💼 Management Samenvatting
Voorwaardelijke toegang voor het Power Platform is een cruciale maatregel om een veilige cloudomgeving te waarborgen. Door expliciet te bepalen onder welke omstandigheden gebruikers toegang krijgen tot Power Apps, Power Automate en andere Power Platform-onderdelen, verkleint de organisatie het risico op ongeautoriseerde toegang en datalekken aanzienlijk. Deze inrichting zorgt ervoor dat alleen vertrouwde identiteiten, apparaten en locaties toegang krijgen tot bedrijfskritische gegevens en automatiseringen die in het Power Platform zijn ondergebracht.
Aanbeveling
Richt voorwaardelijke toegang expliciet in voor alle Power Platform-onderdelen en behandel Power Apps en Power Automate als volwaardige bedrijfskritische cloudapplicaties binnen de bredere Zero Trust-strategie van de organisatie.
Risico zonder
Medium
Risk Score
6/10
Implementatie
12u (tech: 8u)
Van toepassing op:
✓ Power Platform
✓ voorwaardelijke toegang
✓ voorwaardelijke toegang
Zonder een zorgvuldig ontworpen set van voorwaardelijke-toegangsbeleid rond het Power Platform ontstaan er aanzienlijke beveiligingsrisico's. Gebruikers kunnen dan bijvoorbeeld vanaf onbeheerde of niet-compatibele apparaten toegang krijgen tot gevoelige gegevens, automatiseringen kunnen worden uitgevoerd buiten het zicht van security teams en er is geen structurele handhaving van meervoudige authenticatie. Dit kan leiden tot datalekken, schending van wettelijke en interne compliance-eisen, en substantiële reputatieschade voor de organisatie, zeker binnen de publieke sector waar transparantie en verantwoording centraal staan. Door Power Platform expliciet onder dezelfde beveiligingsschil te brengen als andere Microsoft 365-clouddiensten, sluit de organisatie aan bij het Zero Trust-principe en wordt de kans op misbruik van accounts, gestolen sessies of kwaadwillende apps aanzienlijk verkleind.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze richtlijn beschrijft hoe je voorwaardelijke toegang zodanig inricht dat het Power Platform op een gecontroleerde, veilige en auditeerbare manier gebruikt kan worden. De focus ligt op het configureren van beleid in Microsoft Entra (voorheen Azure AD) waarmee je onder andere meervoudige authenticatie afdwingt, toegang beperkt tot compliant of door de organisatie beheerde apparaten en sessies conditioneel toestaat op basis van risico-inschattingen. De technische implementatie maakt gebruik van dezelfde best practices die ook gelden voor andere cloudapplicaties in Microsoft 365, zodat beheerders een consistente beveiligingsbasis hanteren. Hiermee ontstaat een heldere, goed te beheren en toekomstbestendige beveiligingslaag rond alle Power Platform-activiteiten in de organisatie.
Vereisten
Voor een effectieve implementatie van voorwaardelijke toegang rond het Power Platform zijn zowel licentie- als organisatorische randvoorwaarden nodig. Allereerst moet de organisatie beschikken over Microsoft Entra-licenties met functionaliteit voor voorwaardelijke toegang, doorgaans Microsoft Entra ID Premium P1 of een Microsoft 365-suite waarin deze mogelijkheden zijn opgenomen. Zonder deze licenties kunnen de benodigde beleidsregels niet centraal worden ingericht en beheerd. Daarnaast is het noodzakelijk dat identiteiten, groepen en roltoewijzingen op orde zijn. Gebruikers die met het Power Platform werken, moeten traceerbaar zijn via individuele accounts; gedeelde accounts of generieke serviceaccounts zonder duidelijke eigenaar zijn niet geschikt als basis voor een betrouwbaar toegangsmodel. Het is aan te bevelen om voor verschillende doelgroepen – zoals ontwikkelaars, functioneel beheerders en reguliere eindgebruikers – aparte beveiligingsgroepen in te richten, zodat beleid fijnmazig kan worden toegepast. Ook op het vlak van apparaatbeheer bestaan duidelijke vereisten. Apparaten waarmee gebruikers toegang krijgen tot Power Apps en Power Automate dienen bij voorkeur te worden beheerd via Microsoft Intune of een andere erkende oplossing voor mobiel apparaatbeheer. Dit maakt het mogelijk om compliancebeleid af te dwingen, bijvoorbeeld ten aanzien van versleuteling, schermvergrendeling, antimalware en besturingssysteemversies. Alleen apparaten die aan deze richtlijnen voldoen, worden beschouwd als vertrouwd voor toegang tot gegevens en processen binnen het Power Platform. Verder is een heldere set beveiligings- en acceptatievoorwaarden nodig die in beleid, procedures en gebruikerscommunicatie is vastgelegd. Medewerkers moeten begrijpen dat toegang tot bedrijfsapplicaties afhankelijk is van factoren als identiteit, apparaatstatus en locatie, en dat dit onderdeel is van de bredere beveiligingsstrategie van de organisatie. Tot slot is het wenselijk dat de organisatie beschikt over basiskennis van het Zero Trust-concept en de relatie met bestaande beveiligingsmaatregelen, zodat de invoering van voorwaardelijke toegang voor het Power Platform niet als losstaand project wordt benaderd maar als integraal onderdeel van het totale beveiligingsraamwerk.
Implementatie
De implementatie van voorwaardelijke toegang voor het Power Platform start met een grondige inventarisatie: welke gebruikersgroepen maken gebruik van Power Apps en Power Automate, welke gegevens worden verwerkt en vanuit welke soorten apparaten en locaties wordt gewerkt. Op basis van deze analyse definieert de organisatie een doelarchitectuur voor toegang, waarin duidelijk is vastgelegd onder welke condities toegang wordt verleend. Vervolgens open je in het Microsoft Entra-beheerportaal de configuratie van voorwaardelijke toegang en selecteer je de cloudapplicaties die betrekking hebben op het Power Platform, zoals de Power Apps- en Power Automate-onderdelen. Het is raadzaam om niet direct met één allesomvattend beleid te starten, maar om gefaseerd te werken met meerdere, duidelijk geformuleerde beleidsregels. Een eerste beleidsregel kan zich richten op het verplicht stellen van meervoudige authenticatie voor alle gebruikers die toegang krijgen tot Power Apps of Power Automate. Dit beleid wordt toegepast op relevante gebruikers- en groepsselecties, met expliciete uitsluiting van essentiële break-glass-accounts die alleen onder strikt gecontroleerde voorwaarden worden gebruikt. In de instellingen van het beleid wordt gekozen voor het type grant control dat meervoudige authenticatie vereist, zodat bij iedere nieuwe sessie een aanvullende verificatiestap wordt afgedwongen. In een tweede stap wordt een aanvullende beleidsregel ingericht waarmee alleen compliant of door de organisatie beheerde apparaten toegang krijgen tot Power Platform-resources. Dit beleid maakt gebruik van het apparaatcompliance-signaal dat wordt aangeleverd door Intune of een andere beheeroplossing. Door alleen apparaten door te laten die aan de vastgestelde eisen voldoen, wordt voorkomen dat gevoelige gegevens worden benaderd vanaf onbeheerde of mogelijk gecompromitteerde apparatuur. Een derde beleidsregel kan zich richten op het beperken van toegang tot vertrouwde netwerklocaties of landen, afhankelijk van de risicobereidheid van de organisatie. Tijdens de implementatie is het essentieel om te testen met een beperkte pilotgroep, loggegevens nauwkeurig te evalueren en de ervaring van gebruikers actief op te halen. De organisatie publiceert daarnaast duidelijke communicatie over de wijzigingen, zodat gebruikers weten waarom er extra verificatiestappen worden gevraagd en hoe zij ondersteuning kunnen krijgen bij problemen. Pas wanneer de werking stabiel is en de impact acceptabel blijkt, wordt het beleid gefaseerd opgeschaald naar bredere doelgroepen binnen de organisatie.
Gebruik PowerShell-script power-platform-conditional-access.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Na de initiële implementatie van voorwaardelijke toegang is continue monitoring essentieel om te beoordelen of de maatregelen daadwerkelijk het beoogde beveiligingsniveau opleveren en geen onnodige verstoringen veroorzaken. In het Microsoft Entra-beheerportaal zijn uitgebreide aanmeldings- en auditlogboeken beschikbaar waarmee je kunt volgen welke gebruikers toegang vragen tot Power Apps en Power Automate, vanaf welke locaties en apparaten dit gebeurt en welke beleidsregels zijn toegepast. Door deze loggegevens regelmatig te analyseren, bijvoorbeeld wekelijks of maandelijks, kunnen beheerders patronen herkennen zoals herhaalde blokkades vanaf bepaalde apparaten, opvallende inlogpogingen vanuit onbekende landen of tijden en foutmeldingen die wijzen op verkeerd geconfigureerde beleidsregels. Het is verstandig om specifieke rapportages of dashboards in te richten waarin Power Platform-gerelateerde aanmeldingen en beleidsbeslissingen worden uitgelicht, zodat security- en beheerteams snel kunnen beoordelen of aanvullende maatregelen nodig zijn. Naast handmatige analyse kan de organisatie meldingen instellen die automatisch signaleren wanneer er afwijkend gedrag optreedt, zoals een plotselinge toename van geblokkeerde aanmeldingen of het gebruik van verouderde authenticatiemethoden. Deze meldingen helpen om sneller te reageren op mogelijke incidenten en om structurele verbeteringen in het beleid door te voeren. Monitoring heeft echter niet alleen een technische dimensie; ook de beleving van eindgebruikers is een belangrijke graadmeter. Incidentregistraties bij de servicedesk, feedback van gebruikersgroepen en evaluaties met producteigenaren geven inzicht in knelpunten, bijvoorbeeld als beleidsregels te streng zijn voor bepaalde scenario's of als zakelijke processen worden belemmerd. Door technische loggegevens te combineren met deze kwalitatieve informatie ontstaat een compleet beeld van de effectiviteit van de maatregelen. Op basis daarvan kunnen organisaties gerichte aanpassingen doen, zoals het verfijnen van uitzonderingen, het verduidelijken van communicatie naar gebruikers of het aanpassen van tijdsvensters waarbinnen extra verificatie wordt verlangd. Zo blijft het monitoringproces geen eenmalige exercitie, maar een doorlopend onderdeel van professioneel identity- en toegangsbeheer voor het Power Platform.
Gebruik PowerShell-script power-platform-conditional-access.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer uit monitoring of een audit blijkt dat er hiaten zijn in de inrichting van voorwaardelijke toegang rond het Power Platform, is een gestructureerd remediatieproces nodig. Dit begint met het identificeren en prioriteren van tekortkomingen, bijvoorbeeld ontbrekende beleidsregels voor specifieke gebruikersgroepen, te ruime uitzonderingen of scenario's waarin toegang tot gevoelige gegevens nog mogelijk is vanaf onbeheerde apparaten. Voor elk geconstateerd gat wordt beschreven welk risico hieraan verbonden is, welke bedrijfsprocessen geraakt worden en welke verbeteractie noodzakelijk is. Op basis van deze analyse wordt een concreet verbeterplan opgesteld waarin duidelijk staat vastgelegd welke beleidsregels moeten worden toegevoegd of aangepast, welke teststappen nodig zijn en wie verantwoordelijk is voor uitvoering en goedkeuring. Het toevoegen van een ontbrekende beleidsregel voor Power Apps of Power Automate gebeurt vervolgens volgens hetzelfde zorgvuldige stappenplan als bij de initiële implementatie: eerst wordt het beleid opgesteld in een rapportagemodus of met een beperkte pilotgroep, daarna worden de effecten geëvalueerd en pas na expliciete akkoordbevinding wordt het beleid breed geactiveerd. Tijdens remediatie is het belangrijk om nauw samen te werken met zowel security officers als proceseigenaren, zodat de balans tussen beveiliging en werkbaarheid behouden blijft. Sommige aanpassingen kunnen vragen om aanvullende gebruikerscommunicatie of kortdurende begeleiding door de servicedesk, bijvoorbeeld als gebruikers voortaan een extra verificatiestap moeten doorlopen of alleen nog via beheerde apparaten kunnen werken. Alle uitgevoerde maatregelen worden gedocumenteerd, inclusief de onderbouwing van gemaakte keuzes en de datum van invoering. Deze documentatie vormt niet alleen input voor toekomstige audits, maar maakt het ook eenvoudiger om bij volgende verbetertrajecten snel te herleiden waarom bepaalde instellingen zijn gekozen. Door remediatie op deze manier als doorlopend proces te benaderen, blijft de inrichting van voorwaardelijke toegang voor het Power Platform in lijn met veranderende dreigingsbeelden, nieuwe functionaliteit en gewijzigde eisen vanuit wet- en regelgeving.
Gebruik PowerShell-script power-platform-conditional-access.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Voor organisaties in de Nederlandse publieke sector spelen compliance en aantoonbare naleving een grote rol bij de inzet van het Power Platform. Toezichthouders, interne auditdiensten en externe auditors willen kunnen vaststellen dat de toegang tot gegevens en processen op een gecontroleerde wijze is ingericht en dat maatregelen aansluiten bij kaders zoals de BIO en het bredere informatiebeveiligingsbeleid van de organisatie. Een goede documentatie van de voorwaardelijke-toegangsconfiguratie is hiervoor onmisbaar. In deze documentatie wordt onder meer vastgelegd welke beleidsregels specifiek betrekking hebben op Power Apps en Power Automate, welke gebruikersgroepen daaronder vallen, welke risicofactoren worden meegenomen en hoe uitzonderingen worden beheerd en periodiek herbeoordeeld. Daarnaast is het belangrijk om te beschrijven hoe monitoring en remediatie zijn georganiseerd: wie houdt de logbestanden bij, met welke frequentie worden rapportages beoordeeld en welke escalatieroutes gelden bij afwijkingen of beveiligingsincidenten. Tijdens audits kan de organisatie met behulp van exporteren van rapportages uit het Microsoft Entra-portaal inzicht geven in historische aanmeldingsgegevens en beleidsbeslissingen, zodat controleurs kunnen nagaan of toegang in de praktijk daadwerkelijk volgens de beschreven regels is verlopen. Ook de koppeling met andere compliance-onderdelen, zoals het privacybeheer rond persoonsgegevens in apps en automatiseringen, moet helder zijn. Wanneer in het Power Platform toepassingen worden ontwikkeld die persoonsgegevens verwerken, moet bijvoorbeeld duidelijk zijn hoe de combinatie van voorwaardelijke toegang, rolgebaseerde autorisaties en gegevensminimalisatie bijdraagt aan naleving van de AVG. Door deze samenhang goed te documenteren en regelmatig te actualiseren, wordt het voor de organisatie eenvoudiger om bij vragen van bestuur, audit of toezichthouders overtuigend aan te tonen dat het Power Platform op een verantwoorde en controleerbare manier wordt gebruikt. Dit versterkt niet alleen het vertrouwen in de technologie, maar ook in de manier waarop de organisatie invulling geeft aan haar verantwoordelijkheid voor veilige en rechtmatige gegevensverwerking.
Compliance & Frameworks
- BIO: 9.02 - BIO Baseline Informatiebeveiliging Overheid - 9.02 - Toegangscontrole en authenticaties
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Power Platform Conditional Access Design
.DESCRIPTION
Implementation for Power Platform Conditional Access Design
.NOTES
Filename: power-platform-conditional-access.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/platform/power-platform-conditional-access.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Power Platform Conditional Access Design"
$CISControl = "9.x"
$BIOControl = "9.02"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "power-platform-conditional-access"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Wanneer het Power Platform buiten de centrale inrichting van voorwaardelijke toegang blijft, ontstaat een situatie waarin gebruikers vanaf onbeheerde of niet-compatibele apparaten toegang kunnen krijgen tot gevoelige gegevens en waar automatiseringen zonder voldoende zicht en controle worden uitgevoerd. Het ontbreken van verplichte meervoudige authenticatie, apparaatcompliance en duidelijke begrenzing van locaties ondermijnt de uitgangspunten van Zero Trust en vergroot de kans op misbruik van accounts, datalekken en overtredingen van interne en wettelijke kaders. Het risico is daarmee ten minste middelgroot en raakt direct aan toegangsbeheer en governance rond gegevensverwerking.
Management Samenvatting
Door voorwaardelijke toegang toe te passen op Power Apps en Power Automate breng je het Power Platform onder dezelfde beveiligingslaag als andere Microsoft 365-clouddiensten. Met beleid dat meervoudige authenticatie, compliant apparaten en gecontroleerde locaties vereist, wordt ongeautoriseerde toegang sterk beperkt en sluit de inrichting aan op het Zero Trust-principe. De implementatie is technisch relatief overzichtelijk, maar vraagt om zorgvuldige voorbereiding, testing en documentatie om zowel beveiliging als gebruiksgemak in balans te houden.
- Implementatietijd: 12 uur
- FTE required: 0.2 FTE