L2 BIO 11.02.01 ISO A.11.1.5 CIS 4.1.2

Anonieme Deelname Teams Meetings Beperken

📅 2025-10-30
⏱️ 7 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het beperken van anonieme deelname aan Microsoft Teams-vergaderingen betekent dat iedere deelnemer vooraf wordt geauthenticeerd en dat er een sluitende koppeling bestaat tussen identiteit, autorisatie en daadwerkelijke toegang tot vergaderdata.

Aanbeveling
CONSIDER
Risico zonder
Medium
Risk Score
6/10
Implementatie
3u (tech: 1u)
Van toepassing op:
M365
Microsoft Teams
Teams Meetings

Wanneer anonieme deelnemers zonder enige vorm van verificatie kunnen binnenkomen, ontstaat er een directe kwetsbaarheid voor vertrouwelijke gesprekken, beleidsafstemmingen en besluitvormingstrajecten. Er is geen betrouwbare audittrail beschikbaar om aan toezichthouders aan te tonen wie informatie heeft ontvangen, er is geen mogelijkheid om achteraf verantwoordelijkheid toe te wijzen, en het risico op heimelijk afluisteren of het ongewenst delen van opnames stijgt aanzienlijk. Voor instanties die onder BIO, NIS2, AVG of sectorale richtlijnen vallen, is een ongedocumenteerde aanwezigheid simpelweg niet te verantwoorden omdat informatie altijd herleidbaar moet zijn tot een natuurlijke of rechtspersoon.

PowerShell Modules Vereist
Primary API: Teams PowerShell
Connection: Connect-MicrosoftTeams
Required Modules: MicrosoftTeams

Implementatie

Deze maatregel zet de instelling AllowAnonymousUsersToJoinMeeting in alle relevante Teams Meeting Policies standaard uit en dwingt daarmee moderne authenticatie af. Voor scenario’s waarin externe samenwerking vereist is, wordt de lobby ingezet als gecontroleerde toegangsbuffer zodat een organisator bewuste keuzes kan maken over toelating. Gastgebruikers met een uitgenodigde identiteit blijven welkom, maar uitsluitend nadat zij het B2B-proces hebben doorlopen. Met dit beleid ontstaat één helder kader: interne vergaderingen zijn uitsluitend beschikbaar voor vertrouwde identiteiten, externe vergaderingen worden vooraf gepland met gastaccounts of lobbycontrole, en uitzonderingen verlopen via een formele risicobeoordeling.

Vereisten

Het succesvol uitschakelen van anonieme deelname begint met een stabiele technische basis. Iedere organisatie moet verifiëren dat de juiste Microsoft 365-licenties (E3, E5 of Business Premium) actief zijn en dat Microsoft Teams in alle betrokken tenants operationeel is met de meest recente service-updates. Even essentieel is een beheerde werkplek waarop de MicrosoftTeams PowerShell-module up-to-date staat en waarop verbindingen via Connect-MicrosoftTeams tot stand kunnen worden gebracht op basis van moderne authenticatie. Zonder deze componenten ontstaan er configuratieverschillen tussen tenants of beheeromgevingen, waardoor auditresultaten onbetrouwbaar worden en het onmogelijk is om een uniforme beveiligingsbaseline af te dwingen. Neem daarom een inventaris op van alle beheersystemen, zorg voor versiebeheer van PowerShell-modules en leg vast welke accounts worden gebruikt voor automatisering.

Naast de technische randvoorwaarden is het noodzakelijk dat de juiste rollen en verantwoordelijkheden zijn toegewezen. Alleen Global Administrators of Teams Administrators met Multi-Factor Authenticatie mogen beleidswijzigingen doorvoeren. In veel overheidsorganisaties is er bovendien sprake van gesegmenteerde beheerteams: een identityteam, een samenwerkingsplatformteam en een compliancefunctie. Leg vast hoe deze teams samenwerken, welke changeprocedures worden gevolgd en hoe wijzigingen worden goedgekeurd. Controleer eveneens of conditional access-beleid het gebruik van beheersessies toestaat, of dat extra netwerksegmenten (bijvoorbeeld privileged access workstations) beschikbaar zijn. Denk ook aan logging en bewaartermijnen: de audittrail van zowel PowerShell-acties als Teams admin center-wijzigingen moet gedurende zeven jaar raadpleegbaar blijven om aan de eisen van toezichthouders te voldoen.

Qua functionele vereisten draait deze maatregel om duidelijke beleidskeuzes. Bepaal per vergadertype of anonieme toegang volledig wordt verboden, of dat een gecontroleerde lobbyvariant gewenst is voor burgercontacten en leveranciersconsultaties. Inventariseer welke onderdelen van de organisatie structureel externe deelnemers ontvangen, welke rechtsgrond zij daarvoor hebben en hoe gegevensclassificatie is ingericht. De implementatie faalt regelmatig wanneer externe samenwerking uitsluitend is gebaseerd op ad-hoc-uitnodigingen zonder dat gastaccounts worden voorbereid. Zorg er daarom voor dat Azure AD B2B-voorzieningen, domeinvertrouwen en toestemmingsprocessen op orde zijn, zodat legitieme externe deelnemers de overstap naar een geauthentiseerde identiteitenstroom als logisch ervaren en niet terugvallen op ongeziene workarounds.

Tot slot vraagt deze maatregel om grondige communicatie en opleiding. Meetingorganisatoren moeten weten hoe zij lobbyverzoeken beoordelen, hoe zij verdachte namen kunnen verwijderen en hoe zij escaleren wanneer een externe partij toch toegang nodig heeft. Documenteer scenario’s voor crisisteams, voor openbare bijeenkomsten en voor hybride sessies zodat niemand verrast wordt door een geblokkeerde deelnemer. Plan een pilot met representatieve gebruikersgroepen, houd rekening met tolkdiensten of notulisten die mogelijk nog geen gastaccount hebben en borg in het changeproces dat service desks draaiboeken ontvangen. Pas na deze voorbereidingen is het verantwoord om het beleid tenantbreed te activeren.

Een vaak vergeten vereiste is het koppelen van deze instelling aan bredere risico- en capaciteitsinschattingen. De audit- en privacyteams moeten vooraf toetsen hoe incidentrespons wordt ingericht wanneer een organisator toch ongewenste personen toelaat en welke bewijsmiddelen beschikbaar zijn voor forensisch onderzoek. Maak afspraken met leveranciers van opname- en transcriptiediensten, controleer of third-party apps worden beïnvloed, en beschrijf hoe uitzonderingen worden aangevraagd tijdens bestuurlijke overleggen of verkiezingsperioden. Door deze governance-elementen op te nemen in het baseline-dossier van de Nederlandse Baseline voor Veilige Cloud ontstaat een volledig overzicht van verplichtingen, ondersteunende processen en technische afhankelijkheden. Daarmee voldoet de organisatie aantoonbaar aan het uitgangspunt dat toegang tot vergaderingen altijd identiteitsgebonden, herleidbaar en controleerbaar moet zijn.

Implementatie

Gebruik PowerShell-script anonymous-join-disabled.ps1 (functie Invoke-Remediation) – PowerShell-sjabloon dat beleidsinstellingen inventariseert, afwijkingen markeert en AllowAnonymousUsersToJoinMeeting structureel uitschakelt..

Begin de uitvoer met een volledige export van alle bestaande Teams Meeting Policies. Het script anonymiseert niets; zorg daarom dat het wordt gedraaid vanaf een privileged access workstation en dat transcripties worden opgeslagen in een beveiligde opslag. Gebruik eerst de monitoringsfunctie van hetzelfde script om inzicht te krijgen in de huidige waarden van AllowAnonymousUsersToJoinMeeting, Automatically admit people, WhoCanBypassLobby en de bijbehorende audio- of video-opties. Dit nulmetingrapport wordt vastgelegd in het veranderingsdossier en vormt later het referentiepunt voor audit. Pas wanneer de stakeholders akkoord geven op de voorgestelde instelling, wordt de remedieroutine geautoriseerd.

Voor tenants die één globaal beleid gebruiken, is de configuratie relatief rechtlijnig: open het Teams admin center, navigeer naar Vergaderingen en vervolgens naar Vergaderingsbeleid, kies de Global-policy en wijzig de instelling "Anonieme gebruikers kunnen een vergadering bijwonen" naar Uitgeschakeld. Controleer in dezelfde workflow dat anonieme gebruikers ook geen vergadering kunnen starten en dat alleen personen uit de eigen organisatie de lobby mogen overslaan. Druk pas op Opslaan nadat is gecontroleerd welke gebruikers deze policy erven; sommige organisaties hebben maatwerkbeleid voor directie of crisisteams dat in conflict kan komen met de nieuwe standaard. Wanneer meerdere policies in gebruik zijn, documenteer per policy de doelgroepen, synchroniseer de wijzigingen en plan een gefaseerde uitrol zodat de servicedesk de impact kan volgen.

De gebalanceerde benadering – vaak gekozen voor burgerdiensten en leveranciersoverleg – vereist aanvullende controles. In dat scenario blijft AllowAnonymousUsersToJoinMeeting weliswaar ingeschakeld, maar WhoCanBypassLobby wordt beperkt tot "Only people in my organization". Leg in de procesbeschrijving uit dat de organisator nu iedere externe deelnemer handmatig moet toelaten en dat het weigeren van onbekende namen de standaardhandelingen is. Herhaal deze instelling voor elk beleid dat webinars of live events faciliteert en controleer of Teams Premium-functies zoals geavanceerde lobbyfilters niet onbedoeld omzeilen wat binnen de baseline is vastgelegd.

Tijdens de implementatiefase is een strakke change- en communicatiestructuur essentieel. Kondig de wijziging tijdig aan, verstrek trainingsmateriaal waarin screenshots uit het Teams admin center worden gecombineerd met praktijkvoorbeelden, en lever een korte gids voor vergaderorganisatoren waarin wordt uitgelegd hoe zij gastaccounts aanmaken of hoe zij deelnemers uit de lobby verwijderen. Voer een pilot uit met een kleine groep afdelingen, monitor hun ervaringen gedurende minimaal één volledige businesscyclus en verzamel metrics over hoeveel lobby-aanvragen werden afgewezen of goedgekeurd. Deze gegevens bieden concrete argumenten om twijfelende stakeholders te overtuigen.

Sluit de implementatie af met validaties via PowerShell en via het Teams admin center. Vergelijk het actuele exportbestand met de nulmeting, controleer of alle policies dezelfde instelling hanteren en voer een regressietest uit waarin een anonieme deelnemer daadwerkelijk wordt geweigerd. Documenteer welk serviceaccount de wijziging heeft uitgevoerd, welke versie van de MicrosoftTeams-module is gebruikt en welke fallbackplan beschikbaar is voor mission critical bijeenkomsten. Door deze stap strikt te volgen, ontstaat een reproduceerbaar en auditbestendig implementatieproces.

Monitoring

Gebruik PowerShell-script anonymous-join-disabled.ps1 (functie Invoke-Monitoring) – Controleert periodiek alle Meeting Policies, vergelijkt ze met de baseline en genereert een afwijkingsrapport voor het security operations center..

Monitoring begint met het automatiseren van beleidsvalidatie. Het script draait volgens een vaste cadans (bijvoorbeeld dagelijks of wekelijks) en schrijft de actuele configuratie naar een beveiligd opslagaccount. Elke run krijgt een versie-id mee, zodat wijzigingen kunnen worden teruggezocht wanneer een auditor vraagt wanneer een instelling is aangepast. Het rapport toont niet alleen de waarde van AllowAnonymousUsersToJoinMeeting, maar ook samenhangende parameters zoals WhoCanBypassLobby, AllowPSTNUsersToBypassLobby en instellingen voor opname of transcriptie. Door die gegevens in één dataset te plaatsen, kan het SOC patronen herkennen waarin iemand probeert de lobby te omzeilen door een alternatief beleid te activeren.

Naast configuratiemonitoring is gebruiksdata onmisbaar. Haal vergaderrapporten op via de Teams admin center-export of via Graph-API’s en koppel deze aan de beleidsinformatie. Wanneer in een maand nog steeds anonieme deelnemers worden geregistreerd, wijst dat op shadow IT of op vergaderingen die plaatsvinden op tenants buiten het beheer. Vergelijk het aantal lobby-aanvragen met het aantal goedgekeurde gastaccounts en analyseer of specifieke afdelingen structureel externe deelnemers weigeren, wat kan duiden op processen die niet meer aansluiten op de klantreis. Deze inzichten worden gedeeld met het productownerteam van samenwerken en met de Chief Information Security Officer.

Kwalitatieve signalen zijn eveneens belangrijk. Registreer alle helpdeskmeldingen rondom blokkades van externe deelnemers en categoriseer ze naar oorzaak: onbekende domeinen, verlopen uitnodigingen, ontbrekende gastaccounts of bewuste blokkades. Combineer deze data met feedbacksessies waarin organisatoren beschrijven hoe zij lobby’s beheren tijdens drukbezochte bijeenkomsten. Door deze verhalen te koppelen aan metrische gegevens kan het beleid gericht worden bijgestuurd, bijvoorbeeld door aanvullende training of door het versimpelen van het gastproces.

Tot slot moet monitoring leiden tot concrete opvolging. Stel duidelijke drempelwaarden vast: wanneer meer dan vijf procent van de vergaderingen een anonieme deelnemer detecteert, start automatisch een probleemonderzoek. Leg vast wie incidentverantwoordelijk is, hoe bevindingen worden gedocumenteerd en hoe lessons learned terechtkomen in de Nederlandse Baseline voor Veilige Cloud. Koppel de monitoringsresultaten aan compliance-rapportages richting BIO, NIS2 en ISO 27001 en zorg ervoor dat bestuurders elk kwartaal inzicht krijgen in de mate van naleving. Alleen dan blijft de maatregel levend en aantoonbaar effectief.

Een moderne aanpak omvat bovendien near-real-time signalering. Integreer de PowerShell-uitvoer met het centrale SIEM, definieer alerts op basis van policy-deviaties en verrijk meldingen met context zoals betrokken afdelingen of gekoppelde changeverzoeken. Door dashboards te bouwen in Power BI of Microsoft Sentinel Workbooks kunnen security officers en service managers dezelfde dataset bekijken en elkaar sneller informeren. Deze visuele laag helpt ook bij bestuursoverleggen omdat in één oogopslag duidelijk is hoe vaak lobby’s worden gebruikt, hoe snel verzoeken worden afgehandeld en of er geografische patronen zijn. Monitoring wordt daarmee geen reactieve controle, maar een proactief sturingsinstrument.

Compliance en Auditing

Het uitfaseren van anonieme deelname is rechtstreeks gekoppeld aan meerdere compliancekaders die binnen de Nederlandse Baseline voor Veilige Cloud worden gehanteerd. Het CIS Microsoft 365 Foundations Benchmark noemt in control 4.1.2 expliciet dat organisaties moeten aantonen dat alleen bekende identiteiten vergaderingen kunnen betreden. Door AllowAnonymousUsersToJoinMeeting structureel op Uit te zetten of te combineren met een verplichte lobby, wordt voldaan aan dit voorschrift en ontstaat er een controleerbaar spoor van wie wanneer toegang kreeg. Deze instelling vormt een tastbare maatregel binnen het bredere principe van toegangsbeheer en toont aan dat beleidsuitgangspunten daadwerkelijk zijn vertaald naar technische configuraties. Binnen de Baseline Informatiebeveiliging Overheid (BIO) zijn vooral de paragrafen 11.02 en 9.4 relevant. Zij schrijven voor dat toegang tot informatiesystemen moet worden beperkt op basis van gevalideerde identiteiten en dat elke toegang herleidbaar moet zijn. De Teams-maatregel levert het directe bewijs dat vergaderingen – waarin vaak persoonsgegevens van medewerkers, burgers of leveranciers worden besproken – niet toegankelijk zijn voor onbevestigde identiteiten. Door de combinatie met een lobby- of gastproces wordt invulling gegeven aan het voorzorgsbeginsel van de AVG: er wordt alleen toegang verleend nadat is vastgesteld wie iemand is en onder welke grondslag die persoon handelt. ISO/IEC 27001:2022 benoemt in clausules A.5.17 (authenticatie) en A.8.24 (voice, video) dat communicatiesessies moeten worden beschermd tegen ongeautoriseerde deelname. De beschreven configuratie fungeert als compensating control voor situaties waarin technische scheiding van vergaderstromen (bijvoorbeeld via dedicated vergaderbruggen) niet haalbaar is. In auditrapporten kan worden verwezen naar de Teams-policy, de onderliggende PowerShell-export en de geautomatiseerde monitoringsresultaten om aan te tonen dat het beleid permanent actief is en niet afhankelijk is van handmatige controles. Ook de aankomende NIS2-verplichtingen leggen nadruk op toegangscontrole en identiteitsbeheer. Artikel 21 verlangt dat essentiële en belangrijke entiteiten kunnen bewijzen dat zij sterke authenticatiemiddelen inzetten voor cruciale diensten. Vergaderingen waarin operationele besluitvorming plaatsvindt vallen daaronder. Door anonieme toegang uit te schakelen laat de organisatie zien dat zij de principes van zero trust toepast: geen identiteit, geen toegang. Combineer dit met logging in Microsoft Purview of Sentinel zodat audits kunnen nagaan of uitzonderingen correct zijn goedgekeurd. Voor auditdoeleinden is het noodzakelijk om een compleet dossier bij te houden. Bewaar de nulmeting, het changeverzoek, screenshots uit het Teams admin center, PowerShell-transcripten, communicatiemateriaal naar gebruikers en een overzicht van gastaanvragen. Wanneer auditors steekproeven uitvoeren, kunnen zij deze artefacten gebruiken om te bevestigen dat beleid, uitvoering en monitoring op één lijn liggen. Leg bovendien vast welke uitzonderingsprocedure geldt voor publieksevenementen en hoe risicobeoordelingen worden uitgevoerd. Daarmee wordt aangetoond dat de organisatie niet alleen controlemaatregelen documenteert, maar ook actief beheert. Het resultaat is een verdedigbaar complianceverhaal waarin beleidsintenties, technische configuraties en operationele processen naadloos op elkaar aansluiten.

Remediatie

Gebruik PowerShell-script anonymous-join-disabled.ps1 (functie Invoke-Remediation) – Herstelroutine die afwijkende policies identificeert, wijzigingen vastlegt in een transcript en alle parameters terugzet naar de goedgekeurde baseline..

Wanneer monitoring een afwijking signaleert, start de remediatie met een impactanalyse. Controleer welke policy is gewijzigd, welke gebruikers of groepen eraan gekoppeld zijn en op welk moment de wijziging plaatsvond. Raadpleeg het change register om vast te stellen of het een geautoriseerde uitzondering betreft. Als dat niet het geval is, wordt een incident geopend en wordt het script in diens herstelmodus voorbereid. Documenteer altijd welke beheerder de actie uitvoert, welk apparaat wordt gebruikt en welke versie van de MicrosoftTeams-module actief is; deze metadata zijn cruciaal voor forensische onderzoeken.

Voer vervolgens de PowerShell-remediatie uit met parameters die expliciet aangeven welke policies moeten worden hersteld. De routine haalt eerst de actuele configuratie op en schrijft deze naar een tijdelijke export zodat terugrollen mogelijk blijft. Daarna zet het script AllowAnonymousUsersToJoinMeeting op False (of op True met een verplichte lobby, afhankelijk van de vastgestelde baseline), schakelt de mogelijkheid voor anonieme organisatoren uit en herconfigureert de lobbybypass-instellingen. Tijdens de run worden alle acties gelogd inclusief tijdstempels. Sla deze logbestanden op in een WORM-opslaglocatie zodat auditors kunnen zien dat de wijziging gecontroleerd heeft plaatsgevonden.

Na de technische wijziging is validatie essentieel. Laat een collega-beheerder meekijken of gebruik een vier-ogenprincipe waarbij de tweede beheerder de resultaten van Get-CsTeamsMeetingPolicy verifieert. Organiseer een kort functioneel testscenario waarin een externe persoon probeert deel te nemen zonder account; de verwachting is dat de lobby of een blokkade wordt getriggerd. Leg screenshots of video-opnames vast als bewijs en voeg deze toe aan het incidentdossier. Controleer daarnaast of bestaande vergaderingen met uitzonderingsbeleid niet onbedoeld zijn aangepast en informeer organisatoren wanneer hun sessies mogelijk opnieuw gepland moeten worden.

Communicatie maakt integraal deel uit van remediatie. Stuur een bericht naar de betrokken gebruikersgroep waarin wordt uitgelegd dat het standaardbeleid is hersteld, welke risico’s zijn afgewend en welke acties deelnemers eventueel moeten ondernemen (bijvoorbeeld het opnieuw uitnodigen van gasten via B2B). Informeer het compliance- en privacyteam zodat zij weten dat de audittrail compleet blijft. Wanneer de afwijking werd veroorzaakt door een ontbrekende training, plan dan direct aanvullende instructie of pas de governance-documentatie aan.

Sluit de remediatie af met een root-causeanalyse. Onderzoek of de afwijking voortkwam uit een foutief script, een experimentele instelling in het Teams admin center, of mogelijk uit kwaadwillende activiteit. Koppel de bevindingen terug naar de Nederlandse Baseline voor Veilige Cloud in de vorm van verbeterde procedures, aanvullende detective controls of strengere toegangsbeperkingen voor beheerders. Door remediatie te behandelen als een volledig proces – detectie, herstel, verificatie, communicatie en leren – blijft de maatregel duurzaam effectief en kan de organisatie aantonen dat zij continu haar vergaderbeveiliging bewaakt en verbetert.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Anonymous Join Disabled .DESCRIPTION Ensures anonymous users cannot join Teams meetings. Only authenticated users should be able to join. .NOTES Filename: anonymous-join-disabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud .EXAMPLE .\anonymous-join-disabled.ps1 -Monitoring Check if anonymous join is disabled #> #Requires -Version 5.1 #Requires -Modules MicrosoftTeams [CmdletBinding()] param( [Parameter(Mandatory = $false)] [switch]$Monitoring, [Parameter(Mandatory = $false)] [switch]$Remediation, [Parameter(Mandatory = $false)] [switch]$Revert, [switch]$WhatIf ) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Anonymous Join Disabled" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Invoke-Monitoring { try { Write-Host "Connecting to Microsoft Teams..." -ForegroundColor Gray Connect-MicrosoftTeams -ErrorAction Stop | Out-Null Write-Host "Checking meeting policies..." -ForegroundColor Gray $policies = Get-CsTeamsMeetingPolicy -ErrorAction Stop $result = @{ isCompliant = $true totalPolicies = $policies.Count compliantPolicies = 0 nonCompliantPolicies = 0 } foreach ($policy in $policies) { $allowAnonymous = $policy.AllowAnonymousUsersToJoinMeeting if ($allowAnonymous -eq $false) { $result.compliantPolicies++ Write-Host " [OK] $($policy.Identity): Anonymous join DISABLED" -ForegroundColor Green } else { $result.nonCompliantPolicies++ $result.isCompliant = $false Write-Host " [FAIL] $($policy.Identity): Anonymous join ENABLED" -ForegroundColor Red } } Write-Host "`n Total policies: $($result.totalPolicies)" -ForegroundColor Cyan Write-Host " Compliant (anonymous disabled): $($result.compliantPolicies)" -ForegroundColor Green Write-Host " Non-compliant (anonymous enabled): $($result.nonCompliantPolicies)" -ForegroundColor $( if ($result.nonCompliantPolicies -gt 0) { "Red" } else { "Green" } ) if ($result.isCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green exit 0 } else { Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red exit 1 } } catch { Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Remediation { try { Write-Host "Connecting to Microsoft Teams..." -ForegroundColor Gray Connect-MicrosoftTeams -ErrorAction Stop | Out-Null Write-Host "Getting policies with anonymous join enabled..." -ForegroundColor Gray $policies = Get-CsTeamsMeetingPolicy | Where-Object { $_.AllowAnonymousUsersToJoinMeeting -eq $true } if ($policies.Count -eq 0) { Write-Host " [OK] All policies already have anonymous join disabled" -ForegroundColor Green exit 0 } Write-Host "Disabling anonymous join for $($policies.Count) policies...`n" -ForegroundColor Cyan $updated = 0 foreach ($policy in $policies) { try { Write-Host " Updating: $($policy.Identity)..." -ForegroundColor Gray Set-CsTeamsMeetingPolicy -Identity $policy.Identity ` -AllowAnonymousUsersToJoinMeeting $false ` -ErrorAction Stop Write-Host " [OK] Anonymous join disabled" -ForegroundColor Green $updated++ } catch { Write-Host " [FAIL] Failed: $_" -ForegroundColor Red } } Write-Host "`n[OK] Updated $updated policies" -ForegroundColor Green Write-Host "Anonymous users can no longer join meetings" -ForegroundColor Cyan exit 0 } catch { Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Revert { try { Connect-MicrosoftTeams -ErrorAction Stop | Out-Null $policies = Get-CsTeamsMeetingPolicy foreach ($policy in $policies) { Set-CsTeamsMeetingPolicy -Identity $policy.Identity ` -AllowAnonymousUsersToJoinMeeting $true ` -ErrorAction Stop } Write-Host " ⚠️ Anonymous join re-enabled" -ForegroundColor Yellow exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "Use: -Monitoring | -Remediation | -Revert" -ForegroundColor Yellow } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Medium: MEDIUM: Anonymous meeting attendees is geen identity verification, geen audittrail, potentieel eavesdropping, geen accountability. Voor meetings met bedrijfsgevoelige informatie is dit security risk. Anonymous access kan leiden tot information disclosure naar unauthorized parties.

Management Samenvatting

Schakel uit anonymous Teams meeting join OF require lobby admission (balanced approach). Verplichte authenticatie zorgt voor traceable attendees en accountability. Voldoet aan CIS 4.1.2 (L2), BIO 11.02. Implementatie: 1-3 uur inclusief user communication. AANBEVOLEN voor organizations met compliance vereisten.