Power Platform Tenant Instellingen

Wanneer instellingen niet centraal worden vastgelegd ontstaat een kettingreactie van ongecontroleerde omgevingen, ongeautoriseerde connectoren en onvoldoende toezicht op gevoelige gegevens; dit leidt tot gegevensverlies, AVG-incidenten en stilstand van primaire processen binnen overheidsorganisaties.

Implementatie

Dit document beschrijft hoe beheerteams stap voor stap tenantinstellingen ontwerpen, implementeren en bewaken zodat het platform aansluit op Nederlandse wet- en regelgeving, BIO-controles en organisatiebrede architectuurrichtlijnen voor veilige clouddiensten.

Vereisten

Een robuuste inrichting van tenantinstellingen begint met een formeel governance-orgaan waarin de Power Platform beheerder, de Chief Information Security Officer, de functionaris voor gegevensbescherming en vertegenwoordigers uit de primaire businessprocessen gezamenlijk kaders vastleggen. Zij documenteren de doelstellingen van het platform, de risico-appetite, de afhankelijkheden met Azure Active Directory en de manier waarop apps productierijp worden verklaard. Zonder deze gedeelde visie blijven instellingen ad-hoc en zijn beleidskeuzes nauwelijks uitlegbaar tijdens audits. Naast bestuurskracht moeten de juiste technische bevoegdheden beschikbaar zijn. Dat betekent dat minimaal twee beheerders Just-In-Time toegang tot het Power Platform admin center hebben, dat er serviceaccounts bestaan voor geautomatiseerde configuratiescripts en dat Conditional Access beleid is ingericht om beheertaken te beschermen met meervoudige authenticatie en device compliance. Licenties voor Power Platform, Microsoft 365 en Dynamics 365 moeten bovendien inzichtelijk zijn, inclusief wie welke premiumconnectoren gebruikt zodat beleidsregels hierop kunnen aansluiten. Een volgende vereiste is een actueel overzicht van alle bestaande omgevingen, dataclassificaties en Dataverse-tabellen. Deze inventaris vormt de basis voor het koppelen van data loss prevention beleid, het aanwijzen van business owners en het bepalen welke systemen persoonsgegevens of staatsgevoelige informatie verwerken. De inventaris is gekoppeld aan het centrale CMDB of architectuurregister zodat wijzigingen in bronsystemen automatisch leiden tot herbeoordeling van riskante connectoren of API-machtigingen. Tot slot zijn procesmatige randvoorwaarden essentieel. Change- en releaseprocessen moeten voorzien in impactanalyses voor tenantinstellingen, communicatieplannen naar ontwikkelteams en opleidingsmateriaal voor citizen developers. Elke wijziging in beleid wordt geregistreerd in een configuration baseline, voorzien van motivatie, risicoanalyse en verwijzing naar BIO-paragrafen. Alleen wanneer deze organisatorische fundamenten op orde zijn kan de daadwerkelijke implementatie van tenantinstellingen veilig, reproduceerbaar en uitlegbaar plaatsvinden. Daarnaast vereisen Nederlandse overheidsorganisaties dat dataresidentie, encryptie en loggingeisen aansluiten op bestaande cloudkaders. Het beheerteam moet kunnen aantonen in welke regio's Dataverse-data resideert, hoe customer lockbox of double key encryption wordt toegepast en welke logging naar het SOC wordt doorgestuurd. Ook moeten koppelingen met Microsoft Purview en Defender for Cloud Apps klaarstaan zodat classificatielabels automatisch overgaan op apps, connectors en dataflows. Deze technische integraties zijn randvoorwaardelijk voordat het beleid kan worden afgedwongen. Ook op het vlak van mens en cultuur bestaan belangrijke vereisten. Er moeten e-learningmodules beschikbaar zijn voor citizen developers waarin zij leren hoe tenantinstellingen hun apps raken, terwijl supportmedewerkers instructies krijgen om uitzonderingsverzoeken te beoordelen. KPI's, zoals het percentage goedgekeurde uitzonderingen dat binnen tien werkdagen is afgehandeld, worden vooraf gedefinieerd. Verder is een communicatiekanaal nodig waar gebruikers wijzigingen of incidenten kunnen melden, inclusief escalatie naar het crisiscommunicatieteam wanneer maatschappelijke dienstverlening in gevaar komt. Met deze combinatie van bestuurlijke, technische en culturele randvoorwaarden ontstaat een solide vertrekpunt voor het configureren van tenantinstellingen. Tot slot moet leveranciersmanagement aansluiten op deze randvoorwaarden. Contracten met Microsoft en andere dienstverleners bevatten bepalingen over responstijden bij incidenten, escalatiepaden voor productwijzigingen en afspraken over data-opslaglocaties. Het governanceorgaan zorgt ervoor dat deze contractuele toezeggingen zijn vertaald naar concrete eisen voor tenantinstellingen, zodat externe en interne verplichtingen elkaar versterken. Verder moeten budgetten, capaciteit en tooling beschikbaar zijn om deze vereisten in stand te houden. Er wordt vooraf vastgelegd hoeveel FTE nodig is voor beleid, beheer en handhaving, welke tools voor configuratievergelijking worden gefinancierd en hoe deze middelen jaarlijks worden geëvalueerd. Zo blijft de randvoorwaardelijke infrastructuur toekomstbestendig en schaalbaar.

Implementatie

De implementatie start met het vertalen van beleidskaders naar concrete instellingen binnen het Power Platform admin center. Begin met het uitschakelen van virale trials en self-service aankoop door eindgebruikers zodat licenties niet buiten inkoopprocessen om ontstaan. Activeer vervolgens tenantisolatie en sta uitsluitend expliciet goedgekeurde tenants toe voor gedeelde apps, zodat gegevens nooit ongemerkt naar externe organisaties stromen. Koppel elke instelling aan de verantwoordelijke rol uit het governanceorgaan en leg vast welk beslisdocument de configuratie legitimeert. Daarna richt je environmentstrategieën in. Maak aparte productie-, acceptatie- en ontwikkelomgevingen aan met uniforme naamconventies en voeg ze toe aan Azure DevOps of GitHub workflows voor ALM. Gebruik security groups om te bepalen wie nieuwe omgevingen mag maken en vereis goedkeuring van de beheerboard voor elke afwijking. Tegelijkertijd stel je een baseline data loss prevention beleid op waarin je business-, bedrijfs- en aangepaste connectoren groepeert. Definieer minimaal een strikt beleid voor productieomgevingen, een gebalanceerd beleid voor reguliere teams en een experimenteel beleid dat alleen in sandboxen actief is. Elk beleid wordt vooraf getoetst op gevolgen voor kritieke processen zoals zaakbehandeling of vergunningverlening. Vervolgens configureer je per instelling de aanvullende veiligheidsopties: maak multi-tenant analytics opt-in zodat tenanttelemetrie beschikbaar is voor het SOC, blokkeer anonieme deelopties, eis dat AI Builder credits centraal worden beheerd en verplicht dat export naar Excel of SharePoint alleen plaatsvindt naar beheerde locaties met gevoeligheidslabels. Voor gevoelige scenario's definieer je tenantbrede standaardsjablonen voor componentbibliotheken, datagatewayclusters en de integratie met Microsoft Purview zodat dataclassificaties automatisch worden overgenomen in canvas- en modelgedreven apps. De technische implementatie wordt ondersteund door Infrastructure-as-Code. Beheerders gebruiken het script code/design/platform/power-platform-tenant-settings.ps1 om instellingen herhaalbaar vast te leggen, te testen in een tijdelijke tenant en vervolgens gecontroleerd naar productie te pushen. Elke uitvoering wordt gelogd, inclusief parameterwaarden en koppeling naar een change record. Na afronding wordt er een non-regressietest uitgevoerd waarin kritieke apps draaien onder de nieuwe instellingen, inclusief scenario's voor externe deelopties, connectorgebruik en het aanmaken van nieuwe omgevingen. Alleen wanneer alle tests slagen en de security officer formeel akkoord heeft gegeven wordt de configuratie als baseline gepubliceerd. Communicatie en adoptiebeheer vormen een aanvullende bouwsteen. Vooraf wordt een releasekalender opgesteld waarin staat welke gebruikersgroepen worden geraakt, welke testcases zij moeten uitvoeren en op welke kanalen zij updates ontvangen. Er worden kennissessies georganiseerd voor citizen developers zodat zij begrijpen waarom bepaalde connectoren worden geblokkeerd en welke procedure geldt voor tijdelijke uitzonderingen. Hierdoor wordt draagvlak gecreëerd en verklein je de kans dat teams uitwijken naar niet-goedgekeurde low-codeplatforms. Daarnaast worden prestatie-indicatoren vastgelegd, zoals het aantal omgevingen dat binnen de nieuwe kaders blijft, het percentage geautomatiseerde configuraties en de doorlooptijd van uitzonderingsverzoeken. Deze KPI's worden opgenomen in het reguliere stuurdashboard van de CIO zodat de implementatie zichtbaarheid krijgt op bestuurlijk niveau en middelen tijdig kunnen worden opgeschaald. Tot slot borg je de terugvalscenario's. Documenteer hoe instellingen kunnen worden teruggedraaid als er toch verstoringen optreden, welke logbestanden moeten worden veiliggesteld en hoe een crisiscommunicatiebericht eruit ziet wanneer een dienst tijdelijk niet beschikbaar is. Koppel deze plannen aan de bedrijfscontinuiteitsstrategie en voer minimaal jaarlijks een simulatie uit waarin het beheerteam laat zien dat het de tenantconfiguratie gecontroleerd kan herstellen. Daarmee sluit je de implementatiefase af met aantoonbare zekerheid richting bestuur en toezichthouders.

Gebruik PowerShell-script power-platform-tenant-settings.ps1 (functie Invoke-Monitoring) – Monitoren.

Monitoring

Effectieve monitoring vereist dat elke tenantinstelling wordt vertaald naar meetbare indicatoren met drempelwaarden. Het beheerteam richt dashboards in op basis van het Power Platform Center of Excellence kit, Azure Monitor en Microsoft Sentinel. Deze bronnen leveren inzicht in wie nieuwe omgevingen aanmaakt, welke connectoren toenemen in gebruik, of ongeautoriseerde tenants worden benaderd en wanneer DLP-beleid op gespannen voet staat met nieuwe appbehoeften. De dashboards worden verrijkt met metadata over dataclassificaties en het soort persoonsgegevens dat in een omgeving aanwezig is, zodat afwijkingen direct kunnen worden gekoppeld aan de juiste privacy- of securityverantwoordelijke. Naast near-real-time signalen heeft monitoring ook betrekking op periodieke assessments. Elke maand wordt een configuratiebaseline uit het beheerscript opnieuw gedraaid in alleen-lezen modus en vergeleken met de productiestatus om configuratiedrift te detecteren. Kwartaalrapportages beschrijven trends, bijvoorbeeld een toename van premiumconnectoren in burgergerichte processen, en bevatten concrete aanbevelingen voor aanvullende controles. Incidenten worden gekoppeld aan de SIEM, waarbij waarschuwingen automatisch een werkitem aanmaken voor het Power Platform beheerteam inclusief playbooks voor eerste analyse. Belangrijk is dat monitoring niet stopt bij technische indicatoren. Gebruikersonderzoeken en feedbacksessies met citizen developers brengen aan het licht of beleid te restrictief is, waardoor schaduw-IT elders ontstaat. Daarnaast worden compliance-afdelingen betrokken bij steekproeven waarin wordt gecontroleerd of documentatie van apps overeenkomt met de werkelijkheid, of dat er ongeautoriseerde gegevenskoppelingen bestaan. Door technische telemetrie, procescontroles en gebruikerssignalen te combineren ontstaat een compleet beeld en kan de organisatie aantonen dat tenantinstellingen niet alleen zijn geconfigureerd, maar continu effectief zijn. Automatisering versterkt dit proces. Koppel het beheerscript aan Azure Automation zodat elke wijziging in tenantinstellingen automatisch een vergelijking uitvoert met de baseline en afwijkingen in een configuratiearchief opslaat. Stel proactieve alerts in die niet alleen reageren op overschrijdingen, maar juist voorspellen wanneer limieten worden benaderd, bijvoorbeeld wanneer het aantal actieve ontwikkelaars in een omgeving sneller groeit dan gepland. Zo kan tijdig capaciteit worden opgeschaald of beleid worden aangepast voordat verstoringen optreden. Monitoring omvat tevens resilience-tests. Door periodiek tabletop-oefeningen te houden met het SOC, het privacyteam en de business owners wordt getoetst hoe snel signalen worden opgepakt en wie beslissingsbevoegd is bij kritieke incidenten. Tijdens deze oefeningen wordt onder meer gecontroleerd of dashboards beschikbaar blijven tijdens piekbelasting, of dat er fallback-telemetrie is wanneer een regio uitvalt. Het vastleggen van uitkomsten in een lessons learned register zorgt ervoor dat indicatoren continu worden verfijnd en dat de monitoringfunctie meegroeit met zowel technologische ontwikkelingen als veranderende dreigingen. Door metrics te koppelen aan strategische doelstellingen, zoals het terugdringen van handmatige interventies of het beperken van shadow IT, ontstaat een helder verhaal richting bestuurders. Rapportages tonen niet alleen cijfers, maar beschrijven concrete casussen waarin monitoring tijdig ingreep en welke maatschappelijke waarde daarmee is beschermd, bijvoorbeeld het continu beschikbaar houden van burgerportalen of het voorkomen van ongeautoriseerde toegang tot uitkeringsgegevens. Ten slotte worden early-warning scenario's ingericht waarbij een combinatie van machinelearningmodellen en menselijke beoordeling afwijkingen beoordeelt voordat zij escaleren. Deze scenario's omvatten duidelijke runbooks met beslisbomen, escalatiecriteria en communicatiepaden, zodat het beheerteam binnen minuten kan handelen wanneer een indicator aanslaat. Elke maand wordt het gehele monitoringsysteem gereviewd door het governanceorgaan zodat nieuwe risico's direct aan indicatoren worden gekoppeld.

Gebruik PowerShell-script power-platform-tenant-settings.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Remediatie volgt een gestroomlijnd draaiboek waarin prioriteit wordt gegeven aan risico's voor persoonsgegevens en dienstcontinuiteit. Zodra monitoring een afwijking signaleert, registreert het beheerteam het incident in het centrale ITSM-systeem met verwijzing naar de betrokken instelling, omgeving en eigenaar. De eerste stap is het vaststellen van de impact: welke apps gebruiken de afwijkende instelling, welke gegevens worden mogelijk blootgesteld en welke wettelijke verplichtingen spelen, zoals melding bij de Autoriteit Persoonsgegevens. Parallel wordt een tijdelijke maatregel overwogen, bijvoorbeeld het blokkeren van een connector via Conditional Access totdat de definitieve oplossing gereed is. De permanente oplossing bestaat uit drie onderdelen. Ten eerste wordt het script code/design/platform/power-platform-tenant-settings.ps1 gebruikt om de gewenste configuratie opnieuw af te dwingen, zodat handmatige wijzigingen verdwijnen. Ten tweede worden de onderliggende processen aangepast als blijkt dat beleid onvoldoende helder was of uitzonderingen te eenvoudig konden worden aangevraagd. Ten derde wordt er bewijs verzameld voor audits: screenshots, scriptlogs en goedkeuringsmails worden toegevoegd aan het dossier. Na herstel volgt een evaluatie met de betrokken business owner en security officer. Zij beoordelen of aanvullende maatregelen nodig zijn, zoals extra DLP-regels, een verplichte hertraining of het beperken van toegang tot premiumconnectoren. De evaluatie eindigt met een korte lessons learned die binnen het governanceorgaan wordt gedeeld. Op deze manier draagt elke remediatiecase bij aan de structurele verbetering van het tenantbeleid en wordt herhaling van fouten geminimaliseerd. Elk remediatieproces bevat bovendien een root-causeanalyse waarin wordt onderzocht of het probleem voortkwam uit menselijke fouten, onvolledige documentatie, ontbrekende monitoring of een nieuw type bedreiging. De analyse gebruikt technieken zoals de vijf keer waarom-methode of een causale boom en resulteert in concrete verbeteracties met eigenaarschap en deadlines. Waar nodig wordt een data protection impact assessment geactualiseerd zodat privacyrisico's opnieuw worden beoordeeld. Ten slotte wordt de effectiviteit van remediatie gemeten met KPI's zoals hersteltijd, aantal openstaande maatregelen en het percentage incidenten dat binnen de afgesproken service levels is afgehandeld. Deze cijfers worden gedeeld met het CIO-office en vormen input voor budget- of capaciteitsbeslissingen. Door transparant te rapporteren ontstaat vertrouwen bij bestuurders en toezichthouders dat afwijkingen snel worden onderkend, opgelost en benut als brandstof voor continue verbetering. Heldere communicatie is cruciaal zodra remediatie wordt gestart. Het beheerteam gebruikt vooraf gedefinieerde sjablonen om business owners, het privacyteam en eventueel burgers te informeren, inclusief verwachte hersteltijd en noodmaatregelen. Door communicatiekanalen te standaardiseren ontstaat rust en weten stakeholders precies wanneer de volgende update komt. Daarnaast is er een directe lijn met Microsoft support en leveranciers van third-party connectoren. Bij kritieke incidenten wordt het supportticket gekoppeld aan het interne incidentrecord, zodat alle acties synchroon lopen en informatie-uitwisseling aantoonbaar is voor audits. Teamleden krijgen na elke remediatiecase gerichte bijscholing waarin nieuwe inzichten worden vertaald naar werkinstructies, checklists en automatiseringsscripts, zodat verbeteringen blijvend worden. Als afsluiting wordt elke remediatiecase opgenomen in een kennisbank die doorontwikkelaars kunnen raadplegen wanneer zij nieuwe oplossingen bouwen. Deze bibliotheek bevat voorbeelden van misconfiguraties, bijbehorende mitigaties en beleidsregels, zodat de organisatie leert van eerdere incidenten en dezelfde fout zich niet herhaalt. Hierdoor groeit de volwassenheid van het remediatiestelsel na iedere casus aantoonbaar door.

Gebruik PowerShell-script power-platform-tenant-settings.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Auditing

Compliance en auditing vragen om aantoonbaarheid dat instellingen niet alleen bestaan, maar ook effectief zijn voor wet- en regelgeving zoals BIO, AVG en de Baseline Informatiebeveiliging Gemeenten. Alle tenantinstellingen worden daarom opgenomen in een controleregister waarin per instelling de norm, het risico en het verantwoordelijke team worden beschreven. Dit register verwijst naar change-records, testresultaten en de meest recente export van het beheerscript zodat auditors exact dezelfde configuratie kunnen reproduceren. Audits richten zich op drie sporen. Het eerste spoor controleert of het besluitvormingsproces voldoet aan de eisen van scheiding van functies: wie heeft een wijziging aangevraagd, wie heeft deze beoordeeld en wie heeft technisch uitgevoerd. Het tweede spoor onderzoekt of er aantoonbaar toezicht is op datastromen, bijvoorbeeld door DLP-logs te koppelen aan gegevensbeschermingseffectbeoordelingen. Het derde spoor valideert of burgers en ketenpartners kunnen vertrouwen op de continuiteit van diensten; hierbij wordt gekeken naar fallback-omgevingen, documentatie van afhankelijkheden en de aanwezigheid van herstelscripts. Resultaten uit audits worden vertaald naar verbetermaatregelen met duidelijke deadlines en eigenaarschap. Het governanceorgaan rapporteert kwartaalmatig aan de CIO en de FG over de status, inclusief eventuele afwijkingen en de impact op AVG-verklaringen of BIO-compliance. Door deze gesloten PDCA-cyclus kan de organisatie richting toezichthouders en gemeenteraad aantonen dat het Power Platform op een beheersbare, veilige en transparante manier wordt ingezet. Bewijsvoering wordt digitaal beheerd volgens eDiscovery-richtlijnen. Scriptuitvoer, exportbestanden en screenshots worden voorzien van hashwaarden en opgeslagen in een archief met versiebeheer, zodat auditors later kunnen verifiëren dat documenten niet zijn gewijzigd. Daarbij worden gevoelige gegevens gepseudonimiseerd voordat ze het auditdossier in gaan, zodat privacyprincipes ook tijdens controles worden gerespecteerd. Tenslotte worden de tenantinstellingen expliciet gemapt op andere raamwerken, zoals de ENSIA-verantwoordingsvraagstukken of sectorale normen voor maatschappelijke dienstverlening. Door deze kruisverwijzingen beschikken bestuurders over een integraal overzicht waarmee zij snel kunnen uitleggen hoe het Power Platform bijdraagt aan de bredere opdracht "Nederlandse Baseline voor Veilige Cloud" en hoe elke instelling bewijs levert voor meerdere controles tegelijk. Elke auditcyclus start met een readiness review waarin openstaande maatregelen, documentatie en scripts worden gecontroleerd op actualiteit. Hierbij wordt gebruikgemaakt van checklists die zijn afgestemd op de eisen van de Algemene Rekenkamer en gemeentelijke rekenkamers, zodat bevindingen sneller kunnen worden opgevolgd. Daarnaast is er een kennisplatform waar auditors, beheerders en juristen samenwerken aan interpretaties van nieuwe wetgeving, zoals de NIS2 of de Wet open overheid. Door deze kennisdeling blijft de organisatie wendbaar en worden tenantinstellingen tijdig aangepast aan opkomende verplichtingen. Bewaartermijnen voor auditbewijzen zijn afgestemd op wettelijke vereisten en interne beleidscycli. Het archief registreert automatisch wanneer documenten moeten worden gearchiveerd of vernietigd, inclusief goedkeuring van de FG, zodat de organisatie enerzijds compliant blijft en anderzijds geen overbodige privacyrisico's introduceert. Geautomatiseerde workflows sturen herinneringen naar dossier-eigenaren wanneer bewijs dreigt te verlopen, koppelen ontbrekende stukken aan de juiste controle en zorgen ervoor dat auditpaden eenvoudig zijn te volgen, zelfs voor nieuwe teamleden. Op deze manier ontstaat een zelflerend compliance-ecosysteem dat direct aansluit op de governancestructuur van de Nederlandse Baseline voor Veilige Cloud, en waarmee de organisatie proactief verantwoording kan afleggen over de staat van het Power Platform.

Compliance & Frameworks

• BIO: 9.02 - BIO Baseline Informatiebeveiliging Overheid - 9.02 - Toegangsbeheer

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Beperk wie omgevingen mag maken, schakel virale trials uit, pas tenantisolatie toe, dwing DLP-beleid af, beheer analytics en data-export centraal en gebruik het script code/design/platform/power-platform-tenant-settings.ps1 om alle wijzigingen herhaalbaar en aantoonbaar veilig te implementeren.

• Implementatietijd: 16 uur
• FTE required: 0.2 FTE