đź’Ľ Management Samenvatting
Nederlandse onderzoeksinstellingen, departementen en veiligheidsdiensten werken steeds vaker in internationale consortia waar gevoelige datasets, staatsgeheime concepten en export gecontroleerde technologie circuleren. Onderzoeksbeveiliging binnen Microsoft 365 vereist daarom een geĂŻntegreerde benadering die internationale partners toelaat, maar tegelijk voldoet aan nationale veiligheidseisen.
Aanbeveling
IMPLEMENT
Risico zonder
Very High
Risk Score
9/10
Implementatie
320u (tech: 180u)
Van toepassing op:
âś“ Microsoft 365
âś“ SharePoint Online
âś“ Microsoft Teams
âś“ Microsoft Purview
âś“ Microsoft Defender for Cloud Apps
âś“ Microsoft Intune
âś“ SharePoint Online
âś“ Microsoft Teams
âś“ Microsoft Purview
âś“ Microsoft Defender for Cloud Apps
âś“ Microsoft Intune
Geopolitieke spanningen, economische spionage en strengere exportcontroles (zoals VIFO en EU-dual-use regelgeving) maken dat bestuurders onomstotelijk moeten aantonen hoe onderzoeksgegevens worden beschermd. Zonder een volwassen onderzoeksbeveiligingsprogramma ontstaan onbeheerde Teams-omgevingen, gedeelde accounts in labomgevingen of ongedocumenteerde data-exporten via OneDrive. Dit leidt niet alleen tot AVG-incidenten, maar ook tot mogelijke strafrechtelijke gevolgen wanneer vertrouwelijke kennis ongecontroleerd de grens overgaat.
PowerShell Modules Vereist
Primary API: Microsoft Graph, Security & Compliance PowerShell, Microsoft Defender for Cloud Apps API
Connection:
Required Modules: Microsoft.Graph, Microsoft.Graph.Authentication, ExchangeOnlineManagement
Connection:
Connect-MgGraph, Connect-ExchangeOnline, Connect-IPPSSessionRequired Modules: Microsoft.Graph, Microsoft.Graph.Authentication, ExchangeOnlineManagement
Implementatie
Dit artikel beschrijft vanuit de Nederlandse Baseline voor Veilige Cloud hoe u onderzoeksbeveiliging bestuurlijk verankert, hoe u zero trust-architecturen bouwt voor labs en samenwerkingen, hoe operationele teams toezicht houden op datastromen en hoe u exportcontrolebewijsmateriaal opbouwt. Het bijbehorende PowerShell-script `code/m365/research-security/index.ps1` valideert configuraties, controleert onderzoekslabels, beoordeelt Conditional Access voor onderzoeksgroepen en kan automatisch remediëren. Alle aanbevelingen zijn uitvoerbaar binnen rijk, universiteiten, TO2-instellingen en rijksbrede onderzoeksprogramma’s.
Strategische governance en geopolitieke context
Onderzoeksbeveiliging start bij een expliciet bestuursbesluit waarin wordt vastgelegd welke onderzoeksdomeinen als vitaal of hoog-risico worden geclassificeerd. Dit besluit verwijst naar de Wet veiligheidstoets investeringen, fusies en overnames, de NIS2-verplichtingen voor essentiële entiteiten en sectorale richtlijnen van bijvoorbeeld OCW of EZK. Het besluit beschrijft wie de eigenaar is van onderzoeksbeveiliging, hoe risicobereidheid wordt vastgesteld en hoe financiën voor tooling, licenties en compliance worden geborgd binnen de Planning & Control-cyclus. Zonder deze bestuurlijke verankering blijft onderzoeksbeveiliging een IT-experiment en bestaat er geen mandaat om externe partners te weren of om data-uitwisseling daadwerkelijk stil te leggen wanneer signalen daartoe aanleiding geven.
Vervolgens wordt governance ingericht via een Research Security Board waarin CISO, Chief Data Officer, exportcontrolejuristen, vertegenwoordigers van onderzoeksdirecties en het SOC zijn vertegenwoordigd. Dit board hanteert een risicoregister specifiek voor onderzoek, koppelt elk project aan een beveiligingsniveau en verstrekt opdrachten aan de technische teams. Het board beslist over uitzonderingen, bijvoorbeeld wanneer een buitenlandse universiteit toegang moet krijgen tot een Nederlandse tenant of wanneer een bedrijfsonderdeel een sandbox buiten Microsoft 365 wil gebruiken. Alle besluiten worden vastgelegd in CAB-dossiers zodat audits jaren later kunnen aantonen waarom toegang wel of niet is verleend.
Stakeholdermanagement is cruciaal omdat onderzoeksprojecten vaak subsidies, consortiumafspraken en NDA’s kennen. Communicatieplannen beschrijven hoe onderzoekers worden geïnformeerd over nieuwe securitymaatregelen, welke trainingen verplicht zijn voor externe promotoren en hoe incidentmeldingen verlopen. HR en OR worden meegenomen in afspraken over monitoring van onderzoeksactiviteiten zodat privacy- en arbeidsrechtelijke kaders helder zijn. Door deze afspraken te codificeren in het governancehandboek ontstaat een gedeelde taal tussen bestuurders, wetenschappers en securityspecialisten.
Een strategisch kader benoemt ook de afhankelijkheid van ketenpartners zoals universiteiten, kennisinstellingen of internationale agentschappen. Hiervoor worden samenwerkingsconvenanten opgesteld waarin staat welke tenant leading is, hoe data wordt geclassificeerd, welke encryptiestandaarden gelden en hoe escalaties werken. Deze convenanten verwijzen naar technische controles zoals Sensitivity Labels, Purview DLP en Conditional Access zodat niet alleen juridische teksten maar ook praktische maatregelen zijn geborgd. Het PowerShell-script ondersteunt dit door automatisch te controleren of voor iedere RS-groep (Research Secure) de afgesproken label en policy actief zijn.
Tot slot bepaalt het governancekader welke scenario’s worden geoefend. Nederland wordt regelmatig geconfronteerd met statelijke actoren en supply chain-aanvallen die onderzoeksdata proberen te ontvreemden. Tabletop-oefeningen en red team-assessments simuleren bijvoorbeeld dat een buitenlandse partner via een gastaccount broncode probeert te downloaden of dat een wetenschapper phishing ontvangt die gericht is op dual-use technologie. De lessen uit deze oefeningen worden vertaald naar updates van Conditional Access, Purview policies en rapportagedashboards. Zo wordt governance geen statisch document maar een cyclisch proces dat meebeweegt met geopolitieke realiteit.
Zero Trust-architectuur voor labs, datasets en samenwerking
Onderzoeksbeveiliging vraagt om een eigen architectuur die veilig samenwerken mogelijk maakt zonder innovatie te verstikken. Kern hiervan is een multi-layer Zero Trust-model: identiteit stuurt toegang, devices leveren attestatie, applicaties bewaken context en data blijft altijd geclassificeerd. Onderzoeksteams krijgen Microsoft 365-groepen met de prefix “RS-” en een verplichte sensitiviteitslabel zoals “Rijk Onderzoek Vertrouwelijk”. Deze label bepaalt automatisch de encryptie, externe deelrechten en auditvereisten. Alleen apparaten die in Intune compliant zijn, een Defender for Endpoint risicoscore “Laag” hebben en waar de nieuwste labsoftware is gevalideerd, krijgen toegang tot deze groepen. Het PowerShell-script leest deze configuratie uit en signaleert direct welke RS-groepen afwijken.
Architectuur voor dataopslag vereist dat onderzoeksdata gescheiden wordt opgeslagen per beveiligingsniveau. SharePoint-sites voor RS-groepen gebruiken mandatory sensitivity labels en Conditional Access policies die sessiebeperkingen toepassen, downloads blokkeren op onbeheerde apparaten en regeleen dat sessions worden gelogd naar Microsoft Sentinel. Voor high-value datasets kunnen organisaties Azure Confidential Computing of Azure Virtual Desktop research enclaves inzetten zodat verwerking in beschermde VM’s plaatsvindt. Documenteer voor ieder scenario welke encryptiestandaard (bijvoorbeeld Double Key Encryption) en welke sleutelbeheerprocedures worden gebruikt zodat compliance met exportcontrole kan worden bewezen.
Samenwerking met externe partners vereist fijnmazige identity governance. Gastaccounts krijgen dynamische groepen waarin automatisch vervaldatums, Terms of Use en Conditional Access policies worden toegepast. Just-In-Time-toegang via Entitlement Management zorgt ervoor dat externe onderzoekers alleen tijdens de afgesproken periode toegang hebben. Voor hogerisico-landen of gevoelige technologieën wordt Continuous Access Evaluation ingeschakeld en worden sessies actief beëindigd wanneer een risico-event optreedt. Het architectuurdocument koppelt deze maatregelen aan het dreigingsbeeld van NCSC en AIVD, zodat bestuurders begrijpen waarom bepaalde landen alleen via virtuele bureaus mogen aansluiten.
Applicatiespecifieke controles richten zich op wetenschappelijke instrumenten, code repositories en data science-platforms. GitHub Enterprise, Azure DevOps of Jupyter Hub worden gekoppeld aan dezelfde Conditional Access policies en logboeken. API-communicatie met labapparatuur maakt gebruik van beheerde identiteiten en private endpoints; gegevensuitwisseling loopt via goedgekeurde data brokers zoals Azure Data Share. Elke applicatie krijgt een security owner die bewaakt dat updates geen extra API-permissies eisen en dat service-principals zijn beperkt tot het noodzakelijke. Deze owners leveren feed naar het script zodat het baselinebestand exact weet welke resources bij een RS-project horen.
Monitoring wordt in de architectuur ingebouwd via Microsoft Defender for Cloud Apps en Sentinel. MCAS policies detecteren verdachte downloads, massale exporten of het delen van gevoelige data met persoonlijke accounts. Sentinel ontvangt gecombineerde signalen uit Entra ID, Intune, MCAS en Purview en draait hunting queries die specifiek gericht zijn op onderzoeksscenario’s, zoals ongebruikelijke toegang tot prototypebestanden of datastromen richting landen met exportrestricties. Ook prestatieaspecten worden gemonitord: latency naar lablocaties, licentieverbruik voor Azure GPU’s en beschikbaarheid van virtuele bureaus. Door deze gegevens te koppelen aan de governancecyclus kan de organisatie tijdig opschalen of maatregelen aanscherpen.
Operationele borging, toezicht en ketensamenwerking
Operationele teams vertalen beleidsbesluiten naar dagelijkse processen. Elk RS-project krijgt een service owner die verantwoordelijk is voor onboarding, change en offboarding. Onboarding-scripts controleren of nieuwe projecten voldoen aan de baseline: een RS-groep, toegewezen label, geregistreerde data steward en geregistreerde externe partners. Het PowerShell-script automatiseert deze checklist, inclusief lokale DebugMode zodat wijzigingen binnen vijftien seconden kunnen worden getest voordat koppelingen met productie worden gelegd. Hierdoor blijft de time-to-collaborate kort zonder dat beveiligingsprincipes worden omzeild.
Toezicht vindt plaats op drie niveaus. Dagelijks monitort het SOC signalen uit Defender en Sentinel en koppelt incidenten aan specifieke projectcodes. Wekelijks bekijkt het Research Security Board afwijkingsrapporten, zoals RS-groepen zonder label of beleid, verlopen gastaccounts of ontbrekende logging. Elk kwartaal wordt een integrale review uitgevoerd waarin juridische, technische en operationele aspecten worden beoordeeld. Deze reviews gebruiken KPI’s zoals percentage projecten met actuele exportcontroleverklaringen, aantal datasets met dubbele encryptie en doorlooptijd van offboarding.
Ketensamenwerking betekent dat externe partners toegang krijgen tot auditdata. Via gedeelde dashboards (Power BI of Sentinel workbooks) ontvangen zij inzicht in gedeelde data, uitgevoerde controles en incidenten die hun omgeving raken. Verwerkersovereenkomsten bevatten clausules over rapportagefrequentie, bewijslevering en incidentrespons. Het PowerShell-script kan rapportages exporteren naar JSON of CSV en deze automatisch ondertekenen zodat partners de integriteit van het rapport kunnen verifiëren. Dit verhoogt vertrouwen en versnelt gezamenlijke besluitvorming.
Training en awareness zijn onderdeel van de operatie. Onderzoekers krijgen scenario-gebaseerde workshops over hoe zij data delen met internationale partners, hoe zij social engineering herkennen en hoe zij incidenten melden zonder de samenwerking stil te leggen. Security champions binnen onderzoeksclusters testen regelmatig of projecten nog voldoen aan baseline en voeren steekproeven uit op gedeelde documenten. Feedback wordt automatisch verwerkt in het backlog-systeem zodat technische teams configuraties kunnen aanpassen. Dit sluit de PDCA-cirkel tussen menselijk gedrag en techniek.
ContinuĂŻteitsmanagement vereist dat onderzoeksprojecten kunnen doorwerken bij incidenten. Runbooks beschrijven hoe uitwijk naar een secundaire tenant verloopt, hoe offline werkpakketten worden geactiveerd en hoe labs toegang krijgen tot data wanneer cloudverbindingen zijn onderbroken. Deze runbooks worden minimaal jaarlijks geoefend en gekoppeld aan het remote-work- en incidentresponseprogramma. Lessons learned worden geautomatiseerd vertaald naar scriptconfiguraties, bijvoorbeeld door nieuwe RS-groepen automatisch aan failover-policies toe te voegen. Hierdoor blijven technische instellingen synchroon met de operationele praktijk.
Compliance, exportcontrole en bewijsvoering
Onderzoeksbeveiliging staat of valt met aantoonbaarheid. AVG-artikelen 5, 24 en 32 vereisen dat organisaties kunnen uitleggen welke persoonsgegevens in onderzoeksdata zitten, waarom verwerking noodzakelijk is en hoe technische maatregelen werken. De BIO en NIS2 voegen eisen toe rond logging, incidentmelding en bestuurdersaansprakelijkheid. Daarbovenop geldt voor veel projecten exportcontrole (EU-dual-use, Amerikaanse ITAR/EAR) en de Wet veiligheidstoets investeringen. Het compliance-framework koppelt daarom elk technisch controlepunt aan een juridisch artikel en bewaart de corresponderende audittrail. Het PowerShell-script genereert JSON-rapporten met hashwaarden en metadata over operator, scope en versienummer zodat bewijs niet kan worden betwist.
Exportcontrole vereist zicht op welke datasets, algoritmen of prototypes onder dual-use vallen. Hiervoor wordt een classificatiematrix gebruikt die is gekoppeld aan Purview labels en aan het register met RS-projecten. Zodra een document wordt gedeeld of geëxporteerd, registreert DLP welke classificatie gold en wie de vrijgave heeft goedgekeurd. Het script controleert of de betreffende DLP-policy actief is en of overrides tijdig verlopen. Bij afwijkingen wordt automatisch een ticket aangemaakt richting exportcontrolejuristen zodat correctieve actie kan worden genomen.
Bewijsvoering omvat meer dan configuratiebestanden; ook procesdocumentatie en externe rapporten horen erin. Daarom wordt een digitale kluis ingericht waarin auditrapportages, CAB-besluiten, trainingsoverzichten en incidentrapporten hash-gecodeerd worden opgeslagen. Deze kluis voldoet aan de Archiefwet en maakt gebruik van Microsoft Purview Records Management zodat bewaartermijnen automatisch worden toegepast. Wanneer toezichthouders (Auditdienst Rijk, Algemene Rekenkamer, Europese Commissie) vragen stellen, kan de organisatie direct aantonen welke configuratie gold, welke trainingen zijn gevolgd en welke uitzonderingen zijn verleend.
Ook continu risicomanagement valt onder compliance. Risicoscores uit het script worden gekoppeld aan het enterprise risk management-systeem zodat bestuurders realtime zien welke projecten extra aandacht nodig hebben. Scenario’s zoals insider threats, supply chain-aanvallen of datadiefstal via AI-modellen krijgen een kans-impactscore en mitigaties. Wanneer een maatregel verandert, eist het framework dat er een nieuwe risicobeoordeling wordt toegevoegd, inclusief resultaten van lokale debugtests. Hierdoor blijven risicoregisters actueel en kan de auditcommissie aantonen dat besluiten gebaseerd zijn op feiten.
Tot slot borgt het complianceprogramma internationale rapportageverplichtingen. EU-financieringsprogramma’s vragen steeds vaker om Security Deliverables waarin organisaties beschrijven hoe zij gevoelige onderzoeksdata beschermen. Het script kan automatisch samenvattingen genereren met aantallen RS-groepen, toegepaste labels, Conditional Access policies en auditbevindingen. Deze rapporten worden in meerdere talen beschikbaar gesteld en bevatten hyperlinks naar relevante procedures. Daarmee wordt aangetoond dat Nederland niet alleen technisch maar ook bestuurlijk in control is over onderzoeksbeveiliging.
Automatisering en validatie met PowerShell
Gebruik PowerShell-script index.ps1 (functie Invoke-ResearchSecurityAssessment) – Het script controleert RS-groepen, gevoeligheidslabels en Conditional Access policies, valideert resultaten in DebugMode binnen vijftien seconden en kan ontbrekende labels of policies remediëren via Exchange Online en Microsoft Graph..
Compliance & Frameworks
- BIO: 9.1, 10.1, 12.3, 18.1 - De BIO eist gecontroleerde toegang, logging, incidentrespons en continuĂŻteit voor vitale processen. Research security verbindt deze eisen aan concrete Microsoft 365-configuraties en bestuurlijke besluitvorming.
- NIS2: Artikel - NIS2 verplicht essentiële entiteiten tot risicogebaseerde maatregelen, supply chain-beheersing en snelle incidentmelding. Het framework levert de monitoring- en rapportagestructuur om te voldoen aan artikel 21.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Valideert onderzoeksbeveiliging in Microsoft 365 voor RS-projecten.
.DESCRIPTION
Het script toetst of onderzoeksgerichte Microsoft 365-groepen (prefix RS-)
voorzien zijn van het verplichte sensitiviteitslabel, privétoegang en
verborgen adreslijsten. Daarnaast controleert het of de vereiste
Conditional Access policies bestaan en kan het waar nodig remediëren. De
DebugMode voert alle controles lokaal uit binnen vijftien seconden zodat
wijzigingen eerst veilig kunnen worden getest.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-27
Last Modified: 2025-11-27
Version: 1.0
Related JSON: content/m365/research-security/index.json
Workload: Microsoft 365 / Research Security
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\index.ps1 -Monitoring
Toont de onderzoeksbeveiligingsstatus in het huidige tenant.
.EXAMPLE
.\index.ps1 -Remediation
Labelt RS-groepen opnieuw en maakt ontbrekende Conditional Access policies aan.
.EXAMPLE
.\index.ps1 -DebugMode -Monitoring
Voert een lokale test uit zonder verbinding te maken met Microsoft 365.
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph.Authentication
#Requires -Modules ExchangeOnlineManagement
[CmdletBinding()]
param(
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation,
[Parameter()]
[switch]$Revert,
[Parameter()]
[switch]$DebugMode,
[Parameter()]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
$script:GraphConnected = $false
$script:ExchangeConnected = $false
$script:GraphScopes = @(
'Group.Read.All',
'Group.ReadWrite.All',
'Policy.Read.All',
'Policy.ReadWrite.ConditionalAccess'
)
$script:Baseline = [ordered]@{
GroupPrefix = 'RS-'
RequiredSensitivityLabel = 'Rijk Onderzoek Vertrouwelijk'
ConditionalAccessPolicies = @(
@{
Name = 'CA-Research-Devices'
Controls = @('mfa', 'compliantDevice')
},
@{
Name = 'CA-Research-Guests'
Controls = @('mfa', 'requireApprovedClientApp')
}
)
}
function Write-Banner {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Research Security Baseline" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
}
function Connect-GraphContext {
if ($DebugMode -or $script:GraphConnected) {
return
}
Write-Verbose "Verbinding maken met Microsoft Graph (scopes: $($script:GraphScopes -join ', '))."
Connect-MgGraph -Scopes $script:GraphScopes -NoWelcome
Select-MgProfile -Name beta
$script:GraphConnected = $true
}
function Connect-ExchangeContext {
if ($DebugMode -or $script:ExchangeConnected) {
return
}
Write-Verbose "Verbinding maken met Exchange Online om unified groups te lezen."
Connect-ExchangeOnline -ShowBanner:$false | Out-Null
$script:ExchangeConnected = $true
}
function Disconnect-All {
if (-not $DebugMode) {
if ($script:GraphConnected) {
Disconnect-MgGraph | Out-Null
$script:GraphConnected = $false
}
if ($script:ExchangeConnected) {
Disconnect-ExchangeOnline -Confirm:$false | Out-Null
$script:ExchangeConnected = $false
}
}
}
function Get-ResearchGroups {
if ($DebugMode) {
return ,([pscustomobject]@{
DisplayName = 'RS-Quantum-Test'
ExternalDirectoryObjectId = [guid]::NewGuid().Guid
Identity = 'RS-Quantum-Test@contoso.nl'
PrimarySmtpAddress = 'RS-Quantum-Test@contoso.nl'
AccessType = 'Public'
SensitivityLabel = ''
HiddenFromAddressListsEnabled = $false
})
}
Connect-ExchangeContext
return Get-UnifiedGroup -ResultSize Unlimited |
Where-Object { $_.DisplayName -like "$($script:Baseline.GroupPrefix)*" }
}
function Get-ConditionalAccessPolicies {
if ($DebugMode) {
return @(
[pscustomobject]@{ DisplayName = 'CA-Research-Devices' },
[pscustomobject]@{ DisplayName = 'CA-Research-Guests' }
)
}
Connect-GraphContext
return Get-MgIdentityConditionalAccessPolicy -All
}
function Test-ResearchSecurity {
$groups = Get-ResearchGroups
$policies = Get-ConditionalAccessPolicies
$result = [ordered]@{
ScriptName = 'research-security-index'
Timestamp = Get-Date
GroupCount = $groups.Count
NonCompliantGroups = @()
MissingPolicies = @()
IsCompliant = $false
}
foreach ($group in $groups) {
$issues = @()
if ([string]::IsNullOrWhiteSpace($group.SensitivityLabel) -or
$group.SensitivityLabel -ne $script:Baseline.RequiredSensitivityLabel) {
$issues += "Sensitiviteitslabel ontbreekt of wijkt af (verwacht: $($script:Baseline.RequiredSensitivityLabel))."
}
if ($group.AccessType -ne 'Private') {
$issues += 'Groep moet Privé zijn om data-exfiltratie te beperken.'
}
if (-not $group.HiddenFromAddressListsEnabled) {
$issues += 'Groep moet verborgen zijn in adreslijsten.'
}
if ($issues.Count -gt 0) {
$result.NonCompliantGroups += [pscustomobject]@{
DisplayName = $group.DisplayName
Identity = "$($group.Identity)"
Issues = $issues
}
}
}
foreach ($policyDef in $script:Baseline.ConditionalAccessPolicies) {
if (-not ($policies | Where-Object { $_.DisplayName -eq $policyDef.Name })) {
$result.MissingPolicies += $policyDef.Name
}
}
if ($result.NonCompliantGroups.Count -eq 0 -and $result.MissingPolicies.Count -eq 0) {
$result.IsCompliant = $true
}
return [pscustomobject]$result
}
function Set-ResearchGroup {
param(
[Parameter(Mandatory)]
$Group
)
if ($DebugMode) {
Write-Host "[Debug] Groep '$($Group.DisplayName)' zou worden bijgewerkt." -ForegroundColor Yellow
return
}
Connect-ExchangeContext
$params = @{
Identity = $Group.Identity
SensitivityLabel = $script:Baseline.RequiredSensitivityLabel
AccessType = 'Private'
HiddenFromAddressListsEnabled = $true
HiddenFromExchangeClientsEnabled = $true
}
if ($WhatIf) {
Write-Host "WhatIf: Set-UnifiedGroup @params voor '$($Group.DisplayName)'." -ForegroundColor Yellow
return
}
Write-Host "Bijwerken van groep '$($Group.DisplayName)'..." -ForegroundColor Gray
Set-UnifiedGroup @params -ErrorAction Stop
}
function New-ResearchConditionalAccessPolicy {
param(
[Parameter(Mandatory)]
[string]$DisplayName,
[Parameter(Mandatory)]
[string[]]$Controls,
[Parameter(Mandatory)]
[string[]]$GroupIds
)
if ($DebugMode) {
Write-Host "[Debug] CA-policy '$DisplayName' zou worden aangemaakt." -ForegroundColor Yellow
return
}
if ($GroupIds.Count -eq 0) {
Write-Host "Geen RS-groepen beschikbaar om policy '$DisplayName' op te richten." -ForegroundColor Yellow
return
}
Connect-GraphContext
$body = @{
displayName = $DisplayName
state = 'enabled'
conditions = @{
users = @{
includeGroups = $GroupIds
}
applications = @{
includeApplications = @('Office365')
}
clientAppTypes = @('browser', 'mobileAppsAndDesktopClients')
}
grantControls = @{
operator = 'AND'
builtInControls = $Controls
}
}
if ($WhatIf) {
Write-Host "WhatIf: Conditional Access policy '$DisplayName' zou worden aangemaakt." -ForegroundColor Yellow
return
}
Write-Host "Aanmaken van Conditional Access policy '$DisplayName'..." -ForegroundColor Gray
Invoke-MgGraphRequest -Method POST -Uri 'https://graph.microsoft.com/beta/identity/conditionalAccess/policies' -Body ($body | ConvertTo-Json -Depth 10) -ContentType 'application/json'
}
function Invoke-Monitoring {
$status = Test-ResearchSecurity
Write-Host "RS-groepen : $($status.GroupCount)" -ForegroundColor Gray
Write-Host "Compliant : $($status.IsCompliant)" -ForegroundColor Gray
if ($status.NonCompliantGroups.Count -gt 0) {
Write-Host "`n[ALERT] Niet-conforme groepen gevonden:" -ForegroundColor Yellow
foreach ($item in $status.NonCompliantGroups) {
Write-Host " - $($item.DisplayName): $($item.Issues -join '; ')" -ForegroundColor Yellow
}
}
if ($status.MissingPolicies.Count -gt 0) {
Write-Host "`n[ALERT] Ontbrekende Conditional Access policies:" -ForegroundColor Yellow
foreach ($policy in $status.MissingPolicies) {
Write-Host " - $policy" -ForegroundColor Yellow
}
}
if ($status.IsCompliant) {
Write-Host "`n[OK] Onderzoeksbeveiliging voldoet aan de baseline." -ForegroundColor Green
}
return $status
}
function Invoke-Remediation {
$status = Test-ResearchSecurity
foreach ($group in $status.NonCompliantGroups) {
Set-ResearchGroup -Group $group
}
if ($status.MissingPolicies.Count -gt 0) {
$groups = Get-ResearchGroups
$groupIds = $groups | ForEach-Object { $_.ExternalDirectoryObjectId } | Where-Object { $_ }
foreach ($policyDef in $script:Baseline.ConditionalAccessPolicies) {
if ($status.MissingPolicies -contains $policyDef.Name) {
New-ResearchConditionalAccessPolicy -DisplayName $policyDef.Name -Controls $policyDef.Controls -GroupIds $groupIds
}
}
}
Write-Host "`nRemediatie voltooid." -ForegroundColor Green
}
function Invoke-Revert {
if ($DebugMode) {
Write-Host "[Debug] Revert-actie wordt niet uitgevoerd." -ForegroundColor Yellow
return
}
if ($WhatIf) {
Write-Host "WhatIf: Conditional Access policies zouden worden verwijderd en groepen blijven ongewijzigd." -ForegroundColor Yellow
return
}
Connect-GraphContext
foreach ($policyDef in $script:Baseline.ConditionalAccessPolicies) {
$policy = Get-ConditionalAccessPolicies | Where-Object { $_.DisplayName -eq $policyDef.Name }
if ($policy) {
Write-Host "Verwijderen van policy '$($policy.DisplayName)'..." -ForegroundColor Gray
Remove-MgIdentityConditionalAccessPolicy -ConditionalAccessPolicyId $policy.Id -Confirm:$false -ErrorAction SilentlyContinue
}
}
Write-Host "Revert afgerond." -ForegroundColor Green
}
function Invoke-ResearchSecurityAssessment {
return Test-ResearchSecurity
}
try {
Write-Banner
if ($Monitoring) {
Invoke-Monitoring | Out-Null
}
elseif ($Remediation) {
Invoke-Remediation
}
elseif ($Revert) {
Invoke-Revert
}
else {
Invoke-ResearchSecurityAssessment | Format-List
}
}
catch {
Write-Error "Er is een fout opgetreden: $($_.Exception.Message)"
throw
}
finally {
Disconnect-All
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Very High: Zonder integraal onderzoeksbeveiligingsprogramma blijven RS-projecten versnipperd, ontbreken exportcontrolebewijzen en lopen bestuurders bestuurlijke en strafrechtelijke risico’s bij datadiefstal.
Management Samenvatting
Leg onderzoeksbeveiliging bestuurlijk vast, bouw zero trust-architecturen voor labs en samenwerkingen, borg operationele processen en automatiseer bewijsvoering met het PowerShell-script.
- Implementatietijd: 320 uur
- FTE required: 0.8 FTE