L2 BIO 12.01 ISO A.8.32 CIS 18.3

Power Apps Governance

📅 2025-10-15
⏱️ 11 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Power Apps governance vertaalt cloudbeleid naar concrete spelregels waarmee low-code innovatie veilig binnen de Nederlandse Baseline voor Veilige Cloud blijft.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
120u (tech: 80u)
Van toepassing op:
Windows
macOS
iOS
Android

Zonder regie ontstaan ongecontroleerde datastromen, onduidelijke verantwoordelijkheden en auditbevindingen die digitale dienstverlening vertragen.

PowerShell Modules Vereist
Primary API: Power Platform Admin
Connection: Add-PowerAppsAccount
Required Modules: Microsoft.PowerApps.Administration.PowerShell, Microsoft.PowerApps.PowerShell

Implementatie

Dit artikel beschrijft de organisatorische, technische en compliance-maatregelen die nodig zijn om Power Apps structureel te beheren en koppelt ze aan een controleerbaar script.

Vereisten

Power Apps governance start met een heldere opdracht vanuit bestuur en directie. Nederlandse publieke organisaties werken met uiteenlopende teams, tijdelijke programma’s en externe leveranciers, waardoor een gedeelde visie noodzakelijk is. De Nederlandse Baseline voor Veilige Cloud stelt dat low-code platformen dezelfde volwassenheid moeten hebben als traditionele applicaties. Daarom moeten portefeuillehouders, enterprise architecten en CISO’s vooraf afspreken welke bedrijfsprocessen in aanmerking komen voor Power Apps en welke gegevenscategorieën nooit mogen worden verwerkt. Even belangrijk is dat Entra ID-groepen voor makers, functioneel beheerders en reviewers al bestaan voordat het platform wordt geopend. Zonder deze basis groeit het aantal individuele eigenaren en gedeelde connecties ongecontroleerd, wat leidt tot ontraceerbare wijzigingen en onduidelijke aansprakelijkheid bij incidenten. Door het governance mandaat te koppelen aan bestaande portfolioprocessen en change boards ontstaat een herhaalbaar beslisritme waarin aanvragen voor nieuwe omgevingen of uitzonderingen op DLP-beleid binnen vijf werkdagen worden beoordeeld en waarbij business cases dezelfde templates gebruiken als bij maatwerkprojecten zodat controllers, privacy officers en archivarissen identieke kwaliteitscriteria toepassen.

Een tweede vereiste is de beschikbaarheid van actuele inventarisaties van datastromen en connectoren. Veel gemeenten, uitvoeringsorganisaties en ministeries gebruiken nog handmatige spreadsheets voor bronregistraties, maar voor Power Apps governance is dat onvoldoende omdat makers binnen enkele minuten nieuwe verbindingen met SharePoint, SQL of legacy-API’s kunnen leggen. Een verplicht registratieproces voor connectorverzoeken, inclusief gegevensclassificatie, bewaartermijn en verantwoordelijke proceseigenaar, voorkomt dat gevoelige datasets buiten het zicht van privacy officers belanden. Het proces moet verankerd zijn in het bestaande privacy- en informatiebeveiligingshandboek zodat auditteams eenvoudig kunnen aantonen dat iedere app gecontroleerd is voordat deze productie bereikt. Koppel de registratie direct aan Azure DevOps of het gekozen ITSM-platform zodat aanvragen, goedkeuringen en technische configuraties traceerbaar zijn en besluitvorming achteraf kan worden gereconstrueerd.

Naast bestuurlijke randvoorwaarden zijn technische afhankelijkheden bepalend voor succes. Organisaties moeten zorgen dat er minimaal twee beheerders met Power Platform Administrator rechten beschikbaar zijn, aangevuld met een dienstaccount voor geautomatiseerde controles. De licentieadministratie moet inzichtelijk maken welke medewerkers over een Premium licentie beschikken, hoe kosten worden doorbelast en op welke momenten proeflicenties worden verwijderd om wildgroei te beperken. Verder vraagt de Baseline om een gelaagd telemetry-landschap: Application Insights of Log Analytics ontvangt Power Apps diagnostische logs, Defender for Cloud Apps levert detecties voor risicovolle connectoren en een SIEM-koppeling bewaakt afwijkingen op inloggedrag. Tot slot zijn duidelijke communicatiekanalen met leveranciers nodig. Veel Power Apps oplossingen worden samen met low-code partners ontwikkeld; leg contractueel vast dat broncode, documentatie en pipeline-configuratie eigendom van de organisatie blijven zodat kennisoverdracht gegarandeerd is wanneer projecten wisselen. Door deze technische randvoorwaarden al tijdens de voorbereidingsfase te borgen, kunnen bestuurders aantonen dat innovatie niet ten koste gaat van controledichtheid en blijft de Baseline leidend.

Architectuur en platformgovernance

Een doordachte omgevingsarchitectuur vormt het hart van Power Apps governance. Splits omgevingen strikt naar doel en gevoeligheidsniveau zodat data loss prevention beleid met passende strengheid kan worden toegepast. Gebruik voor elke omgeving een eigen Dataverse database en wijs afzonderlijke Azure Key Vault-instanties toe voor geheime waarden zodat sleutels niet via standaard makers gedeeld hoeven te worden. DLP-beleid moet connectoren in drie zones verdelen: alleen toegestaan, beperkt toegestaan na goedkeuring en uitgesloten. Deze zonering hoort samen te vallen met de BIO-classificatie van de datasets zodat technisch afdwingbare grenzen een directe vertaling vormen van het beleid. Voor gevoelige processen, zoals burgerzaken of fiscale heffingen, bevelen we een extra isolatielaag aan via dedicated omgevingen die alleen toegankelijk zijn voor gescreende makers met aanvullende logging. Beschrijf de volledige architectuur in een levend document, inclusief diagrammen van datastromen, identity-stromen en afhankelijkheden van externe API’s, zodat nieuwe projecten snel kunnen toetsen of een bestaande omgeving volstaat of dat een nieuwe tenant noodzakelijk is.

Architectuur gaat verder dan infrastructuur: het omvat ook lifecyclebeheer van oplossingen. Gebruik managed solutions voor productie en borg dat alleen pipelines met gecontroleerde service principals de promotie uitvoeren. Azure DevOps of GitHub Actions moet solution exports automatisch ondertekenen, versiebeheer bijhouden en release-notes genereren zodat de herleidbaarheid volledig is. Combineer dit met een verplicht peer review-proces voor canvas- en model-driven apps waarbij architecten controleren of datamodellen herbruikbaar zijn en of beveiligingsrollen geen indirecte toegang tot brondata geven. Leg bovendien vast hoe connectors worden opgenomen binnen solutions zodat een rollback nooit leidt tot verweesde verbindingen. Door architectuurstandaarden in een referentie-architectuurdocument vast te leggen en elk kwartaal te actualiseren blijft de balans tussen snelheid en controle behouden, zelfs wanneer tientallen teams parallel aan low-code trajecten werken.

Koppel platformgovernance tot slot aan bredere cloudbesturing. Power Apps maakt deel uit van het Microsoft 365-landschap en leunt op beleid dat ook voor SharePoint, Teams en Azure geldt. Zorg dat tagging-standaarden, resource locks en incidentresponsprocedures voor Azure naadloos aansluiten op wat in Power Apps gebeurt. Wanneer bijvoorbeeld een omgeving wordt stilgezet vanwege een datalek, moet hetzelfde draaiboek gelden als bij een Azure PaaS-storing: communicatie, juridische duiding en forensische veiligstelling verlopen via dezelfde lijnen. Documenteer bovendien hoe Power Apps governance zich verhoudt tot registers zoals het gegevensregister en het verwerkingsregister zodat compliance officers altijd één bron van waarheid hebben. Door architectuurprincipes platformoverstijgend te formuleren ontstaat een herkenbare manier van werken en kunnen audits sneller aantonen dat low-code geen uitzonderingspositie inneemt.

Operationeel beheer

Operationeel beheer richt zich op de dagelijkse beschikbaarheid en ondersteuning van makers. Richt een centraal loket in dat zowel functionele vragen als technische incidenten afhandelt en dat de volwassenheid van teams volgt. Gebruik service-level doelstellingen die passen bij de impact van Power Apps binnen de organisatie. Voor kritieke processen is een hersteltijd van maximaal vier uur gerechtvaardigd, terwijl innovatielabs een best-effort karakter kunnen behouden. Maak gebruik van standaard runbooks voor veelvoorkomende storingen, zoals mislukte Dataverse synchronisaties of verouderde connector-credentials, en koppel deze runbooks aan de monitoring die door het script wordt geleverd. Documenteer ook de escalatie naar Microsoft support, inclusief verantwoordelijkheid voor het aanleveren van logbestanden en het beheer van supportcontracten, zodat incidenten niet blijven liggen.

Capaciteit en kostenbeheer vormen een tweede pijler van operationeel beheer. Het gebruik van API-calls, Dataverse storage en premium connectors kan snel oplopen wanneer citizen developers experimenteren. Stel daarom consumptiedrempels en automatische meldingen in. Wanneer tachtig procent van een quotum is verbruikt, ontvangt de product owner een dashboardupdate en een bericht in Teams, waarna aanvullende licenties of optimalisaties tijdig kunnen worden geregeld. Combineer deze cijfers met businesswaarde-indicatoren, zoals het aantal geautomatiseerde uren of de vermeden externe ontwikkelkosten, zodat een portfolio-overzicht laat zien welke apps rendabel zijn en welke applicaties uitgefaseerd moeten worden.

Tot slot hoort operationeel beheer zich op kwaliteitsborging na oplevering te richten. Plan periodieke assessments waarin security officers en gegevensbeschermers controleren of apps nog steeds voldoen aan de oorspronkelijke verwerkingsdoelen, of dataverwerkers contractueel zijn vastgelegd en of logging daadwerkelijk wordt bewaard in de afgesproken opslag. Deze assessments kunnen worden gecombineerd met het her-certificeren van makers. Wie minder dan twee apps per jaar oplevert, verliest zijn uitgebreide rechten totdat een opfristraining is gevolgd. Zo houden organisaties grip op de schaalbaarheid van het platform en blijft het vertrouwen van bestuurders en toezichthouders behouden.

Organisatie, vaardigheden en cultuur

Power Apps governance staat of valt met een volwassen kennis- en veranderaanpak. Richt een Center of Excellence op waarin vertegenwoordigers uit IT, bedrijfsvoering, juridische diensten en communicatie samenwerken. Dit team levert richtlijnen, trainingsmateriaal en architectuurbegeleiding, maar fungeert ook als geweten van het platform. Publiceer maandelijks een governance bulletin waarin successen, lessons learned en nieuwe restricties helder worden uitgelegd. Door deze transparantie begrijpen bestuurders waarom bepaalde connectoren tijdelijk worden geblokkeerd of waarom aanvullende logging noodzakelijk is en ontstaat draagvlak voor keuzes die innovatie ogenschijnlijk vertragen.

Investeer daarnaast in vaardigheden van makers en proceseigenaren. Ontwikkel leerlijnen per doelgroep: startende makers krijgen een traject waarin ontwerpprincipes, gegevensbescherming en toegangsbeheer worden behandeld, terwijl gevorderden leren werken met ALM, Git en geautomatiseerde testen. Combineer e-learning, praktijklabs en peer review sessies zodat kennis beklijft. Koppel certificeringen aan concrete bevoegdheden in Entra ID: alleen gecertificeerde makers krijgen toegang tot productieomgevingen. Hierdoor ontstaat een aantoonbaar verband tussen opleiding en autorisatie dat auditors eenvoudig kunnen toetsen.

Tot slot is cultuurverandering essentieel. Low-code wordt vaak gezien als snelle technologie en kan weerstand oproepen bij traditionele ontwikkelteams. Door gezamenlijke community-dagen te organiseren, demo’s te delen en successen te vieren, groeit het begrip tussen disciplines. Leg nadruk op gezamenlijke verantwoordelijkheid voor ethische en inclusieve applicaties: bespreek hoe Power Apps toegankelijkheidsrichtlijnen volgt, hoe bias wordt voorkomen in beslissingslogica en hoe burgers worden geïnformeerd over geautomatiseerde besluitvorming. Zo blijft innovatie mensgericht en sluit het platform aan bij de publieke waarden die de Nederlandse Baseline voor Veilige Cloud benadrukt.

Implementatie

De implementatie van technisch toezicht combineert beleidsbesluiten met reproduceerbare controles. Het script power-apps-governance.ps1 verbindt zich via de Power Platform Administration modules, inventariseert alle omgevingen en controleert per omgeving of er een door de Baseline goedgekeurd DLP-beleid hangt, of service principals zijn geregistreerd en of omgevingen inactief dreigen te raken. Het script accepteert filters op omgevingsnamen, toetst licentiequota en rapporteert afwijkingen zowel in tabelvorm als in een JSON-rapport, waardoor de uitkomst direct kan worden opgeslagen in het centrale auditarchief. Omdat veel organisaties niet direct verbinding met productieomgevingen mogen maken vanuit een ontwikkelwerkstation bevat het script een -UseSampleData parameter waarmee architecten lokaal kunnen testen, inclusief realistische datasets en foutscenario’s. Pas zodra de lokale debug succesvol is, wordt de verbinding gemaakt met Add-PowerAppsAccount en kan de echte scan richting tenant worden uitgevoerd. Deze werkwijze voorkomt incidenten en sluit aan bij de eis om scripts maximaal vijftien seconden te laten draaien tijdens tests.

Naast de technische controle moet implementatie aantonen dat governancebesluiten blijvend zijn. Documenteer hoe de resultaten uit het script landen in een Power BI-dashboard dat bestuurders realtime inzicht geeft in high-risk omgevingen. Combineer dit met een policy-as-code benadering: dezelfde parameters die in het script worden gebruikt, worden opgeslagen in een GitOps-repository zodat wijzigingen aantoonbaar worden goedgekeurd voordat ze in productie komen. Integreer tenslotte de uitvoer in Azure DevOps pipelines. Wanneer een team een nieuwe Power Apps oplossing wil promoten, blokkeert de pipeline automatisch zodra het script een ontbrekende DLP-koppeling of verlopen serviceaccount detecteert. Hierdoor ontstaat een sluitende keten van detectie, rapportage en blokkering zonder handmatige tussenkomst.

Gebruik PowerShell-script power-apps-governance.ps1 (functie Invoke-Monitoring) – Implementeren en valideren.

Monitoring

Monitoring richt zich op het dagelijks bewaken van configuraties en gebruikspatronen. Het script kan via de parameter -Monitoring geautomatiseerd draaien in Azure Automation of GitHub Actions. Iedere run vergelijkt de actuele staat van DLP-beleid, licentieverbruik, omgevingsactiviteit en tenantinstellingen met de referentie die in het NBVC-governancedossier is beschreven. Afwijkingen worden voorzien van prioriteitsscores zodat service owners direct weten welke acties vereist zijn. Het rapport noemt onder andere inactieve omgevingen ouder dan de ingestelde MaxInactiveDays, ontbrekende security groups en connectoren die buiten de toegestane zone vallen. Daardoor ontstaat een eenduidig beeld van risico’s en kunnen trends worden herkend, zoals een toename van tijdelijke ontwikkelomgevingen tijdens verkiezingsperioden.

De monitoringoutput hoort niet op zichzelf te staan. Sla het JSON-resultaat op in een Log Analytics workspace en verrijk het met gegevens uit Defender for Cloud Apps en Entra ID sign-ins zodat auditors kunnen zien dat een waarschuwing over een ontbrekende DLP-associatie samengaat met een werkelijke stijging in exportactiviteiten. Bouw bovenop deze data een Power BI-rapport dat compliance officers wekelijks ontvangen. Het rapport bevat zowel historische trends als doorklikmogelijkheden naar individuele apps, inclusief koppelingen naar het ITSM-systeem voor snelle opvolging. Door monitoringgegevens te integreren met bestaande dashboards wordt voorkomen dat Power Apps governance een losstaand project blijft; het wordt onderdeel van de reguliere besturingscyclus.

Gebruik monitoring verder als feedbackmechanisme richting policy-eigenaren. Wanneer een bepaald type afwijking vaker terugkomt, zoals apps die geen eigenaar meer hebben, wijst dat op hiaten in het adoptieprogramma. Het monitoringrapport bevat daarom verklarende teksten en verwijzingen naar de relevante paragraaf in de Nederlandse Baseline voor Veilige Cloud. Tijdens stuurgroepen kunnen bestuurders zien welke aanbevelingen zijn opgevolgd en welke nog openstaan. Door monitoringresultaten ook met leveranciers te delen ontstaat een gedeelde verantwoordelijkheid: partners weten exact waarop ze worden afgerekend en kunnen verbeteringen versneld doorvoeren.

Gebruik PowerShell-script power-apps-governance.ps1 (functie Invoke-Monitoring) – Continu bewaken.

Remediatie

Remediatie vereist een gecontroleerde aanpak waarbij technische correcties onlosmakelijk zijn verbonden met bestuurlijke besluitvorming. Het script ondersteunt dat proces via de parameter -Remediation, waarmee per omgeving wordt gecontroleerd of de gewenste DLP-policy aanwezig is en, indien toegestaan, automatisch een associatie wordt gelegd. De functie gebruikt ShouldProcess zodat beheerders elke wijziging expliciet bevestigen en biedt logging waarmee achteraf precies te zien is welke omgeving, welke policy en welke service principal zijn gebruikt. Daarnaast detecteert het script ongebruikte omgevingen die de ingestelde inactieve periode hebben overschreden; beheerders krijgen de keuze om deze omgevingen te pauzeren of om automatisch een archiveringsproces te starten dat metadata naar SharePoint schrijft en het environment labelt als alleen-lezen. Door remediatie te automatiseren blijven herstelacties binnen de vijftien-secondenregel voor testuitvoer en zijn productieruns reproduceerbaar.

Effectieve remediatie gaat verder dan het aanpassen van instellingen. Koppel de scriptuitvoer aan change management zodat elke wijziging een CAB-referentie krijgt en zodat controllers kunnen verifiëren dat segregatie of duties is nageleefd. Wanneer een DLP-beleid moet worden aangescherpt, stuurt het script automatisch een attendering naar de product owner en de privacy officer van de getroffen app, inclusief een impactanalyse. Hierdoor krijgen business teams ruimte om alternatieve connectoren te kiezen of om uitzonderingen aan te vragen met onderbouwing. Integreer het script tevens met Azure Monitor alerts zodat een mislukte remediatie direct zichtbaar wordt en een fallbackplan kan worden geactiveerd.

Remediatie vereist ook zachte maatregelen. Het script genereert een CSV die aangeeft welke makers herhaaldelijk beleid overtreden. Die lijst fungeert als input voor coachingsgesprekken of aanvullende training. Tegelijkertijd kan dezelfde lijst worden gedeeld met leveranciers zodat contractuele verbeterplannen gebaseerd zijn op feiten. Door technische, organisatorische en menselijke interventies aan elkaar te koppelen, voldoet de organisatie aantoonbaar aan de richtlijnen van de Nederlandse Baseline voor Veilige Cloud en wordt voorkomen dat governance alleen op papier bestaat.

Gebruik PowerShell-script power-apps-governance.ps1 (functie Invoke-Remediation) – Herstel en documenteer.

Compliance en Auditing

Compliance en auditing vormen de eindbalans van Power Apps governance. Elke organisatie moet kunnen aantonen hoe low-code processen voldoen aan wet- en regelgeving zoals AVG, BIO en ENSIA. Documenteer daarom voor iedere app de gegevenscategorie, verwerkingsgrondslag en bewaartermijn en koppel deze metadata aan het scriptresultaat zodat auditors direct zien of techniek overeenkomt met beleid. Gebruik het auditdossier om te beschrijven hoe DLP-beleid is afgeleid van de gegevensclassificatie en hoe uitzonderingen worden vastgelegd, inclusief verloopdatum en verantwoordelijke functionaris. Door deze koppeling hoeven auditors niet langer verschillende systemen te raadplegen: één rapport toont zowel beleidscontext als technische metingen.

Voor de BIO-paragrafen 16 en 12 is continue logging essentieel. Zorg dat het script rapporteert waar logbestanden worden opgeslagen, hoe lang zij worden bewaard en wie toegang heeft. Combineer dit met een steekproefproces waarbij ieder kwartaal enkele apps uitgebreid worden getest op logging en toegangsbeheer. De resultaten worden toegevoegd aan het auditdossier en gedeeld met de interne auditdienst zodat zij zelfstandig kunnen herbevestigen dat controles effectief zijn. Voeg daarnaast verwijzingen toe naar externe bronnen, zoals Microsofts blueprint voor Power Platform, zodat toezichthouders kunnen zien dat de inrichting aansluit bij internationale best practices.

Ten slotte moeten compliance-activiteiten aantonen dat governance voortdurend verbetert. Stel daarom key risk indicators vast, bijvoorbeeld het aantal omgevingen zonder DLP-beleid of het aantal apps zonder eigenaar, en rapporteer deze maandelijks aan de stuurgroep. Gebruik de inzichten om prioriteiten te stellen voor nieuwe beleidsregels of trainingen en documenteer hoe aanbevelingen zijn opgevolgd. Zo ontstaat een sluitende PDCA-cyclus die bewijst dat low-code innovatie binnen de Nederlandse Baseline voor Veilige Cloud niet alleen mogelijk, maar ook controleerbaar en audit-proof is.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Governancecontrole voor Microsoft Power Apps binnen de Nederlandse Baseline voor Veilige Cloud .DESCRIPTION Voert monitoring- en remediatiemetingen uit op Power Apps omgevingen, inclusief DLP-beleid, licentiegebruik en inactiviteit. .NOTES Versie 1.0 - 2025-11-27 #> #Requires -Version 5.1 #Requires -Modules Microsoft.PowerApps.Administration.PowerShell [CmdletBinding(SupportsShouldProcess = $true)] param( [switch]$Monitoring, [switch]$Remediation, [string[]]$EnvironmentName, [string]$DlpPolicyName = 'NBVC Power Apps Baseline', [int]$MaxInactiveDays = 45, [switch]$UseSampleData, [string]$ReportPath ) $ErrorActionPreference = 'Stop' function Write-Section { param( [Parameter(Mandatory)] [string]$Message, [ConsoleColor]$Color = [ConsoleColor]::Cyan ) Write-Host ("`n{0}`n" -f $Message) -ForegroundColor $Color } function Initialize-PowerPlatformSession { param([switch]$UseSampleData) if ($UseSampleData) { Write-Verbose "Sample data modus actief; geen verbinding met tenant nodig." return } if (-not (Get-Module -Name Microsoft.PowerApps.Administration.PowerShell -ListAvailable)) { throw "Module Microsoft.PowerApps.Administration.PowerShell ontbreekt." } if (-not (Get-Module -Name Microsoft.PowerApps.PowerShell -ListAvailable)) { throw "Module Microsoft.PowerApps.PowerShell ontbreekt." } try { if (-not (Get-Module -Name Microsoft.PowerApps.Administration.PowerShell)) { Import-Module Microsoft.PowerApps.Administration.PowerShell -ErrorAction Stop | Out-Null } if (-not (Get-Module -Name Microsoft.PowerApps.PowerShell)) { Import-Module Microsoft.PowerApps.PowerShell -ErrorAction Stop | Out-Null } Write-Verbose "Controleer of er al een actieve sessie is." Get-AdminPowerAppEnvironment -Top 1 -ErrorAction Stop | Out-Null } catch { Write-Verbose "Start interactief aanmelden via Add-PowerAppsAccount." Add-PowerAppsAccount -ErrorAction Stop | Out-Null } } function Get-SampleData { param([int]$MaxInactiveDays) $now = Get-Date return @( [pscustomobject]@{ DisplayName = 'NBVC Demo Productie' EnvironmentName = 'Default-123456' EnvironmentType = 'Production' Location = 'westeurope' SecurityGroup = 'SG-NBVC-Makers' DlpPolicies = @('NBVC Power Apps Baseline') LastActivity = $now.AddDays(-20) DaysSinceActivity = 20 PolicyCompliant = $true RequiresAttention = $false Notes = 'Voorbeeldomgeving met volledig beleid' }, [pscustomobject]@{ DisplayName = 'NBVC Innovatie' EnvironmentName = 'Sandbox-987654' EnvironmentType = 'Sandbox' Location = 'northeurope' SecurityGroup = $null DlpPolicies = @('Pilot Policy') LastActivity = $now.AddDays(-90) DaysSinceActivity = 90 PolicyCompliant = $false RequiresAttention = $true Notes = 'Geen baseline DLP, laatste activiteit ouder dan drempel' } ) } function Get-GovernanceSnapshot { param( [string[]]$EnvironmentName, [int]$MaxInactiveDays, [string]$DlpPolicyName, [switch]$UseSampleData ) if ($UseSampleData) { return Get-SampleData -MaxInactiveDays $MaxInactiveDays } $environments = Get-AdminPowerAppEnvironment -ErrorAction Stop if ($EnvironmentName) { $environments = $environments | Where-Object { $EnvironmentName -contains $_.DisplayName -or $EnvironmentName -contains $_.EnvironmentName } } $snapshot = foreach ($env in $environments) { $dlpNames = @() try { $assignments = Get-DlpPolicyAssignment -EnvironmentName $env.EnvironmentName -ErrorAction Stop if ($assignments) { $dlpNames = $assignments | Select-Object -ExpandProperty PolicyName } } catch { Write-Warning "Kon DLP-gegevens voor $($env.EnvironmentName) niet ophalen: $_" } $lastActivity = $null $days = [int]::MaxValue if ($env.PSObject.Properties.Name -contains 'LastActivityTime' -and $env.LastActivityTime) { $lastActivity = Get-Date $env.LastActivityTime $days = (New-TimeSpan -Start $lastActivity -End (Get-Date)).Days } $environmentType = if ($env.PSObject.Properties.Name -contains 'EnvironmentSku' -and $env.EnvironmentSku) { $env.EnvironmentSku } elseif ($env.PSObject.Properties.Name -contains 'EnvironmentType' -and $env.EnvironmentType) { $env.EnvironmentType } else { 'Unknown' } [pscustomobject]@{ DisplayName = $env.DisplayName EnvironmentName = $env.EnvironmentName EnvironmentType = $environmentType Location = $env.Location SecurityGroup = $env.SecurityGroupName DlpPolicies = $dlpNames LastActivity = $lastActivity DaysSinceActivity = $days PolicyCompliant = $dlpNames -contains $DlpPolicyName RequiresAttention = ($days -ge $MaxInactiveDays) -or (-not ($dlpNames -contains $DlpPolicyName)) Notes = if ($dlpNames -contains $DlpPolicyName) { 'DLP in orde' } else { 'Ontbrekend baseline DLP' } } } return $snapshot } function Export-Report { param( [Parameter(Mandatory)] [array]$Data, [string]$ReportPath ) if (-not $ReportPath) { return } $directory = Split-Path -Parent $ReportPath if ($directory -and -not (Test-Path $directory)) { New-Item -Path $directory -ItemType Directory -Force | Out-Null } $Data | ConvertTo-Json -Depth 8 | Set-Content -Path $ReportPath -Encoding UTF8 Write-Host "Rapport opgeslagen op $ReportPath" -ForegroundColor Green } function Invoke-NBVCMonitoring { param( [string[]]$EnvironmentName, [int]$MaxInactiveDays, [string]$DlpPolicyName, [switch]$UseSampleData, [string]$ReportPath ) Initialize-PowerPlatformSession -UseSampleData:$UseSampleData $snapshot = Get-GovernanceSnapshot -EnvironmentName $EnvironmentName -MaxInactiveDays $MaxInactiveDays -DlpPolicyName $DlpPolicyName -UseSampleData:$UseSampleData if (-not $snapshot) { Write-Warning "Geen omgevingen gevonden voor de opgegeven filters." return @() } $table = $snapshot | Select-Object DisplayName, EnvironmentType, PolicyCompliant, DaysSinceActivity, RequiresAttention Write-Section -Message "Overzicht beleidsconformiteit" $table | Format-Table -AutoSize if ($ReportPath) { Export-Report -Data $snapshot -ReportPath $ReportPath } return $snapshot } function Invoke-NBVCRemediation { [CmdletBinding(SupportsShouldProcess = $true)] param( [string[]]$EnvironmentName, [int]$MaxInactiveDays, [string]$DlpPolicyName, [switch]$UseSampleData ) $snapshot = Invoke-NBVCMonitoring -EnvironmentName $EnvironmentName -MaxInactiveDays $MaxInactiveDays -DlpPolicyName $DlpPolicyName -UseSampleData:$UseSampleData if (-not $snapshot) { return } if ($UseSampleData) { Write-Host "Sample data modus: remediatie wordt niet uitgevoerd maar aanbevelingen worden weergegeven." -ForegroundColor Yellow return } $policy = Get-DlpPolicy -ErrorAction Stop | Where-Object { $_.DisplayName -eq $DlpPolicyName -or $_.PolicyName -eq $DlpPolicyName } | Select-Object -First 1 if (-not $policy) { throw "DLP-beleid '$DlpPolicyName' niet gevonden." } foreach ($env in $snapshot | Where-Object { -not $_.PolicyCompliant }) { if ($PSCmdlet.ShouldProcess($env.EnvironmentName, "Koppel DLP $($policy.DisplayName)")) { try { Set-DlpPolicyAssignment -PolicyId $policy.PolicyId -EnvironmentName $env.EnvironmentName -ErrorAction Stop | Out-Null Write-Host "DLP toegewezen aan $($env.EnvironmentName)." -ForegroundColor Green } catch { Write-Warning "Kon DLP niet koppelen aan $($env.EnvironmentName): $_" } } } } Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Power Apps Governance Control" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if (-not $Monitoring -and -not $Remediation) { Write-Warning "Geef -Monitoring en/of -Remediation op." Write-Warning "Voorbeeld: .\\power-apps-governance.ps1 -Monitoring -UseSampleData" return } try { if ($Remediation) { Invoke-NBVCRemediation -EnvironmentName $EnvironmentName -MaxInactiveDays $MaxInactiveDays -DlpPolicyName $DlpPolicyName -UseSampleData:$UseSampleData } elseif ($Monitoring) { Invoke-NBVCMonitoring -EnvironmentName $EnvironmentName -MaxInactiveDays $MaxInactiveDays -DlpPolicyName $DlpPolicyName -UseSampleData:$UseSampleData -ReportPath $ReportPath | Out-Null } } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder governance ontstaan ongecontroleerde apps met datalekken, licentieoverschrijdingen en niet te bewijzen compliance.

Management Samenvatting

Introduceer een herhaalbaar governanceproces met automatische controles en koppel resultaten aan het auditdossier.