💼 Management Samenvatting
Tenantisolatie binnen Microsoft Power Platform zorgt ervoor dat gegevensverkeer en functionaliteit strikt binnen de grenzen van de eigen tenant blijven en niet ongecontroleerd kunnen stromen naar andere Microsoft 365- of Power Platform-tenants. Door deze afbakening ontstaat een duidelijke scheiding tussen omgevingen van verschillende organisaties, waardoor het risico op onbedoelde gegevensuitwisseling, misbruik van connectors of foutief ingerichte integraties aanzienlijk wordt verminderd. Tenantisolatie vormt daarmee een essentieel onderdeel van een moderne, zero trust-geïnspireerde cloudarchitectuur waarin iedere grens expliciet wordt gedefinieerd en technisch wordt afgedwongen.
Aanbeveling
Implementeer en handhaaf tenantisolatie voor alle Power Platform-omgevingen, zodat datastromen en functionaliteit strikt binnen de grenzen van de eigen organisatie blijven en alleen onder gecontroleerde voorwaarden met andere tenants worden gedeeld.
Risico zonder
Medium
Risk Score
6/10
Implementatie
12u (tech: 8u)
Van toepassing op:
✓ Power Platform
Zonder expliciete tenantisolatie ontstaat een situatie waarin ontwikkelaars, citizen developers en integraties relatief eenvoudig verbinding kunnen maken met omgevingen van andere tenants, bijvoorbeeld via standaard Power Platform-connectors, B2B-samenwerking of verkeerd geconfigureerde netwerktoegang. In zo’n scenario kunnen gevoelige gegevens – zoals persoonsgegevens, vertrouwelijke documenten of operationele procesdata – ongemerkt terechtkomen bij derden of bij omgevingen die buiten het beheerde compliance-domein vallen. Dit leidt niet alleen tot een verhoogd risico op datalekken en misbruik, maar kan ook direct in strijd zijn met wettelijke kaders zoals de AVG, de BIO en sectorspecifieke regelgeving. Daarnaast wordt het voor CISO’s, privacy officers en auditors vrijwel onmogelijk om nog eenduidig aan te tonen waar data zich bevindt, wie er toegang toe heeft en hoe de datastromen worden gecontroleerd, wat reputatieschade en sancties van toezichthouders kan veroorzaken.
PowerShell Modules Vereist
Primary API: Power Platform API
Connection:
Required Modules: Microsoft.PowerApps.Administration.PowerShell
Connection:
Add-PowerAppsAccountRequired Modules: Microsoft.PowerApps.Administration.PowerShell
Implementatie
Deze inrichting richt zich op het consequent ontwerpen, configureren en afdwingen van tenantisolatie in Power Platform, zowel technisch als organisatorisch. Technisch wordt gebruikgemaakt van de beschikbare Power Platform-tenantinstellingen, beleid voor cross-tenantbeperkingen, beheer op omgevingsniveau en aanvullende maatregelen zoals Azure Policy, netwerksegmentatie en identity governance. Organisatorisch gaat het om het definiëren van heldere richtlijnen voor welke tenants, omgevingen en connectors wel of niet met elkaar mogen communiceren, het vastleggen van uitzonderingsprocessen en het borgen van periodieke controles door beheerteams en security officers. Het resultaat is een beheersbare Power Platform-omgeving waarin integraties en datastromen wel mogelijk blijven waar dit functioneel nodig is, maar uitsluitend binnen gecontroleerde, aantoonbaar conforme kaders.
Vereisten
Voor een zorgvuldige inrichting van tenantisolatie in Power Platform is een combinatie van technische bevoegdheden en organisatorische randvoorwaarden noodzakelijk. Allereerst is het vereist dat er één of meerdere Power Platform-beheerders zijn met voldoende rechten om tenantinstellingen, omgevingsinstellingen en connectorbeleid te beheren. Deze beheerders dienen vertrouwd te zijn met het Power Platform-beheercentrum, de relatie tussen omgevingen en de onderliggende Microsoft Entra ID-identiteiten, en de wijze waarop gebruikers, groepen en service-principals toegang krijgen tot apps, flows en datakoppelingen. Daarnaast is een duidelijke rolverdeling binnen de organisatie essentieel: de CISO of security officer bepaalt de kaders voor tenantisolatie, terwijl functioneel beheerders en ontwikkelteams verantwoordelijk zijn voor het toepassen van deze kaders in hun oplossingen. Verder moeten er actuele documentatie en architectuurrichtlijnen beschikbaar zijn waarin staat welke externe tenants of clouddiensten als vertrouwd worden beschouwd en onder welke voorwaarden gegevensuitwisseling met deze partijen is toegestaan. Zonder deze vooraf gedefinieerde afspraken ontstaat er snel een lappendeken van uitzonderingen en tijdelijke oplossingen die de beveiligingsdoelstellingen ondermijnen. Tot slot is het belangrijk dat er een change- en releaseproces bestaat waarin wijzigingen aan tenantisolatiebeleid – zoals het tijdelijk toestaan van een specifieke connector naar een externe tenant voor een pilot – formeel worden aangevraagd, beoordeeld en goedgekeurd. Dit voorkomt dat individuele ontwikkelaars zelfstandig technische achterdeuren openen om functionaliteit werkend te krijgen, met alle risico’s van dien.
Implementatie
De implementatie van tenantisolatie in Power Platform begint in het Power Platform-beheercentrum, waar op tenantniveau wordt bepaald welke inkomende en uitgaande datastromen met andere tenants zijn toegestaan. In de praktijk betekent dit dat de beheerder eerst een inventarisatie uitvoert van alle bestaande omgevingen, connectors en integraties die momenteel worden gebruikt, inclusief eventuele verbindingen met externe Microsoft 365-tenants of derde partijen. Vervolgens wordt, in afstemming met security en architectuur, een ontwerp gemaakt voor de gewenste doelarchitectuur: welke tenants mogen als vertrouwd worden aangemerkt, welke type datastromen zijn noodzakelijk voor de bedrijfsvoering en welke koppelingen expliciet geblokkeerd moeten worden. Op basis van dit ontwerp configureert de beheerder de tenantinstellingen voor cross-tenantbeperkingen, waarbij zowel inkomende als uitgaande verbindingen worden beperkt tot expliciet toegestane tenants. Daarbij hoort ook het instellen van beleid voor het aanmaken van nieuwe omgevingen, zodat niet ongecontroleerd shadow-omgevingen ontstaan die zich aan toezicht onttrekken. Naast de beheerdersinterface kan de organisatie geautomatiseerde validatie en rapportage inrichten met behulp van PowerShell-scripts en de Power Platform-beheer-API’s. Het bijbehorende script in deze baseline kan bijvoorbeeld periodiek worden uitgevoerd om de huidige isolatiestatus te controleren, afwijkingen te signaleren en deze te rapporteren aan het securityteam. Gedurende de implementatiefase is het belangrijk om nauwe afstemming te houden met de ontwikkelteams: zij moeten begrijpen welke wijzigingen er plaatsvinden, welke connectors of integraties mogelijk worden beïnvloed en hoe zij eventuele uitzonderingen kunnen aanvragen. Door deze stappen gestructureerd te doorlopen ontstaat er een beheersbare configuratie waarin tenantisolatie niet als belemmering wordt ervaren, maar als een randvoorwaarde die de betrouwbaarheid en veiligheid van alle Power Platform-oplossingen verhoogt.
Gebruik PowerShell-script power-platform-tenancy-isolation.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Zodra tenantisolatie is ingericht, verschuift de aandacht naar continue monitoring om te waarborgen dat de ingestelde regels in de praktijk blijven functioneren zoals ontworpen. Monitoring richt zich niet alleen op de technische configuraties, maar ook op het feitelijke gebruik van connectors, omgevingen en cross-tenant datastromen. De organisatie dient periodiek te controleren of de ingestelde isolatieregels in Power Platform nog in lijn zijn met de actuele risicoanalyse en of er geen ongeautoriseerde uitzonderingen zijn ontstaan, bijvoorbeeld doordat tijdelijke openstellingen niet tijdig zijn teruggedraaid. Met behulp van het bijbehorende PowerShell-script en de Power Platform-beheer-API’s kan een geautomatiseerd overzicht worden opgesteld van alle omgevingen, gebruikte connectors en verbindingen met externe tenants. Deze rapportages worden idealiter gekoppeld aan een centraal monitoring- en rapportageplatform, zodat security- en beheerteams afwijkingen snel kunnen herkennen. Denk hierbij aan onverwachte verbindingen naar onbekende tenants, een plotselinge toename van dataverkeer via specifieke connectors of ongebruikelijke wijzigingen in tenantinstellingen. Daarnaast is het belangrijk om loggegevens – zoals auditlogs uit Power Platform en Microsoft Entra ID – op te nemen in het bredere SIEM- of logginglandschap van de organisatie. Hiermee kan worden vastgesteld wie wijzigingen in isolatieregels heeft aangebracht, wanneer dit is gebeurd en welke impact dit had op de beveiliging van data. Door monitoring als doorlopend proces te organiseren, inclusief duidelijke verantwoordelijkheden, escalatieroutes en rapportagelijnen, wordt tenantisolatie geen eenmalig project, maar een blijvend geborgd onderdeel van de cloudbeveiligingsstrategie.
Gebruik PowerShell-script power-platform-tenancy-isolation.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer uit monitoring of een audit blijkt dat tenantisolatie onvoldoende is ingericht of dat er ongewenste cross-tenant datastromen plaatsvinden, moet gericht worden overgegaan tot remediatie. Dit begint met het vaststellen van de feitelijke situatie: welke omgevingen en connectors maken op dat moment verbinding met externe tenants, welke gegevens worden uitgewisseld en welke bedrijfsprocessen zijn hiervan afhankelijk. Op basis hiervan wordt een herstelplan opgesteld dat zowel technische maatregelen als communicatie richting betrokken stakeholders bevat. Technisch kan remediatie bestaan uit het direct aanscherpen van tenantinstellingen, het blokkeren of beperken van specifieke connectors, het intrekken van machtigingen van service-principals of het afsluiten van ongeautoriseerde omgevingen. Daarbij moet zorgvuldig worden beoordeeld of tijdelijke mitigerende maatregelen – zoals het beperken van toegang tot een kleine groep beheerders – nodig zijn totdat een structurele oplossing is doorgevoerd. Het bijbehorende PowerShell-script kan worden ingezet om herstelacties geautomatiseerd uit te voeren, bijvoorbeeld door alle omgevingen systematisch langs de gewenste isolatieconfiguratie te leggen en afwijkingen automatisch te corrigeren. Naast de technische acties is het cruciaal om de impact op de business te managen: eigenaars van apps en flows moeten worden geïnformeerd over wijzigingen, en waar nodig moeten alternatieve, conforme integratieroutes worden aangeboden. Na afronding van de remediatie wordt de nieuwe situatie gedocumenteerd en wordt beoordeeld of aanvullende beleidsaanpassingen, bewustwordingsactiviteiten of proceswijzigingen nodig zijn om herhaling te voorkomen. Zo groeit tenantisolatie stap voor stap uit tot een volwassen en aantoonbaar effectief beheerd domein binnen de bredere cloudgovernance van de organisatie.
Gebruik PowerShell-script power-platform-tenancy-isolation.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Tenantisolatie in Power Platform draagt direct bij aan het aantoonbaar voldoen aan wettelijke en normatieve kaders zoals de AVG, de BIO en sectorspecifieke richtlijnen. Toezichthouders en auditors verwachten dat organisaties grip hebben op waar persoonsgegevens en andere gevoelige gegevens zich bevinden, met welke partijen deze worden gedeeld en onder welke voorwaarden dat gebeurt. Door expliciet vast te leggen welke tenants als vertrouwd worden beschouwd, hoe cross-tenant verbindingen zijn beperkt en welke uitzonderingsprocessen gelden, kan de organisatie tijdens audits concreet laten zien dat de grenzen van de digitale omgeving bewust zijn ontworpen en worden gehandhaafd. Het is daarbij essentieel dat de gekozen configuratie niet alleen technisch wordt ingesteld, maar ook wordt beschreven in beleid en procedures: wie is verantwoordelijk voor het beheer van tenantisolatie, hoe worden wijzigingen aangevraagd en goedgekeurd, en hoe worden uitzonderingen tijdelijk en controleerbaar ingericht. Relevante bewijsmiddelen – zoals exports van isolatieconfiguraties, rapportages uit de Power Platform-beheer-API’s en auditlogs van aangebrachte wijzigingen – dienen gestructureerd te worden opgeslagen binnen het compliance-dossier, inclusief een bewaartermijn in lijn met interne en externe eisen. Dit maakt het mogelijk om gedurende meerdere jaren aan te tonen dat tenantisolatie niet ad hoc, maar duurzaam en aantoonbaar effectief is georganiseerd. Daarnaast ondersteunt een goed ingerichte tenantisolatie de principes van gegevensminimalisatie en dataminimalisatie uit de AVG: doordat ongecontroleerde datastromen naar externe tenants worden voorkomen, blijft de verwerking van persoonsgegevens binnen de overeengekomen grenzen van de verwerkingsverantwoordelijke en de afgesloten verwerkersovereenkomsten.
Compliance & Frameworks
- BIO: 13.01 - BIO Baseline Informatiebeveiliging Overheid - 13.01 - netwerksegmentatie en het logisch scheiden van omgevingen en datastromen tussen verschillende tenants.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Power Platform Tenancy Isolation Design
.DESCRIPTION
Implementation for Power Platform Tenancy Isolation Design
.NOTES
Filename: power-platform-tenancy-isolation.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/platform/power-platform-tenancy-isolation.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Power Platform Tenancy Isolation Design"
$BIOControl = "13.01"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "power-platform-tenancy-isolation"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Wanneer tenantisolatie niet of slechts gedeeltelijk is ingericht, kunnen Power Platform-apps, -flows en connectors ongemerkt gegevens uitwisselen met externe tenants of omgevingen buiten het formele beheerdomein van de organisatie. Dit vergroot het risico op datalekken aanzienlijk, omdat persoonsgegevens, vertrouwelijke documenten of operationele gegevens via standaardconnectors kunnen worden geëxporteerd naar omgevingen die niet zijn opgenomen in verwerkersovereenkomsten, beveiligingsafspraken of het interne compliance-raamwerk. Bovendien wordt het voor auditors en toezichthouders moeilijk tot onmogelijk om vast te stellen waar gegevens zich bevinden en wie er toegang toe heeft, wat kan leiden tot bevindingen rondom AVG-naleving, BIO-vereisten en sectorale normen. Naast juridische en financiële gevolgen kan een incident met ongecontroleerde cross-tenant datastromen leiden tot aanzienlijke reputatieschade, verlies van vertrouwen bij burgers en ketenpartners en een langdurig hersteltraject waarin architectuur, processen en governance achteraf moeten worden aangescherpt.
Management Samenvatting
Tenantisolatie in Power Platform is een essentiële maatregel om de digitale grenzen van de organisatie af te bakenen en ongewenste gegevensuitwisseling met andere tenants te voorkomen. Door op tenantniveau expliciet te bepalen welke inkomende en uitgaande verbindingen zijn toegestaan, het aanmaken van nieuwe omgevingen te reguleren en het gebruik van connectors naar externe tenants te beperken, ontstaat een beheersbare en aantoonbaar veilige architectuur. De inrichting kan grotendeels worden gerealiseerd met standaardfunctionaliteit in het Power Platform-beheercentrum en aanvullende automatisering via PowerShell-scripts, zonder extra licentiekosten. In combinatie met heldere governance-afspraken, periodieke monitoring en goede documentatie ondersteunt tenantisolatie de naleving van AVG en BIO en verkleint het structureel de kans op cross-tenant datalekken, terwijl noodzakelijke samenwerking en integratie binnen gecontroleerde kaders mogelijk blijven.
- Implementatietijd: 12 uur
- FTE required: 0.2 FTE