Voor ICT in het belang van je school
Het normenkader IBP

Normenkader IBP: Identity- en accessmanagement

Domein 10 uit het normenkader IBP gaat over het beveiligen van de informatie binnen jouw schoolbestuur tegen ongeoorloofde toegang. Je dient hiervoor de toegang tot alle systemen en informatie goed te regelen. Hieronder geven we je tips voor de normen uit dit domein en lees je hoe onze (Microsoft)-productoplossingen daarbij kunnen ondersteunen.

Lees de uitleg over domein 10 van Kennisnet

Let op: technologie kan helpen om aan bepaalde normen te voldoen, maar zorgt er niet automatisch voor dat je een groen vinkje bij de norm kan zetten. Ook is er binnen elke norm altijd ruimte voor groei en ontwikkeling.

Norm

10.1 Toegangsrechten toewijzen

Tips

De medewerkers binnen het schoolbestuur hebben toegang tot de omgeving nodig om hun werk te kunnen doen. Koppel hen dus aan de juiste groepen om toegang te krijgen tot de juiste data. Medewerkers zonder beheertaken zijn een ‘gewone’ gebruiker. Geef medewerkers mét beheertaken de juiste rechten via de PIM-beheergroepen (Privileged Identity Management). Idealiter zorg je ervoor dat accounts automatisch aangemaakt worden en op basis van functie en locatie automatisch worden gekoppeld aan de juiste groepen.

10.2 Administratie van toegangsrechten

Geef gebruikers die op enige manier beheerrechten nodig hebben om taken uit te voeren, alleen toegang tot wat ze nodig hebben. Deze rechten worden uitgedeeld op basis van de specifieke beheergroep waar je de gebruiker aan koppelt. De toewijzingen kun je vormgeven in een machtigingsmatrix. Toegangsrechten tot specifieke SharePoint-sites kun je vormgeven via een matrix met welke groepen toegang hebben tot specifieke sites.

10.3 Monitoring en toegang superusers

Via PIM (Privileged Identity Management) maak je het verplicht dat superusers (globale beheerders) zich moeten aanmelden via een phishing-bestendige methode. Op deze manier wordt de globale beheerrol op de meest veilige manier gekoppeld aan het account van de beheerder. Andere beheerders kunnen op de hoogte worden gehouden van hoe vaak iemand zo’n beheerrol activeert. Optioneel kun je instellen dat het activeren van de globale beheerrol moet worden goedgekeurd door een andere ICT-beheerder. 

10.4 Noodprocedure superuserrechten

Maak een break-the-glass-account aan: een speciaal gebruikersaccount dat je kunt gebruiken in noodsituaties om toegang te krijgen tot systemen of diensten wanneer normale toegangscontroles niet werken. Dit moet een account zijn met een sterk wachtwoord. Je kunt aan dit account ook één of meerdere YubiKeys koppelen, zodat met deze key altijd toegang kan worden verkregen in een noodsituatie.

10.5 Periodieke beoordeling van toegangsrechten

Controleer één keer per halfjaar/jaar of iedere gebruiker nog in de juiste PIM-beheergroepen is toegevoegd. Dat kan via Access Reviews. ICT kan gevraagd worden om deze toegang op de groepen goed of af te keuren.

Ondersteunende producten

Microsoft Entra ID Plan 1
Zit standaard in de A3-licentie (het basispakket)

Toelichting

Hiermee stel je MFA en de verschillende verificatieopties in.

Microsoft Entra ID Plan 2
Dit is een A5-licentie

Hiermee kun je aan de slag met:
1. Privileged Identity Management (PIM): hiermee geef je gebruikers just-in-time toegang tot beheerrollen. Bijvoorbeeld voor een specifieke periode om een specifieke taak uit te voeren. Je hebt de licentie nodig voor zowel de mensen die PIM instellen, als degenen die via PIM toegang tot een beheerrol krijgen.
2. Access Reviews: hiermee controleer je geautomatiseerd de groepstoegang voor de gebruikers die in de groepen zitten. Je hebt een licentie nodig voor zowel de mensen die in de groep zitten, als degenen die controleren.

YubiKeys

Deze beveiligingssleutels laten gebruikers op een eenvoudige manier phishing-bestendig aanmelden. Ook kun je een YubiKey koppelen aan het break-the-glass-account.

Kies ik voor A3 of A5?

Een A3-licentie biedt vaak standaardfunctionaliteiten, terwijl een A5-licentie meer mogelijkheden voor automatisering en geavanceerde beveiliging biedt. Als je nog niet alles uit je A3-licentie hebt gehaald, is een overstap naar de volledige A5-licentie vaak niet nodig. Een handige tussenstap is dan een add-on licentie die specifieke functies toevoegt, zoals A5 Security of A5 Compliance. Zo kun je je A3-licentie gericht uitbreiden, zonder direct over te stappen naar de volledige A5.

Goed om te weten: wanneer je twee losse A5-producten aanschaft, is dat vaak in verhouding net zo duur als de volledige A5-suite. In sommige gevallen is het dus slim om direct al te kiezen voor de A5-suite. Bijvoorbeeld wanneer je nu één specifiek product wilt upgraden, maar komend jaar mogelijk nog eentje.

Lees meer over Microsoft 365 A5

Hulp nodig? Of wijzigingen doorgeven?

Handige linkjes

Bekijk je licenties, lees de veelgestelde vragen of ga naar de wijzigingsformulieren.

Heb je vragen?

Onze Servicedesk staat elke werkdag van 8.30 tot 17.00 uur voor je klaar en is bereikbaar via 030 - 285 68 70 of info@apsitdiensten.nl

Cookies

Wij maken gebruik van cookies (Functioneel, Analytisch, Marketing) die noodzakelijk zijn om de website zo goed mogelijk te laten functioneren. Door op alle cookies accepteren te klikken geef je aan hiermee akkoord te gaan. Bekijk onze privacy verklaring.