💼 Management Samenvatting
Hybride werken is voor Nederlandse overheidsorganisaties geen tijdelijke noodmaatregel meer, maar een structurele manier van werken die gelijkwaardige digitale ervaringen moet bieden op kantoor, thuis en in het veld. Het combineren van productiviteit, veiligheid en compliance vraagt om een modern werkplekconcept waarin identiteiten, apparaten, data en samenwerking als één geheel worden bestuurd.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
280u (tech: 160u)
Van toepassing op:
✓ Microsoft 365
✓ Microsoft Intune
✓ Microsoft Defender
✓ Microsoft Entra ID
✓ Teams
✓ SharePoint
✓ OneDrive
✓ Microsoft Intune
✓ Microsoft Defender
✓ Microsoft Entra ID
✓ Teams
✓ SharePoint
✓ OneDrive
Zonder een samenhangend beveiligingskader voor hybride werkplekken ontstaan versnipperde maatregelen die gaten laten vallen in AVG-, BIO- en NIS2-verplichtingen. Onvoldoende gecontroleerde apparaten, ongefilterde samenwerking met externe partners en gebrek aan zicht op data in Microsoft 365 vergroten de kans op datalekken, ransomware en onbedoelde openbaarmaking van vertrouwelijke beleidsinformatie. Bovendien verwachten toezichthouders aantoonbare governance over remote werken, inclusief vastgelegde risico-acceptaties en auditing.
PowerShell Modules Vereist
Primary API: Microsoft Intune, Microsoft 365 Admin Center, Microsoft Graph API, Microsoft Defender Portal
Connection:
Required Modules: Microsoft.Graph, Microsoft.Graph.Intune, ExchangeOnlineManagement, MicrosoftTeams
Connection:
Connect-MgGraph, Connect-ExchangeOnline, Connect-MgIntuneRequired Modules: Microsoft.Graph, Microsoft.Graph.Intune, ExchangeOnlineManagement, MicrosoftTeams
Implementatie
Dit artikel beschrijft hoe de Nederlandse Baseline voor Veilige Cloud hybride werkplekken structureert rond governance, identiteit, samenwerking en operatie. Iedere sectie levert concrete aanbevelingen voor beleid, techniek en organisatie, sluit aan op bestaande overheidsraamwerken en verwijst naar een PowerShell-script waarmee security-teams de configuratie van Microsoft 365 kunnen toetsen, baselines kunnen publiceren en monitoringrapporten genereren.
Governance en Risico-integratie voor Hybride Werkplekken
Effectieve beveiliging van moderne werkplekken start met governance die hybride werken erkent als een volwaardige bedrijfsvoering. Publieke instellingen moeten beleid opstellen waarin wordt vastgelegd welke werkpatronen zijn toegestaan, welke informatiecategorieën vanuit huis of onderweg mogen worden verwerkt en welke middelen verplicht zijn voor toegang. Dit beleid kan niet langer silo-gedreven zijn; finance, HR, informatiebeveiliging, privacy en operations moeten gezamenlijk de spelregels opstellen zodat technische maatregelen direct aansluiten op dienstverleningsprocessen en politieke verantwoordingslijnen.
Een geïntegreerde risicoaanpak vertaalt strategische doelstellingen naar concrete controls. Organisaties voeren minimaal jaarlijks een DPIA en een BIO-risicoanalyse specifiek voor hybride werken uit en koppelen de resultaten aan een Zero Trust-roadmap. Daarbij worden scenario's geanalyseerd zoals het verwerken van bijzondere persoonsgegevens vanuit de woning, gebruik van gedeelde devices door toezichthouders op locatie en samenwerking met ketenpartners via Teams-kanalen. Elk scenario krijgt een risicoscore, toegewezen eigenaar en een acceptatiebesluit door het bestuur of de CISO, inclusief termijnen voor herbeoordeling.
Governance moet ook voorzien in de beschikbaarheid van ondersteunende diensten. Denk aan een snel escalatiepad richting SOC, duidelijke change-procedures voor Conditional Access-beleid en afspraken met leveranciers over ondersteuning buiten kantooruren. Door deze organisatorische componenten te koppelen aan technische configuraties ontstaat een herleidbare audittrail waaruit blijkt dat hybride werkplekken aantoonbaar worden beheerst, iets waar de Algemene Rekenkamer of gemeentelijke rekenkamers nadrukkelijk op toetsen.
Het governancekader beschrijft tevens hoe medewerkers bewust worden gemaakt van hun rol als eerste verdedigingslinie. Trainingen voor leidinggevenden behandelen hoe zij teams ondersteunen bij veilig thuiswerken, hoe zij naleving meten en welke interventies mogelijk zijn wanneer medewerkers risicovol gedrag vertonen. Communicatiepakketten leveren verhalende casussen in plaats van checklist-mailtjes, waardoor medewerkers begrijpen waarom maatregelen zoals gegevenslabeling of verplichte updates niet onderhandelbaar zijn. Deze human-centered benadering voorkomt dat policies op papier blijven hangen.
Tot slot leggen governanceboards prestatie-indicatoren vast. Voor hybride werkplekken gaat het bijvoorbeeld om het percentage compliant devices, het aantal uitzonderingen op Conditional Access, de doorlooptijd van incidentrespons en het aantal externe samenwerkingen dat gebruik maakt van door Purview bewaakte Teams-kanalen. Het combineren van deze indicatoren in een dashboard maakt bestuurlijke rapportages mogelijk en levert vroegtijdige signalen op die duiden op beleidsveroudering of onvoldoende capaciteit binnen beheerteams.
Identiteit, Apparaat en Toegangscontrole
Identiteit vormt de primaire controlelaag van iedere moderne werkplek. Microsoft Entra ID moet daarom zo worden ingericht dat elke gebruiker minimaal multi-factor authenticatie met phish-resistant methoden toepast, beheeraccounts altijd PIM-acties vereisen en gastidentiteiten automatisch worden ingeperkt door access reviews. Voor Nederlandse overheidsinstellingen betekent dit dat beleid wordt gekoppeld aan BIO 9.2 en NIS2 artikel 21, waarbij sanctionering is geregeld wanneer afdelingen buiten het beleid om lokale accounts beheren.
Conditional Access vertaalt identiteitskenmerken naar beveiligingsbeslissingen. Beleidsregels combineren signaalbronnen zoals locatie, gebruikersrisico, device compliance en gevoeligheidslabels van de opgevraagde data. Voor hybride scenario's worden drie lagen onderscheiden: basisbescherming voor regulier kantoorgebruik, versterkte eisen voor thuiswerkplekken en strengste set voor gevoelige informatie met tijdelijke sessies, downloadblokkades en verplichte labeling. Door deze lagen in policy templates vast te leggen kunnen teams consistent implementeren en eenvoudig rapporteren aan auditors.
Microsoft Intune vormt het hart van apparaatbeheer. Alle Windows-, macOS-, iOS- en Android-apparaten die organisatiegegevens verwerken worden geregistreerd, krijgen baseline-configuraties en leveren compliance-signalen terug aan Conditional Access. Voor thuiswerkplekken is een volledig self-service onboarding essentieel met duidelijke instructies voor medewerkers en realistische, maar strikte eisen: BitLocker, Secure Boot, up-to-date antimalware, minimale OS-versies en beveiligde Wi-Fi-profielen. Shared devices in wijkteams krijgen kiosk-profielen en automatische datawiping tussen sessies.
Device compliance data wordt gecombineerd met Microsoft Defender for Endpoint om realtime inzicht te krijgen in kwetsbaarheden. Rapportages over ontbrekende patches of mislukte exploit mitigations worden teruggekoppeld naar Intune remediatiescripts, zodat apparaten automatisch worden hersteld voordat zij opnieuw toegang ontvangen. Dit sluit aan op BIO 12.01 waarin staat dat kwetsbaarheden tijdig moeten worden behandeld. Voor scenario's met bring-your-own-device worden app protection policies ingezet zodat zakelijke data binnen een versleutelde container blijft en gericht kan worden gewist.
Ten slotte moet het identity- en device-luik strak gekoppeld worden aan logging. Signalen uit Entra ID, Intune en Defender gaan naar Microsoft Sentinel of een rijksbrede SOC, waar detectieregels alert sturen wanneer bijvoorbeeld een gebruiker plotseling overschakelt van compliant naar non-compliant of wanneer sessies vanuit verdachte netwerken combineren met gevoelige data-downloads. Deze integraties maken niet alleen blokkeren mogelijk, maar ook diepgaand forensisch onderzoek naar hybride werkincidenten.
Samenwerking en Databescherming in Microsoft 365
Hybride werken draait om samenwerking tussen beleidsmakers, uitvoeringsdiensten en ketenpartners. Microsoft Teams, SharePoint en OneDrive moeten daarom standaard zijn voorzien van gevoeligheidslabels die opslag, delen en gasttoegang reguleren. Elk label definieert welke externe domeinen mogen deelnemen, of downloads zijn toegestaan en welke encryptie wordt toegepast. Door deze labels te koppelen aan provisioning-workflows ontstaat een voorspelbaar samenspel tussen functioneel beheer en informatiebeveiliging, waardoor teams sneller kunnen opstarten zonder uitzonderingsverzoeken.
Microsoft Purview Data Loss Prevention bewaakt communicatiekanalen, inclusief Teams chats, SharePoint-sites en Exchange Online. Beleidsregels detecteren automatisch wanneer persoonsgegevens, staatsgeheimen of WBNI-gegevens in onveilige contexten terecht dreigen te komen. In plaats van simpelweg te blokkeren krijgen gebruikers begeleidende tekst die uitlegt waarom delen wordt tegengehouden en welke beveiligde alternatieven beschikbaar zijn. Dit verkleint de kans dat medewerkers uitwijken naar schaduw-IT.
Microsoft Defender for Cloud Apps zorgt voor zichtbaarheid buiten de Microsoft 365-suite. Door cloud discovery-data te analyseren kunnen CISO-teams vaststellen welke SaaS-diensten populair zijn onder thuiswerkers en of deze diensten voldoen aan Nederlandse wet- en regelgeving. Wanneer een dienst te risicovol is, kan verkeer automatisch worden geblokkeerd of beperkt door session controls. Tegelijkertijd kunnen goedgekeurde SaaS-apps juist met federatieve authenticatie worden opgenomen zodat gebruikers geen wachtwoorden hoeven te delen.
Voor samenwerking met externe partijen is governance cruciaal. Teams Connect en B2B Direct Connect geven de mogelijkheid om externe identiteiten gecontroleerd toegang te verlenen zonder gedeelde accounts. Elke samenwerking krijgt een eigen bewaartermijn, logging-profiel en owner die verantwoordelijk is voor periodieke review. Export van vergaderopnamen en transcripties wordt standaard gelogd en, indien gevoelig, automatisch versleuteld en opgeslagen in eDiscovery-beheerde opslag zodat Woo-verzoeken en juridische procedures adequaat kunnen worden ondersteund.
Omdat data zich voortdurend verplaatst tussen locaties, moeten organisaties investeren in lifecycle-processen. Wanneer medewerkers uit dienst treden of van rol wisselen, worden Teams en SharePoint-werkruimten automatisch herbeoordeeld op data die moet worden overgezet, gearchiveerd of vernietigd. Purview Records Management zorgt ervoor dat dossiers binnen hybride werkomgevingen dezelfde retentietermijnen volgen als papieren archieven. Zo blijven instellingen voldoen aan Archiefwet-verplichtingen zonder dat hybride werken leidt tot ongecontroleerde gegevensgroei.
Monitoring, Automatisering en Continu Verbeteren
Beveiliging van moderne werkplekken staat of valt met continue monitoring. Microsoft 365 Defender correleert signalen uit e-mail, endpoints, identiteiten en cloud-apps zodat analisten volledige aanvalsketens kunnen reconstrueren. Voor hybride werken worden aangepaste detecties ontwikkeld, bijvoorbeeld voor massale downloads op het moment dat een gebruiker vanuit een onbekend thuisnetwerk inlogt of voor ongebruikelijke printactiviteiten vanaf een Intune-beheerd apparaat. Door deze use-cases te documenteren en periodiek te testen ontstaat een levend detectieboek dat aansluit op BIO paragraaf 13.02.
Automation playbooks in Microsoft Sentinel of Logic Apps helpen om reacties te versnellen. Wanneer een hybride werkapparaat malware vertoont kan een playbook automatisch een Intune-richtlijn pushen die het apparaat in quarantaine zet, de gebruiker informeert en een serviceticket opent. Voor identity-incidenten kan een ander playbook het account blokkeren, PIM-rollen verwijderen en een verplichte wachtwoordreset afdwingen. Deze automatisering beperkt menselijke fouten en zorgt ervoor dat organisaties binnen de in BIO en NIS2 vastgelegde responstijden blijven.
Rapportages aan bestuurders en toezichthouders moeten de context van hybride werken expliciet meenemen. Dashboards geven inzicht in verschillen tussen kantoor- en thuisnetwerken, compliance wordt uitgesplitst naar apparaattypen en trends in externe samenwerking worden zichtbaar. Door naast technische statistieken ook procesindicatoren te tonen, zoals de tijd die nodig is om uitzonderingsverzoeken af te handelen, kan het management knelpunten prioriteren en capaciteit gericht inzetten.
Continu verbeteren vraagt om een vaste cadans. Security- en werkplekteams organiseren kwartaalreviews waarbij lessons learned uit incidenten, pentests en gebruikersfeedback worden vertaald naar backlog-items. Nieuwe Microsoft 365-functies, zoals Continuous Access Evaluation of Adaptive Protection, worden geëvalueerd op toepasbaarheid binnen de publieke context en, indien relevant, met pilots uitgerold. Door innovatie gestructureerd te borgen voorkomen organisaties dat hybride werkplekken achterlopen op de dreigingsontwikkeling.
Gebruik PowerShell-script hybrid-work-security.ps1 (functie Invoke-HybridWorkSecurityAssessment) – Het script controleert Conditional Access, Intune-compliance, Defender-signalen en rapportageketens voor hybride werkplekken, kan baselines publiceren en levert monitoringrapporten voor audits..
Compliance & Frameworks
- BIO: 9.02, 12.01, 13.02, 17.01 - De inrichting adresseert toegangsbeheer, kwetsbaarhedenbehandeling, monitoring en continuïteit zoals vereist in de BIO en maakt aantoonbaar dat beheersmaatregelen effectief zijn voor hybride scenario's.
- ISO 27001:2022: A.5.1, A.9.2, A.12.4, A.18.1 - Door governance, identiteitsbeheer, logging en juridische naleving te integreren sluit de oplossing aan op ISO 27001-controles rondom beleid, toegangsrechten, logging en naleving.
- NIS2: Artikel - NIS2 vereist passende technische en organisatorische maatregelen; deze aanpak combineert risicogebaseerde toegang, monitoring en incidentrespons om bedrijfscontinuïteit van vitale diensten te waarborgen.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Beoordeelt en monitort hybride werkbeveiliging binnen Microsoft 365.
.DESCRIPTION
Controleert Conditional Access, Intune-compliance, MFA-dekking en Microsoft Defender signalen
die bepalend zijn voor veilige moderne werkplekken. Het script kan baselines publiceren,
monitoringrapporten genereren en ondersteunt een DebugMode voor lokale tests.
.NOTES
Filename: hybrid-work-security.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-27
Version: 1.0
Gerelateerd JSON: content/m365/modern-workplace/hybrid-work-security.json
Workload: m365
Category: modern-workplace
.EXAMPLE
.\hybrid-work-security.ps1 -Assessment -ReportPath .\rapporten\hybride-werk.json
Voert een configuratiebeoordeling uit en slaat deze op in een JSON-bestand.
.EXAMPLE
.\hybrid-work-security.ps1 -PublishBaseline
Maakt of actualiseert de referentieconfiguratie van het hybride-werkprogramma.
.EXAMPLE
.\hybrid-work-security.ps1 -Monitoring -ReportPath .\rapporten\monitoring.json -DebugMode
Produceert een monitoringrapport met voorbeelddata voor lokale testen.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[switch]$Assessment,
[switch]$Monitoring,
[switch]$PublishBaseline,
[string]$ReportPath,
[switch]$DebugMode,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
Write-Host "`n============================================" -ForegroundColor Cyan
Write-Host "Hybride Werkplek Security Toolkit" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "============================================`n" -ForegroundColor Cyan
function Test-RequiredModules {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string[]]$ModuleNames
)
foreach ($module in $ModuleNames) {
if (-not (Get-Module -ListAvailable -Name $module -ErrorAction SilentlyContinue)) {
throw "Vereiste module '$module' ontbreekt. Installeer de module en voer het script opnieuw uit."
}
}
}
function Connect-HybridSecurityGraph {
[CmdletBinding()]
param()
Test-RequiredModules -ModuleNames @('Microsoft.Graph.Authentication')
Import-Module Microsoft.Graph.Authentication -ErrorAction Stop | Out-Null
$scopes = @(
'Policy.Read.All',
'DeviceManagementConfiguration.Read.All',
'DeviceManagementManagedDevices.Read.All',
'Directory.Read.All',
'SecurityEvents.Read.All'
)
$context = Get-MgContext -ErrorAction SilentlyContinue
$needsConnect = $true
if ($context) {
$missingScopes = Compare-Object -ReferenceObject $scopes -DifferenceObject $context.Scopes
if ($missingScopes.Count -eq 0 -and $context.ExpirationTime -gt (Get-Date)) {
$needsConnect = $false
}
}
if ($needsConnect) {
Write-Verbose "Verbinding maken met Microsoft Graph..."
Connect-MgGraph -Scopes $scopes -NoWelcome | Out-Null
}
try {
Select-MgProfile -Name beta
}
catch {
throw "Het Microsoft Graph-profiel 'beta' kan niet worden geselecteerd. Update de Microsoft.Graph modules."
}
}
function Invoke-HybridGraphRequest {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string]$Uri
)
$items = @()
$next = $Uri
while ($next) {
$response = Invoke-MgGraphRequest -Method GET -Uri $next -OutputType PSObject
if ($response.value) {
$items += $response.value
}
$next = $response.'@odata.nextLink'
}
return $items
}
function Get-HybridConditionalAccessSummary {
[CmdletBinding()]
param(
[switch]$DebugMode
)
if ($DebugMode) {
return @(
[PSCustomObject]@{
PolicyId = 'debug-remote'
Name = 'CA - Remote Access'
State = 'enabled'
RequiresMfa = $true
RequiresCompliant = $true
SessionControls = 'UseConditionalAccessAppControl'
},
[PSCustomObject]@{
PolicyId = 'debug-admin'
Name = 'CA - Admin MFA'
State = 'enabled'
RequiresMfa = $true
RequiresCompliant = $false
SessionControls = 'Sign-in frequency 4h'
}
)
}
Connect-HybridSecurityGraph
$uri = "https://graph.microsoft.com/beta/identity/conditionalAccess/policies?`$select=id,displayName,state,grantControls,sessionControls"
$policies = Invoke-HybridGraphRequest -Uri $uri
$result = @()
foreach ($policy in $policies) {
$grant = $policy.grantControls
$requiresMfa = $false
$requiresCompliant = $false
if ($grant -and $grant.builtInControls) {
$requiresMfa = $grant.builtInControls -contains 'mfa'
$requiresCompliant = $grant.builtInControls -contains 'compliantDevice'
}
$sessionControl = $null
if ($policy.sessionControls) {
if ($policy.sessionControls.applicationEnforcedRestrictions) {
$sessionControl = 'AppEnforcedRestrictions'
}
elseif ($policy.sessionControls.signInFrequency) {
$sessionControl = "Sign-in frequency $($policy.sessionControls.signInFrequency.value)$($policy.sessionControls.signInFrequency.type)"
}
}
$result += [PSCustomObject]@{
PolicyId = $policy.id
Name = $policy.displayName
State = $policy.state
RequiresMfa = $requiresMfa
RequiresCompliant = $requiresCompliant
SessionControls = $sessionControl
}
}
return $result
}
function Get-HybridDeviceCompliance {
[CmdletBinding()]
param(
[switch]$DebugMode
)
if ($DebugMode) {
return @(
[PSCustomObject]@{
Platform = 'Windows'
CompliantCount = 820
NonCompliant = 34
LastSyncHours = 6
EncryptionRatio = 0.98
},
[PSCustomObject]@{
Platform = 'iOS'
CompliantCount = 410
NonCompliant = 11
LastSyncHours = 4
EncryptionRatio = 0.95
}
)
}
Connect-HybridSecurityGraph
$uri = "https://graph.microsoft.com/beta/deviceManagement/managedDevices?`$select=operatingSystem,complianceState,lastSyncDateTime,isEncrypted&`$top=999"
$devices = Invoke-HybridGraphRequest -Uri $uri
$grouped = $devices | Group-Object -Property operatingSystem
$summary = @()
foreach ($group in $grouped) {
$devicesForPlatform = $group.Group
$compliantCount = ($devicesForPlatform | Where-Object { $_.complianceState -eq 'compliant' }).Count
$nonCompliant = ($devicesForPlatform | Where-Object { $_.complianceState -ne 'compliant' }).Count
$encrypted = ($devicesForPlatform | Where-Object { $_.isEncrypted }).Count
$avgHours = 0
if ($devicesForPlatform.Count -gt 0) {
$avgHours = [Math]::Round((($devicesForPlatform | ForEach-Object { (New-TimeSpan -Start $_.lastSyncDateTime -End (Get-Date)).TotalHours }) | Measure-Object -Average).Average, 1)
}
$summary += [PSCustomObject]@{
Platform = $group.Name
CompliantCount = $compliantCount
NonCompliant = $nonCompliant
LastSyncHours = $avgHours
EncryptionRatio = if ($devicesForPlatform.Count -eq 0) { 0 } else { [Math]::Round($encrypted / $devicesForPlatform.Count, 2) }
}
}
return $summary
}
function Get-HybridMfaCoverage {
[CmdletBinding()]
param(
[switch]$DebugMode
)
if ($DebugMode) {
return [PSCustomObject]@{
TotalUsers = 5000
MfaRegistered = 4950
StrongMfa = 4100
AdminAccounts = 145
AdminMfaMissing = 2
RegistrationRate = 0.99
}
}
Connect-HybridSecurityGraph
$uri = "https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails?`$top=999"
$registrations = Invoke-HybridGraphRequest -Uri $uri
$total = $registrations.Count
$registered = ($registrations | Where-Object { $_.isRegistered }).Count
$strong = ($registrations | Where-Object { $_.methodsRegistered -contains 'windowsHelloForBusiness' -or $_.methodsRegistered -contains 'fido2' }).Count
$admins = ($registrations | Where-Object { $_.userType -eq 'Admin' }).Count
$adminMissing = ($registrations | Where-Object { $_.userType -eq 'Admin' -and -not $_.isMfaCapable }).Count
return [PSCustomObject]@{
TotalUsers = $total
MfaRegistered = $registered
StrongMfa = $strong
AdminAccounts = $admins
AdminMfaMissing = $adminMissing
RegistrationRate = if ($total -eq 0) { 0 } else { [Math]::Round($registered / $total, 2) }
}
}
function Get-HybridDefenderSignals {
[CmdletBinding()]
param(
[switch]$DebugMode
)
if ($DebugMode) {
return [PSCustomObject]@{
HighAlertsLast7Days = 3
MediumAlertsLast7Days = 8
DevicesInQuarantine = 5
ActiveIncidentCount = 1
}
}
Connect-HybridSecurityGraph
$alertsUri = "https://graph.microsoft.com/beta/security/alerts_v2?`$filter=severity in ('high','medium') and createdDateTime ge " + (Get-Date).AddDays(-7).ToString("yyyy-MM-ddTHH:mm:ssZ")
$alerts = Invoke-HybridGraphRequest -Uri $alertsUri
$high = ($alerts | Where-Object { $_.severity -eq 'high' }).Count
$medium = ($alerts | Where-Object { $_.severity -eq 'medium' }).Count
return [PSCustomObject]@{
HighAlertsLast7Days = $high
MediumAlertsLast7Days = $medium
DevicesInQuarantine = ($alerts | Where-Object { $_.category -eq 'Malware' -and $_.status -eq 'inProgress' }).Count
ActiveIncidentCount = ($alerts | Where-Object { $_.status -eq 'inProgress' }).Count
}
}
function Get-HybridConfigPath {
[CmdletBinding()]
param()
$scriptDir = Split-Path -Parent $PSCommandPath
return (Join-Path -Path $scriptDir -ChildPath "hybrid-work-security.config.json")
}
function Publish-HybridBaseline {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[psobject]$Assessment
)
$configPath = Get-HybridConfigPath
$baseline = [ordered]@{
version = "1.0"
lastUpdated = (Get-Date).ToString("yyyy-MM-dd")
conditionalAccess = $Assessment.ConditionalAccess
complianceSummary = $Assessment.DeviceCompliance
mfaCoverage = $Assessment.MfaCoverage
defenderSignals = $Assessment.DefenderSignals
}
$json = $baseline | ConvertTo-Json -Depth 6
$json | Set-Content -Path $configPath -Encoding UTF8
Write-Host "Baseline opgeslagen: $configPath" -ForegroundColor Green
}
function Invoke-HybridWorkSecurityAssessment {
[CmdletBinding()]
param(
[switch]$DebugMode
)
$conditional = Get-HybridConditionalAccessSummary -DebugMode:$DebugMode
$compliance = Get-HybridDeviceCompliance -DebugMode:$DebugMode
$mfa = Get-HybridMfaCoverage -DebugMode:$DebugMode
$defender = Get-HybridDefenderSignals -DebugMode:$DebugMode
$issues = [System.Collections.Generic.List[string]]::new()
if (-not ($conditional | Where-Object { $_.RequiresMfa -and $_.RequiresCompliant })) {
$issues.Add("Geen Conditional Access-beleid vereist zowel MFA als compliant device voor externe toegang.")
}
foreach ($platform in $compliance) {
if ($platform.EncryptionRatio -lt 0.95) {
$issues.Add("Encryptiedekking lager dan 95% voor platform $($platform.Platform).")
}
if ($platform.LastSyncHours -gt 24) {
$issues.Add("Apparaten op platform $($platform.Platform) hebben gemiddelde synchronisatiewaarde boven 24 uur.")
}
}
if ($mfa.AdminMfaMissing -gt 0) {
$issues.Add("Minimaal $($mfa.AdminMfaMissing) beheerdersaccount(s) zonder MFA.")
}
if ($defender.HighAlertsLast7Days -gt 0) {
$issues.Add("Er zijn $($defender.HighAlertsLast7Days) open high severity Defender-alerts.")
}
return [PSCustomObject]@{
Script = 'hybrid-work-security.ps1'
Timestamp = Get-Date
ConditionalAccess = $conditional
DeviceCompliance = $compliance
MfaCoverage = $mfa
DefenderSignals = $defender
Issues = $issues
IsHealthy = ($issues.Count -eq 0)
}
}
function Invoke-HybridWorkSecurityMonitoring {
[CmdletBinding()]
param(
[switch]$DebugMode
)
$assessment = Invoke-HybridWorkSecurityAssessment -DebugMode:$DebugMode
$summary = [PSCustomObject]@{
Timestamp = $assessment.Timestamp
Issues = $assessment.Issues
ConditionalAccess = $assessment.ConditionalAccess.Count
CompliantDevices = ($assessment.DeviceCompliance | Measure-Object -Property CompliantCount -Sum).Sum
NonCompliantDevices = ($assessment.DeviceCompliance | Measure-Object -Property NonCompliant -Sum).Sum
RegistrationRate = $assessment.MfaCoverage.RegistrationRate
DefenderHighAlerts = $assessment.DefenderSignals.HighAlertsLast7Days
}
return $summary
}
function Save-HybridReport {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[psobject]$Data,
[string]$Path
)
if (-not $Path) {
$timestamp = Get-Date -Format "yyyyMMdd-HHmmss"
$Path = Join-Path -Path (Get-Location) -ChildPath "hybrid-work-$timestamp.json"
}
$Data | ConvertTo-Json -Depth 6 | Set-Content -Path $Path -Encoding UTF8
Write-Host "Rapport opgeslagen: $Path" -ForegroundColor Green
}
if ($Assessment) {
$assessment = Invoke-HybridWorkSecurityAssessment -DebugMode:$DebugMode
if ($PublishBaseline -and -not $WhatIf) {
Publish-HybridBaseline -Assessment $assessment
}
if (-not $WhatIf) {
Save-HybridReport -Data $assessment -Path $ReportPath
}
else {
Write-Host "WhatIf actief: rapport niet weggeschreven." -ForegroundColor Yellow
}
}
elseif ($Monitoring) {
$monitoring = Invoke-HybridWorkSecurityMonitoring -DebugMode:$DebugMode
if (-not $WhatIf) {
Save-HybridReport -Data $monitoring -Path $ReportPath
}
else {
Write-Host "WhatIf actief: monitoringrapport niet weggeschreven." -ForegroundColor Yellow
}
}
elseif ($PublishBaseline) {
$assessment = Invoke-HybridWorkSecurityAssessment -DebugMode:$DebugMode
if (-not $WhatIf) {
Publish-HybridBaseline -Assessment $assessment
}
else {
Write-Host "WhatIf actief: baseline niet opgeslagen." -ForegroundColor Yellow
}
}
else {
Write-Warning "Geen actie opgegeven. Gebruik -Assessment, -Monitoring of -PublishBaseline."
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder integraal hybride werkplekprogramma blijven accounts, apparaten en data buiten zicht, wat leidt tot verhoogd risico op ransomware, misbruik van privileges en oncontroleerbare samenwerking met externe partijen.
Management Samenvatting
Implementeer Zero Trust-gedreven governance, Conditional Access, Intune-compliance, Purview-labeling en geïntegreerde monitoring zodat hybride werken veilig, compliant en aantoonbaar beheerst is.
- Implementatietijd: 280 uur
- FTE required: 1.2 FTE