BIO 2.3 ISO A.5.10

Applicatiemodernisering Voor Microsoft 365

📅 2025-11-27
⏱️ 26 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Legacy-toepassingen vormen een structurele rem op het tempo waarmee ministeries, gemeenten en uitvoeringsorganisaties digitale diensten vernieuwen. Veel maatwerksystemen draaien nog op klassieke SharePoint-sites, ongedocumenteerde Exchange-workflows of standalone .NET-apps die ooit naast Microsoft 365 zijn gelegd maar nooit zijn gemigreerd. Applicatiemodernisering binnen de context van de Nederlandse Baseline voor Veilige Cloud draait om het combineren van architectuurprincipes, compliance-eisen en automatisering zodat elk team weet welke applicaties naar Teams, Power Platform, Azure Functions of moderne API’s worden overgezet en hoe de risico’s daarbij gecontroleerd blijven.

Aanbeveling
TRANSFORMEER_EN_AUTOMATISEER
Risico zonder
High
Risk Score
8/10
Implementatie
380u (tech: 220u)
Van toepassing op:
Microsoft 365 E5
Azure AD / Entra ID
Power Platform
Azure DevOps

De druk vanuit BIO, AVG, Woo-verzoeken en NIS2 maakt dat bestuurders niet langer accepteren dat kritieke processen alleen draaien op verouderde componenten. Een legacy-SharePoint-workflow die niet te auditen is, kan tot stilstand leiden bij crisisscenario’s of tot aanzienlijke boetes wanneer autorisaties niet aantoonbaar zijn. Daarnaast eisen leveranciersmanagement en budgetcommissies een helder beeld van licentiekosten, technische schuld en de baten van cloudnative alternatieven. Zonder programmatische aanpak blijft applicatiemodernisering een verzameling losse projecten die afhankelijk zijn van individuele ontwikkelaars in plaats van een bestuurbare werkstroom met duidelijke KPI’s.

PowerShell Modules Vereist
Primary API: Microsoft Graph beta endpoint, Azure DevOps REST API, Power Platform admin center
Connection: PowerShell 7 met Microsoft.Graph.Authentication en Azure DevOps extensies, aangevuld met lokale JSON-configuratie voor auditdoeleinden
Required Modules: Microsoft.Graph.Authentication

Implementatie

Dit artikel koppelt strategische besluitvorming aan meetbare uitvoering. U leest hoe u portfolio’s classificeert, hoe scenario’s worden vertaald naar blauwdrukken voor Teams, Viva, Exchange Online en Power Platform, en hoe het script application-modernization.ps1 geautomatiseerde bewijslasten levert. De nadruk ligt op Nederlandse governance: besluitvorming met CIO’s en gemeentesecretarissen, rapportages richting auditdiensten en het gebruik van lokale debuginstellingen zodat technische teams veilig kunnen testen voordat ze live gaan. Door de combinatie van verhaal, script en auditvereisten ontstaat een volledig pakket dat direct toepasbaar is voor grote en middelgrote publieke organisaties.

Portfolio, governance en financiering van modernisering

Applicatiemodernisering start met een eerlijke inventarisatie van het volledige Microsoft 365-landschap, inclusief de schaduwdiensten die binnen afdelingen zijn gegroeid. Nederlandse overheidsorganisaties blijken doorgaans meer dan honderd maatwerkoplossingen te draaien op SharePoint Designer, InfoPath of Exchange Public Folders, vaak met kritieke taken zoals subsidies, Wob-afhandeling of calamiteitenregistratie. Door per applicatie de eigenaar, compliance-classificatie, koppelingen met basisregistraties en vereiste beschikbaarheid vast te leggen, ontstaat een gezamenlijke waarheid waarop bestuurders kunnen sturen. Gebruik portfolioborden waarin u prioriteiten objectief bepaalt op basis van risico, burgerimpact en waardeverlies bij storingen, zodat geen enkel project alleen omdat het luidruchtig is voorrang krijgt.

Vervolgens is governance essentieel. Richt een Modernization Board in waarin CISO, CIO, Chief Privacy Officer en lijnmanagers gezamenlijk beslissen, ondersteund door juristen die toetsen aan BIO, AVG en departementale richtlijnen voor verantwoording. Deze board stelt spelregels vast voor standaardarchitecturen (bijvoorbeeld SharePoint-list migreren naar Dataverse + Power Apps), definieert beslismomenten en borgt dat businesscases niet alleen kostenbesparingen tonen maar ook verbeterde audittrail, logging en lifecyclemanagement. Door governance te koppelen aan een beslisdocument dat automatisch wordt bijgewerkt door het PowerShell-script, kunnen auditors achteraf controleren dat elk besluit is genomen met volledige informatie en dat afwijkingen expliciet zijn vastgelegd.

Financiering hoort eveneens onderdeel te zijn van de strategie. Applicatiemodernisering wordt vaak gefinancierd uit incidentele innovatiepotjes, maar Rijksbrede ervaringen laten zien dat structurele middelen nodig zijn voor refactoring, training en beheercapaciteit. Stel daarom een meerjarig investeringsplan op waarin u bestaande onderhoudsbudgetten verschuift naar moderniseringspijplijnen, inclusief reserveringen voor licenties (Power Apps per user, Azure API Management, GitHub Advanced Security) en externe ondersteuning. Maak voor controllers inzichtelijk hoe technische schuld afneemt door te rapporteren op indicatoren als “aantal legacy-apps met alleen wachtwoordgeheimen” of “tijd tot herbouw na incident”. Deze data worden gevoed door de JSON-rapporten uit het script, zodat financiële besluitvorming rechtstreeks is gekoppeld aan meetbare vooruitgang.

Tot slot moet de strategie verankerd zijn in veranderkundige trajecten. Medewerkers die jaren met hetzelfde formulier hebben gewerkt, vertrouwen modernisering pas wanneer u uitlegt hoe nieuwe oplossingen hun werk versnellen, hoe archivering beter aansluit op de Archiefwet en hoe toegankelijkheid wordt gewaarborgd. Organiseer daarom showcases waarin een legacy-proces wordt vergeleken met de moderne variant, inclusief beveiligingswinsten zoals automatische gevoelige-inhoudsanalyse en ingebouwde lifecycle policies. Documenteer lessons learned in een publiek portfolio zodat andere departementen niet opnieuw dezelfde fouten maken. Door strategie, governance, financiën en verandermanagement te combineren ontstaat een realistische roadmap die door bestuurlijke gremia kan worden vastgesteld en bewaakt.

Architectuur, doelplatformen en automatisering

Gebruik PowerShell-script application-modernization.ps1 (functie Invoke-AppModernizationAssessment) – Inventariseert Azure AD-appregistraties, pipelinegegevens en lokale configuraties om direct te laten zien welke toepassingen legacy-kenmerken hebben en welke KPI’s achterlopen op de afgesproken drempels..

Modernisering mislukt wanneer architectuurkeuzes niet consequent worden toegepast. Begin daarom met referentiearchitecturen per scenario: workflow-gedreven processen gaan naar Power Platform, documentintensieve dossiers naar SharePoint Syntex of Azure Blob Storage met Purview-classificatie, terwijl integratieoplossingen beter passen bij Azure Functions en API Management. Beschrijf voor elk archetype welke beveiligingscontroles verplicht zijn, zoals managed identities in plaats van wachtwoordsleutels, uso van Conditional Access voor services en automatische back-ups via Azure Automation. Door deze modellen te koppelen aan het JSON-configuratiebestand dat bij het script hoort, zorgt u ervoor dat elke beoordeling dezelfde normen hanteert en dat afwijkingen zichtbaar worden voordat ontwikkelteams kostbare uren investeren.

Een tweede architectuurlijn betreft data- en integratie-eisen. Veel legacy-apps zijn gekoppeld aan GBA, BRP of BKWI-voorzieningen en verwerken persoonsgegevens die onder strikte logging- en bewaarplichten vallen. Moderne architecturen moeten daarom standaard encryptie-at-rest, Just-In-Time-toegang en geautomatiseerde bewaarbeleid configureren, waarbij Purview Labeling en Microsoft 365 eDiscovery workflows direct worden ingeregeld. Leg vast hoe API’s worden beveiligd (OAuth 2.0 client credentials met confidential clients, certificate pinning, throttling), hoe event-based architecturen omgaan met foutafhandeling, en hoe datasets worden geregistreerd in een data catalogus. Deze details horen niet alleen in een PPT te staan maar in de configuratie die het script leest, zodat iedere beoordeling kan meten of de noodzakelijke veiligheidskenmerken daadwerkelijk aanwezig zijn.

Automatisering is de motor van voorspelbare modernisering. Gebruik Azure DevOps of GitHub Actions om infrastructuur als code te declareren (Bicep, Terraform) en combineer dit met release gates die controleren op secure defaults. Het PowerShell-script kan de pipelines uitlezen, hashwaarden van IaC-bestanden controleren en rapporteren of verplichte controles zoals statische code-analyse, secrets-scanning en dependency checks zijn geactiveerd. Door DebugMode te gebruiken testen teams lokaal of de structuur van pipelinegegevens wordt herkend voordat zij productie-API’s benaderen. Deze automatisering zorgt er bovendien voor dat auditsporen automatisch worden opgebouwd: elke run produceert een JSON die vastlegt welke apps, pipelines en configuraties wanneer zijn beoordeeld en welke bevindingen zijn gemeld.

Kies tot slot bewust voor platformcombinaties die passen bij Nederlandse wet- en regelgeving. Niet elke moderniseringscase hoeft naar een low-code platform; soms is het beter om Teams-apps te bouwen die draaien op bestaande webservices of om bestaande SaaS-oplossingen via standaardconnectoren te integreren. Analyseer per casus de eisen aan soevereiniteit, dataverwerking buiten de EU en archivering, en documenteer deze keuzes in het blueprintbestand dat door Publish-AppModernizationBlueprint wordt gegenereerd. Hierdoor beschikken architectuurboards, privacy officers en leveranciers over een gedeelde bron waarin staat waarom voor een bepaald doelplatform is gekozen en welke technische maatregelen dat vereiste. Dit verkleint de kans op discussies achteraf en versnelt goedkeuringstrajecten.

Operationele uitvoering, rapportage en verbetering

Gebruik PowerShell-script application-modernization.ps1 (functie Invoke-AppModernizationMonitoring) – Combineert actuele metingen met de blauwdrukconfiguratie, genereert KPI-dashboards en levert auditbestanden waarmee CISO’s, controllers en projectteams voortgang kunnen aantonen..

Operationele teams moeten wekelijks inzicht hebben in de staat van hun moderniseringsprogramma. Het script verzamelt gegevens over app-registraties, gebruikte geheimtypen, pipeline-statussen en service health en voegt die samen met KPI’s uit de configuratie, zoals maximaal toegestane leeftijd van legacy-componenten of het percentage workloads met managed identities. Deze informatie wordt per run vastgelegd in rapporten die eenvoudig te importeren zijn in Power BI of Excel. Door indicatoren als “legacy-apps zonder certificaat”, “CI/CD-pipelines zonder quality gate” en “niet-gepatchte connectors” standaard te meten, ontstaat een feitelijke dialoog tussen CISO-office, ontwikkelteams en business-eigenaren. Incidentrespons en verandermanagement profiteren omdat trends zichtbaar worden voordat een auditbevinding of verstoring optreedt.

Rapportage gaat verder dan technische dashboards. Bestuurders willen weten welke maatschappelijke processen baat hebben bij modernisering en welke risico’s nog open staan. Daarom bevat het rapportgedeelte beschrijvende velden voor businessimpact, juridische kanttekeningen en afhankelijkheden van ketenpartners. Deze tekstuele toelichtingen kunnen vooraf worden ingevuld in de configuratie, waarna het script ze verrijkt met actuele cijfers over doorlooptijden, kostenbesparing en incidenthistorie. Door rapportages te koppelen aan besluitvormingskalenders (bijvoorbeeld kwartaalrapportages aan de gemeenteraad of Kamerbrieven) zorgt u ervoor dat modernisering zichtbaar wordt als een strategisch programma in plaats van een technisch project.

Continue verbetering vereist een gesloten feedbacklus. Gebruik de monitoringresultaten om per sprint retroperspectieven te voeden: welke pipelines gaven foutmeldingen, hoeveel legacy-apps zijn echt uitgefaseerd, welke lessons learned moeten in architectuurlijnen worden aangepast? Documenteer bovendien welke trainingen, sandboxes en referentie-implementaties beschikbaar zijn gekomen zodat nieuwe teams sneller kunnen instappen. Het script kan worden uitgebreid met hooks naar Microsoft Sentinel of Azure Monitor om afwijkingen direct als waarschuwing te sturen wanneer bijvoorbeeld een app opnieuw een client secret aanmaakt. Door verbeteracties direct toe te wijzen aan proceseigenaren in het blueprintbestand, blijft duidelijk wie verantwoordelijk is voor het sluiten van een bevinding en hoe lang dat duurt.

Tot slot moet de organisatie de menselijke factor meenemen. Applicatiemodernisering raakt juristen, beleidsmedewerkers en leveranciers. Door rapportages te delen via Teams-channels of Viva Engage-community’s, kunnen stakeholders vragen stellen en voorstellen doen zonder formele memo’s. Integreer het script met lokale debuginstellingen zodat ontwikkelaars nieuwe connectors of API-configuraties kunnen testen binnen vijftien seconden, geheel in lijn met de eis dat scripts snel en veilig lokaal moeten draaien. Deze aanpak maakt het makkelijker om externe audits, Woo-verzoeken of parlementaire vragen te beantwoorden: u beschikt altijd over actuele cijfers, besluitdocumenten en onderliggende configuratiebestanden die aantonen hoe de Nederlandse Baseline voor Veilige Cloud in de praktijk wordt nageleefd.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Inventariseert en monitort applicatiemodernisering binnen Microsoft 365. .DESCRIPTION Het script hoort bij het artikel "Applicatiemodernisering voor Microsoft 365" en levert drie hoofdscenario's: - Invoke-AppModernizationAssessment : beoordeelt app-registraties, configuratie en pipelines - Invoke-AppModernizationMonitoring : combineert metingen met service health voor doorlopende rapportages - Publish-AppModernizationBlueprint : publiceert een blauwdruk met governance- en migratiegegevens DebugMode genereert voorbeelddata en slaat cloudverbindingen over zodat lokale tests binnen vijftien seconden kunnen worden uitgevoerd, conform de richtlijnen van de Nederlandse Baseline voor Veilige Cloud. .NOTES Bestandsnaam : application-modernization.ps1 Auteur : Nederlandse Baseline voor Veilige Cloud Created : 2025-11-27 Versie : 1.0 JSON : content/m365/modernization/application-modernization.json Workload : Microsoft 365 - Modernization .EXAMPLE .\application-modernization.ps1 -Assess -DebugMode Voert een beoordeling uit op basis van voorbeelddata zonder Microsoft Graph te raadplegen. .EXAMPLE .\application-modernization.ps1 -Monitoring -ReportPath .\reports\modernization-monitoring.json Combineert een actuele meting met service health en schrijft de output naar het opgegeven pad. .EXAMPLE .\application-modernization.ps1 -PublishBlueprint Actualiseert de moderniseringsblauwdruk en schrijft een auditeerbaar bestand weg. #> #Requires -Version 5.1 [CmdletBinding()] param( [switch]$Assess, [switch]$PublishBlueprint, [switch]$Monitoring, [string]$ReportPath, [switch]$DebugMode, [switch]$WhatIf ) Set-StrictMode -Version Latest $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' if (-not ($Assess -or $PublishBlueprint -or $Monitoring)) { $Assess = $true } $operationCount = [int]([bool]$Assess) + [int]([bool]$PublishBlueprint) + [int]([bool]$Monitoring) Write-Host "`n============================================" -ForegroundColor Cyan Write-Host "Application Modernization Toolkit (M365)" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "============================================`n" -ForegroundColor Cyan function Resolve-ReportPath { [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string]$Operation ) if ($ReportPath) { if ($operationCount -gt 1) { $dir = Split-Path -Parent $ReportPath if (-not $dir -or $dir -eq '') { $dir = Get-Location } $name = Split-Path -Leaf $ReportPath $baseName = [System.IO.Path]::GetFileNameWithoutExtension($name) $ext = [System.IO.Path]::GetExtension($name) if (-not $ext) { $ext = '.json' } return (Join-Path -Path $dir -ChildPath ("{0}-{1}{2}" -f $baseName, $Operation, $ext)) } return $ReportPath } return (Join-Path -Path (Get-Location) -ChildPath ("application-modernization-{0}.json" -f $Operation)) } function Get-AppModernizationConfigPath { [CmdletBinding()] param() $scriptDir = Split-Path -Parent $PSCommandPath return (Join-Path -Path $scriptDir -ChildPath 'application-modernization.config.json') } function Initialize-AppModernizationConfig { [CmdletBinding()] param() $configPath = Get-AppModernizationConfigPath if (Test-Path $configPath) { return } $baseline = [ordered]@{ version = '1.0' lastUpdated = (Get-Date).ToString('yyyy-MM-dd') owner = 'Modernization Board' modernizationKpis = @{ MaxLegacyShare = 0.25 TargetManagedIdentity = 0.8 PipelineComplianceRatio = 0.9 } legacyCriteria = @{ MaxAgeDays = 1825 RequireManagedIdentity = $true RequireCertificateAuth = $true } priorityApps = @( @{ Name = 'Zaakgericht Portaal' BusinessOwner = 'Directie Dienstverlening' Classification = 'Hoog' TargetPlatform = 'Power Platform + Dataverse' MigrationDue = (Get-Date).AddMonths(6).ToString('yyyy-MM-dd') }, @{ Name = 'Incidentmeldingen Openbare Ruimte' BusinessOwner = 'Afdeling Openbare Orde' Classification = 'Midden' TargetPlatform = 'Teams + Azure Functions' MigrationDue = (Get-Date).AddMonths(4).ToString('yyyy-MM-dd') }, @{ Name = 'Subsidiebeheer Cultuur' BusinessOwner = 'Directie Cultuur' Classification = 'Hoog' TargetPlatform = 'SharePoint Syntex + Power Automate' MigrationDue = (Get-Date).AddMonths(8).ToString('yyyy-MM-dd') } ) pipelines = @( @{ Name = 'Azure DevOps - Werkplek Platform' Environment = 'Productie' IaCLanguage = 'Bicep' QualityGates = @('SecurityScan', 'PolicyCompliance', 'ChangeApproval') LastAudit = (Get-Date).AddDays(-12).ToString('yyyy-MM-dd') Status = 'Compliant' }, @{ Name = 'GitHub Actions - Power Platform' Environment = 'Acceptatie' IaCLanguage = 'ALM Accelerator' QualityGates = @('SolutionChecker', 'StaticCodeAnalysis') LastAudit = (Get-Date).AddDays(-38).ToString('yyyy-MM-dd') Status = 'Attention' } ) } $baseline | ConvertTo-Json -Depth 6 | Set-Content -Path $configPath -Encoding UTF8 Write-Verbose "Baselineconfiguratie aangemaakt: $configPath" } function Get-AppModernizationConfig { [CmdletBinding()] param( [switch]$InitializeIfMissing ) $configPath = Get-AppModernizationConfigPath if (-not (Test-Path $configPath)) { if ($InitializeIfMissing -or $DebugMode) { Initialize-AppModernizationConfig } else { throw "Configuratiebestand ontbreekt ($configPath). Voer het script één keer met -DebugMode of -PublishBlueprint uit." } } $raw = Get-Content -Path $configPath -Raw -Encoding UTF8 return ($raw | ConvertFrom-Json -Depth 6) } function Test-RequiredModules { [CmdletBinding()] param( [string[]]$ModuleNames = @('Microsoft.Graph.Authentication') ) foreach ($moduleName in $ModuleNames) { if (-not (Get-Module -ListAvailable -Name $moduleName -ErrorAction SilentlyContinue)) { throw "Vereiste module '$moduleName' ontbreekt. Installeer deze voordat u het script zonder DebugMode gebruikt." } } } function Connect-AppModernizationGraph { [CmdletBinding()] param() if ($DebugMode) { Write-Verbose "DebugMode actief: Graph-verbinding niet nodig." return } Test-RequiredModules Import-Module Microsoft.Graph.Authentication -ErrorAction Stop | Out-Null $scopes = @( 'Application.Read.All', 'Policy.Read.All', 'ServiceHealth.Read.All' ) $context = Get-MgContext -ErrorAction SilentlyContinue $needsConnect = $true if ($context -and $context.Scopes) { $missing = Compare-Object -ReferenceObject $scopes -DifferenceObject $context.Scopes if ($missing.Count -eq 0 -and $context.ExpirationTime -gt (Get-Date)) { $needsConnect = $false } } if ($needsConnect) { Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Gray Connect-MgGraph -Scopes $scopes -NoWelcome | Out-Null } try { Select-MgProfile -Name beta } catch { throw "Kon Microsoft Graph-profiel 'beta' niet selecteren. Update de Microsoft.Graph modules." } } function Invoke-GraphPagedRequest { [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string]$Uri ) $results = @() $nextLink = $Uri while ($nextLink) { $response = Invoke-MgGraphRequest -Method GET -Uri $nextLink -OutputType PSObject if ($response.value) { $results += $response.value } $nextLink = $response.'@odata.nextLink' } return $results } function Get-AppLifecycleInsights { [CmdletBinding()] param( [switch]$DebugMode ) if ($DebugMode) { return @( [PSCustomObject]@{ AppId = 'debug-legacy-001' Name = 'Legacy Subsidieportaal' Created = (Get-Date).AddYears(-7) SignInAudience = 'AzureADMyOrg' SecretCount = 3 CertificateCount = 0 HasModernEndpoints= $false AgeDays = 2555 }, [PSCustomObject]@{ AppId = 'debug-modern-010' Name = 'Teams Process Hub' Created = (Get-Date).AddMonths(-8) SignInAudience = 'AzureADMultipleOrgs' SecretCount = 0 CertificateCount = 2 HasModernEndpoints= $true AgeDays = 240 }, [PSCustomObject]@{ AppId = 'debug-risk-021' Name = 'InspectieFormulieren' Created = (Get-Date).AddYears(-4) SignInAudience = 'AzureADMyOrg' SecretCount = 1 CertificateCount = 0 HasModernEndpoints= $true AgeDays = 1460 } ) } Connect-AppModernizationGraph $uri = "https://graph.microsoft.com/beta/applications?`$select=id,displayName,signInAudience,createdDateTime,passwordCredentials,keyCredentials,spa,web&`$top=50" $applications = Invoke-GraphPagedRequest -Uri $uri $insights = @() foreach ($app in $applications) { $spaEnabled = $false if ($app.spa -and $app.spa.redirectUris -and $app.spa.redirectUris.Count -gt 0) { $spaEnabled = $true } $webEnabled = $false if ($app.web -and $app.web.redirectUris -and $app.web.redirectUris.Count -gt 0) { $webEnabled = $true } $secretCount = if ($app.passwordCredentials) { $app.passwordCredentials.Count } else { 0 } $certificateCount = if ($app.keyCredentials) { $app.keyCredentials.Count } else { 0 } $created = Get-Date $app.createdDateTime $ageDays = [math]::Round(((Get-Date) - $created).TotalDays, 0) $insights += [PSCustomObject]@{ AppId = $app.id Name = $app.displayName Created = $created SignInAudience = $app.signInAudience SecretCount = $secretCount CertificateCount = $certificateCount HasModernEndpoints= ($spaEnabled -or $webEnabled) AgeDays = $ageDays } } return $insights } function Get-WorkloadHealthInsights { [CmdletBinding()] param( [switch]$DebugMode ) if ($DebugMode) { return [PSCustomObject]@{ OpenIssues = 1 ImpactedServices = @('Teams', 'Azure DevOps') Notes = 'Teams incident TM987654 beïnvloedt custom app publishing.' GeneratedOn = (Get-Date).ToString('o') } } Connect-AppModernizationGraph try { $issues = Invoke-MgGraphRequest -Method GET -Uri 'https://graph.microsoft.com/v1.0/admin/serviceAnnouncement/issues?$top=5' $open = @() if ($issues.value) { $open = $issues.value | Where-Object { $_.status -ne 'ServiceRestored' } } return [PSCustomObject]@{ OpenIssues = $open.Count ImpactedServices = ($open | Select-Object -ExpandProperty service -Unique) Notes = if ($open.Count -gt 0) { $open[0].summary } else { 'Geen actieve verstoringen' } GeneratedOn = (Get-Date).ToString('o') } } catch { Write-Warning "Service Health kon niet worden opgehaald: $_" return [PSCustomObject]@{ OpenIssues = 0 ImpactedServices = @() Notes = 'Geen data beschikbaar' GeneratedOn = (Get-Date).ToString('o') } } } function Get-PipelineSnapshots { [CmdletBinding()] param( [Parameter(Mandatory = $true)] $Configuration, [switch]$DebugMode ) if ($DebugMode) { return @( [PSCustomObject]@{ Name = 'Azure DevOps - Werkplek Platform' Environment = 'Productie' IaC = 'Bicep' QualityGates = @('SecurityScan', 'PolicyCompliance') LastAudit = (Get-Date).AddDays(-5).ToString('yyyy-MM-dd') Status = 'Compliant' IsCompliant = $true }, [PSCustomObject]@{ Name = 'GitHub Actions - Power Platform' Environment = 'Acceptatie' IaC = 'ALM Accelerator' QualityGates = @('SolutionChecker') LastAudit = (Get-Date).AddDays(-45).ToString('yyyy-MM-dd') Status = 'Attention' IsCompliant = $false } ) } $snapshots = @() if ($Configuration.pipelines) { foreach ($pipeline in $Configuration.pipelines) { $lastAudit = $pipeline.LastAudit $auditDate = $null $auditFresh = $false if ($lastAudit) { try { $auditDate = [datetime]::Parse($lastAudit) $auditFresh = ((Get-Date) - $auditDate).TotalDays -le 30 } catch { $auditFresh = $false } } $isCompliant = ($pipeline.Status -eq 'Compliant' -and $auditFresh) $snapshots += [PSCustomObject]@{ Name = $pipeline.Name Environment = $pipeline.Environment IaC = $pipeline.IaCLanguage QualityGates = $pipeline.QualityGates LastAudit = $pipeline.LastAudit Status = $pipeline.Status IsCompliant = $isCompliant } } } return $snapshots } function Invoke-AppModernizationAssessment { [CmdletBinding()] param( [switch]$DebugMode ) $config = Get-AppModernizationConfig -InitializeIfMissing $apps = Get-AppLifecycleInsights -DebugMode:$DebugMode $pipelines = Get-PipelineSnapshots -Configuration $config -DebugMode:$DebugMode $issues = [System.Collections.Generic.List[string]]::new() $legacyThreshold = [int]$config.legacyCriteria.MaxAgeDays $requireManagedIdentity = [bool]$config.legacyCriteria.RequireManagedIdentity $requireCertificateAuth = [bool]$config.legacyCriteria.RequireCertificateAuth $legacyApps = @() foreach ($app in $apps) { $isLegacy = $false if ($app.AgeDays -gt $legacyThreshold) { $isLegacy = $true } if ($requireCertificateAuth -and $app.SecretCount -gt 0 -and $app.CertificateCount -eq 0) { $isLegacy = $true } if ($requireManagedIdentity -and -not $app.HasModernEndpoints) { $isLegacy = $true } if ($isLegacy) { $legacyApps += $app } } $legacyRatio = if ($apps.Count -gt 0) { [math]::Round(($legacyApps.Count / $apps.Count), 2) } else { 0 } $managedCoverage = if ($apps.Count -gt 0) { [math]::Round((($apps | Where-Object { $_.CertificateCount -gt 0 }).Count / $apps.Count), 2) } else { 0 } $pipelineCompliance = if ($pipelines.Count -gt 0) { [math]::Round((($pipelines | Where-Object { $_.IsCompliant }).Count / $pipelines.Count), 2) } else { 0 } if ($legacyRatio -gt $config.modernizationKpis.MaxLegacyShare) { $issues.Add("Het percentage legacy-applicaties ($legacyRatio) overschrijdt de drempel van $($config.modernizationKpis.MaxLegacyShare).") } if ($managedCoverage -lt $config.modernizationKpis.TargetManagedIdentity) { $issues.Add("Managed identity dekking ($managedCoverage) is lager dan het doel van $($config.modernizationKpis.TargetManagedIdentity).") } if ($pipelineCompliance -lt $config.modernizationKpis.PipelineComplianceRatio) { $issues.Add("Slechts $pipelineCompliance van de pipelines is aantoonbaar compliant terwijl $($config.modernizationKpis.PipelineComplianceRatio) is vereist.") } if ($legacyApps.Count -eq 0) { $issues.Add("Er zijn geen legacy-applicaties gevonden. Bevestig of de configuratiecriteria correct zijn.") } return [PSCustomObject]@{ Script = 'application-modernization.ps1' Timestamp = Get-Date ConfigVersion = $config.version LegacyRatio = $legacyRatio ManagedIdentityShare = $managedCoverage PipelineCompliance = $pipelineCompliance LegacyApps = $legacyApps Pipelines = $pipelines PriorityApps = $config.priorityApps Issues = $issues IsHealthy = ($issues.Count -eq 0) } } function Get-ContentHash { [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string]$InputObject ) $sha = [System.Security.Cryptography.SHA256]::Create() try { $bytes = [System.Text.Encoding]::UTF8.GetBytes($InputObject) $hashBytes = $sha.ComputeHash($bytes) return ($hashBytes | ForEach-Object { $_.ToString('x2') }) -join '' } finally { $sha.Dispose() } } function Publish-AppModernizationBlueprint { [CmdletBinding()] param() $config = Get-AppModernizationConfig -InitializeIfMissing $config.lastUpdated = (Get-Date).ToString('yyyy-MM-dd') $configPath = Get-AppModernizationConfigPath $config | ConvertTo-Json -Depth 6 | Set-Content -Path $configPath -Encoding UTF8 $raw = Get-Content -Path $configPath -Raw -Encoding UTF8 $hash = Get-ContentHash -InputObject $raw return [PSCustomObject]@{ Script = 'application-modernization.ps1' GeneratedOn = (Get-Date).ToString('o') ConfigVersion = $config.version Owner = $config.owner LegacyCriteria= $config.legacyCriteria ModernizationKpis = $config.modernizationKpis PriorityApps = $config.priorityApps Pipelines = $config.pipelines BlueprintHash = $hash SourceFile = $configPath } } function Invoke-AppModernizationMonitoring { [CmdletBinding()] param( [switch]$DebugMode ) $config = Get-AppModernizationConfig -InitializeIfMissing $assessment = Invoke-AppModernizationAssessment -DebugMode:$DebugMode $health = Get-WorkloadHealthInsights -DebugMode:$DebugMode return [PSCustomObject]@{ Script = 'application-modernization.ps1' Timestamp = Get-Date ConfigVersion = $config.version Assessment = $assessment ServiceHealth = $health Owner = $config.owner } } function Save-ModernizationReport { [CmdletBinding()] param( [Parameter(Mandatory = $true)] [psobject]$Data, [Parameter(Mandatory = $true)] [string]$Path ) $directory = Split-Path -Parent $Path if ($directory -and -not (Test-Path $directory)) { New-Item -Path $directory -ItemType Directory -Force | Out-Null } $json = $Data | ConvertTo-Json -Depth 8 if ($WhatIf) { Write-Host "[WhatIf] Rapport zou worden opgeslagen op $Path" -ForegroundColor Yellow return } Set-Content -Path $Path -Value $json -Encoding UTF8 Write-Host "Resultaat opgeslagen op $Path" -ForegroundColor Green } if ($Assess) { $assessment = Invoke-AppModernizationAssessment -DebugMode:$DebugMode $path = Resolve-ReportPath -Operation 'assessment' Save-ModernizationReport -Data $assessment -Path $path } if ($Monitoring) { $monitoring = Invoke-AppModernizationMonitoring -DebugMode:$DebugMode $path = Resolve-ReportPath -Operation 'monitoring' Save-ModernizationReport -Data $monitoring -Path $path } if ($PublishBlueprint) { $blueprint = Publish-AppModernizationBlueprint $path = Resolve-ReportPath -Operation 'blueprint' Save-ModernizationReport -Data $blueprint -Path $path }

Risico zonder implementatie

Risico zonder implementatie
High: Legacy-applicaties blijven afhankelijk van onbeheerde secrets en ongedocumenteerde processen waardoor compliance-eisen en continuïteitsnormen niet worden gehaald en reputatieschade vrijwel onvermijdelijk is.

Management Samenvatting

Voer een portfoliobrede modernisering door, steun op standaardarchitecturen en automatische rapportages via application-modernization.ps1, en borg financiering en governance binnen de Nederlandse Baseline voor Veilige Cloud.