Teams: Gasttoegangscontroles Geconfigureerd

Gasttoegang in Microsoft Teams via Azure AD B2B stelt organisaties in staat om externe gebruikers, zoals consultants, leveranciers en partners, uit te nodigen om deel te nemen aan specifieke teams en kanalen. Deze functionaliteit is essentieel voor moderne zakelijke samenwerking waarbij projectteams regelmatig moeten samenwerken met externe partijen voor gezamenlijke ontwikkeling, klantondersteuning of strategische partnerships. Zonder adequate gasttoegangscontroles ontstaan echter aanzienlijke beveiligingsrisico's die kunnen leiden tot ongeautoriseerde toegang tot gevoelige informatie, data-exfiltratie, compliance-schendingen en reputatieschade voor de organisatie. Het grootste risico ontstaat wanneer gastgebruikers te veel machtigingen krijgen, waardoor zij toegang krijgen tot informatie die buiten het beoogde samenwerkingsdoel valt. Standaardinstellingen in Azure AD en Teams zijn vaak te permissief, wat betekent dat gasten zonder aanvullende controles toegang kunnen krijgen tot directory-informatie, andere teams kunnen zien, bestanden kunnen downloaden naar externe locaties, of zelfs andere gasten kunnen uitnodigen zonder toezicht. Dit vormt een directe bedreiging voor gegevensbescherming omdat vertrouwelijke projectdocumenten, persoonlijke gegevens van medewerkers of strategische bedrijfsinformatie kunnen worden geëxporteerd naar externe partijen zonder dat de organisatie hier zicht op heeft. Bovendien ontstaat er een compliance-probleem wanneer gasttoegang wordt verleend zonder passende gegevensverwerkingsovereenkomsten onder de AVG. De Algemene Verordening Gegevensbescherming vereist dat organisaties kunnen aantonen wie toegang heeft gehad tot persoonsgegevens en welke maatregelen zijn genomen om deze gegevens te beschermen. Zonder technische controles kan een organisatie niet voldoen aan deze vereisten omdat er geen granulatie is in wat gasten kunnen zien of doen, en er is vaak geen audit trail van gastactiviteiten. Permanent actieve gastaccounts zonder vervaldatum vormen een ander kritiek risico. Externe consultants die twee jaar geleden toegang kregen voor een specifiek project hebben mogelijk nog steeds volledige teamtoegang lang na voltooiing van het project. Deze 'zombie-accounts' vormen een beveiligingsrisico omdat de organisatie geen zicht meer heeft op wie toegang heeft tot welke informatie, en inactieve accounts kunnen worden gecompromitteerd zonder dat de organisatie dit merkt. Domeinbeperkingen ontbreken vaak, waardoor werknemers gasten kunnen uitnodigen vanaf consumenten-e-maildomeinen zoals gmail.com of hotmail.com zonder zakelijke verificatie. Dit maakt het moeilijk om te verifiëren of een gastaccount daadwerkelijk bij een vertrouwde partnerorganisatie hoort of dat het een nepaccount is voor phishing of social engineering-doeleinden. Ongecontroleerde gastuitnodigingen zonder goedkeuringsproces leiden tot proliferatie van gastgebruikers waarbij honderden externe gebruikers toegang krijgen zonder IT-goedkeuring of beveiligingscontrole. Dit kan leiden tot situaties waarin concurrenten, onbetrouwbare leveranciers of zelfs kwaadwillende actoren toegang krijgen tot interne teams en gevoelige documenten. Gasttoegangscontroles elimineren deze risico's door technische restricties te implementeren die voorkomen dat gasten meer machtigingen krijgen dan strikt noodzakelijk voor hun samenwerkingsdoel. Deze controles omvatten beperkingen op directory-inzage waarbij gasten alleen hun eigen profiel en de groepen waarin zij lid zijn kunnen zien, zonder toegang tot de volledige organisatiestructuur. Bestandsdelingcontroles voorkomen dat gasten bestanden kunnen downloaden naar externe locaties of bestanden kunnen delen buiten de teamcontext. Levenscyclusbeheer met automatische vervaldatums en periodieke toegangsbeoordelingen zorgt ervoor dat inactieve gastaccounts automatisch worden uitgeschakeld. Domeinbeperkingen blokkeren consumenten-e-maildomeinen terwijl alleen geverifieerde zakelijke domeinen zijn toegestaan. Monitoring en auditlogging bieden volledig inzicht in gastactiviteiten en toegangspatronen. Voor overheidsorganisaties zijn gasttoegangscontroles essentieel voor naleving van de BIO-normen, met name BIO 13.02 die eist dat externe toegang wordt gecontroleerd en gelogd, en BIO 9.01 die vereist dat toegangsrechten worden beheerd. De AVG vereist in Artikel 32 passende technische maatregelen om persoonsgegevens te beschermen, wat wordt ondersteund door restrictieve gastmachtigingen. De NIS2-richtlijn vereist dat essentiële entiteiten passende maatregelen nemen om externe toegang te beheren, wat wordt geïmplementeerd via gasttoegangscontroles.

Implementatie

Gasttoegangscontroles in Teams omvatten een uitgebreide set technische maatregelen die gezamenlijk zorgen voor beveiligde gastensamenwerking. De eerste laag bestaat uit Azure AD B2B-gastmachtigingscontroles die bepalen wat gasten kunnen zien in de directory. De meest restrictieve instelling, 'Gastgebruikers hebben beperkte toegang tot eigenschappen en lidmaatschappen van directory-objecten', voorkomt dat gasten de volledige organisatiestructuur kunnen inventariseren, wat phishing-aanvallen en social engineering voorkomt. Gasten kunnen alleen hun eigen profiel zien, de groepen waarin zij lid zijn en de ledenlijst van die specifieke groepen, zonder toegang tot andere teams, gebruikers of applicaties. De tweede laag bestaat uit Teams-specifieke gastmachtigingen die worden geconfigureerd via gastbeleidsregels. Deze bepalen of gasten kunnen chatten in teams, bestanden kunnen delen, apps kunnen installeren, kanalen kunnen aanmaken of andere gasten kunnen uitnodigen. Restrictieve instellingen voorkomen privilege-escalatie waarbij gasten hun eigen toegang kunnen uitbreiden of ongeautoriseerde partijen kunnen toevoegen aan teams. De derde laag bestaat uit domeinbeperkingen die worden geconfigureerd in Azure AD External Collaboration Settings. Deze beperkingen blokkeren consumenten-e-maildomeinen zoals gmail.com, hotmail.com, yahoo.com en andere consumentendomeinen, terwijl alleen geverifieerde zakelijke domeinen met juiste MX-records zijn toegestaan. Dit verhoogt de beveiliging door ervoor te zorgen dat alleen gebruikers met zakelijke e-mailaccounts kunnen worden uitgenodigd, waardoor de kans op nepaccounts of phishing-aanvallen wordt verkleind. De vierde laag bestaat uit gastlevenscyclusbeheer met automatische vervaldatums en toegangsbeoordelingen. Gasttoegang kan een vervaldatum krijgen met automatische uitschakeling na een gespecificeerde periode, tenzij de toegang expliciet wordt verlengd door een teameigenaar of IT-beheerder. Periodieke toegangsbeoordelingen via Azure AD Access Reviews zorgen ervoor dat kwartaalijks alle gastaccounts moeten worden beoordeeld door teameigenaren, waarbij inactieve gasten automatisch worden uitgeschakeld na 90 dagen inactiviteit. De vijfde laag bestaat uit monitoring en auditlogging die volledig inzicht bieden in gastactiviteiten. Microsoft 365 Audit Logs registreren alle gastacties inclusief bestandsdeling, teamtoegang, uitnodigingen en verwijderingen. Deze logs kunnen worden gebruikt voor compliance-rapportage, security investigations en periodieke toegangsbeoordelingen. Monitoring scripts kunnen automatisch detecteren wanneer gasten toegang krijgen tot gevoelige teams, wanneer inactieve gastaccounts nog steeds actief zijn, of wanneer gastuitnodigingen worden gedaan buiten goedgekeurde processen. De zesde laag bestaat uit Conditional Access-beleidsregels specifiek voor gastgebruikers die extra beveiligingseisen opleggen zoals meervoudige authenticatie (MFA), apparaatcompliance of locatiebeperkingen. Dit zorgt ervoor dat zelfs als een gastaccount wordt gecompromitteerd, aanvallers nog steeds geconfronteerd worden met extra authenticatiebarrières. Deze controles werken samen met gasttoegangsbeleidsregels, waarbij eerst wordt gecontroleerd of gasttoegang is toegestaan op organisatieniveau, vervolgens of het specifieke domein is toegestaan, daarna of de gast de vereiste machtigingsniveaus heeft, en ten slotte of het toegewezen beleid de specifieke actie toestaat. Deze gelaagde aanpak zorgt ervoor dat gasttoegang alleen wordt verleend aan vertrouwde partijen met beperkte rechten voor specifieke doeleinden en met volledige traceerbaarheid en controle.

Vereisten

Voordat gasttoegangscontroles kunnen worden geïmplementeerd, moeten organisaties voldoen aan een aantal kritieke vereisten. Ten eerste moet Azure AD B2B-collaboratie zijn ingeschakeld op organisatieniveau, omdat alle gasttoegangscontroles gebouwd zijn op deze functionaliteit. Zonder Azure AD B2B kunnen gastgebruikers niet worden uitgenodigd en kunnen controles niet worden toegepast. De Azure AD-tenant moet beschikken over de juiste licenties voor B2B-collaboratie, waarbij de meeste Microsoft 365-licenties B2B-gastgebruikers ondersteunen tot een bepaald quotum. Voor grote aantallen gastgebruikers kan een Azure AD B2B Premium-licentie nodig zijn om geavanceerde functies zoals toegangsbeoordelingen en Conditional Access te gebruiken.

Ten tweede moeten organisaties beschikken over een duidelijk beleidskader dat definieert welke gasttoegangscontroles moeten worden toegepast en onder welke omstandigheden gasten mogen worden uitgenodigd. Dit kader moet worden ontwikkeld in samenwerking met business stakeholders, informatiebeveiliging en compliance om ervoor te zorgen dat controles zakelijke behoeften ondersteunen terwijl beveiligings- en compliance-vereisten worden nageleefd. Het beleidskader moet expliciet beschrijven welke restricties worden toegepast op gastmachtigingen, welke domeinen zijn toegestaan of geblokkeerd, wat de levenscyclus van gastaccounts is inclusief vervaldatums en beoordelingsfrequenties, en welke monitoring- en auditvereisten van toepassing zijn.

Daarnaast is een solide Azure AD-structuur essentieel waarbij teams correct zijn georganiseerd en teameigenaren duidelijk zijn geïdentificeerd. Teameigenaren zijn verantwoordelijk voor het beheren van gasttoegang binnen hun teams en moeten worden getraind in het gebruik van toegangsbeoordelingen en het herkennen van verdachte gastactiviteiten. Organisaties moeten ook beschikken over een proces voor het beheren van gastuitnodigingen, waarbij IT-goedkeuring vereist kan zijn voor gasten van onbekende domeinen of teams met hoge gevoeligheid. Dit proces moet transparant zijn en alle uitnodigingen moeten worden vastgelegd voor auditdoeleinden. Tot slot vereist de implementatie uitgebreide test- en acceptatiefases met representatieve gastgebruikers om te verifiëren dat controles correct werken en geen onbedoelde neveneffecten hebben op externe samenwerking of interne communicatie.

1. Azure AD B2B-collaboratie ingeschakeld op organisatieniveau
2. Microsoft 365-licenties met B2B-ondersteuning (Azure AD B2B Premium voor geavanceerde functies)
3. Beleidskader met definities van gasttoegangscontroles en restricties
4. Geïdentificeerde teameigenaren met training in gastbeheer
5. Proces voor goedkeuring en beheer van gastuitnodigingen
6. Test- en acceptatieplan met representatieve gastgebruikers
7. Documentatie van controles en configuraties voor auditdoeleinden
8. Monitoring- en auditlogging-infrastructuur geconfigureerd

Implementatie

De implementatie van gasttoegangscontroles begint met het configureren van Azure AD B2B-gastmachtigingen in de Azure Portal. Navigeer naar Azure Active Directory, External Identities, External collaboration settings en selecteer de optie 'Guest users have limited access to properties and memberships of directory objects' in de sectie Guest user access. Deze meest restrictieve instelling voorkomt dat gasten de volledige directory kunnen inventariseren en zorgt ervoor dat gasten alleen toegang hebben tot hun eigen profiel en de specifieke groepen waarin zij lid zijn. Deze configuratie is organisatiebreed en van toepassing op alle gastgebruikers in de tenant, waardoor een veilige basislijn wordt gecreëerd voor alle externe samenwerking.

In de tweede fase worden domeinbeperkingen geconfigureerd in dezelfde External collaboration settings-sectie. Activeer 'Block invitations to the specified domains' en voeg een lijst toe van consumenten-e-maildomeinen die moeten worden geblokkeerd, zoals gmail.com, hotmail.com, outlook.com, yahoo.com en andere consumentendomeinen. Alternatief kunt u 'Allow invitations only to the specified domains' gebruiken om alleen expliciet goedgekeurde zakelijke domeinen toe te staan. Voor overheidsorganisaties kan dit bijvoorbeeld alleen andere overheidsdomeinen zijn, terwijl commerciële organisaties een whitelist kunnen onderhouden van vertrouwde partnerdomeinen. Deze domeinbeperkingen voorkomen dat werknemers gasten kunnen uitnodigen vanaf niet-verifieerbare consumentendomeinen en verhogen de beveiliging door ervoor te zorgen dat alleen gebruikers met zakelijke e-mailaccounts kunnen worden uitgenodigd.

De derde fase omvat het configureren van Teams-specifieke gastmachtigingen via gastbeleidsregels in het Teams Admin Center of via PowerShell. Maak een restrictief gastbeleid aan met een beschrijvende naam zoals 'Restrictief Gastbeleid - Standaard' en configureer de volgende instellingen: schakel 'Allow or prevent users from inviting, removing, and updating channel members' uit om te voorkomen dat gasten andere leden kunnen beheren, schakel 'Allow creating, updating, and removing channels' uit om te voorkomen dat gasten kanalen kunnen aanmaken of wijzigen, schakel 'Allow deleting channels' uit om te voorkomen dat gasten kanalen kunnen verwijderen, en configureer 'Allow deleting messages' op 'Only owners' om te voorkomen dat gasten berichten kunnen verwijderen. Deze restrictieve instellingen voorkomen privilege-escalatie waarbij gasten hun eigen toegang kunnen uitbreiden of ongecontroleerde wijzigingen kunnen aanbrengen aan teamstructuren.

In de vierde fase wordt gastlevenscyclusbeheer geconfigureerd via Azure AD Access Reviews en Conditional Access. Maak een toegangsbeoordeling aan die kwartaalijks alle gastgebruikers beoordeelt en teameigenaren vraagt om te verifiëren of gasttoegang nog steeds nodig is. Configureer automatische uitschakeling voor gasten die niet worden goedgekeurd of die inactief zijn gedurende 90 dagen. Implementeer Conditional Access-beleidsregels specifiek voor gastgebruikers die MFA vereisen voor alle authenticatiepogingen, ongeacht locatie of apparaat. Dit zorgt ervoor dat zelfs als een gastaccount wordt gecompromitteerd, aanvallers nog steeds geconfronteerd worden met extra authenticatiebarrières. Configureer ook apparaatcompliancevereisten indien van toepassing, waarbij gasten alleen vanaf beheerde of compliance-apparaten toegang kunnen krijgen.

De vijfde fase bestaat uit het configureren van monitoring en auditlogging. Zorg ervoor dat Microsoft 365 Audit Logging is ingeschakeld voor de tenant, wat standaard is ingeschakeld maar moet worden geverifieerd. Configureer auditlog-retentie op minimaal 90 dagen, bij voorkeur 365 dagen voor compliance-doeleinden. Maak gebruik van het PowerShell-script in dit artikel om regelmatig gasttoegang te monitoren en rapporten te genereren over gastactiviteiten, inactieve gastaccounts en mogelijke beveiligingsproblemen. Configureer alerts voor ongewone gastactiviteiten zoals toegang tot gevoelige teams, massale bestandsdeling of pogingen tot privilege-escalatie. Deze monitoring biedt volledig inzicht in gastactiviteiten en stelt beheerders in staat om snel te reageren op beveiligingsincidenten of compliance-problemen.

Tot slot richt de zesde fase een formeel beheerproces in voor het beheren van gasttoegang en het communiceren van wijzigingen naar teameigenaren en gebruikers. Leg vast hoe gastuitnodigingen worden gedaan, wie goedkeuring moet geven voor verschillende soorten gasten, hoe vervaldatums worden beheerd, en hoe toegangsbeoordelingen worden uitgevoerd. Automatiseer dit proces bij voorkeur via een workflowoplossing zoals Power Automate of ServiceNow zodat alle uitnodigingen worden gedocumenteerd en goedgekeurd voordat ze worden verstuurd. Implementeer ook een proces voor periodieke controle waarbij beheerders regelmatig controleren of gasttoegangscontroles nog steeds correct zijn geconfigureerd en of er nieuwe risico's zijn ontstaan. Dit proces moet transparant zijn en alle stappen moeten worden vastgelegd voor auditdoeleinden. Communiceer de gasttoegangscontroles naar teameigenaren zodat zij begrijpen welke restricties van toepassing zijn en hoe zij gasttoegang correct kunnen beheren binnen hun teams.

Gebruik PowerShell-script guest-access-controls.ps1 (functie Invoke-Remediation) – Het PowerShell-script automatiseert het controleren en configureren van gasttoegangscontroles in Microsoft Teams en Azure AD. Het script verbindt met de Teams API en Microsoft Graph API, valideert gastmachtigingsinstellingen, controleert domeinbeperkingen, verifieert levenscyclusbeheer en kan automatisch restrictieve controles configureren op basis van goedgekeurde beleidskaders..

Compliance

Gasttoegangscontroles zijn direct gerelateerd aan meerdere compliance-vereisten in de Nederlandse en Europese wetgeving. De Algemene Verordening Gegevensbescherming (AVG) vereist in Artikel 32 passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies of vernietiging. Gasttoegangscontroles vormen concrete technische maatregelen die voorkomen dat gevoelige persoonsgegevens worden gedeeld met onbevoegde externe partijen door restrictieve machtigingen en domeinbeperkingen te implementeren. Bovendien vereist de AVG in Artikel 30 dat organisaties kunnen aantonen wie toegang heeft gehad tot persoonsgegevens, wat wordt ondersteund door de auditlogging die deel uitmaakt van gasttoegangscontroles en Microsoft 365 Audit Logs. Artikel 25 vereist dat organisaties gegevensbescherming door ontwerp en door standaardinstellingen implementeren, wat wordt ondersteund door de restrictieve standaardinstellingen die deel uitmaken van gasttoegangscontroles.

Voor overheidsorganisaties zijn gasttoegangscontroles essentieel voor naleving van de BIO-normen, met name BIO 13.02 die eist dat externe toegang wordt gecontroleerd en gelogd. BIO 9.01 vereist ook dat toegangsrechten worden beheerd en dat onbevoegde toegang wordt voorkomen, wat wordt ondersteund door de restrictieve gastmachtigingen en domeinbeperkingen die deel uitmaken van gasttoegangscontroles. BIO 13.01 vereist dat organisaties procedures hebben voor externe toegang tot informatiesystemen, wat wordt ondersteund door het formele beheerproces dat deel uitmaakt van gasttoegangscontroles. BIO 12.06 vereist dat organisaties toegangsrechten periodiek beoordelen, wat wordt ondersteund door de toegangsbeoordelingen die deel uitmaken van gastlevenscyclusbeheer.

De NIS2-richtlijn vereist dat essentiële en belangrijke entiteiten passende maatregelen nemen om beveiligingsrisico's te beheren, inclusief het beheren van externe toegang tot systemen en netwerken. Gasttoegangscontroles bieden een concrete manier om deze vereisten in te vullen door technische restricties te implementeren die externe toegang beperken tot alleen wat noodzakelijk is. ISO 27001 A.9.2.2 vereist dat organisaties toegangsrechten beoordelen en dat externe gebruikersrechten worden beheerd en gereviewd, wat wordt ondersteund door de periodieke toegangsbeoordelingen die deel uitmaken van gastlevenscyclusbeheer. ISO 27001 A.13.2.3 vereist dat organisaties procedures hebben voor externe informatie-uitwisseling, wat wordt ondersteund door het formele beheerproces en de monitoring die deel uitmaken van gasttoegangscontroles. ISO 27001 A.12.4.1 vereist dat organisaties toegang tot informatie beperken in overeenstemming met het toegangsbeleid, wat wordt ondersteund door de restrictieve gastmachtigingen die deel uitmaken van gasttoegangscontroles.

Monitoring

Continue monitoring van gasttoegangscontroles is essentieel om te verifiëren dat controles correct worden toegepast en dat er geen onbedoelde toegang wordt verleend. Het monitoringproces moet regelmatig controleren of alle geconfigureerde controles actief zijn, of gastmachtigingsinstellingen nog accuraat zijn en of er geen wijzigingen zijn aangebracht zonder de vereiste goedkeuringen. Daarnaast moet worden gemonitord of er nieuwe gastaccounts zijn aangemaakt, of bestaande gastaccounts nog actief zijn, of inactieve gastaccounts automatisch worden uitgeschakeld, en of gastuitnodigingen worden gedaan volgens goedgekeurde processen. Monitoring moet ook alert zijn op trends zoals een toename van gastgebruikers, ongewone gastactiviteiten zoals toegang tot gevoelige teams, of pogingen tot privilege-escalatie, wat kan wijzen op beveiligingsrisico's of pogingen tot datalekken.

Het PowerShell-script voorziet in geautomatiseerde monitoring die de status van alle gasttoegangscontroles controleert, gastmachtigingsinstellingen valideert, domeinbeperkingen verifieert, inactieve gastaccounts identificeert en rapporteert over eventuele non-compliant configuraties. Het script genereert gedetailleerde rapporten die kunnen worden gebruikt voor auditdoeleinden en compliance-rapportage aan toezichthouders. Regelmatige monitoring, bij voorkeur wekelijks of maandelijks, zorgt ervoor dat wijzigingen in configuraties of nieuwe beveiligingsrisico's tijdig worden opgepikt en verwerkt. Monitoring moet ook controleren of nieuwe gastaccounts automatisch de juiste restricties krijgen en of Conditional Access-beleidsregels correct worden toegepast op gastgebruikers. Microsoft 365 Audit Logs kunnen worden gebruikt om gastactiviteiten te analyseren en te verifiëren dat controles correct worden afgedwongen, inclusief toegang tot teams, bestandsdeling, uitnodigingen en verwijderingen.

Gebruik PowerShell-script guest-access-controls.ps1 (functie Invoke-Monitoring) – Controleren van gasttoegangscontroles configuratie en status, inclusief gastmachtigingsinstellingen, domeinbeperkingen, levenscyclusbeheer en activiteitenmonitoring.

Remediatie

Wanneer monitoring aangeeft dat gasttoegangscontroles niet correct zijn geconfigureerd of ontbreken, moet onmiddellijk worden overgegaan tot remediatie. Het remediatieproces begint met een analyse van de huidige situatie om te bepalen welke controles ontbreken of onjuist zijn geconfigureerd. Vervolgens wordt het goedgekeurde beleidskader geraadpleegd om te bepalen welke configuratie moet worden toegepast, waarna de wijzigingen worden doorgevoerd via het formele change management-proces. In kritieke gevallen waarbij gastgebruikers onbevoegde toegang hebben of te veel machtigingen hebben, moet onmiddellijk worden overgegaan tot het aanpassen van machtigingen, het verwijderen van gasttoegang of het toewijzen van restrictievere controles totdat de juiste configuratie is geïmplementeerd.

Het PowerShell-script kan worden gebruikt om automatisch de vereiste controles te configureren op basis van goedgekeurde beleidskaders. Het script valideert eerst of alle vereiste configuraties bestaan en correct zijn geconfigureerd, waarna ontbrekende controles worden geconfigureerd, onjuiste instellingen worden gecorrigeerd, en inactieve gastaccounts worden geïdentificeerd en uitgeschakeld. Na remediatie moet altijd een verificatie worden uitgevoerd om te bevestigen dat de configuratie correct is toegepast en dat de gewenste toegangscontroles daadwerkelijk worden afgedwongen. Daarnaast moet worden gecontroleerd of de remediatie geen onbedoelde neveneffecten heeft gehad op externe samenwerking of andere controles. Teameigenaren moeten worden geïnformeerd over wijzigingen in gasttoegangscontroles, vooral als dit tot beperkingen leidt of als actieve gastaccounts worden beïnvloed.

Gebruik PowerShell-script guest-access-controls.ps1 (functie Invoke-Remediation) – Herstellen van gasttoegangscontroles configuratie, inclusief gastmachtigingsinstellingen, domeinbeperkingen en levenscyclusbeheer.

Compliance & Frameworks

• BIO: 13.02, 9.01, 13.01, 12.06 -
• ISO 27001:2022: A.9.2.2, A.13.2.3, A.12.4.1 -
• NIS2: Artikel - Beveiligingsmaatregelen voor externe toegang

Risico zonder implementatie

Management Samenvatting

Gasttoegangscontroles bieden technische restricties op gastgebruikersmachtigingen, domeinbeperkingen, levenscyclusbeheer en monitoring voor beveiligde externe samenwerking in Teams. Essentieel voor het voorkomen van ongeautoriseerde toegang, data-exfiltratie en compliance-schendingen. Vereist: Azure AD B2B, beleidskader, teameigenaartraining. Implementatie: 28 uur (12 technisch, 16 organisatorisch).

• Implementatietijd: 28 uur
• FTE required: 0.15 FTE