Beleid en Beveiliging binnen het Power Platform

Het Power Platform van Microsoft biedt organisaties de mogelijkheid om bedrijfsprocessen te automatiseren, data te visualiseren en applicaties te ontwikkelen met behulp van low-code tools. Dit platform omvat onder andere Power BI, Power Apps en Power Automate. Een belangrijk aspect van het gebruik van het Power Platform is het waarborgen van de beveiliging en het opstellen van een gedegen beleid.

Waar sta je als organisatie?

Net zoals op andere plekken van Microsoft, is het ook binnen Power Platform mogelijk om beleid in te stellen en de beveiliging aan te scherpen. Microsoft heeft standaard instellingen die prima zijn om mee te starten, maar met een paar kleine aanpassingen in beleid is het mogelijk om de beveiliging te verbeteren!

Een vraag om mee te beginnen: ‘Waar sta je als organisatie?’. De volgende situaties kunnen van toepassing zijn:

Het kan zijn dat er binnen je organisatie nog geen gebruikt gemaakt wordt van het Power Platform, maar dat jullie graag willen beginnen en willen weten hoe dat veilig en hoe ‘citizen development’ onder controle gedaan kan worden.
Of dat er binnen de organisatie al gebruik wordt gemaakt van meerdere oplossingen binnen het platform en je jezelf afvraagt hoe dit onder controle gehouden kan worden.
Of dat je wilt weten wat de risico’s zijn om helemaal niks aan beleid en beveiliging te doen binnen het platform.
Deze blog probeert antwoord te geven op deze vragen.

Baseline van Microsoft

Laten we beginnen bij de standaard van Microsoft, hoe is het als je niks instelt? Het antwoord daarop kan vrij complex zijn, maar we proberen het kort uit te leggen.

Iedereen is in staat om iets aan te maken binnen het platform (Power App app of Power Automate flow bijvoorbeeld). Dit kan doordat elke Microsoft tenant een ‘default’ omgeving heeft. Alle gebruikers worden hieraan toegevoegd en kunnen in deze omgeving onderdelen aanmaken. Daarnaast zijn gebruikers in staat om een ‘developer’ omgeving aan te maken, daarmee krijgen zij een soort ‘zandbak’ waarin zij allerlei dingen kunnen uitproberen. Dit is in het leven geroepen om ‘citizen development’ aan te jagen.

Zij kunnen vervolgens (zonder Power Platform licentie) alle standaard connectors gebruiken. Denk hierbij aan SharePoint, Outlook, maar ook externe connectoren zoals bijvoorbeeld X, Google Agenda, OneDrive voor privé gebruik, Dropbox of Facebook. Technisch gezien kan men daarmee een flow maken die emails opslaat in een privé OneDrive map.
De beveiliging van het platform wordt door de uitgebreide beveiliging (mits ingesteld) in de eerste laag al goed beveiligd. Binnen het platform zelf bestaan ook beveiligingsrollen. Die zijn gebaseerd rondom Dataverse, de opslagbron van het platform. Het platform zelf is ook gebouwd op Dataverse. Hierdoor zul je in je omgeving al veel tabellen zien staan. Om het platform bruikbaar te maken voor gebruikers krijgen zij standaard 2 rollen:

  • Environment maker
    Met deze rol kan men apps en flows maken
  • Basic user
    Deze rol geeft standaard rechten op allerlei tabellen om het platform te laten functioneren, dit is een baseline van Microsoft en kan veranderen

Al met al is mijn persoonlijke mening dat de baseline van Microsoft prima is, zeker wanneer men weinig tot geen gebruik maakt van het platform. Alleen is het eenvoudig met een paar kleine aanpassingen te verbeteren.

Wat zou je kunnen doen?

Beveiliging

Binnen het platform kun je uitgebreide beveiliging instellen, hier zoomen we in op de beveiliging op de tabellen. Dit is vooral interessant wanneer je met Dataverse tabellen gaat werken.

Deze twee specifieke opties zijn heel handig:

  • Rollen: Toegang en rechten kunnen worden gescheiden op basis van rollen. De basis hiervan zijn CRUD rechten (maken, lezen, updaten en verwijderen). Dit voorkomt dat onbevoegden toegang krijgen tot gevoelige data. De basic user en environment maker van hierboven zijn voorbeelden hiervan.
  • Specifieke rechten op kolomniveau: Het is mogelijk om rechten toe te kennen op kolomniveau, bijvoorbeeld dat alleen het managementteam bepaalde kolommen kan bewerken.

Verder is het mogelijk om met verschillende omgevingen te werken. Dit zorgt ervoor dat je data eenvoudig kan scheiden van elkaar en deze met beveiligingsgroepen kunt beveiligen. Denk bijvoorbeeld aan een gescheiden ontwikkel- en productieomgeving. Of twee afdelingen die elk met hun eigen data in dezelfde app moeten werken.

Beleidsinstellingen

Naast deze beveiliging kun je ook beleid instellen op het platform, sommige gelden voor de hele tenant, andere voor een specifieke omgeving. Hieronder beschrijven we er een aantal.

  • Data Loss Prevention (DLP): Hiermee kan worden bepaald welke connectoren wel en niet gebruikt mogen worden binnen Power Automate en Power Apps. Dit helpt om te voorkomen dat bedrijfsdata naar buiten lekt.
  • Monitoring en auditing: Het is mogelijk om te monitoren wie er gebruik maakt van het Power Platform en welke apps en flows er zijn gemaakt. Auditing kan worden ingeschakeld om bij te houden wie welke acties heeft uitgevoerd.
  • Tenant isolatie: Met tenant isolatie kun je afdwingen dat er geen communicatie van of naar je tenant toe gaat, hiermee zorg je ervoor dat je zeker weet dat data binnen blijft.
  • Gasttoegang: Het is mogelijk om gasten te weren van Power Platform.
  • IP Firewall: Met dit beleid kun je ervoor zorgen dat men alleen van bepaalde IP adressen bij de data kan.
Beleidsinstellingen Power Platform

Aanbevelingen

Afhankelijk van de vraag aan het begin ‘Waar sta je als organisatie?’ kun je keuzes maken om vanaf nu te doen. Hieronder een aantal opties aanbevolen door ons:

  • Begin met een minimaal beleid: Zorg ervoor dat er een basisbeleid is ingesteld om de veiligheid te waarborgen zonder de flexibiliteit van het platform te beperken.
  • Laat een Power Platform scan uitvoeren: Dit helpt om te beoordelen hoe het platform momenteel is ingericht en waar verbeteringen mogelijk zijn. Ook kun je de baseline van Microsoft hiermee uitbreiden met een baseline van Puur ICT.
  • Centre of Excellence: Dit is een tool die kan helpen bij het beheren van flows en apps, dit is vooral handig wanneer veel collega’s applicaties en automatiseringen ontwikkelen. Een mooie aanvulling hierop is om collega’s een email te versturen bij het aanmaken van een app of flow, om de ‘citizen development’ ervaring te verbeteren en te stimuleren binnen je organisatie.
  • Schrijf een gedetailleerd beleid: Als laatste is het mogelijk om beleid tot in de puntjes te regelen en alles uitgeschreven te hebben. Bij een grote organisatie kan dit het beste uitgangspunt zijn. Hiervoor schakel je experts in die helpen om een concreet plan te maken. Dit kan ‘citizen development’ bij een grote organisatie mogelijk maken zonder verlies van controle.

Als laatste willen we meegeven: begin met bouwen en gebruiken! Ons advies is om vooral gewoon aan de slag te gaan met het Power Platform, het biedt veel kansen en voordelen t.o.v. traditionele ontwikkeling. Begin klein om ervaring op te doen en schaal vervolgens op. Laat enthousiastelingen aan de slag gaan of schakel een derde partij in om een oplossing te laten ontwikkelen.

Vragen? Neem gerust contact met ons op

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden

Aanmelden nieuwsbrief

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden