet worden gekoppeld aan het formele bewaarschema en moet regelmatig worden bijgewerkt wanneer wijzigingen worden doorgevoerd. Daarnaast moeten organisaties periodieke tests uitvoeren om te verifiëren dat retention policies daadwerkelijk werken zoals verwacht, bijvoorbeeld door test-items te maken, te wachten tot de retention duration is verstreken, en te verifiëren dat deze correct worden verwijderd of bewaard. Deze tests moeten worden gedocumenteerd en de resultaten moeten worden opgenomen in de reguliere compliance-rapportages. Door deze monitoring- en verificatieprocessen structureel in te richten, kunnen Nederlandse overheidsorganisaties aantoonbaar voldoen aan hun wettelijke verplichtingen en kunnen zij snel reageren wanneer afwijkingen of problemen worden gedetecteerd.
Remediatie en best practices
Wanneer monitoring afwijkingen of problemen detecteert in de configuratie van retention policies, moeten deze snel worden opgelost om compliance-risico's te beperken. Veelvoorkomende problemen zijn ontbrekende retention policies voor bepaalde workloads, retention rules die niet correct zijn gekoppeld aan policies, of policies die niet actief zijn of niet worden toegepast zoals verwacht. Het PowerShell-script retention-policies-configured.ps1 biedt remediatiefunctionaliteit die automatisch retention policies kan aanmaken of bijwerken om te voldoen aan de vereisten van de Nederlandse Baseline voor Veilige Cloud. Het script kan bijvoorbeeld automatisch een generieke retention policy aanmaken voor alle workloads met een standaard bewaartermijn van zeven jaar, of specifieke policies configureren voor bepaalde informatiecategorieën of gebruikersgroepen. Voordat remediatie wordt uitgevoerd, is het verstandig om eerst een WhatIf-check uit te voeren om te zien welke wijzigingen zouden worden doorgevoerd, en om wijzigingen te documenteren en te communiceren met betrokken stakeholders.
Best practices voor retention policies omvatten het gebruik van duidelijke en consistente naamgevingsconventies die aangeven wat de policy doet en voor welke categorie informatie deze geldt, bijvoorbeeld 'Retention - Algemene Overheidsinformatie - 7 Jaar' of 'Retention - Financiële Administratie - 5 Jaar'. Organisaties moeten bovendien zorgen voor voldoende documentatie in de policy-beschrijving, zodat toekomstige beheerders begrijpen waarom de policy is geconfigureerd en welke besluiten ten grondslag liggen aan de gekozen instellingen. Het is verstandig om te beginnen met een beperkt aantal, goed doordachte policies die de belangrijkste informatiecategorieën afdekken, en vervolgens geleidelijk uit te breiden wanneer ervaring is opgedaan en behoeften duidelijker zijn geworden. Organisaties moeten ook rekening houden met de interactie tussen retention policies en andere Microsoft 365-functionaliteit zoals eDiscovery, litigation holds en sensitivity labels, en ervoor zorgen dat deze mechanismen elkaar niet tegenwerken of conflicteren.
Een belangrijk aandachtspunt bij remediatie is de communicatie met gebruikers en stakeholders. Wanneer retention policies automatisch items verwijderen, kunnen gebruikers verrast zijn als zij belangrijke informatie niet meer kunnen vinden. Organisaties moeten daarom duidelijk communiceren over welke retention policies actief zijn, hoe deze werken, en wat gebruikers kunnen verwachten. Daarnaast moeten organisaties procedures hebben voor het omgaan met uitzonderingen: wanneer gebruikers of afdelingen specifieke retentievereisten hebben die afwijken van de generieke policies, moeten deze formeel worden vastgesteld en technisch worden geïmplementeerd via adaptive scopes, exclude filters of specifieke policies. Door deze best practices te volgen en remediatie structureel in te richten, kunnen Nederlandse overheidsorganisaties retention policies effectief beheren en compliance-risico's beperken, terwijl zij tegelijkertijd een werkbare digitale werkomgeving voor medewerkers bieden.
Compliance & Frameworks
- BIO: 12.04, 18.01 - Systematisch beheer van informatie inclusief bewaartermijnen en vernietiging na afloop van bewaartermijnen, gerealiseerd via technisch geconfigureerde retention policies in Microsoft 365.
- ISO 27001:2022: A.5.1, A.8.2.2, A.12.4.1 - Informatiebeveiligingsbeleid, classificatie en beheer van informatie-activa gedurende de volledige levenscyclus, technisch geïmplementeerd via retention policies die automatisch bewaartermijnen afdwingen en informatie vernietigen wanneer niet langer nodig.
- NIS2: Artikel - Doorlopende risicobeheersmaatregelen en logging voor incidentrespons en toezicht, ondersteund door retention policies die relevante informatie bewaren terwijl onnodige informatie wordt verwijderd om het aanvalsoppervlak te reduceren.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Configuratie en monitoring van retention policies in Microsoft 365
.DESCRIPTION
Dit script controleert en configureert retention policies in Microsoft 365
via Microsoft Purview Data Lifecycle Management. Het script ondersteunt
monitoring van bestaande policies en remediatie om te voldoen aan de
Nederlandse Baseline voor Veilige Cloud en compliance met Archiefwet, AVG en BIO.
.NOTES
Filename: retention-policies-configured.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-01-16
Last Modified: 2025-01-16
Version: 1.0
Related JSON: content/m365/information-protection/retention-policies-configured.json
Category: information-protection
Workload: m365
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\retention-policies-configured.ps1 -Monitoring
Controleert of retention policies correct zijn geconfigureerd in Microsoft 365.
.EXAMPLE
.\retention-policies-configured.ps1 -Remediation
Configureert retention policies om te voldoen aan de baseline.
.EXAMPLE
.\retention-policies-configured.ps1 -Monitoring -DebugMode
Voert een lokale test uit zonder verbinding met Microsoft 365.
#>
#Requires -Version 5.1
#Requires -Modules ExchangeOnlineManagement
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Monitor current retention policy configuration status")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Apply recommended retention policy configuration")]
[switch]$Remediation,
[Parameter(HelpMessage = "Revert to previous configuration")]
[switch]$Revert,
[Parameter(HelpMessage = "Show what would happen without making changes")]
[switch]$WhatIf,
[Parameter(HelpMessage = "Run in local debug mode without connecting to Microsoft 365")]
[switch]$DebugMode
)
$ErrorActionPreference = 'Stop'
# ============================================================================
# HEADER
# ============================================================================
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Retention Policies Configured" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
# ============================================================================
# GLOBAL SETTINGS
# ============================================================================
$script:DefaultRetentionDays = 2555 # 7 years
$script:DefaultRetentionYears = 7
$script:BaselinePolicyPrefix = "Baseline -"
$script:ExpectedWorkloads = @("Exchange", "SharePoint", "OneDrive", "ModernGroups", "Teams")
# ============================================================================
# FUNCTIONS
# ============================================================================
function Connect-ComplianceService {
<#
.SYNOPSIS
Maakt verbinding met Microsoft Purview (Security & Compliance).
#>
[CmdletBinding()]
param()
try {
Write-Host "Verbinden met Microsoft Purview (Security & Compliance)..." -ForegroundColor Gray
# Check if already connected
$existingSession = Get-PSSession | Where-Object {
$_.ConfigurationName -eq "Microsoft.Exchange" -and
$_.State -eq "Opened" -and
$_.Name -like "*IPPSSession*"
}
if ($existingSession) {
Write-Host " [OK] Al verbonden met Security & Compliance PowerShell" -ForegroundColor Green
return
}
Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop | Out-Null
Write-Host " [OK] Verbonden met Security & Compliance PowerShell" -ForegroundColor Green
}
catch {
Write-Error "Kon niet verbinden met Security & Compliance PowerShell: $_"
throw
}
}
function Get-RetentionPolicyStatus {
<#
.SYNOPSIS
Haalt de status op van alle retention policies in de tenant.
.OUTPUTS
PSCustomObject met policy-informatie.
#>
[CmdletBinding()]
param()
try {
Write-Host "Ophalen van retention policies..." -ForegroundColor Gray
$policies = Get-RetentionCompliancePolicy -ErrorAction Stop | Where-Object {
$_.Workload -ne $null
}
$results = @()
foreach ($policy in $policies) {
$rules = Get-RetentionComplianceRule -Policy $policy.Name -ErrorAction SilentlyContinue
$workloads = @()
if ($policy.ExchangeLocation -or $policy.ExchangeLocationException) { $workloads += "Exchange" }
if ($policy.SharePointLocation -or $policy.SharePointLocationException) { $workloads += "SharePoint" }
if ($policy.OneDriveLocation -or $policy.OneDriveLocationException) { $workloads += "OneDrive" }
if ($policy.ModernGroupLocation -or $policy.ModernGroupLocationException) { $workloads += "ModernGroups" }
if ($policy.TeamsChannelLocation -or $policy.TeamsChannelLocationException) { $workloads += "Teams" }
$hasRule = $null -ne $rules -and $rules.Count -gt 0
$retentionDuration = if ($hasRule) { ($rules | Select-Object -First 1).RetentionDuration } else { $null }
$retentionAction = if ($hasRule) { ($rules | Select-Object -First 1).RetentionComplianceAction } else { $null }
$results += [PSCustomObject]@{
Name = $policy.Name
Enabled = $policy.Enabled
Workloads = $workloads -join ", "
HasRule = $hasRule
RetentionDuration = $retentionDuration
RetentionAction = $retentionAction
Comment = $policy.Comment
IsBaseline = $policy.Name -like "$($script:BaselinePolicyPrefix)*"
}
}
Write-Host " [OK] $($results.Count) retention policies gevonden" -ForegroundColor Green
return $results
}
catch {
Write-Error "Fout bij ophalen van retention policies: $_"
throw
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert of retention policies correct zijn geconfigureerd.
#>
[CmdletBinding()]
param()
if ($DebugMode) {
Write-Host "`n[MODE] Debug Mode - Lokale test zonder verbinding" -ForegroundColor Yellow
Write-Host "=" * 50 -ForegroundColor Yellow
$mockResults = @(
[PSCustomObject]@{
Name = "Baseline - Algemene Overheidsinformatie - 7 Jaar"
Enabled = $true
Workloads = "Exchange, SharePoint, OneDrive, ModernGroups"
HasRule = $true
RetentionDuration = 2555
RetentionAction = "KeepAndDelete"
Comment = "Baseline retention policy voor algemene overheidsinformatie"
IsBaseline = $true
}
)
Write-Host "`nVoorbeeld retention policies:" -ForegroundColor Cyan
$mockResults | Format-Table -AutoSize
return [PSCustomObject]@{
TotalPolicies = 1
BaselinePolicies = 1
Compliant = $true
Policies = $mockResults
}
}
try {
Write-Host "`nMonitoring: Retention Policies Controleren" -ForegroundColor Cyan
Write-Host "=============================================" -ForegroundColor Cyan
Connect-ComplianceService
$policies = Get-RetentionPolicyStatus
if ($null -eq $policies -or $policies.Count -eq 0) {
Write-Host "`n ⚠️ Geen retention policies gevonden" -ForegroundColor Yellow
Write-Host " Overweeg om retention policies te configureren via -Remediation" -ForegroundColor Yellow
return [PSCustomObject]@{
TotalPolicies = 0
BaselinePolicies = 0
Compliant = $false
Policies = @()
}
}
Write-Host "`nGevonden retention policies:" -ForegroundColor Cyan
$policies | Format-Table -AutoSize Name, Enabled, Workloads, HasRule, RetentionDuration
$baselinePolicies = $policies | Where-Object { $_.IsBaseline }
$compliant = ($baselinePolicies.Count -gt 0) -and
($baselinePolicies | Where-Object { $_.Enabled -and $_.HasRule }).Count -eq $baselinePolicies.Count
if ($compliant) {
Write-Host "`n ✅ Retention policies zijn correct geconfigureerd" -ForegroundColor Green
}
else {
Write-Host "`n ⚠️ Retention policies vereisen aandacht" -ForegroundColor Yellow
if ($baselinePolicies.Count -eq 0) {
Write-Host " Geen baseline retention policies gevonden" -ForegroundColor Yellow
}
$disabledPolicies = $baselinePolicies | Where-Object { -not $_.Enabled }
if ($disabledPolicies) {
Write-Host " Uitgeschakelde policies: $($disabledPolicies.Name -join ', ')" -ForegroundColor Yellow
}
$policiesWithoutRules = $baselinePolicies | Where-Object { -not $_.HasRule }
if ($policiesWithoutRules) {
Write-Host " Policies zonder rules: $($policiesWithoutRules.Name -join ', ')" -ForegroundColor Yellow
}
}
return [PSCustomObject]@{
TotalPolicies = $policies.Count
BaselinePolicies = $baselinePolicies.Count
Compliant = $compliant
Policies = $policies
}
}
catch {
Write-Error "Fout bij monitoring: $_"
throw
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Configureert retention policies om te voldoen aan de baseline.
#>
[CmdletBinding(SupportsShouldProcess)]
param()
if ($DebugMode) {
Write-Host "`n[MODE] Debug Mode - Toon welke wijzigingen zouden worden doorgevoerd" -ForegroundColor Yellow
Write-Host "=" * 60 -ForegroundColor Yellow
Write-Host "`nZou de volgende retention policy aanmaken:" -ForegroundColor Cyan
Write-Host " Naam: Baseline - Algemene Overheidsinformatie - 7 Jaar" -ForegroundColor Gray
Write-Host " Workloads: Exchange, SharePoint, OneDrive, ModernGroups, Teams" -ForegroundColor Gray
Write-Host " Retention Duration: 2555 dagen (7 jaar)" -ForegroundColor Gray
Write-Host " Retention Action: KeepAndDelete" -ForegroundColor Gray
return
}
try {
Write-Host "`nRemediatie: Retention Policies Configureren" -ForegroundColor Cyan
Write-Host "=============================================" -ForegroundColor Cyan
Connect-ComplianceService
$policyName = "$($script:BaselinePolicyPrefix) Algemene Overheidsinformatie - $($script:DefaultRetentionYears) Jaar"
# Check if policy already exists
$existingPolicy = Get-RetentionCompliancePolicy -Identity $policyName -ErrorAction SilentlyContinue
if ($existingPolicy) {
Write-Host "`n ℹ️ Retention policy bestaat al: $policyName" -ForegroundColor Yellow
$existingRules = Get-RetentionComplianceRule -Policy $policyName -ErrorAction SilentlyContinue
if ($existingRules -and $existingRules.Count -gt 0) {
Write-Host " ✅ Policy heeft al retention rules geconfigureerd" -ForegroundColor Green
return
}
else {
Write-Host " ⚠️ Policy heeft geen retention rules, wordt toegevoegd..." -ForegroundColor Yellow
}
}
else {
if ($PSCmdlet.ShouldProcess($policyName, "Create retention policy")) {
Write-Host "`n Aanmaken van retention policy: $policyName" -ForegroundColor Gray
# Create the retention policy
$newPolicy = New-RetentionCompliancePolicy `
-Name $policyName `
-Comment "Baseline retention policy voor algemene overheidsinformatie - Geconfigureerd door Nederlandse Baseline voor Veilige Cloud" `
-ExchangeLocation All `
-SharePointLocation All `
-OneDriveLocation All `
-ModernGroupLocation All `
-TeamsChannelLocation All `
-Enabled $true `
-ErrorAction Stop
Write-Host " [OK] Retention policy aangemaakt" -ForegroundColor Green
# Wait for policy to be available
Start-Sleep -Seconds 5
}
}
# Create or update retention rule
$ruleName = "$policyName - Rule"
$existingRule = Get-RetentionComplianceRule -Policy $policyName -ErrorAction SilentlyContinue | Where-Object { $_.Name -eq $ruleName }
if (-not $existingRule) {
if ($PSCmdlet.ShouldProcess($ruleName, "Create retention rule")) {
Write-Host "`n Aanmaken van retention rule: $ruleName" -ForegroundColor Gray
$newRule = New-RetentionComplianceRule `
-Name $ruleName `
-Policy $policyName `
-RetentionDuration $script:DefaultRetentionDays `
-RetentionComplianceAction KeepAndDelete `
-ErrorAction Stop
Write-Host " [OK] Retention rule aangemaakt" -ForegroundColor Green
Write-Host " Retention Duration: $($script:DefaultRetentionDays) dagen ($($script:DefaultRetentionYears) jaar)" -ForegroundColor Gray
Write-Host " Retention Action: KeepAndDelete" -ForegroundColor Gray
}
}
else {
Write-Host "`n ℹ️ Retention rule bestaat al: $ruleName" -ForegroundColor Yellow
}
# Verify configuration
Start-Sleep -Seconds 3
$verifyPolicy = Get-RetentionCompliancePolicy -Identity $policyName -ErrorAction SilentlyContinue
$verifyRule = Get-RetentionComplianceRule -Policy $policyName -ErrorAction SilentlyContinue
if ($verifyPolicy -and $verifyPolicy.Enabled -and $verifyRule -and $verifyRule.Count -gt 0) {
Write-Host "`n ✅ Remediatie voltooid" -ForegroundColor Green
Write-Host " Retention policy '$policyName' is actief" -ForegroundColor Green
}
else {
Write-Host "`n ⚠️ Remediatie voltooid, maar verificatie toont afwijkingen" -ForegroundColor Yellow
Write-Host " Controleer de configuratie handmatig in het Purview-portaal" -ForegroundColor Yellow
}
}
catch {
Write-Error "Fout bij remediatie: $_"
throw
}
}
function Invoke-Revert {
<#
.SYNOPSIS
Verwijdert baseline retention policies (gebruik met voorzichtigheid).
#>
[CmdletBinding(SupportsShouldProcess)]
param()
try {
Write-Host "`nRevert: Baseline Retention Policies Verwijderen" -ForegroundColor Cyan
Write-Host "=================================================" -ForegroundColor Cyan
Write-Host "`n ⚠️ WAARSCHUWING: Deze actie verwijdert baseline retention policies!" -ForegroundColor Red
Write-Host " Zorg ervoor dat alternatieve retention policies zijn geconfigureerd." -ForegroundColor Red
if (-not $WhatIf) {
$confirm = Read-Host "`nWeet u zeker dat u wilt doorgaan? (ja/nee)"
if ($confirm -ne "ja") {
Write-Host " Operatie geannuleerd" -ForegroundColor Yellow
return
}
}
Connect-ComplianceService
$baselinePolicies = Get-RetentionCompliancePolicy -ErrorAction Stop | Where-Object {
$_.Name -like "$($script:BaselinePolicyPrefix)*"
}
foreach ($policy in $baselinePolicies) {
if ($PSCmdlet.ShouldProcess($policy.Name, "Remove retention policy")) {
Write-Host "`n Verwijderen van retention policy: $($policy.Name)" -ForegroundColor Gray
# Remove rules first
$rules = Get-RetentionComplianceRule -Policy $policy.Name -ErrorAction SilentlyContinue
foreach ($rule in $rules) {
Remove-RetentionComplianceRule -Identity $rule.Name -Confirm:$false -ErrorAction SilentlyContinue
}
# Remove policy
Remove-RetentionCompliancePolicy -Identity $policy.Name -Confirm:$false -ErrorAction Stop
Write-Host " [OK] Retention policy verwijderd" -ForegroundColor Green
}
}
}
catch {
Write-Error "Fout bij revert: $_"
throw
}
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
if ($Monitoring) {
$result = Invoke-Monitoring
if ($result) {
Write-Host "`nSamenvatting:" -ForegroundColor Cyan
Write-Host " Totaal policies: $($result.TotalPolicies)" -ForegroundColor Gray
Write-Host " Baseline policies: $($result.BaselinePolicies)" -ForegroundColor Gray
Write-Host " Compliant: $(if ($result.Compliant) { 'Ja' } else { 'Nee' })" -ForegroundColor $(if ($result.Compliant) { 'Green' } else { 'Yellow' })
}
}
elseif ($Remediation) {
Invoke-Remediation
}
elseif ($Revert) {
Invoke-Revert
}
else {
Write-Host "Geen modus opgegeven. Gebruik één van de volgende opties:" -ForegroundColor Yellow
Write-Host " -Monitoring Controleer huidige configuratie" -ForegroundColor Yellow
Write-Host " -Remediation Configureer retention policies" -ForegroundColor Yellow
Write-Host " -Revert Verwijder baseline policies (voorzichtig!)" -ForegroundColor Yellow
Write-Host " -DebugMode Lokale test zonder verbinding" -ForegroundColor Yellow
}
}
catch {
Write-Error "Fout in retention-policies-configured.ps1: $_"
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder correct geconfigureerde retention policies kunnen organisaties niet voldoen aan wettelijke bewaarplichten uit de Archiefwet, niet realiseren van dataminimalisatie conform AVG-vereisten, en niet aantonen van compliance richting toezichthouders. Dit leidt tot risico op boetes, reputatieschade en archiefrechtelijke tekortkomingen.
Management Samenvatting
Configureer retention policies in Microsoft 365 via Microsoft Purview Data Lifecycle Management om automatisch bewaartermijnen af te dwingen en informatie te vernietigen wanneer niet langer nodig. Dit artikel en het bijbehorende script retention-policies-configured.ps1 bieden Nederlandse overheidsorganisaties een praktische gids voor technische implementatie en geautomatiseerde monitoring van retention policies.
- Implementatietijd: 60 uur
- FTE required: 0.2 FTE