💼 Management Samenvatting
Customer Lockbox zorgt ervoor dat Microsoft-support pas toegang krijgt tot Power Platform-omgevingen wanneer een gemachtigde beheerder van de Nederlandse organisatie expliciet toestemming geeft, waardoor controle over vertrouwelijke gegevens en audittrail bij de tenant blijft.
Aanbeveling
OVERWEEG VOOR HOOGBEVEILIGDE OMGEVINGEN
Risico zonder
Low
Risk Score
3/10
Implementatie
3u (tech: 2u)
Van toepassing op:
✓ Power Platform
Zonder Customer Lockbox kan Microsoft-support tijdens een escalatie rechtstreeks meekijken in productie, wat moeilijk uitlegbaar is richting AVG, BIO en toezichthouders. Door toegang afhankelijk te maken van een formeel goedkeuringsproces beperken we het risico op ongeautoriseerde inzage, behouden we zicht op wat er gebeurt in kritieke workloads en tonen we partners dat persoonsgegevens met uiterste zorg worden behandeld.
PowerShell Modules Vereist
Primary API: Power Platform API
Connection:
Required Modules: Microsoft.PowerApps.Administration.PowerShell
Connection:
Add-PowerAppsAccountRequired Modules: Microsoft.PowerApps.Administration.PowerShell
Implementatie
De inrichting bestaat uit het inschakelen van Customer Lockbox in het Power Platform-beheercentrum, het documenteren van het goedkeuringsproces en het verbinden van meldingsstromen aan bestaande ITSM-workflows. Daarbij horen een bevoegdhedenmatrix, een draaiboek voor urgente gevallen, logging via Microsoft Purview Audit en monitoring met PowerShell-automatisering om aanvragen en beslissingen te archiveren.
Vereisten
Voorwaarden voor Customer Lockbox beginnen bij de licentie- en bevoegdhedenstructuur. Alleen tenants met Microsoft 365 E5, Microsoft 365 G5 of een gelijkwaardige Compliance-add-on mogen de functie activeren, waardoor een licentie-audit stap één is. Controleer in het Microsoft 365-beheercentrum of Power Platform-beheerders de juiste serviceplannen toegewezen hebben en leg in het autorisatieregister vast dat zij deze rechten namens de organisatie uitoefenen. Richt daarnaast rolgebaseerde accounts in: minimaal twee Power Platform-beheerders, een Global Reader voor verificatie en een aparte CISO- of privacy-officeraccount voor escalaties. Koppel elke beheerder aan Conditional Access en meervoudige authenticatie zodat geen enkel Lockbox-besluit kan worden genomen vanaf een onbeveiligd device. Deze scheiding van taken voorkomt dat dezelfde persoon een supportticket opent, het verzoek beoordeelt én goedkeurt, iets dat auditors structureel afkeuren. De tweede randvoorwaarde is een gedetailleerde kennis van de gegevensstromen binnen de Power Platform-omgevingen. Documenteer per omgeving welke bedrijfsprocessen persoonsgegevens, staatsgeheime componenten of algoritmische modellen bevatten en wijs een BIO- en AVG-classificatie toe. Neem op hoe Citizen Developers omgaan met productiedata, welke DLP-beleidssjablonen actief zijn en welke aanvullende logging noodzakelijk is wanneer Microsoft-support meekijkt. Alleen met deze achtergrondinformatie kan een goedkeurder binnen de SLA beoordelen of een aangevraagd ondersteuningsvenster proportioneel is. Beschrijf ook de mogelijke impact van het weigeren van een verzoek, zodat business-eigenaren vooraf weten welke risico’s blijven bestaan indien ondersteuning wordt geblokkeerd. Een solide communicatie- en besluitvormingskader is de derde voorwaarde. Richt in het ITSM-platform (ServiceNow, TOPdesk of vergelijkbaar) een specifiek requesttype in met verplichte velden voor ticketnummer, omschrijving van de gevraagde handeling, datacategorie, betrokken omgeving en gewenste einddatum van de toegang. Integreer het requesttype met bestaande incident- en changeprocessen zodat Customer Lockbox niet als uitzonderlijk pad wordt behandeld maar onderdeel is van de standaard governance. Wijs primaire en secundaire goedkeurders aan, beschrijf vervangingsregels tijdens vakanties en leg escalatiecriteria vast voor de Functionaris Gegevensbescherming. Communiceer het proces via de Chief Information Officers en het interne security awareness-programma zodat medewerkers begrijpen waarom Microsoft-support soms moet wachten. De laatste voorwaarde is technische gereedheid. Installeer de module `Microsoft.PowerApps.Administration.PowerShell`, configureer een app-registratie met de benodigde API-rechten en zorg dat scripts authenticeren via een afzonderlijke serviceprincipal die in de logging herkenbaar is. Activeer Microsoft Purview Audit (Premium) of een gelijkwaardige archiveringsoplossing zodat alle beslissingen minimaal zeven jaar bewaard blijven, conform de archiefwet voor publieke instellingen. Reserveer een gecontroleerde pilot-omgeving waarin Lockbox-aanvragen kunnen worden gesimuleerd, inclusief gescripte goedkeuringen en afwijzingen, voordat productie wordt aangeraakt. Plan bovendien capaciteit in voor periodieke validaties van het proces; zonder deze controles raakt de organisatie het overzicht kwijt over wie toegang verleent en waarom. Een vaak vergeten vereiste is het meenemen van stakeholders buiten IT. Betrek bijvoorbeeld de chief privacy officer, juridische adviseurs en vertegenwoordigers van de ondernemingsraad al tijdens de ontwerpsessies, zodat zij kunnen beoordelen of het proces aansluit op interne afspraken over vertrouwelijkheid. Documenteer hun input en verwerk deze in de governance-notulen; daarmee toon je aan dat het besluit zorgvuldig tot stand is gekomen en voorkom je vertraging tijdens de formele instemming. Door deze brede betrokkenheid ontstaat draagvlak om Customer Lockbox niet alleen binnen Power Platform toe te passen, maar later desgewenst ook uit te rollen naar andere Microsoft 365-werkstromen.
Implementatie
De implementatie start met een voorbereidingsfase waarin het projectteam het huidige supportproces en de bestaande escalatiepaden in kaart brengt. Verzamel de lijst met actieve Power Platform-omgevingen, koppel er eigenaarsteams aan en bepaal voor elke omgeving of Customer Lockbox standaard moet worden afgedwongen. Werk samen met de serviceorganisatie om scenario’s te beschrijven waarin Microsoft wel of geen toegang nodig heeft, bijvoorbeeld bij een mislukte Dataverse-upgrade of een fout in een mission critical canvas-app. Deze analyse levert de besliscriteria op die later in het goedkeuringsformulier worden gebruikt en vormt de basis voor de training van de goedkeurders. Daarna volgt de configuratie in het Power Platform-beheercentrum. Meld je aan met een Global Administrator of Power Platform-beheerder, navigeer naar https://admin.powerplatform.microsoft.com, kies de tenant, open de Customer Lockbox-instelling en schakel de functie in. Documenteer de exacte datum, tijd en verantwoordelijke persoon, want auditors vragen hier vaak naar. Controleer vervolgens in het Microsoft 365-beheercentrum of het beleid correct wordt gesynchroniseerd naar alle regio’s en valideer via een testticket of Microsoft-support daadwerkelijk een goedkeuringsaanvraag moet indienen voordat ze toegang krijgen. Leg screenshots en logverwijzingen vast als onderdeel van het acceptatiedossier. Parallel hieraan wordt automatisering opgezet. Met de PowerShell-module `Microsoft.PowerApps.Administration.PowerShell` kan het script `power-platform-customer-lockbox.ps1` periodiek API-calls doen om openstaande verzoeken op te halen, metadata te verrijken met ITSM-gegevens en resultaten naar een beveiligde SharePoint-site of Azure Storage te schrijven. Koppel het script aan een Azure Automation-account of een on-premises taakplanner met Managed Identity, zodat de uitvoer traceerbaar is. Voeg foutafhandeling toe die een waarschuwing naar Microsoft Teams verstuurt wanneer een verzoek langer dan vier uur onbeantwoord blijft of wanneer een goedkeuring is verleend door een niet-geautoriseerde gebruiker. Tot slot volgt adoptie en overdracht. Organiseer een oefensessie waarin goedkeurders, privacy officers en servicedeskmedewerkers een end-to-end scenario doorlopen: opening van een supportticket, registratie van het Lockbox-verzoek, beoordeling aan de hand van de risicomatrix, besluitvorming en archivering. Werk het security-operating-model bij, publiceer een compacte handleiding in het intranet en zorg dat de change-advisory board bevestigt dat het proces in productie genomen mag worden. Pas daarna wordt de functie voor alle Power Platform-omgevingen afgedwongen en wordt de pilotstatus opgeheven. Na de go-live volgt een validatiefase van minimaal twee weken waarin elke ontvangen aanvraag actief wordt geëvalueerd tegen de afgesproken KPI’s. Documenteer welke besluiten zijn genomen, hoeveel tijd de goedkeuring kostte en of de gevraagde toegang daadwerkelijk nodig bleek. Gebruik deze inzichten om het verzoekformulier aan te scherpen en aanvullende automatisering toe te voegen, zoals het automatisch sluiten van een aanvraag zodra Microsoft-support aangeeft dat de werkzaamheden zijn afgerond. Pas wanneer deze lessons learned zijn verwerkt, wordt het proces formeel overgedragen aan het lijnteam. Controleer na de eerste rondes ook de samenhang met andere beveiligingsmaatregelen, zoals Privileged Access Workstations en Just-In-Time-toegang via PIM. Beschrijf in het operationele draaiboek hoe Customer Lockbox zich verhoudt tot deze voorzieningen, zodat operators weten welk kanaal leidend is bij urgente incidenten. Plan tenslotte een jaarlijkse herbeoordeling waarin je toetst of nieuwe Microsoft-functionaliteiten of wijzigingen in wetgeving aanvullende configuratiestappen vereisen. Door die review standaard op te nemen in de beheerroadmap blijft het ontwerp toekomstvast en hoeft de organisatie niet telkens vanaf nul te beginnen.
Gebruik PowerShell-script power-platform-customer-lockbox.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van Customer Lockbox start bij volledige zichtbaarheid op de levenscyclus van elk verzoek. Richt een centraal logboek in waarin ticketnummer, betrokken omgeving, datacategorie, aangevraagde duur, besluit en verantwoordelijke worden vastgelegd. Koppel dit logboek aan Microsoft Purview Audit zodat dezelfde gegevens ook in het compliance-archief beschikbaar zijn. Hierdoor kunnen auditors en CISO’s binnen enkele minuten aantonen dat ongeautoriseerde toegang nooit zonder goedkeuring heeft plaatsgevonden. Het monitoringproces combineert handmatige controles met geautomatiseerde signalering. Configureer dagelijkse rapporten waarin alle openstaande verzoeken ouder dan twee uur rood worden gemarkeerd, zodat goedkeurders tijdig kunnen reageren. Voeg daarnaast controlemomenten toe voor afgewezen aanvragen: controleer of er binnen 24 uur een alternatief plan voor de gebruiker is opgesteld en of het besluit aan de Functionaris Gegevensbescherming is gemeld wanneer er persoonsgegevens in het spel zijn. Deze dubbelzijdige monitoring voorkomt dat het proces een bureaucratische hindernis wordt en bewaakt de continuïteit van de dienstverlening. Het script `power-platform-customer-lockbox.ps1` speelt een sleutelrol doordat het elke vijftien minuten de Power Platform API bevraagt, resultaten vergelijkt met het ITSM-systeem en afwijkingen signaleert. Wanneer bijvoorbeeld een verzoek buiten ITSM is aangemaakt of wanneer het script detecteert dat een goedkeuring is verleend zonder de verplichte motivatie, wordt automatisch een melding naar Microsoft Teams en het SIEM gestuurd. Dezelfde automatisering kan statistieken berekenen, zoals de gemiddelde doorlooptijd per omgeving, zodat managementrapportages geen handwerk meer vereisen. Naast numerieke indicatoren hoort monitoring ook kwalitatieve feedback te verzamelen. Plan maandelijks een review met de servicedesk, privacy officers en de productteams van kritieke applicaties. Bespreek welke verzoeken onnodig bleken, waar de Microsoft-engineers nog vragen hadden en of extra documentatie gewenst is. Leg beslissingen vast in het security-verbeterregister zodat wijzigingen in het proces traceerbaar zijn, en koppel verbeteringen aan de CISO-roadmap. Vergeet tenslotte niet de integratie met incidentrespons. Wanneer via monitoring blijkt dat Microsoft-support toegang heeft gehad tot een omgeving waarin gelijktijdig een beveiligingsincident plaatsvond, moet het SOC automatisch worden geïnformeerd om na te gaan of de activiteiten gerelateerd waren. Zo blijft Customer Lockbox niet alleen een compliance-instrument, maar wordt het een volwaardige control binnen het bredere detectie- en responsraamwerk. Rapportages worden idealiter elke week besproken in het security-operational-overleg, waarbij trends zoals seizoensgebonden pieken, terugkerende foutcodes of structurele vertragingen worden geanalyseerd. Door die inzichten te koppelen aan het strategische risicoregister kan de organisatie aantonen dat Customer Lockbox daadwerkelijk bijdraagt aan de risicoreductie die in de managementletters is toegezegd. Indien nodig worden aanvullende KPI’s gedefinieerd, bijvoorbeeld het percentage verzoeken dat binnen twee uur is afgehandeld of het aandeel verzoeken dat na extra vragen alsnog wordt afgewezen. Tot slot moet de organisatie rekening houden met dataminimalisatie en bewaartermijnen. Stel retentiebeleid in voor zowel de operationele logging als de audittrail, zodat detailinformatie vijf tot zeven jaar beschikbaar blijft zonder de opslagkosten uit de hand te laten lopen. Combineer de monitoringgegevens met het security data lake, waardoor het SOC bij verdachte patronen direct kan terugvinden welke supportmedewerker toegang had. Op die manier vormt monitoring een doorlopende kwaliteitslus in plaats van een statisch rapport. Controleer daarnaast elk kwartaal of het script nog voldoet aan de afgesproken performance-eisen en of nieuwe API-versies aanvullende parameters vereisen. Documenteer testresultaten en voer geen wijzigingen door in productie voordat de scripttest in een gecontroleerde omgeving aantoonbaar binnen vijftien seconden voltooid is. Deze discipline borgt dat monitoring betrouwbaar blijft, zelfs wanneer Microsoft de achterliggende diensten bijwerkt.
Gebruik PowerShell-script power-platform-customer-lockbox.ps1 (functie Invoke-Monitoring) – Controleert API-data, vergelijkt met ITSM en signaleert afwijkingen.
Remediatie
Remediatie richt zich op drie scenario’s: een ongeautoriseerd verzoek, een goedgekeurd verzoek dat toch niet aan de voorwaarden voldeed en een technische storing waardoor Microsoft-support per abuis toegang behield. Zodra één van deze situaties wordt gedetecteerd, pauzeert de organisatie direct alle lopende Lockbox-verzoeken in het betreffende tenantdeel. De beheerder trekt eventuele tijdelijke rechten in via het Power Platform-beheercentrum en informeert de Functionaris Gegevensbescherming en het SOC zodat zij kunnen beoordelen of er sprake is van een datalekmelding richting de Autoriteit Persoonsgegevens. Wanneer er sprake is van misbruik of een foutieve goedkeuring, wordt het volledige besluitvormingsproces gereconstrueerd. Haal de auditlogs op, analyseer wie de toegang heeft aangevraagd, wie heeft goedgekeurd en welke gegevens door Microsoft zijn ingezien. Documenteer de bevindingen in het incidentmanagementsysteem en zorg dat betrokken applicatie-eigenaren de business impact beoordelen. Indien nodig wordt de toegang tot de betreffende omgeving tijdelijk geblokkeerd tot de oorzaak is weggenomen. Deze grondige reconstructie is essentieel om vertrouwen bij bestuurders en toezichthouders te behouden. Bij technische fouten of ontbrekende gegevens wordt het remediatiescript `power-platform-customer-lockbox.ps1` ingezet met de functie `Invoke-Remediation`. Het script controleert of afgekeurde verzoeken daadwerkelijk gesloten zijn, herstelt inconsistenties tussen ITSM en de Power Platform-API en archiveert ontbrekende metadata alsnog in het logboek. Indien een aanvraag blijft hangen in de status "pending", forceert het script een hernieuwde synchronisatie zodat Microsoft-support opnieuw toestemming moet vragen. Dit voorkomt dat verlopen aanvragen ongemerkt actief blijven. Ook het proces zelf moet kunnen worden teruggedraaid wanneer de governance niet meer aansluit op de organisatiebehoefte. Stel daarom een noodprocedure op waarin beschreven staat hoe Customer Lockbox tijdelijk kan worden uitgeschakeld, welke risico’s daarmee gepaard gaan en hoe de organisatie dit compenseert, bijvoorbeeld door een strikter changebeleid. Gebruik deze procedure alleen wanneer het governance-model fundamenteel moet worden aangepast, bijvoorbeeld bij een reorganisatie of de invoering van een nieuw ITSM-platform. Alle remediatieacties worden afgesloten met een root-cause-analyse en een update van de documentatie. Pas het autorisatieregister aan, actualiseer de werkinstructies voor goedkeurders en meld eventuele proceswijzigingen aan de auditcommissie. Door elke afwijking op deze manier te evalueren, blijft Customer Lockbox een betrouwbare beveiligingsmaatregel in plaats van een eenmalige instelling. Wanneer goedkeurders niet tijdig reageren of wanneer Microsoft-support aangeeft dat cruciale incidenten blijven liggen, wordt een escalatie naar het crisisteam voorbereid. Dit team kan besluiten om tijdelijk een alternatieve ondersteuningsroute open te stellen, bijvoorbeeld via een dedicated Microsoft Customer Engineer met permanente NDA. Leg dergelijke afwijkingen gedetailleerd vast en zorg dat het bestuur begrijpt waarom van de standaardprocedure is afgeweken. Tot slot worden lessons learned verwerkt in trainingsmateriaal en beleidsdocumenten. Gebruik de uitkomsten van remediatiecases om de beslisboom te verfijnen, extra controlevragen toe te voegen aan het verzoekformulier of aanvullende technische signalen in het script te bouwen. Zo zorgt elke correctieve actie voor een structurele verbetering van het proces. Zodra Microsoft de oorzaak van het incident heeft bevestigd, wordt beoordeeld of aanvullende contractuele maatregelen nodig zijn, zoals strengere servicelevels of het verplicht gebruiken van specifieke communicatiemiddelen. Deze evaluatie vindt plaats samen met inkoop en juridische zaken, zodat nieuwe afspraken direct in lopende contracten kunnen worden vastgelegd. Daarmee sluit de remediatiecyclus niet alleen technische gaten, maar ook organisatorische en juridische zwaktes.
Gebruik PowerShell-script power-platform-customer-lockbox.ps1 (functie Invoke-Remediation) – Herstelt inconsistenties tussen ITSM en Power Platform en sluit openstaande verzoeken.
Compliance en Auditing
Customer Lockbox ondersteunt meerdere compliance-raamwerken doordat het aantoonbare controle creëert over ondersteunende toegang. Het vormt direct bewijs voor ISO 27001:2022 controle A.9.4.2, waarin veilige aanmeldprocedures en autorisatie worden geëist. Door elke toegang vooraf te laten goedkeuren, toont de organisatie dat externe partijen alleen volgens een gedocumenteerd proces binnenkomen en dat er sprake is van scheiding van taken. Voor de AVG sluit de maatregel aan bij artikel 5 lid 1f (integriteit en vertrouwelijkheid) en artikel 32 (passende technische en organisatorische maatregelen). Het goedkeuringslog fungeert als register waaruit blijkt dat persoonsgegevens uitsluitend worden gedeeld wanneer dit noodzakelijk en proportioneel is. Combineer het log met DPIA-resultaten zodat de Functionaris Gegevensbescherming bij elk verzoek kan onderbouwen waarom een beslissing is genomen. De Baseline Informatiebeveiliging Overheid (BIO) vereist in maatregel 12.06.01 dat externe toegang streng wordt gecontroleerd. Door Lockbox te combineren met registraties van supportcalls, een procedure voor identiteitsverificatie van Microsoft-engineers en automatische rapportage naar het CISO-dashboard, voldoet de organisatie aan deze eis. Tevens kan de maatregel worden gekoppeld aan ENSIA-rapportages, waardoor jaarlijkse verantwoording richting toezichthouders eenvoudiger wordt. NIS2 en de Wet beveiliging netwerk- en informatiesystemen benadrukken dat leveranciersketens aantoonbaar beveiligd moeten zijn. Customer Lockbox fungeert als ketenmaatregel: het maakt zichtbaar welke externe partij toegang vraagt, hoe lang die toegang duurt en wie verantwoordelijk is voor de beslissingen. Voeg de maatregel toe aan het Supply Chain Risk Management-plan en beschrijf hoe de organisatie reageert wanneer een leverancier zich niet aan de afspraken houdt. Tot slot is grondige documentatie essentieel. Bewaar beleidsteksten, procesflows, trainingsmateriaal en screenshots van het beheercentrum als auditbewijs. Leg vast hoe vaak rapportages worden beoordeeld, welke KPI’s de raad van bestuur ontvangt en hoe afwijkingen worden opgevolgd. Door deze bewijslast centraal te archiveren kan de organisatie bij elke audit binnen enkele minuten aantonen dat Customer Lockbox geen papieren maatregel is maar een volledig geborgd proces. Specifiek voor Nederlandse overheden geldt dat archiefstukken en beveiligingsbesluiten onder de Archiefwet en de Wet open overheid vallen. Beschrijf daarom in het informatiebeheerplan hoe Lockbox-logs worden bewaard, wie toegang heeft en hoe verzoeken van burgers of journalisten worden afgehandeld zonder staatsgeheimen prijs te geven. Door deze transparantie vooraf te borgen voorkom je dat informatieverzoeken tot adhoc-werk leiden. Houd er eveneens rekening mee dat toezichthouders steeds vaker vragen hoe leveranciers worden beoordeeld. Koppel Customer Lockbox aan het leveranciersmanagementproces en neem de controle op in contractuele bijlagen, zodat Microsoft formeel bevestigt dat geen toegang wordt genomen zonder toestemming. Tijdens audits kun je vervolgens laten zien dat beleid, contract, proces en technische inrichting elkaar versterken. Voor sectoren zoals zorg, politie en defensie dient Customer Lockbox bovendien te worden vergeleken met sectorspecifieke normen, bijvoorbeeld NEN 7510 of de aanvullende defensievoorschriften. Leg in een matrix vast hoe de maatregel voorziet in de eisen rondom logging, geheimhouding en ketenverantwoordelijkheid, en welke aanvullende controles (zoals fysieke escorts of strengere NDA’s) nodig zijn. Deze matrix maakt het eenvoudig om aan toezichthouders te laten zien dat Customer Lockbox deel uitmaakt van een breder stelsel van maatregelen. Door periodiek te toetsen of de beschreven controls nog aansluiten op nieuwe wet- en regelgeving, blijft het compliancekader actueel en sluit het naadloos aan op de strategie van de Nederlandse Baseline voor Veilige Cloud.
Compliance & Frameworks
- ISO 27001:2022: A.9.4.2 - ISO 27001:2022 - veilige log-on procedures
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Power Platform Customer Lockbox Design
.DESCRIPTION
Implementation for Power Platform Customer Lockbox Design
.NOTES
Filename: power-platform-customer-lockbox.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/platform/power-platform-customer-lockbox.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Power Platform Customer Lockbox Design"
$BIOControl = "9.03"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "power-platform-customer-lockbox"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Low: Zonder Customer Lockbox kan Microsoft-support tijdens een storing direct in de tenant werken zonder dat een Nederlandse beheerder dit expliciet heeft toegestaan. Daarmee ontbreekt auditeerbaar bewijs dat toegang proportioneel was en ontstaat het risico dat gevoelige Power Platform-data wordt ingezien buiten de afspraken uit AVG, BIO of contractuele NDA’s.
Management Samenvatting
Customer Lockbox verplicht een formele goedkeuring voordat Microsoft-support een Power Platform-omgeving binnen mag. Met een E5- of G5-licentie wordt de functie in het Power Platform-beheercentrum geactiveerd, gekoppeld aan ITSM-workflows en bewaakt via PowerShell-automatisering. Het levert aantoonbare controle op tijdens audits en is vooral relevant voor rijks-, zorg- en veiligheidsdomeinen waar externe toegang strikt moet worden gemonitord.
- Implementatietijd: 3 uur
- FTE required: 0.05 FTE