💼 Management Samenvatting
Het beperken van extern delen in SharePoint en OneDrive voorkomt ongeautoriseerde gegevensuitlekkage door te controleren met wie gebruikers bestanden en mappen kunnen delen buiten de organisatie.
Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
11u (tech: 3u)
Van toepassing op:
✓ M365
✓ SharePoint Online
✓ OneDrive voor Business
✓ SharePoint Online
✓ OneDrive voor Business
Onbeperkt extern delen vormt een groot gegevenslekkagerisico met meerdere aanvalsvectoren: gebruikers kunnen vertrouwelijke documenten delen met iedereen wereldwijd via één klik, anonieme 'Iedereen'-delenlinks vereisen geen authenticatie en zijn publiek toegankelijk via de link (via zoekmachines vindbaar), geen auditlog van wie toegang heeft gehad tot gedeelde content (accountability-gap), gastaccounts blijven onbeperkt actief zonder levenscyclusbeheer (verweesde toegang), compliance-overtredingen omdat gegevensverwerking door externe partijen plaatsvindt zonder verwerkersovereenkomst (AVG/GDPR-vereiste), intellectueel eigendomsdiefstal door (ex-)medewerkers via extern delen, en per ongeluk te veel delen door gebruikers die de beveiligingsimplicaties niet begrijpen. SharePoint/OneDrive-delen moet daarom worden beperkt tot: alleen geauthenticeerde gebruikers (geen anonieme links), alleen bestaande gasten (geen nieuwe gastuitnodigingen via ad-hoc delen), of meest restrictief: alleen interne organisatieleden (geen extern delen). De keuze hangt af van zakelijke vereisten en gegevensclassificatie.
PowerShell Modules Vereist
Primary API: SharePoint Online PowerShell
Connection:
Required Modules: Microsoft.Online.SharePoint.PowerShell
Connection:
Connect-SPOServiceRequired Modules: Microsoft.Online.SharePoint.PowerShell
Implementatie
Deze beheersmaatregel configureert het externe delenniveau voor SharePoint Online en OneDrive voor Business via de tenantniveau-deleninstellingen. Drie restrictiviteitsniveaus zijn beschikbaar: (1) Meest restrictief 'Alleen mensen in uw organisatie' (Uitgeschakeld) waarbij geen extern delen mogelijk is, alle delen beperkt tot interne gebruikers, (2) Gebalanceerd 'Nieuwe en bestaande gasten' (ExternalUserSharingOnly) waarbij gastaccounts met authenticatie vereist zijn, gastlevenscyclusbeheer mogelijk is, DLP-beleidsregels gevoelige gegevens kunnen beschermen, en (3) Minst restrictief toegestaan 'Alleen bestaande gasten' (ExistingExternalUserSharingOnly) waarbij geen nieuwe gastuitnodigingen via delen mogelijk zijn, alleen vooraf ingerichte gasten. De meest permissieve optie 'Iedereen' (ExternalUserAndGuestSharing) met anonieme links moet ALTIJD worden geblokkeerd. Configuratie gebeurt via het SharePoint-beheercentrum of PowerShell: Set-SPOTenant -SharingCapability [niveau]. DLP-beleidsregels moeten worden gecombineerd om delen van gevoelige gegevenstypen (BSN, creditcards, vertrouwelijke labels) extern te blokkeren.
Vereisten
Voor het succesvol implementeren van external sharing restrictions in SharePoint Online en OneDrive voor Business moeten organisaties eerst een grondige voorbereiding uitvoeren waarin alle benodigde infrastructuur, rechten en processen aanwezig zijn. Deze voorbereiding is essentieel omdat external sharing restrictions invloed hebben op de dagelijkse werkwijze van alle gebruikers en omdat onjuiste configuratie kan leiden tot businessdisruptie of onbedoelde beveiligingsgaten. De implementatie vereist niet alleen technische configuratie maar ook organisatorische veranderingen zoals beleidsontwikkeling, gebruikerstraining en procesaanpassingen.
De primaire technische vereiste is een actieve Microsoft 365-tenant met SharePoint Online en OneDrive voor Business ingeschakeld. Deze services moeten operationeel zijn en toegankelijk voor alle gebruikers die bestanden delen. De exacte licentierechten die nodig zijn variëren per Microsoft 365-abonnement, maar alle abonnementen die SharePoint Online en OneDrive voor Business bevatten zijn geschikt. Het is belangrijk om te verifiëren dat alle gebruikers die bestanden delen daadwerkelijk toegang hebben tot deze services, omdat beperkingen op external sharing alleen effect hebben wanneer gebruikers daadwerkelijk gebruik maken van SharePoint en OneDrive.
Voor het configureren van external sharing restrictions zijn specifieke beheerdersrechten vereist. De minimale rol die nodig is voor het wijzigen van tenant-level sharing-instellingen is de SharePoint-beheerder, die specifieke machtigingen heeft voor het beheren van SharePoint-configuratie-instellingen. Voor organisaties die gebruik maken van een globale beheerderrol zijn deze rechten automatisch aanwezig, maar het principe van least privilege vereist dat alleen de SharePoint-beheerder rol wordt toegekend wanneer deze voldoende is. Het is belangrijk om te begrijpen dat wijzigingen aan tenant-level sharing-instellingen onmiddellijk van kracht worden voor alle sites en gebruikers binnen de tenant, wat betekent dat deze configuratie met zorg moet worden uitgevoerd.
Voor geautomatiseerde configuratie en monitoring via PowerShell is PowerShell versie 5.1 of hoger vereist, samen met de Microsoft.Online.SharePoint.PowerShell module. Deze module bevat cmdlets zoals Set-SPOTenant voor het configureren van tenant-level instellingen en Get-SPOTenant voor het opvragen van de huidige configuratie. Voor organisaties die gebruik maken van PowerShell voor geautomatiseerde beheer is het belangrijk om ervoor te zorgen dat alle beheerderswerkstations deze module geïnstalleerd hebben. De module kan worden geïnstalleerd via Install-Module Microsoft.Online.SharePoint.PowerShell, en regelmatige updates zijn aanbevolen om toegang te hebben tot de nieuwste functies en beveiligingsfixes.
Een essentieel onderdeel van de voorbereiding is de ontwikkeling van een uitgebreid external sharing-beleid dat duidelijk definieert wanneer external sharing is toegestaan en wanneer dit moet worden beperkt. Dit beleid moet rekening houden met verschillende data-classificatieniveaus, waarbij vertrouwelijke en geclassificeerde informatie strengere beperkingen vereist dan algemene informatie. Het beleid moet specificeren welke externe partijen toegang mogen krijgen, welke authenticatiemethoden vereist zijn, en hoe lang externe toegang mag duren. Dit beleid vormt de basis voor alle technische configuraties en moet worden goedgekeurd door zowel het management als de privacy- en complianceafdelingen voordat implementatie plaatsvindt.
Guest lifecycle management vormt een kritieke vereiste omdat externe gebruikers die toegang krijgen tot SharePoint-sites moeten worden beheerd volgens een gedefinieerd proces. Dit proces omvat regelmatige toegangsbeoordelingen waarbij gecontroleerd wordt of gastgebruikers nog steeds toegang nodig hebben, automatische vervaldatums voor gastuitnodigingen die ervoor zorgen dat toegang niet onbeperkt blijft bestaan, en procedures voor het opruimen van orphaned guest accounts die niet meer actief zijn. Azure AD access reviews kunnen worden gebruikt om deze processen te automatiseren, waarbij resource-eigenaren periodiek worden gevraagd om te bevestigen dat externe gebruikers nog steeds toegang nodig hebben. Zonder adequaat guest lifecycle management kunnen honderden of duizenden externe accounts zich ophopen zonder dat duidelijk is wie nog toegang heeft en waarom.
Gegevensverliespreventie (DLP) policies zijn essentieel als aanvullende beveiligingslaag om te voorkomen dat gevoelige gegevens worden gedeeld, zelfs wanneer external sharing technisch is toegestaan. Deze policies moeten worden geconfigureerd voor verschillende gevoelige gegevenstypen zoals burgerservicenummers (BSN), creditcardnummers, IBAN-nummers en documenten met confidential labels. De policies moeten automatisch detecteren wanneer gebruikers proberen deze gevoelige gegevens extern te delen en moeten deze acties blokkeren met duidelijke meldingen aan gebruikers waarom het delen is geblokkeerd. Deze policies werken samen met external sharing restrictions door een tweede beveiligingslaag te bieden die specifiek gericht is op gegevensbescherming, zelfs wanneer de algemene external sharing-instellingen minder restrictief zijn geconfigureerd.
Gebruikersbewustzijnstraining is cruciaal omdat technische beperkingen alleen onvoldoende zijn wanneer gebruikers niet begrijpen waarom external sharing beperkt moet worden en hoe ze op een veilige manier kunnen samenwerken met externe partijen. Training moet gebruikers informeren over de risico's van onbeperkt external sharing, zoals het risico op datalekken wanneer vertrouwelijke documenten per ongeluk worden gedeeld, de compliance-implicaties van het delen van persoonsgegevens zonder de juiste overeenkomsten, en het risico op intellectueel eigendomsdiefstal wanneer bedrijfsgevoelige informatie wordt gedeeld. Training moet ook praktische richtlijnen bieden over hoe gebruikers op een veilige manier kunnen samenwerken met externe partijen, bijvoorbeeld door gebruik te maken van specifieke uitnodigingen in plaats van publieke links, door tijdlimieten in te stellen voor externe toegang, en door regelmatig te controleren wie toegang heeft tot gedeelde documenten.
Een gestructureerd proces voor business justification is nodig voor situaties waarin gebruikers of afdelingen uitzonderingen nodig hebben op de algemene external sharing-beperkingen. Dit proces moet duidelijk definiëren wie toestemming kan geven voor uitzonderingen, welke informatie nodig is om een uitzonderingsverzoek te ondersteunen, en hoe uitzonderingen worden gedocumenteerd en gecontroleerd. Uitzonderingen moeten tijdelijk zijn met een duidelijke vervaldatum, en regelmatige reviews moeten plaatsvinden om te verifiëren of uitzonderingen nog steeds nodig zijn. Dit proces voorkomt dat organisaties in een situatie terechtkomen waarbij veel uitzonderingen zijn gecreëerd zonder duidelijk overzicht, wat de beveiliging kan ondermijnen en compliance-problemen kan veroorzaken.
Voor organisaties waar external sharing volledig moet worden uitgeschakeld vanwege strenge beveiligings- of compliance-vereisten, moet een alternatieve veilige oplossing voor bestandsdeling beschikbaar zijn voor situaties waarin samenwerking met externe partijen toch noodzakelijk is. Deze alternatieve oplossing kan bestaan uit een dedicated secure file sharing platform met geavanceerde toegangscontroles, een externe collaboration workspace met strikte authenticatievereisten, of een goed gecontroleerd proces waarbij bestanden worden gedeeld via beheerde kanalen met volledige audit logging. Het is belangrijk dat deze alternatieve oplossing voorafgaand aan de implementatie van external sharing restrictions beschikbaar is, zodat gebruikers niet in een situatie terechtkomen waarbij ze geen veilige manier hebben om te werken met externe partijen, wat kan leiden tot shadow IT waarbij gebruikers onbeveiligde alternatieven gaan gebruiken.
Implementatie
Gebruik PowerShell-script external-sharing-restricted.ps1 (functie Invoke-Monitoring) – PowerShell script voor validatie van external sharing configuratie.
De implementatie van external sharing restrictions begint met een zorgvuldige configuratie via het SharePoint-beheercentrum, waarbij stap voor stap de verschillende instellingen worden geconfigureerd volgens het eerder ontwikkelde beleid. Deze configuratie moet plaatsvinden tijdens een onderhoudsvenster of tijdens een periode met beperkte gebruikersactiviteit om onbedoelde verstoringen te voorkomen. Het is essentieel om alle wijzigingen te documenteren en screenshots te maken van de configuratie voor auditdoeleinden en voor het geval configuraties moeten worden teruggedraaid.
De configuratie start met het openen van het SharePoint-beheercentrum, wat toegankelijk is via de Microsoft 365-beheercentrum of direct via admin.sharepoint.com. Navigeer naar Policies en selecteer vervolgens Sharing om de external sharing-instellingen te openen. Deze pagina bevat alle configuratieopties voor zowel SharePoint Online als OneDrive voor Business, en het is belangrijk om te begrijpen dat deze instellingen op tenant-niveau gelden, wat betekent dat ze van toepassing zijn op alle sites en gebruikers binnen de tenant, tenzij specifieke sitesite-instellingen zijn geconfigureerd die deze tenant-instellingen overschrijven.
Voor SharePoint external sharing zijn vier verschillende restrictieniveaus beschikbaar, elk met specifieke beveiligings- en functionaliteitsimplicaties. De meest restrictieve optie is 'Only people in your organization', wat alle external sharing volledig blokkeert en ervoor zorgt dat alleen interne gebruikers toegang hebben tot SharePoint-sites en documenten. Deze optie is geschikt voor organisaties met zeer strikte beveiligingsvereisten of voor omgevingen waarin geen samenwerking met externe partijen nodig is. De op één na meest restrictieve optie is 'Existing guests only', wat betekent dat nieuwe externe uitnodigingen niet mogelijk zijn, maar dat bestaande gastgebruikers hun toegang behouden. Deze optie is nuttig tijdens migratieperiodes of wanneer organisaties external sharing geleidelijk willen uitfaseren.
De aanbevolen balancerende optie is 'New and existing guests', wat betekent dat gebruikers nieuwe externe uitnodigingen kunnen verzenden, maar dat alle externe gebruikers moeten authenticeren met een Microsoft-account of een account dat is gekoppeld aan hun organisatie. Deze optie biedt een balans tussen beveiliging en functionaliteit door external sharing toe te staan terwijl authenticatie wordt afgedwongen, wat voorkomt dat anonieme links worden gebruikt. De minst restrictieve optie 'Anyone' met anonymous links moet altijd worden geblokkeerd omdat deze optie grote beveiligingsrisico's met zich meebrengt, waarbij documenten publiek toegankelijk kunnen worden via links die via zoekmachines kunnen worden gevonden. Het is belangrijk om te begrijpen dat de gekozen optie moet aansluiten bij het data-classificatiebeleid van de organisatie en de compliancevereisten die van toepassing zijn.
Voor OneDrive external sharing moet de configuratie gelijk of restrictiever zijn dan de SharePoint-instelling om ervoor te zorgen dat gebruikers niet kunnen omzeilen van SharePoint-beperkingen door bestanden via OneDrive te delen. In de meeste gevallen is het aanbevolen om dezelfde instelling te gebruiken als voor SharePoint, wat consistentie garandeert en verwarring bij gebruikers voorkomt. Het is echter mogelijk om OneDrive restrictiever te configureren dan SharePoint wanneer organisaties specifieke vereisten hebben voor persoonlijke bestandsdeling versus site-gebaseerde delen. Het is belangrijk om te testen dat de configuratie correct werkt door verschillende sharing-scenario's te proberen na het configureren van de instellingen.
Geavanceerde instellingen voor external sharing bieden extra beveiligingsopties die verder gaan dan de basis sharing-niveaus. De optie om external sharing te beperken per domein maakt het mogelijk om een allowlist te configureren van vertrouwde partnerorganisaties, waarbij alleen gebruikers van deze specifieke domeinen kunnen worden uitgenodigd. Deze optie is nuttig voor organisaties die regelmatig samenwerken met een beperkt aantal bekende partners en die alle andere external sharing willen blokkeren. Wanneer deze optie wordt gebruikt, moet de lijst met toegestane domeinen regelmatig worden gereviewd en bijgewerkt om ervoor te zorgen dat alleen actieve partnerorganisaties toegang hebben.
De instelling dat gastgebruikers moeten inloggen met hetzelfde account waarmee ze zijn uitgenodigd is essentieel voor accountability en auditing. Wanneer deze instelling is ingeschakeld, kunnen externe gebruikers alleen toegang krijgen tot gedeelde content wanneer ze zich aanmelden met het exacte e-mailadres waarmee de uitnodiging is verzonden. Dit voorkomt dat uitnodigingslinks worden gedeeld met onbevoegde personen en zorgt ervoor dat alle toegang kan worden getraceerd naar specifieke gebruikersaccounts. Zonder deze instelling zou een uitnodiging die is verzonden naar een bepaald e-mailadres kunnen worden gebruikt door iedereen die toegang heeft tot die link, wat grote beveiligingsrisico's met zich meebrengt.
De optie om gastgebruikers toe te staan items te delen die ze niet bezitten moet altijd worden uitgeschakeld omdat dit kan leiden tot ongecontroleerde verspreiding van documenten. Wanneer deze instelling is ingeschakeld, kunnen externe gebruikers die toegang hebben gekregen tot een document dit document vervolgens delen met andere externe partijen zonder toestemming of kennis van de oorspronkelijke eigenaar. Dit kan leiden tot ongeautoriseerde verspreiding van vertrouwelijke informatie en maakt het onmogelijk om controle te houden over wie toegang heeft tot welke documenten. Door deze instelling uit te schakelen behouden documenteigenaren volledige controle over het delen van hun content.
Voor bestands- en mapdelinglinks zijn verschillende configuratieopties beschikbaar die de standaardmanier bepalen waarop gebruikers links genereren wanneer ze bestanden of mappen delen. De standaard linktype moet altijd worden ingesteld op 'Specific people' in plaats van 'Anyone', wat betekent dat gebruikers expliciet moeten specificeren wie toegang moet krijgen in plaats van publieke links te genereren. Deze instelling voorkomt dat gebruikers per ongeluk publieke links maken en zorgt ervoor dat alle gedeelde content alleen toegankelijk is voor beoogde ontvangers. Wanneer gebruikers toch een 'Anyone'-link willen maken, moeten ze expliciet deze optie kiezen, wat hen bewust maakt van de beveiligingsimplicaties.
De standaard linkmachtiging moet worden ingesteld op 'View' in plaats van 'Edit', wat betekent dat externe gebruikers standaard alleen-lezen toegang krijgen tot gedeelde documenten. Dit principe van least privilege zorgt ervoor dat externe gebruikers alleen de minimale toegang krijgen die nodig is, wat het risico op ongeautoriseerde wijzigingen of verwijdering van documenten vermindert. Wanneer gebruikers externe gebruikers bewerkingsrechten willen geven, moeten ze expliciet deze machtiging instellen, wat hen dwingt om na te denken over of deze uitgebreide toegang werkelijk nodig is. Voor 'Anyone'-links moet de machtiging altijd worden beperkt tot 'View', zelfs wanneer deze linktypen technisch zijn toegestaan, omdat publieke links met bewerkingsrechten catastrofale beveiligingsrisico's met zich meebrengen.
Vervaldatums voor 'Anyone'-links moeten altijd worden ingeschakeld met een maximumduur van 30 dagen om ervoor te zorgen dat publieke links niet onbeperkt geldig blijven. Wanneer een link verloopt, kunnen externe gebruikers deze niet meer gebruiken om toegang te krijgen tot documenten, wat het risico vermindert wanneer links per ongeluk worden gedeeld of wanneer documenten niet langer extern toegankelijk moeten zijn. Het is belangrijk om gebruikers te informeren over deze vervaldatums zodat ze begrijpen dat links niet permanent zijn en dat nieuwe links moeten worden gegenereerd wanneer toegang voor langere perioden nodig is. Voor organisaties met strikte beveiligingsvereisten kunnen zelfs kortere vervaldatums worden ingesteld, zoals 7 of 14 dagen.
De optie om eigenaren te tonen welke personen bestanden hebben bekeken moet worden ingeschakeld omdat dit transparantie biedt over wie toegang heeft gehad tot gedeelde content. Deze functionaliteit geeft documenteigenaren inzicht in welke externe gebruikers hun documenten hebben geopend en wanneer, wat nuttig is voor accountability en voor het detecteren van ongeautoriseerd gebruik. Deze informatie kan ook worden gebruikt voor compliance-doeleinden waarbij organisaties moeten kunnen aantonen wie toegang heeft gehad tot bepaalde documenten. Hoewel deze informatie niet alle externe toegang volledig voorkomt, biedt het wel inzicht en kan het als afschrikmiddel werken voor onbevoegd gebruik.
De optie om korte links te gebruiken voor delen moet worden uitgeschakeld omdat beveiliging via obscuriteit geen echte beveiliging is. Korte links maken het moeilijker voor gebruikers om te zien waar een link naartoe leidt, wat kan leiden tot verwarring en tot het per ongeluk klikken op links zonder te begrijpen wat ze delen. Bovendien zijn korte links niet inherent veiliger dan lange links en kunnen ze zelfs kwetsbaarder zijn voor brute-force aanvallen omdat ze een beperktere ruimte hebben voor unieke identificatoren. Het gebruik van lange, beschrijvende links helpt gebruikers beter te begrijpen wat ze delen en met wie, wat bijdraagt aan beter beveiligingsbewustzijn.
Naast de basis external sharing configuratie moeten gegevensverliespreventie (DLP) policies worden geconfigureerd als aanvullende beveiligingslaag om te voorkomen dat gevoelige gegevens worden gedeeld, zelfs wanneer external sharing technisch is toegestaan. Deze policies worden geconfigureerd via het Microsoft Purview compliance-portal, dat toegankelijk is via compliance.microsoft.com. Navigeer naar gegevensverliespreventie en selecteer vervolgens Policies om een nieuwe DLP-policy te maken. Deze policy moet worden genoemd 'Blokkeer external sharing van gevoelige gegevens' of een vergelijkbare beschrijvende naam die duidelijk maakt wat de policy doet.
Bij het configureren van de DLP-policy moeten de locaties worden geselecteerd waar de policy van toepassing moet zijn, wat in dit geval SharePoint-sites en OneDrive-accounts omvat. Het is mogelijk om specifieke sites of gebruikers uit te sluiten wanneer dat nodig is, maar in de meeste gevallen moet de policy van toepassing zijn op alle sites en accounts om consistente beveiliging te garanderen. Voor organisaties met specifieke test- of developmentomgevingen kunnen deze worden uitgesloten van de policy om te voorkomen dat developmentwerk wordt geblokkeerd, maar dit moet zorgvuldig worden overwogen en gedocumenteerd.
De policy moet worden geconfigureerd om verschillende gevoelige gegevenstypen te detecteren, waaronder burgerservicenummers (BSN), creditcardnummers, IBAN-nummers, en documenten met confidential of restricted sensitivity labels. Microsoft biedt standaard gevoelige informatie-typen die kunnen worden geselecteerd, en organisaties kunnen ook aangepaste informatie-typen maken voor specifieke gegevenstypen die uniek zijn voor hun organisatie. Het is belangrijk om de policy te testen met verschillende soorten gevoelige gegevens om te verifiëren dat alle benodigde gegevenstypen correct worden gedetecteerd.
De actie die moet worden uitgevoerd wanneer gevoelige gegevens worden gedetecteerd in een poging tot external sharing is het blokkeren van de sharing-actie met een duidelijke melding aan de gebruiker waarom het delen is geblokkeerd. Deze melding moet educatief zijn en gebruikers helpen begrijpen welke gegevens niet extern mogen worden gedeeld en wat de compliance-implicaties zijn. De melding kan ook alternatieven suggereren, zoals het gebruik van een beveiligde collaboration workspace of het contact opnemen met de beveiligingsafdeling voor uitzonderingsverzoeken. Deze feedback helpt gebruikers beter te begrijpen waarom beperkingen zijn ingesteld en hoe ze op een veilige manier kunnen samenwerken met externe partijen.
Incidentrapporten moeten worden geconfigureerd om het beveiligingsteam te waarschuwen wanneer DLP-overtredingen plaatsvinden, zodat deze kunnen worden onderzocht en geëscaleerd indien nodig. Deze rapporten moeten worden verzonden naar een gedeelde e-mailbox of naar een SIEM-systeem voor gecentraliseerde monitoring en analyse. Het is belangrijk om deze incidenten regelmatig te reviewen om te identificeren of er patronen zijn, zoals bepaalde gebruikers die herhaaldelijk proberen gevoelige gegevens te delen, of bepaalde soorten documenten die vaker worden geblokkeerd. Deze informatie kan worden gebruikt om gebruikerstraining te verbeteren of om beleidsaanpassingen te maken wanneer nodig.
Na het configureren van zowel de external sharing restrictions als de DLP-policies moet uitgebreide testing plaatsvinden om te verifiëren dat alle configuraties correct werken. Test verschillende scenario's, waaronder het proberen gevoelige documenten extern te delen, het genereren van verschillende soorten sharing-links, en het verifiëren dat bestaande externe gebruikers nog steeds toegang hebben wanneer dat verwacht wordt. Documenteer alle testresultaten en pas configuraties aan wanneer problemen worden gevonden. Het is belangrijk om deze tests uit te voeren voordat de configuratie volledig in productie wordt gezet, om verstoringen voor eindgebruikers te voorkomen.
Monitoring
Gebruik PowerShell-script external-sharing-restricted.ps1 (functie Invoke-Monitoring) – PowerShell script voor monitoring van tenant-level sharing configuration.
Continue monitoring van external sharing activiteiten is essentieel om te waarborgen dat de geconfigureerde beperkingen effectief zijn en om ongeautoriseerde of verdachte activiteiten tijdig te detecteren. Monitoring omvat het regelmatig controleren van sharing-statistieken, het analyseren van auditlogboeken voor verdachte patronen, het beheren van gastgebruikersaccounts, en het verifiëren dat configuratie-instellingen niet ongeautoriseerd zijn gewijzigd. Deze monitoring moet worden uitgevoerd door het beveiligingsteam of de complianceafdeling met regelmatige rapportages aan het management over de effectiviteit van de external sharing-beperkingen.
Het SharePoint-beheercentrum biedt verschillende rapportages die toegankelijk zijn via Reports en vervolgens Sharing, die waardevolle inzichten bieden over hoe external sharing wordt gebruikt binnen de organisatie. Het gedeelde links-rapport toont hoeveel actieve externe sharinglinks er zijn, hoeveel gebruikers deze links hebben gemaakt, en welke soorten links het meest worden gebruikt. Deze informatie helpt organisaties te begrijpen hoe external sharing wordt gebruikt en of er trends zijn die aandacht vereisen, zoals een plotselinge toename van het aantal externe links die wijst op mogelijk ongeautoriseerd gebruik of gebruikerstransities.
De gastgebruikersinventaris toont alle externe gebruikers die momenteel toegang hebben tot SharePoint-sites of OneDrive-accounts, inclusief wanneer deze accounts voor het laatst zijn aangemeld en wanneer ze voor het laatst toegang hebben gehad tot gedeelde content. Deze informatie is essentieel voor het beheren van de levenscyclus van gastaccounts en voor het identificeren van orphaned accounts die niet meer worden gebruikt. Organisaties moeten regelmatig deze inventaris reviewen om te verifiëren dat alle actieve gastaccounts nog steeds toegang nodig hebben en dat accounts die niet langer nodig zijn worden verwijderd. Het is aanbevolen om maandelijks een volledige review uit te voeren van alle gastaccounts en om kwartaalreviews uit te voeren waarbij resource-eigenaren worden gevraagd om te bevestigen dat externe gebruikers nog steeds toegang nodig hebben.
Sharing auditlogboeken in het unified audit log bieden gedetailleerde informatie over alle external sharing-activiteiten, inclusief wanneer links zijn gemaakt, wie deze links heeft gemaakt, met wie content is gedeeld, en welke documenten zijn gedeeld. Deze logboeken kunnen worden doorzocht op specifieke gebeurtenissen zoals SharingSet-events die aangeven wanneer nieuwe sharing-links zijn gemaakt, of AnonymousLinkCreated-events die aangeven wanneer anonieme links zijn gemaakt, wat in strijd kan zijn met het beleid. Regelmatige analyse van deze logboeken helpt bij het identificeren van verdachte patronen, zoals gebruikers die ongebruikelijk veel externe links maken, links die worden gemaakt buiten kantooruren, of links die worden gemaakt voor vertrouwelijke documenten. Deze patronen kunnen wijzen op insider threats of op gecompromitteerde accounts die worden gebruikt voor datalekken.
DLP policy matches tonen hoeveel keer external sharing is geblokkeerd omdat gevoelige gegevens werden gedetecteerd in documenten die extern probeerden te delen. Deze informatie is waardevol voor het begrijpen van hoe vaak gebruikers proberen gevoelige gegevens extern te delen en of er gebruikers of afdelingen zijn die herhaaldelijk deze policies overtreden. Deze informatie kan worden gebruikt om gebruikerstraining te verbeteren door te focussen op gebruikers of afdelingen die vaker proberen gevoelige gegevens te delen, of om beleidsaanpassingen te maken wanneer blijkt dat bepaalde soorten documenten legitiem extern moeten worden gedeeld maar geblokkeerd worden door te brede DLP-policies.
Kwartaalreviews van actieve gastaccounts zijn essentieel voor het waarborgen dat externe gebruikers alleen toegang hebben wanneer dat nodig is en dat orphaned accounts worden opgeruimd. Deze reviews moeten worden uitgevoerd via Azure AD Access Reviews, waarbij resource-eigenaren worden gevraagd om te bevestigen dat externe gebruikers nog steeds toegang nodig hebben tot hun sites of documenten. Resource-eigenaren hebben de beste kennis over of externe samenwerking nog steeds nodig is en kunnen daarom de beste beoordeling maken van of toegang moet worden behouden of verwijderd. Deze reviews moeten worden gedocumenteerd en de resultaten moeten worden gebruikt om toegang te verwijderen voor accounts die niet meer nodig zijn.
Het opruimen van orphaned gastaccounts is een kritiek onderdeel van het guest lifecycle management proces. Orphaned accounts zijn externe gebruikersaccounts die niet meer actief zijn, bijvoorbeeld omdat externe gebruikers hun organisatie hebben verlaten of omdat projecten zijn beëindigd, maar die nog steeds toegang hebben tot gedeelde content. Deze accounts vormen beveiligingsrisico's omdat ze kunnen worden gebruikt voor ongeautoriseerde toegang wanneer externe accounts worden overgenomen of wanneer wachtwoorden worden gecompromitteerd. Scripts moeten worden gebruikt om automatisch gastaccounts te identificeren die gedurende meer dan 90 dagen geen toegang hebben gehad tot gedeelde content, en deze accounts moeten worden gemarkeerd voor verwijdering na verificatie met resource-eigenaren dat toegang niet langer nodig is.
Waarschuwingen moeten worden geconfigureerd voor situaties waarin external sharing-instellingen worden gewijzigd naar minder restrictieve niveaus, wat een tenant-instelling downgrade wordt genoemd. Deze waarschuwingen zijn essentieel omdat dergelijke wijzigingen grote beveiligingsrisico's met zich meebrengen en moeten worden onderzocht om te verifiëren dat ze legitiem zijn en goedgekeurd zijn door het management. Ongeautoriseerde wijzigingen aan external sharing-instellingen kunnen wijzen op gecompromitteerde beheerdersaccounts of op insider threats waarbij beheerders proberen beveiligingscontroles te omzeilen. Waarschuwingen moeten onmiddellijk worden verzonden naar het beveiligingsteam en naar het management wanneer dergelijke wijzigingen plaatsvinden, zodat snel actie kan worden ondernomen om ongeautoriseerde wijzigingen terug te draaien.
Naast technische monitoring moet ook organisatorische monitoring plaatsvinden waarbij wordt gecontroleerd of het external sharing-beleid wordt nageleefd en of gebruikers adequaat zijn getraind. Deze monitoring omvat het reviewen van uitzonderingsverzoeken om te verifiëren dat deze legitiem zijn en volgens procedure zijn goedgekeurd, het analyseren van helpdesktickets om te identificeren of gebruikers problemen hebben met external sharing-beperkingen die wijzen op trainingstekorten, en het regelmatig bijwerken van het external sharing-beleid wanneer nieuwe bedreigingen worden geïdentificeerd of wanneer compliancevereisten veranderen. Deze organisatorische monitoring zorgt ervoor dat external sharing-beperkingen niet alleen technisch correct zijn geconfigureerd, maar ook effectief worden gebruikt en begrepen door alle gebruikers.
Remediatie
Gebruik PowerShell-script external-sharing-restricted.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer overmatig external sharing wordt gedetecteerd of wanneer er sprake is van mogelijke gegevenslekken, moet een gestructureerd remediatieproces worden gevolgd om de situatie snel te analyseren, de impact te beoordelen, en passende corrigerende maatregelen te nemen. Dit proces moet worden uitgevoerd door het beveiligingsteam in samenwerking met de complianceafdeling en resource-eigenaren om ervoor te zorgen dat alle aspecten van de situatie worden geëvalueerd en dat passende maatregelen worden genomen om verdere risico's te voorkomen.
Het identificeren van overmatig gedeelde content begint met het SharePoint-beheercentrum waar alle actieve sites kunnen worden bekeken via Active sites met een Sharing-kolom die aangeeft hoeveel externe gebruikers toegang hebben tot elke site. Sites met een hoog aantal externe gebruikers of met veel externe sharing-activiteiten moeten worden gereviewd om te bepalen of deze externe toegang legitiem is of dat er sprake is van overmatig delen. Het is belangrijk om deze informatie in context te plaatsen door ook te kijken naar de data-classificatie van de sites, het aantal interne gebruikers, en de aard van de content die wordt gedeeld.
Specifieke aandacht moet worden besteed aan 'Anyone'-links, ook wel anonieme links genoemd, die publiek toegankelijk zijn zonder authenticatie. Deze links vormen de grootste beveiligingsrisico's omdat ze kunnen worden gevonden via zoekmachines of kunnen worden gedeeld met onbevoegde personen zonder dat dit wordt gedetecteerd. Rapporten over extern gedeelde content zijn toegankelijk via Rapporten en vervolgens Shared externally in het SharePoint-beheercentrum, waar een overzicht kan worden gevonden van alle sites en documenten die extern zijn gedeeld, inclusief welke links anoniem zijn. Alle anonieme links moeten onmiddellijk worden geëvalueerd en indien mogelijk worden verwijderd of vervangen door specifieke uitnodigingen die authenticatie vereisen.
Voor elk item dat overmatig is gedeeld moet een gestructureerde beoordeling plaatsvinden die begint met het beoordelen van de gevoeligheid van de gegevens. Is de content die extern is gedeeld geschikt voor external sharing volgens het data-classificatiebeleid van de organisatie? Vertrouwelijke of geclassificeerde informatie die extern is gedeeld moet onmiddellijk worden afgesloten en moet leiden tot een beveiligingsincidentonderzoek. Algemene of publieke informatie die extern is gedeeld vormt mogelijk minder direct risico, maar moet nog steeds worden gereviewd om te verifiëren dat externe toegang legitiem is en dat er geen onbedoelde gegevenslekken zijn opgetreden.
De tweede stap in de beoordeling is het valideren van de zakelijke noodzaak voor external sharing. Is de externe toegang het resultaat van legitieme samenwerking waarbij externe partijen legitiem toegang nodig hebben, of is er sprake van per ongeluk overmatig delen waarbij gebruikers documenten hebben gedeeld zonder na te denken over de beveiligingsimplicaties? Legitieme samenwerking moet worden ondersteund door passende beveiligingsmaatregelen zoals specifieke uitnodigingen in plaats van anonieme links, en tijdlimieten voor externe toegang. Per ongeluk overmatig delen moet worden gecorrigeerd door externe toegang te beperken en gebruikers te informeren over veilige sharing-praktijken.
Nadat de gevoeligheid van gegevens en de zakelijke noodzaak zijn beoordeeld, moeten passende corrigerende maatregelen worden genomen. Voor items die niet extern hadden moeten worden gedeeld moet de externe toegang worden gestopt door de sharing-instellingen te wijzigen of door de gedeelde links te verwijderen. Voor items waarbij externe toegang legitiem is maar onveilig is geconfigureerd, zoals anonieme links, moeten de sharing-instellingen worden gewijzigd naar 'Specific people' zodat alleen beoogde ontvangers toegang krijgen en authenticatie wordt afgedwongen. Het is belangrijk om te verifiëren dat alle externe gebruikers die legitiem toegang nodig hebben na deze wijzigingen nog steeds toegang hebben via nieuwe, veilige uitnodigingen.
Eigenaren van overmatig gedeelde content moeten worden geïnformeerd over de beveiligingsrisico's die zijn geïdentificeerd en moeten worden opgeleid over veilige sharing-praktijken. Deze training moet uitleggen waarom externe sharing moet worden beperkt, wat de compliance-implicaties zijn van onveilig delen, en hoe gebruikers op een veilige manier kunnen samenwerken met externe partijen. Deze training helpt voorkomen dat vergelijkbare incidenten in de toekomst plaatsvinden en zorgt ervoor dat gebruikers beter begrijpen hoe ze external sharing op een veilige manier kunnen gebruiken. Voor gebruikers die herhaaldelijk overmatig delen moeten aanvullende maatregelen worden overwogen, zoals het tijdelijk beperken van hun external sharing-rechten of het verplichten van aanvullende training.
Voor het beheren van de levenscyclus van gastaccounts moeten toegangsbeoordelingen worden uitgevoerd via Azure AD Access Reviews, waarbij resource-eigenaren kwartaalsgewijs worden gevraagd om te bevestigen dat externe gebruikers nog steeds toegang nodig hebben tot hun sites of documenten. Deze reviews zijn essentieel voor het waarborgen dat externe gebruikers alleen toegang hebben wanneer dat nodig is en dat orphaned accounts worden geïdentificeerd en verwijderd. De reviews moeten worden geautomatiseerd waar mogelijk om te voorkomen dat ze worden vergeten, en de resultaten moeten worden gedocumenteerd voor compliance-doeleinden. Resource-eigenaren die niet reageren op toegangsbeoordelingsverzoeken moeten worden herinnerd, en wanneer nodig moet het management worden geïnformeerd om ervoor te zorgen dat reviews op tijd worden voltooid.
Automatische vervaldatums moeten worden geconfigureerd voor gastuitnodigingen om ervoor te zorgen dat externe toegang niet onbeperkt blijft bestaan. Een vervaldatum van 90 dagen wordt aanbevolen als standaard, waarbij externe gebruikers na deze periode opnieuw moeten worden uitgenodigd indien toegang nog steeds nodig is. Deze vervaldatums zorgen ervoor dat externe toegang regelmatig wordt gereviewd en dat orphaned accounts automatisch worden afgesloten wanneer toegang niet langer actief is. Voor organisaties met strengere beveiligingsvereisten kunnen kortere vervaldatums worden ingesteld, zoals 30 of 60 dagen, terwijl voor langlopende projecten langere vervaldatums kunnen worden ingesteld met expliciete goedkeuring van het management.
Het verwijderen van orphaned gastaccounts is een kritiek onderdeel van het guest lifecycle management proces. Scripts moeten worden gebruikt om automatisch gastaccounts te identificeren die gedurende meer dan 180 dagen geen toegang hebben gehad tot gedeelde content, en deze accounts moeten worden gemarkeerd voor verwijdering. Voordat accounts worden verwijderd moet echter verificatie plaatsvinden met resource-eigenaren om te bevestigen dat toegang niet langer nodig is, om te voorkomen dat legitieme externe gebruikers per ongeluk worden uitgesloten. Accounts die niet meer nodig zijn moeten worden verwijderd via Azure AD, waarbij wordt gedocumenteerd waarom toegang is beëindigd en wanneer deze verwijdering heeft plaatsgevonden. Deze documentatie is essentieel voor compliance-doeleinden en voor het geval dat verwijderde accounts later opnieuw toegang nodig hebben.
Voor situaties waarin external sharing-instellingen niet correct zijn geconfigureerd of wanneer configuraties ongeautoriseerd zijn gewijzigd, moet een onmiddellijk remediatieproces worden gevolgd. Wanneer minder restrictieve instellingen worden gedetecteerd dan het beleid vereist, moeten deze onmiddellijk worden gewijzigd naar de juiste restrictieve niveaus. Alle wijzigingen aan external sharing-instellingen moeten worden gedocumenteerd met een uitleg waarom de wijziging is gemaakt en wie toestemming heeft gegeven voor de wijziging. Voor ongeautoriseerde wijzigingen moet een beveiligingsincidentonderzoek plaatsvinden om te bepalen hoe de wijziging heeft plaatsgevonden en of er sprake is van een gecompromitteerd beheerdersaccount of een insider threat. Na het corrigeren van de configuratie moeten waarschuwingen worden geconfigureerd om toekomstige ongeautoriseerde wijzigingen te detecteren en te voorkomen.
Compliance en Auditing
External sharing restrictions zijn essentieel voor het voldoen aan gegevensbeschermingscompliance-vereisten die van toepassing zijn op Nederlandse organisaties, met name in de publieke sector en gereguleerde industrieën. Het ontbreken van adequate external sharing-beperkingen resulteert gegarandeerd in compliance-overtredingen tijdens audits, omdat auditors altijd uitgebreide controles vereisen voor het delen van informatie met externe partijen. Deze sectie beschrijft de specifieke compliance-vereisten per framework en legt uit hoe external sharing restrictions bijdragen aan het voldoen aan deze verplichtingen.
De CIS Microsoft 365 Foundations Benchmark bevat control 3.1.1 die expliciet vereist dat external file sharing is beperkt in SharePoint en OneDrive. Deze control is geclassificeerd als Level 1, wat betekent dat het een fundamentele beveiligingspraktijk is die moet worden geïmplementeerd in alle omgevingen. Tijdens CIS-compliance-audits controleren auditors of external sharing correct is beperkt en of er beleid is geïmplementeerd dat external sharing reguleert. Het niet voldoen aan deze control resulteert in een directe audit failure, wat betekent dat de organisatie niet kan claimen dat zij voldoet aan de CIS Microsoft 365 Benchmark. Dit heeft niet alleen gevolgen voor de beveiligingspostuur, maar kan ook contractuele gevolgen hebben wanneer organisaties verplicht zijn om CIS-compliance aan te tonen aan klanten of partners.
De Baseline Informatiebeveiliging Overheid (BIO) bevat in Thema 13.02.01 specifieke vereisten voor overdracht van informatie en regels voor informatie-uitwisseling met externe partijen. Nederlandse overheidsorganisaties die onder de BIO vallen moeten uitgebreide controles implementeren voor het delen van informatie met externe partijen, inclusief het beperken van external sharing in SharePoint en OneDrive. De BIO vereist dat organisaties kunnen aantonen dat zij passende maatregelen hebben geïmplementeerd om te voorkomen dat gevoelige informatie wordt gedeeld met onbevoegde externe partijen. Tijdens BIO-audits controleren auditors of external sharing-beperkingen correct zijn geconfigureerd en of er beleid is geïmplementeerd dat external sharing reguleert. Het niet voldoen aan BIO-vereisten kan leiden tot negatieve audit-rapportages en kan gevolgen hebben voor de financiering en het vertrouwen van burgers in de overheidsorganisatie.
ISO 27001:2022 controle A.13.2.1 vereist information transfer policies en procedures die specificeren hoe informatie mag worden gedeeld met externe partijen. Deze controle vereist dat organisaties beleid ontwikkelen dat definieert wanneer external sharing is toegestaan, welke beveiligingsmaatregelen moeten worden geïmplementeerd wanneer informatie wordt gedeeld, en hoe external sharing moet worden bewaakt en gecontroleerd. Tijdens ISO 27001-certificering audits moeten organisaties kunnen aantonen dat zij een uitgebreid beleid hebben geïmplementeerd voor external sharing en dat dit beleid daadwerkelijk wordt nageleefd via technische controles zoals external sharing-beperkingen in SharePoint en OneDrive. Het ontbreken van adequate external sharing-beperkingen is een van de meest voorkomende redenen voor ISO 27001-certificering failures.
De Algemene Verordening Gegevensbescherming (AVG), ook wel bekend als GDPR, bevat in Artikel 28 specifieke vereisten voor processor agreements wanneer externe partijen persoonsgegevens verwerken. Dit artikel vereist dat organisaties schriftelijke overeenkomsten hebben met externe partijen die persoonsgegevens verwerken, en dat deze overeenkomsten specifieke beveiligingsvereisten bevatten. Wanneer persoonsgegevens worden gedeeld via SharePoint of OneDrive met externe partijen, moeten organisaties kunnen aantonen dat zij passende overeenkomsten hebben met deze externe partijen en dat zij passende beveiligingsmaatregelen hebben geïmplementeerd om persoonsgegevens te beschermen. Artikel 32 vereist specifiek dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen, en external sharing-beperkingen vormen een essentieel onderdeel van deze maatregelen. Tijdens AVG-audits door de Autoriteit Persoonsgegevens controleren auditors of adequate external sharing-beperkingen zijn geïmplementeerd. Het ontbreken van external sharing-beperkingen kan worden beschouwd als een schending van Artikel 32, wat kan leiden tot boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welke hoger is.
De NIS2-richtlijn, die in Nederland is geïmplementeerd via de Wet beveiliging netwerk- en informatiesystemen, bevat in Artikel 21 specifieke verplichtingen voor data delen en transfer controls. Organisaties die onder NIS2 vallen moeten uitgebreide controles implementeren voor het delen van informatie met externe partijen, inclusief het beperken van external sharing in cloud services zoals SharePoint en OneDrive. De richtlijn vereist dat organisaties kunnen aantonen dat zij passende maatregelen hebben geïmplementeerd om te voorkomen dat gevoelige informatie wordt gedeeld met onbevoegde externe partijen. NIS2-audits controleren of external sharing-beperkingen correct zijn geconfigureerd en of er beleid is geïmplementeerd dat external sharing reguleert. Het niet implementeren van adequate external sharing-beperkingen kan resulteren in niet-naleving van NIS2-vereisten, wat kan leiden tot boetes en andere handhavingsmaatregelen door de Autoriteit Consument en Markt (ACM) of andere toezichthouders.
Voor organisaties die creditcarddata verwerken is PCI-DSS Requirement 12.8.2 van kritiek belang. Deze vereiste verplicht agreements met service providers die aangeven hoe creditcarddata wordt beveiligd wanneer deze wordt gedeeld met externe partijen. Wanneer creditcarddata wordt opgeslagen of verwerkt via SharePoint of OneDrive, moeten organisaties kunnen aantonen dat zij passende overeenkomsten hebben met externe partijen en dat zij passende beveiligingsmaatregelen hebben geïmplementeerd. External sharing-beperkingen vormen een essentieel onderdeel van deze beveiligingsmaatregelen door ervoor te zorgen dat creditcarddata niet onbeperkt wordt gedeeld met externe partijen. Tijdens PCI-DSS-audits controleren Qualified Security Assessors (QSA's) of external sharing-beperkingen correct zijn geconfigureerd. Het niet voldoen aan Requirement 12.8.2 resulteert in een directe PCI-DSS-compliance failure, wat betekent dat organisaties hun rechten verliezen om creditcardbetalingen te verwerken.
Voor gezondheidszorgorganisaties die patiëntgegevens verwerken is HIPAA van toepassing, wat Business Associate Agreements vereist wanneer externe partijen toegang hebben tot gezondheidsinformatie. Wanneer patiëntgegevens worden gedeeld via SharePoint of OneDrive met externe partijen, moeten organisaties kunnen aantonen dat zij passende overeenkomsten hebben met deze externe partijen en dat zij passende beveiligingsmaatregelen hebben geïmplementeerd. External sharing-beperkingen vormen een essentieel onderdeel van deze beveiligingsmaatregelen door ervoor te zorgen dat patiëntgegevens niet onbeperkt worden gedeeld met externe partijen. Het niet voldoen aan HIPAA-vereisten kan leiden tot aanzienlijke boetes en kan gevolgen hebben voor de mogelijkheid van organisaties om gezondheidszorgdiensten te verlenen.
Ongecontroleerde external sharing leidt direct tot compliance-overtredingen en mogelijke boetes omdat het onmogelijk is om te voldoen aan de vereisten voor information transfer controls, processor agreements, en data sharing controls wanneer external sharing niet wordt beperkt. Organisaties die external sharing niet beperken kunnen niet aantonen dat zij passende maatregelen hebben geïmplementeerd om gevoelige informatie te beschermen, wat resulteert in audit failures en mogelijke regelgevende sancties. Daarom is het implementeren van external sharing-beperkingen niet alleen een best practice voor beveiliging, maar ook een absolute vereiste voor compliance met vrijwel alle moderne beveiligings- en privacyframeworks die van toepassing zijn op Nederlandse organisaties.
Compliance & Frameworks
- CIS M365: Control 3.1.1 (L1) - Zorg ervoor dat external file sharing in SharePoint en OneDrive is restricted
- BIO: 13.02.01 - BIO Baseline Informatiebeveiliging Overheid - Thema 13: Overdracht van informatie - regelt voor externe partijen
- ISO 27001:2022: A.13.2.1 - Information transfer policies en procedures
- NIS2: Artikel - Data transfer en sharing controls
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
External Sharing Restricted
.DESCRIPTION
Restricts SharePoint external sharing to prevent data exposure
.NOTES
NL Baseline v2.0
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param([switch]$Monitoring)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "External Sharing Restricted" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Invoke-Monitoring {
try {
Connect-MgGraph -Scopes "Domain.Read.All" -NoWelcome -ErrorAction Stop
$domain = (Get-MgDomain | Where-Object { $_.IsDefault }).Id
$tenantName = $domain.Split('.')[0]
Connect-SPOService -Url "https://$tenantName-admin.sharepoint.com" -ErrorAction Stop
$tenant = Get-SPOTenant
$result = @{
isCompliant = ($tenant.SharingCapability -ne 'ExternalUserAndGuestSharing')
sharingCapability = $tenant.SharingCapability
}
Write-Host " Sharing Capability: $($tenant.SharingCapability)" -ForegroundColor $(
if ($tenant.SharingCapability -eq 'Disabled' -or $tenant.SharingCapability -eq 'ExistingExternalUserSharingOnly') { 'Green' }
elseif ($tenant.SharingCapability -eq 'ExternalUserSharingOnly') { 'Yellow' }
else { 'Red' }
)
Write-Host "`n Options (restrictive to permissive):" -ForegroundColor Cyan
Write-Host " • Disabled: No external sharing" -ForegroundColor Green
Write-Host " • ExistingExternalUserSharingOnly: Existing external users only" -ForegroundColor Yellow
Write-Host " • ExternalUserSharingOnly: External users only" -ForegroundColor Yellow
Write-Host " • ExternalUserAndGuestSharing: External users + guests" -ForegroundColor Red
Write-Host "`n Security Benefits:" -ForegroundColor Cyan
Write-Host " • Prevents unauthorized data sharing" -ForegroundColor Gray
Write-Host " • Reduces data exposure risk" -ForegroundColor Gray
Write-Host " • Maintains data governance" -ForegroundColor Gray
if ($result.isCompliant) {
Write-Host "`n[OK] COMPLIANT - External sharing restricted" -ForegroundColor Green
exit 0
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT - External sharing too permissive!" -ForegroundColor Red
exit 1
}
}
catch {
Write-Host "ERROR: $_" -ForegroundColor Red
exit 2
}
}
try {
if ($Monitoring) { Invoke-Monitoring }
else { Write-Host "Use: -Monitoring" -ForegroundColor Yellow }
}
catch { throw }
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Critical: KRITIEK gegevenslekken RISICO: Onbeperkt extern delen betekent dat gebruikers volledige documentbibliotheken kunnen delen met iedereen wereldwijd. Anonieme 'Iedereen'-links zijn publiek toegankelijk zonder authenticatie en kunnen via zoekmachines worden gevonden. Dit leidt tot: datalekken met vertrouwelijke documenten die publiek toegankelijk zijn, intellectueel eigendomsdiefstal, AVG-overtredingen (€20 miljoen boetes) bij delen van persoonlijke gegevens zonder verwerkersovereenkomst, NIS2-overtredingen, reputatieschade, en compliance-mislukkingen. Geschatte kosten van gegevenslekken via overmatig delen: €100.000 - €2.000.000+ afhankelijk van gevoeligheid van gegevens.
Management Samenvatting
Beperk SharePoint/OneDrive extern delen tot 'Nieuwe en bestaande gasten' (alleen geauthenticeerd) of restrictiever. Blokkeer anonieme 'Iedereen'-links. Configureer 30-dagen vervaldatum voor gastlinks. Implementeer DLP-beleidsregels voor gevoelige gegevens. Voldoet aan CIS 3.1.1 (L1), BIO 13.02, ISO 27001 A.13.2.1, AVG Artikel 28/32. Implementatie: 3 uur technisch + 8 uur organisatorisch (beleidsdefinitie, DLP, training). KRITIEKE gegevensbeschermingsmaatregel.
- Implementatietijd: 11 uur
- FTE required: 0.1 FTE