Studie-ochtend TRES - 6 november 2025, SC-900 deel 1

Ingediend door Dirk Hornstra op 17-nov-2025 19:24

Het is weer tijd voor onze studie-ochtend bij TRES! Begin dit jaar had ik al geïnformeerd hoe het zat met de certificeringen voor Umbraco, dat heb ik toen weer een tijdje laten liggen. Maar nu ik zag dat we weer een studie-ochtend zouden hebben, ben ik er nog maar even achteraan gegaan. Dat is geregeld, dus binnenkort kan ik weer aan de slag met Umbraco Fundamentals. Maar goed, daarmee kan ik op 6 november nog niet beginnen.

Als we het dan toch over de Fundamentals hebben, die heb je ook bij Azure. De onderstaande 4 heb ik de afgelopen jaren behaald:

  • MS-900 Microsoft 365 Fundamentals (2025)
  • AI-900 Azure AI Fundamentals (2025)
  • DP-900 Azure Data Fundamentals (2024)
  • AZ-900 Azure Fundamentals (2020)

 

Ik ben op de helft, want er zijn er nog 4:

  • MB-910 Dynamics 365 Fundamentals (CRM)
  • MB-920 Dynamics 365 Fundamentals (ERP)
  • PL-900 Power Platform Fundamentals
  • SC-900 Security, Compliance and Identity Fundamentals

 

Ik heb hier willekeurig een keuze uit gemaakt, omdat ik wekelijks op dit blog security-zaken deel en security het belangrijkste aandachtsgebied voor developers zou moeten zijn, ga ik voor de SC-900! De online studiegids is hier na te lezen. De modules die je op Microsoft Learn zou moeten volgen, duren in totaal ongeveer 8 uur. Wat zou betekenen dat als ik goed gefocust ben en misschien 's avonds thuis nog modules doorneem, ik deze binnen een dag afgerond zou kunnen hebben.

 

Dat was "iets te positief ingeschat". Als ik op het werk ingelogd ben in de Microsoft Learn omgeving zie ik niet 1 blok, maar 4 blokken! Als het een week later is (13 november) heb ik (pas) de tijd om die uitgewerkte aantekeningen hier te plaatsen;

Introduction to security, compliance, and identity concepts
Deze 2 modules had ik eerder al afgerond, maar nu nogmaals doorgelopen.
 
Introduction to Microsoft Entra
Hier had ik eerder al 2 van de 4 modules afgerond, ook deze nogmaals doorgelopen.
 
Introduction to Microsoft security solutions
Hier had ik al 1 module (van de 5) afgerond, deze ga ik allemaal nog doorlopen (niet in deze blogpost).
 
Introduction to Microsoft Priva and Microsoft Purview
Hier had ik al 2 van de 4 modules afgerond, ook deze ga ik nog allemaal doorlopen (niet in deze blogpost).
 
Dat je bepaalde onderdelen al gedaan hebt, komt omdat sommige Fundamentals elkaar overlappen.
 

 
Introduction to security, compliance, and identity concepts
 
Het model wat de verantwoordelijkheid beschrijft;
Dit hebben we eerder gehad. Als je alles zelf host, ben je ook zelf 100% verantwoordelijk.
Met de verschillende diensten, heb je verschillende verantwoordelijkheden.
 

  • Informatie, data, devices, accounts en identiteiten zijn altijd de verantwoording van de klant.
  • Fysieke hosts, netwerk en datacenter is bij on-premise bij de klant, maar de overige (cloud) diensten, daar ligt het (natuurlijk) bij de cloud provider.
  • Bij SaaS wordt identity en directory infrastructure gedeeld door klant/provider, applicaties, netwerk en operatingsystem ligt bij de provider.
  • Bij PaaS wordt identity en directory infrastructure gedeeld door klant/provider, applicaties en netwerk gedeeld door klant/provider en operatingsystem ligt bij de provider.
  • Bij IaaS ligt alles bij de klant, alleen de fysieke zaken liggen hier bij de cloud provider.

 
De verschillende lagen van beveiliging;

  • Fysiek: beperking op toegang tot het datacenter
  • Identity and access: MFA, condition-bases access
  • Perimeter: beveiliging van je netwerk, bijvoorbeeld door DDOS-acties buiten de deur te houden
  • Network: netwerksegmentatie en toegangscontroles
  • Compute: een beveiligingslaag, zoals het afsluiten van poorten van virtuele machines
  • Application: zorgen dat er geen "vulnerabilities" in je applicatie zitten
  • Data: deze laag zorgt voor toegang (of weigeren daarvan) en encryptie van data om dit te beschermen.

 
CIA: 

  • Confidentiality: bijvoorbeeld encryptie van je data. Die keys moeten natuurlijk ook ergens "veilig" staan..
  • Integrity: vertrouwen dat de data die je nu ziet de echte data is en niet door iemand aangepast.
  • Availability: zorgen dat data beschikbaar is voor de mensen die het nodig hebben. Dus voor confidentiality heb je data ge-encrypt, maar als iemand de data nodig heeft, moet het wel gedecrypt kunnen worden (en je moet er niet 2 uur op hoeven wachten).

 
 Zero Trust model
 
De insteek hiervan is "trust no one, verify everything". De aanname is dat alles een open en onbetrouwbaar netwerk is, dus dat resources achter een firewall of binnen het eigen netwerk "niet te vertrouwen is". Met alle phishing, malware, ransomware en andere rotzooi zou dit eigenlijk de insteek voor iedereen moeten zijn.
 
Een wachtwoord alleen is niet meer afdoende, je moet met MFA bevestigen wie je bent. Als je ergens toegang tot nodig hebt, krijg je die toegang maar "niet meer". Dus kon je vroeger misschien bij meer plaatsen op het netwerk komen, dit wordt nu compleet afgeschermd.
 
De principes zijn:

  • Verify explicitly: altijd authenticatie en authorizatie.
  • Least privileged access: zorg voor Just In Time en Just Enough Access, zodat het werk gedaan kan worden, maar niet meer.
  • Assume breach: segmenteer je netwerk, gebruikers, devices, applicaties. Gebruik encryptie om data te beveiligen en gebruik analytics om zaken zichtbaar te maken, zwakke punten te detecteren om zo je beveiliging te verbeteren.

 
Zero trust is gebouwd op 6 pilaren:

  • Identities: gebruikers, services, devices. Als een identity een resource wil benaderen, moet het geverifieerd worden met sterke authenticatie em het "least privilege access pricipe".
  • Devices: zorgen voor een groot aanvalsoppervlakte. Data gaat van devices naar on-premise locaties en mogelijk door naar de cloud. Het monitoren van devices op "health" en "compliance" is een belangrijk aspect van security.
  • Applications: de manier waarop data verwerkt wordt. Er moet een overzicht zijn van alle applicaties die gebruikt worden, dit wordt soms "Shadow IT" genoemd omdat niet alle applicaties centraal beheerd worden. Dit onderdeel bevat ook het beheer van rechten en toegang.
  • Data: data zou geclassificeerd, gelabeld en geëncrypt worden, gebaseerd op de attributen. De inspanningen moeten zorgne voor het beschermen van data en het garanderen dat het "veilig" blijft als het devices, applicaties, infrastructuur en netwerken die de organisatie beheert verlaat.
  • Infrastructure: om security te verbeteren moeten versies geïmplementeerd worden, JIT access, telemetrie om aanvallen en afwijken te detecteren. Hiermee zorg je dat bepaalde acties automatisch geblokkeerd of gemarkeerd kunnen worden.
  • Netwerken: deze moeten gesegmenteerd worden. Ook real-time threat protection, end-to-end encryptie, monitoring en analytics zouden actief moeten zijn.

 
 Encryptie en hashing
 
Je hebt symmetrische encryptie (zelfde key) en asymmetrische encryptie (public/private key). Data kan "in rust" geëncrypt worden, tijdens transport (HTTPS), maar soms ook "in use". Als je niet wilt dat bepaalde date "plain" in het RAM of CPU cache komt, kun je ook daar encryptie toepassen. 
Hashing is iets wat vaak bij wachtwoorden gebruikt wordt. Met een "salt" wordt gezorgd dat gehashte wachtwoorden niet eenvoudig "terug te rekenen zijn".
 
Er wordt verwezen naar een module, waar je meer informatie over cryptografie kunt leren: describe concepts of cryptography.
 
 
Governance, risico en compliance (GRC) concepten.
 
We zien een cirkel waarin de relaties weergegeven worden. Je hebt de omliggende schil van processen, mensen en technologie. Daar zit een onderdeel "governance" in. Deze bestaat uit strategieën, policies en monitoring, culture. Het onderdeel "risk" bestaat uit identify, analyze en control. En "compliance" bestaat uit laws, regulations, controls en activities.
 

  • Governance is het systeem van regels en processen, bijvoorbeeld de ISO-norm waar je als bedrijf aan zegt te voldoen.
  • Risk is het proces van identificeren, analyseren en acteren op acties die nadelige gevolgen kunnen hebben voor het bedrijf/de klanten.
  • Compliance is de verwijzing naar land/regio waar wetten gelden en waar je aan moet voldoen.

 

Voorbeelden hiervan zijn:

  • Data residency: er kunnen regels zijn over waar data opgeslagen mag worden, hoe en wanneer het internationaal verwerkt en verzonden kan/mag worden.
  • Data sovereignity: het concept dat data zich moet houden aan de wetten van de locatie waar het opgeslagen is.
  • Data privacy: duidelijk maken aan je klanten wat er met zijn/haar data gebeurt.

 
 
---
 
Describe identity concepts
 
Een intro over authenticatie (bewijs wie je bent), soms afgekort naar AuthN. En authorizatie (wat mag je), soms afgekort naar AuthZ.
 
Omdat er steeds meer interactie is, bijvoorbeeld IoT (een raspberry pi die zaken monitort), medewerkers die op hun eigen device werken (BYOD) is identity erg belangrijk.
 
De identity infrastructuur bestaat uit 4 pilaren:

  • Administration: dit onderdeel gaat over het aanmaken, beheer van identiteiten voor gebruikers, devices, services. 
  • Authentication: dit gaat over hoeveel informatie het IT-systeem moet krijgen om voldoende bevestiging te krijgen dat "iemand is wie hij/zij zegt te zijn"
  • Authorization: het werken van inkomende data om te bepalen waar een geauthenticeerde persoon/dienst wel en geen toegang tot heeft.
  • Auditing: het tracken "wie wat doe, wanneer, waar en hoe". Bevat ook de rapportage hierover, alerts en beheer van identiteiten.

 
Toegang verloopt steeds meer via een Identity Provider. Microsoft Entra ID, Google, Amazon, LinkedIn, Github. Veel van deze providers ondersteunen SSO, single sign-on. Als deze gedeeld wordt over meerdere providers, dan wordt dat federation genoemd.
 
Met Active Directory kun je objecten op je netwerk beheren. Microsoft heeft hier in het verleden diensten voor ontwikkeld (tijdens Windows 2000) voor on-premise domain-gebaseerde netwerken. Dit is verhuisd naar de cloud, waar het eerst Azure Active Directory heette, nu Microsoft Entra ID.
 
 
Meer informatie over authenticatie e.d. en over identity-providers kun je nalezen door de links aan te klikken.

 
Documentatie over Microsoft Entra ID kun je hier nalezen.
 
 

 
Introduction to Microsoft Entra
 
 
Describe the function and identity types of Microsoft Entra ID
 
We gaan hier door met wat we bij Describe identity concepts al wat tegenaan liepen, Microsoft Entra ID.
Het punt "Identity Secure Score" had ik al eerder gezien (deze module had ik in het verleden al doorgelopen), maar ik noem het nog even omdat het misschien voor ons (TRES) ook goed is om deze in de gaten te houden. Je kunt zien wat je zou kunnen verbeteren.
Meer info kun je hier nalezen.

 
De onderdelen die je hebt:

  • Tenant: een soort container voor een organisatie. Hier zitten al je applicaties, keyvaults e.d. in.
  • Directory: alle identity-gerelateerde zaken binnen een tenant.
  • Multi-tenant: een organisatie die meerdere instanties van Microsoft Entra ID heeft.

 
 
Je kunt in Microsoft Entra ID identiteiten aan meerdere zaken toewijzen:

  • Aan "mensen", dus echte gebruikers.
  • Aan fysieke apparaten, zoals mobiele telefoons, computers, IoT devices.
  • Aan software-gebaseerde objecten, zoals applicaties, virtuele machines, services, containers.

 
 
Je hebt verschillende soorten authenticatie.

  • Interal member: een werknemer van jouw organisatie.
  • External guest: consultants, leveranciers, partners. Hij/zij authenticeert bijvoorbeeld via Google. Het type user wordt dan "guest", waardoor deze beperkte, gast-level rechten heeft.
  • External member: komt vaak voor bij multiple tenants. Als er met meerdere BV's gewerkt wordt, en waarbij een werknemer van BV1 bij BV2 moet kunnen komen, is dit de manier.
  • Internal guest: als er samengewerkt wordt met leveranciers e.d., kan er een intern account aangemaakt worden, maar deze is van type "gast". Dit is een legacy-implementatie, want de huidige "best practise" is dat deze met hun eigen B2B credentials verbinding maken (het external guest type).

 
Workload identities zijn bijvoorbeeld taken die door het systeem gaan en verschillende rechten nodig hebben. Microsoft Entra regelt dit.
 
Een service principal is een identiteit voor een applicatie. Ontwikkelaars beheren en beschermen de credentials. Als dit niet goed gedaan wordt, kan dit een veiligheidsrisico opleveren.
 
Managed identities zijn een soort service principals, die automatisch beheerd worden door Microsoft Entra ID en waarbij je als developer je niet druk hoeft te maken over credentials. 
De 2 types zijn:

  • System-assigned: virtuele machines hebben managed identities op de resource. Als de VM verwijderd wordt, wordt ook de MI verwijderd.
  • User-assigned: je kunt ook een MI als losstaand Azure resource aanmaken. Die koppel je bijvoorbeeld aan meerdere VM's. Als een VM verwijderd wordt, blijft de MI bestaan.

 
Microsoft Entra registered devices: ondersteun de BYOD en mobiele apparaten van medewerkers. 
Microsoft Entra joined: via een Entra ID account een apparaat toevoegen, vaak zijn dit apparaten die door het bedrijf beheerd worden.
Microsoft Entra hybid joined devices: bedrijven met bestaande on-premise AD implementaties kunnen die ook joinen in Microsoft Entra, waardoor je de voordelen van Microsoft Entra hebt.
 
Het IT beheer van devices kan met Intune gedaan worden. Hier is meer informatie te vinden. 
 
In Entra ID kun je een groep aanmaken. Hier kun je members in koppelen, zodat je op de groep zaken kunt instellen en dit niet per user hoeft te doen.
Je hebt 2 groeptypes:

  • Security: de meest voorkomende groep, wordt gebruikt om gebruikers en devices toegang te geven tot een gedeelde resource. Bijvoorbeeld voor "self-service password reset" of "conditional MFA required".
  • Microsoft 365: is een distributiegroep. Hiermee kun je gebruikers toegang geven op een gedeelde mailbox, kalender, SharePoint sites en meer.

 
Voor hybride oplossingen (deel on-premise, deel in de cloud) kun je gebruik maken van Microsoft Entra Cloud Sync. 
 
Je kunt een tenant op 2 manieren configureren:

  • workforce configuration: ingesteld voor werknemers, interne applicaties. Je kunt externe partners en gasten uitnodigen.
  • external configuration: bedoeld om apps te publiceren die je met consumenten en bedrijven wilt delen.

 
 
---
 
Describe the authentication capabilities of Microsoft Entra ID
 
Een blok wat ik nog niet gedaan had, dus al deze info is "nieuw" :)
 
Alleen een wachtwoord is niet voldoende. We zien een weergave met de mogelijkheden;

  • Good: password en SMS of Voice. Bij voice wordt je gebeld en moet je met # bevestigen.
  • Better: password en authenticator (push), software tokens OTP, hardware tokens OTP (preview).
  • Best: passwordless, authenticator (phone sign-in), window hello, FIDO2 security key, certificaten.

 
OATH: Open AuTHentication is een open standaard die specificeert hoe tijdgebaseerde, eenmalige wachtwoorden (TOTP) codes gegenereerd moeten worden. Dit is met software en met hardware tokens. Die hardware tokens zijn in public preview. Dit is een apparaatje die een code toont, die elke 30 tot 60 seconden verandert.
 
Het doel van veel bedrijven is om wachtwoorden uit te faseren. Zoals Windows Hello, FIDO2 security keys.
 
Meer informatie over cryptografie is hier te vinden (ook een MS Learn module).
 
Je hebt primaire en secundaire authenticatie. Primair is voor inloggen, secundair is voor MFA of als je een wachtwoord wilt resetten.

  • Windows Hello for Business: P: ja, S: MFA (je account moet FIDO2 geactiveerd zijn)
  • Microsoft Authenticator: P: ja, S: MFA en SSPR
  • FIDO2 security key: P: ja, S: MFA
  • Certificaat gebaseerd: P: ja, S: nee
  • OATH hardware tokens (preview): P: nee, S: MFA en SSPR
  • OAUTH software tokens: P: nee, S: MFA en SSPR
  • SMS: P: ja, S: MFA en SSPR
  • Voice call: P: nee, S: MFA en SSPR
  • Password: P: ja, S: nee


SSPR staat voor "self-service password reset".
 
MFA werkt met de principes:

  • Je weet iets: een wachtwoord of PIN
  • Je hebt iets: een vertrouwd device zoals telefoon of hardwaresleutel
  • Je bent iets: biometrische gegevens zoals vingerafdruk of je gezicht

 
Ter referentie kun je deze pagina over standaard security-instellingen in Microsoft Entra ID doornemen.
 
Self-service password reset was hierboven al uitgewerkt. Aanvullend, voor aministrator-accounts staat SSPR altijd aan. Er zijn 2 authenticatiemethodes nodig zoals e-mail, authenticator of via de telefoon. Security questions wordt niet ondersteund.
 
 
Met password protection kan voorkomen worden dat gebruikers Welkom123 als wachtwoord gebruiken. Er is een centrale "banned password list" die door het Microsoft Entra ID Protection team beheerd wordt. Op basis van telemetrie-data wordt die bijgewerkt. 
 
Je kunt ook een custom banned password list toevoegen. Dus als je bedrijf in Heerenveen zit, kun je zorgen dat heerenveen niet als wachtwoord gebruikt wordt. Banned password lists zijn onderdeel van Microsoft Entra ID P1 en P2 licenties.
 
Als je een hybride oplossing hebt, kun je hier ook gebruik van maken. Door het installeren van een component op je on-premise locatie kun je de lijst met global banned passwords ontvangen en implementeren binnen jouw AD.
 
Na afronden van de vragen wordt aangeraden om deze module te volgen.
 
 
---
 
Describe access management capabilities of Microsoft Entra
 
Deze module had ik in het verleden al eens doorgenomen, maar voor de volledigheid ga ik er nog even snel doorheen;
 

Met conditional access zorg je dat als iemand ingelogd is, hij/zij niet meteen overal "bij mag komen".
Je kunt "assignments" inregelen. 
Bij Users geef je aan om wie het gaat. Bij target resources geef je aan waar de gebruiker bij wil komen. Met network kun je aangeven dat bepaalde netwerken "vertrouwde" netwerken zijn. Met conditions kun je zaken configureren. Sign-in risk en user risk. Het risico dat de persoon die in wil loggen niet "de echte" persoon is dit dit kan/mag. Insider risk: zaken vanuit Microsoft Purview. Devices platform: zit je op een bepaald platform, dan vereisen we bijvoorbeeld MFA ter bevestiging. Client apps: waarmee bezoekt de gebruiker Azure (is het een oude Firefox met security-issues?). Filters for devices: bijvoorbeeld bepaalde regels voor bepaalde workstations.

Toegangsregels zijn:

  • Block access (je komt er niet in)
  • Grant access (met direct toegang of extra stappen zoals MFA, hier nader toegelicht)
  • Session: bepaalde zaken worden geblokkeerd, zoals het downloaden van bestanden.


Global Secure Access in Microsoft Entra. Dit gaat om Microsoft Entra Internet Access en Microsoft Entra Private Access.

Microsoft Entra Private Access is de mogelijkheid om gebruikers toegang te geven, zonder een VPN (want vaak is het zo dat als medewerkers een VPN gebruiken daarna "alles" mag).

 

Microsoft Entra roles and role-based access control (RBAC).

Dit is bekend terrein. 

 
---
 
Describe the identity protection and governance capabilities of Microsoft Entra
 
Een blok wat ik nog niet gedaan had, dus al deze info is "nieuw" :)
 
Identity governance is het balanceren van identity security met productiviteit, waarbij voldaan wordt aan eisen en auditing
Identity protection betreft het beveiligen van de identiteiten tegen risico's en mogelijke zwakheden.
 
Met Microsoft Entra ID Governance 

  • beheer je de lifecycle van een identiteit
  • beheer je de toegang van een lifecycle
  • beveilig je toegang voor beheer

 
De acties kunnen uitgevoerd worden voor werknemers, businesspartners, leveranciers, via services en applicaties, zowel in de cloud als on-premise.
 
Met deze acties moeten de volgende 4 vragen beantwoord worden:

  • Welke gebruikers hebben toegang tot welke resources?
  • Wat zijn gebruikers aan het doen met hun toegang?
  • Zijn er effectieve controls die de toegang kunnen regelen?
  • Kunnen auditors verifiëren dat de controls werken?

 
 
Identity lifecycle
 
Veel bedrijven hanteren het "join, move and leave" proces. Vaak is een lifecycle gekoppeld aan een HRM-systeem. Organisaties moeten het proces voor aanmaken van een medewerker in de AD automatiseren op basis van het HRM-pakket.
 
Met Microsoft Entra ID Governance kun je de lifecycle van gebruikers automatiseren:

  • Inbound provisionen van je HR bronnen, zodat identiteiten/medewerkers automatisch in Microsoft Entra ID en Active Directory beschikbaar zijn.
  • Lifecycle workflows om workflow-taken uit te voeren op bepaalde momenten, bijvoorbeeld voor de eerste werkdag van een medewerker, als ze een andere rol krijgen binnen de organisatie en op het moment dat ze het bedrijf weer verlaten.
  • Automatische toewijzing van policies door gebruikers aan groepen toe te wijzen (of te verwijderen) op het moment dat de rol wijzigt. 
  • User provisioning om accounts aan te maken, bij te werken, te verwijderen in andere applicaties. Waarbij Governance honderden connectors heeft voor cloud en on-premise applicaties.

 
Access lifecycle
 
Dit is het deel van het toewijzen aan groepen en het verwijderen uit groepen. Organisaties kunnen regelmatig controleren of de toegang nog klopt met Microsoft Entra access reviews.
 
Privileged access lifecycle
 
Als mensen (intern of extern) admin-rechten hebben, dan moet er een governance proces zijn voor het geval van misbruik van die rechten. PIM (Privileged Identity Management) biedt hier controls voor aan om toegangsrechten goed in te stellen. PIM helpt om te zorgen dat de mensen die toegang hebben te minimaliseren.
 
 
Access reviews
 
Reden waarom access reviews gebruikt zouden moeten worden:

  • Er zijn teveel mensen die een "privileged rol" hebben. Controleer hoeveel mensen er admin rechten hebben, kijk of er bijvoorbeeld externe mensen in het verleden uitgenodigd zijn, maar waarbij vergeten is deze weer te verwijderen.
  • Business kritische data toegang: voor bepaalde kritische toepassingen kan het verplicht zijn (compliance) dat mensen die toegang hebben regelmatig herbevestigen dat ze toegang nodig hebben en daarbij aangeven waarom dat is.
  • Beheer van de policy uitzonderingslijst: soms moeten er een uitzondering op de policy gemaakt worden. Als IT manager beheer je deze taak, zodat je ook auditors kunt laten zien dat dit regelmatig gevalideerd wordt.
  • Vraag groepeigenaars om te bevestigen dat ze nog steeds gasten in hun groep nodig hebben: als een groep gasten toegang geeft tot "vertrouwelijke gegevens", dan is het de verantwoordelijkheid van de groepseigenaar om te bevestigen dat deze personen nog steeds legitieme redenen hebben om toegang te krijgen.


Zorg voor periodieke reviews: je kunt access reviews instellen die elke week, maand, kwartaal of jaarlijks herhalen, reviewers krijgen een notificatie aan het begin van de periode en kunnen vervolgens de taak uitvoeren.
 
 
Entitlement management
 
Dit is voor het delegeren van bepaalde taken.
 
Access packages kunnen aan non-administrators worden toegewezen. Een package bevat resources die gebruikers aan kunnen vragen. Met policies die regels bevatten wordt bepaald welke gebruikers de toegang kunnen aanvragen, wie deze moet bevestigen en wanneer de toegang verloopt.
Beheer van externe gebruikers, als een nieuwe externe gebruiker toegang wil en wordt toegelaten, worden ze automatisch in jouw directory toegevoegd en wordt toegang verleend. Als de toegang verloopt en ze geen andere package toewijzingen hebben kun je zorgen dat hun B2B in jouw directory automatisch verwijderd wordt.
 
Microsoft Entra terms of use, hiermee kun je zorgen dat op het moment dat iemand toegang krijgt tot "iets" er een melding verschijnt met bepaalde voorwaarden. Vaak is dit nodig voor wettelijke of compliance regels.
 
Dit kan op meerder plaatsen gebeuren;

  • Voordat een gebruiker vertrouwelijke data kan bekijken of een applicatie kan gebruiken.
  • In een herhalend schema, als een herinnering aan welke regels voldaan moet worden.
  • Gebaseerd op attributen van de gebruiker, zoals bepaalde rollen die moeten voldoen aan bepaalde voorwaarden.
  • Voorwaarden voor al jouw gebruikers binnen je organisatie.

 
 
PIM - Privileged Identity Management
 
Op dit moment kun je met PIM:
Microsoft Entra roles: ingebouwde en eigen rollen voor Microsoft Entra ID en andere Microsoft 365 online diensten.
Azure roles: RBAC controle binnen Azure voor toegang tot management groepen, abonnementen, resource groepen en resources.
PIM for Groups: Just In Time membership in de groep en Just In Time eigenaarschap van de groep. Kan gebruikt worden voor toegang toe Microsoft Entra rollen, Azure SQL, Azure Key Vault, Intune, andere applicatierollen en 3rd party applicaties.
 
Workflow
 
De standaard stappen zijn assign, activate, approve/deny, extend/renew.

  • Assign: members of owners, scope (welke resources), assignment type: eligible (actie persoon nodig) of active (geen actie nodig), duration (start en einde).
  • Activate: als in de voorgaande stap "eligible" gekozen is, moet de gebruiker zelf een actie uitvoeren.
  • Approve/Deny: gedelegeerde approvers krijgen een mail om goed- of af te keuren.
  • Extend and renew: als de einddatum/tijd nadert, kan de gebruiker een aanvraag doen om te verlengen.

 
Audit
Binnen de PIM kun je de historie van de afgelopen 30 dagen voor privileged rollen zien.
 
 
 
Microsoft Entra ID Protection
 

  • Sign-in risk: risico dat niet de echte persoon inlogt, dus vanaf een vaag IP-adres, 2 bijna gelijktijdige inlogs, de 1 in Europa, de ander in Azië.
  • User risk: het risico dat een bepaalde identiteit of account gecompromitteerd is. 


Op deze pagina kun je een uitgebreidere lijst hiervan bekijken.

 
Identity Protection biedt 3 soorten rapportage aan:

  • Risk detections: elk risico wat gedetecteerd is, wordt gerapporteerd als een risk detection
  • Risky sign-in: als er 1 of meer risico's gedetecteerd zijn bij een inlogactie
  • Risky users: de gebruiker heft 1 of meer risky sign-ins of er zijn 1 of meer risk detections gerapporteerd.

 
 
Microsoft Entra Verified ID
 
Als een betrouwbare 3e partij bevestigt dat "jij het bent". 
Er wordt verwezen naar een online demo die je hiervoor kunt bekijken, https://aka.ms/vcdemo
Dit project staat op Github, dus je kunt ook daar de code bekijken.

  
Integratie met Microsoft Security Copilot
 
Het risky user report maakt gebruik van Copilot om zaken samen te vatten.