Studie-ochtend TRES - 6 november 2025, SC-900 deel 3

Ingediend door Dirk Hornstra op 03-dec-2025 19:35

We hadden bij TRES altijd een studiedag. Daarbij was je aan het eind van de middag altijd wel "behoorlijk gaar", maar je had dan wel veel gedaan. 

Bij de afgelopen studie-ochtend heb ik best veel gedaan, zoals je in het vorige verslag terug kunt lezen. Alleen "ben ik op de helft" en moet je dus tijd maken om door te gaan met die andere helft. De dagen erna had ik allemaal andere verplichtingen, dus de week erna, 13 november, heb ik rond 23.00 uur mijn uitwerkingen van de studie-ochtend in die blogpost gezet en hier neergezet "wat ik nog moet doen". Op vrijdag 14 november heb ik een hele avond besteed aan de op één na laatste module.

In deze blogpost behandel ik de laatste module, Introduction to Microsoft Priva and Microsoft Purview.


Describe Microsoft’s Service Trust portal and privacy capabilities

Dit blok had ik al gedaan, maar loop ik nogmaals door.

Je hebt het Microsoft Service Trust Portal. Hier heb je documentatie, tools en andere bronnen over hoe Microsoft cloud services jouw data beschermen en hoe je dat kunt beheren.

Het Service Trust Portal is de publieke site van Microsoft waar audit rapportages en andere compliance-gerelateerde informatie over de cloud-services van Microsoft gedeeld worden.

Dit is niet openbaar, hiervoor moet je wel ingelogd zijn. Op de landingspagina heb je de verschillende categorieën:

  • Certifications, Regulations, and Standards
  • Reports, Whitepapers, and Artifacts
  • Industry and Regional Resources
  • Resources for your Organization


In "My Library" kun je documenten plaatsen die voor jou interessant zijn.

Het privacy-verhaal van Microsoft is gebaseerd op de volgende 6 onderdelen:

  • Control: jij beheert je data en de privacy daarvan met tools. Als jij je data wilt verwijderen, dan kan en mag dat, jij was, bent en blijft de eigenaar.
  • Transparency: deel wat er met data gebeurt, zodat iedereen kan beslissen of hij/zij bepaalde zaken wel of niet wil delen.
  • Security: data die jij bij Microsoft neerzet, Microsoft zorgt ervoor dat het met sterke encryptie e.d. goed beveiligd is.
  • Strong legal protections: als overheden om inzicht vragen, stuurt Microsoft ze door naar jou: het is jouw data, jij beslist daarover.
  • No content-based targeting: je data wordt niet gedeeld met diensten die door adverteerders gebruikt worden.
  • Benefits to you: de data die verzameld wordt, komt ten goede aan jou: voor het fixen van problemen, verbeteren van features en bescherming en het geven van een betere ervaring van "werken met je data".


Hierna komen we bij Microsoft Priva.

Met Privacy Risk Management kun je policies aanmaken die aangeven welke risico's je loopt in je Microsoft 365 omgeving en wat je daaraan kunt doen. 

  • Limit data overexposure: als zaken niet afdoende beveiligd zijn of niet bijgewerkt zijn naar de laatste standaarden.
  • Find and mitigate data tranfsers: data die getransporteerd wordt tussen regio's of afdelingen in je bedrijf, of buiten je bedrijf. Als een policy wat detecteert kun je een mail laten sturen naar gebruikers om ze te notificeren, met ook tips/acties om zaken te corrigeren.
  • Minimize stored data: hiermee kun je laten zoeken naar data die "minimaal zoveel tijd" al opgeslagen is. Acties zijn verwijderen, de eigenaren van de content berichten sturen of zaken "taggen" voor later onderzoek.


Met Subject Rights Requests kun je data van klanten zoeken die zeggen "ik wil niet meer bekend zijn bij jullie" of "welke data hebben jullie over mij opgeslagen". Als je dat zelf zou moeten doen, dat zou "niet te doen" zijn.

 

Describe the data security solutions of Microsoft Purview

Deze had ik nog niet gedaan.

Als je gevoelige informatie hebt, dan kun je dat classificeren. Dat zijn sensitive information types (SIT) en voldoen aan bepaalde formaten.
Zo ondersteunt Microsoft Purview veel types, voorbeelden hiervan zijn:

  • creditcard nummers
  • paspoort of ID-nummers
  • bankrekeningnummers
  • health service nummers

Als je de volledige lijst wilt bekijken, klik dan hier.

Maar je kunt ook je eigen types definiëren. 

Trainable classifiers

Met AI en machine learning je data classificeren.

  • pre-trained classifiers; deze hebben status Ready to use en zijn al voorbereid door Microsoft. 
  • custom trainable classifiers: als je specifieke contracten, facturen of klantgegevens hebt is dit een beter alternatief.

Notitie: op dit moment (16 november 2025) werken classifiers alleen met items die niet geëncrypt zijn!


Data classificatie kan betrekking hebben op een heeeel groot aantal documenten en mails. Daar wil je inzicht in krijgen.
Dat kan met:

  • content explorer: een snapshot van items die een sensitivity label hebben, een retentielabel hebben of gewoon geclassificeerd als gevoelige data in jouw organisatie. Je moet een account hebben in 1 of meer content explorer role groups, omdat je data "in kunt zien".
  • activity explorer: inzicht in wat voor content gevonden en gelabeld is en waar die content staat. 


Organisaties moeten hun data beschermen om te voorkomen dat klantdata of eigen data op straat komt te liggen.

Het labelen van content kan inzicht geven wat er met bepaalde zaken gedaan moet worden.
Een label is:

  • aanpasbaar, admins kunnen verschillende categorieën aanmaken, zoals Personal, Public, Confidential en High Confidential.
  • leesbare tekst, elk label is als normale tekst in metadata opgeslagen. Daardoor kunnen ook 3rd party tools gebruik hiervan maken.
  • persistent, het label zit in de metadata, dus als het document verplaatst wordt, worden deze gegevens meegenomen.


Elk item die sensitive label ondersteund, kan maar 1 label hebben.

Je kunt labels configureren om:

  • Encryptie: alleen e-mail of zowel e-mail als documenten.
  • Markeer de content: hiermee kan een watermerk worden toegevoegd, headers, footers.
  • Koppel automatisch het label of adviseer het toevoegen.
  • Bescherm content in containers, zoals sites en groups. Hiermee wordt de toegang tot de container waar de content in zit beschermd.
  • Extend sensitivity labels to 3rd-party apps en services: de Microsoft Purview Information Protection SDK staat 3rd-party apps toe om sensitivity labels te lezen en beschermingsconfiguratie uit te voeren.
  • Classify content without using any protection settings: een classificatie kan gekoppeld worden - en dat is alles. Met die classificatie kan het document gevolgd worden en kan erover gerapporteerd worden.


Met label policies kunnen gebruikers de sensitivity labels in de applicaties gebruiken. 
Deze policies stellen admins in staat om:

  • gebruikers en groepen te kiezen die de labels kunnen zien.
  • een standaard label te koppelen aan alle nieuwe e-mails en documenten die de gebruikers en groepen aanmaken. Gebruikers kunnen altijd het label aanpassen als zij zien dat er een foutief label gekoppeld is.
  • gebruikers verplichten een label te koppelen. 
  • gebruikers linken aan eigen help pagina's. Hier kan een overzicht getoond worden van welke labels er zijn en waar ze voor gebruikt moeten worden.


Documenten die spontaan verdwijnen, de grootste nachtmerrie.
Daarom is er Data Los Prevention (DLP), in Purview wordt dat geregeld met DLP policies.
Hiermee kun je identificeren, monitoren en automatisch beschermen in de volgende gebieden:

  • Microsoft 365 diensten zoals Teams, Exchange, SharePoint en OneDrive.
  • Office applicaties zoals Word, Excel en Powerpoint.
  • Windows 10, Windows 11 en macOS (3 meest recente releases) endpoints.
  • Cloud apps.
  • On premise file shares en on-premise SharePoint.
  • Power BI.


De policies kunnen:

  • een pop-up tip aan de gebruiker tonen dat ze een gevoelig item onjuist aan het delen zijn.
  • het delen van een item blokkeren, met een tip de gebruiker de mogelijkheid geven om die blokkade te "overrulen" en aan te geven waarom dat zo is.
  • blokkeer het item zonder die unblock aan te bieden.
  • data in rust: gevoelige data kan worden gelockt en overgebracht worden naar een veilige locatie "in quarantaine".
  • in Teams chat, de gevoelige data wordt niet getoond.


Er zijn templates, maar je kunt ook je eigen policies maken. 
Ze volgen deze flow;

  • kies het type data dat je wilt monitoren. 
  • kies de scope, dus wie mag wat doen.
  • kies de locatie waar de policy wordt toegevoegd, bijvoorbeeld Exchange, SharePoint.
  • kies de voorwaarden die overeen moeten komen om de policy op dat item toe te passen.
  • kies de beschermende actie die dan uitgevoerd moet worden.


Endpoint data loss prevention heeft betrekking op acties die op fysieke devices gedaan worden (windows 10, windows 11, macOS).
We zien een voorbeeld in een chat waarbij iemand zijn BSN-nummer "bijna" werd gedeeld.

Data Los Prevention ondersteunt de integratie met Security Copilot.


Insider risk management, wat voor (vreemde) acties zijn je medewerkers met gevoelige data aan het uitspoken? 
De principes zijn:

  • Transparency: vind de middenweg tussen de privacy van je medewerkers en het risico van je organisatie op basis van privacy-by-design architectuur.
  • Configurable: configureer de policies gebaseerd op het type bedrijf, de groepen binnen je bedrijf.
  • Integrated: geïntegreerde workflows tussen Microsoft Purview oplossingen.
  • Actionable: inzicht zodat je gebruikers notificaties kunt sturen, data-onderzoeken uit kunt voeren en gebruikersonderzoeken uit kunt voeren.


De policy, actions, vervolgens kom je in - triage - investigate - action. Deze laatste 3 items zijn de Insider risk case. 
Samenwerking is hier vaak met compliance, human resources, legal en security.

Ook Insider Risk Management ondersteunt de samenwerking met Security Copilot.


Adaptive protection maakt gebruik van machine-learning om pro-actief de meest kritische risico's te identificeren en te beveiligen.
Hierbij kunnen controls gebruikt worden van 

  • Data Loss Prevention
  • Microsoft Purview Data Lifecycle Management (preview)
  • Microsoft Entra Conditional Access (preview)


Describe the data compliance solutions of Microsoft Purview

Ook dit blok had ik al eerder gedaan.

Om te weten "wie" "wat" "wanneer" en "hoe" gedaan heeft, dan zul je acties moeten registreren, auditing.
Microsoft Purview heeft daar oplossingen voor, de 2 smaken zijn:

  • Standard
  • Premium


De standard versie staat "standaard" aan als je het juiste abonnement hebt.
Data wordt 180 dagen opgeslagen. Je kunt de data raadplegen via:

  • audit log search tool in het portaal van Microsoft Purview
  • gebruik maken van de Office 365 Management Acitivity API
  • Search-UnifiedAudigLog cmdlet in Exchange Online PowerShell

Je kunt de resultaten als CSV exporteren.

Premium is de Standard++ versie.

  • Je kunt eigen audit log retentie policies aanmaken om audit records langer te bewaren (tot een jaar en tot 10 jaar als je een extra licentie koopt).
  • Microsoft Entra ID, Exchange, OneDrive en SharePoint audit-records worden voor een jaar bewaard. Overige diensten nog steeds 180 dagen, of je moet dat met je eigen policies aanpassen/verlengen.
  • Intelligent insights. Zien wanneer e-mails bekeken werden, waar ze naar doorgestuurd of beantwoord werden, dus uitgebreider forensische gegevens.
  • Hogere bandbreedte. Gaat het allemaal net wat sneller, als je de Office 365 Management Activity API gebruikt.


Audit logging staat standaard aan bij een Microsoft 365 organisatie, maar er wordt gezegd dat als je een nieuwe organisatie opzet, je dit moet controleren. Als je bijvoorbeeld nog geen Purview gebruikt zul je zaken handmatig aan moeten zetten, daar kun je hier meer over lezen.
 

eDiscovery is het deel voor het aanleveren van bewijs als er een icident is en het komt tot een rechtszaak.
Er wordt gezegd dat je bij eDiscovery kunt komen via het Microsoft Purview compliance portaal, maar dat die ingepland staat om eind 2024 opgeruimd te worden. 

De diensten die ondersteund worden met eDiscovery zijn:

  • Exchange Online
  • Microsoft Teams
  • Microsoft 365 Groups
  • OneDrive
  • SharePoint
  • Viva Engage

Escalatie start vanuit een trigger. Daarbij wordt een nieuwe case in eDiscovery aangemaakt. Create en manage case, alle relevante zaken worden hierin toegevoegd. Search, evaluate results and refine, nadat de case aangemaakt is, gebruik de ingebouwde zoektool in eDiscovery om de content-locaties in je  omgeving erbij te zoeken. Acties is het exporteren van zoekresultaten, het aanmaken van review sets en "holds" aanmaken, zodat data behouden blijft. Met review and take action from review sets is onder andere het uitvoeren van analytics om "overbodige informatie te verwijderen", het taggen van items en het exporteren van items.

Mogelijkheden van eDiscovery zijn:

  • zoeken naar content
  • exporteren van zoekresultaten
  • een "hold" op gegevens zetten
  • review sets aanmaken (premium)
  • OCR toepassen (premium)
  • conversion threading (premium), bijvoorbeeld de chats van Teams en Viva Engage, waardoor je de volledige conversatie hebt in plaats van losse delen.


De Compliance Manager zorgt dat jouw omgeving in de cloud "compliant" is. Zorgen dat je bij blijft met de regels, certificeringen en rapportage naar auditors.

Voordelen van de Compliance Manager zijn:

  • Vertalen van complexe regels, standaarden en policies naar een leesbaar geheel.
  • Toegang tot een grote set aan assessments en op maat gemaakte assessments om je bedrijf aan verplichtingen te laten voldoen.
  • Controls koppelen aan verbeteringsacties.
  • Stap voor stap instructies om je implementatie te laten voldoen aan de regels.
  • Admins en gebruikers helpen om zaken die "de meeste aandacht nodig hebben" op hun netvlies te krijgen.


Communication Compliance is de oplossing voor insider risk. het kan Teams, Viva Engage, Outlook, maar ook WhatsApp berichten daarvoor gebruiken.


Data Lifecycle Management levert tools en mogelijkheden om data te behouden die je nodig hebt, data te verwijderen die je niet meer nodig hebt.
Met retention policies en retention labels kun je zorgen dat data die "verwijderd" wordt, daar toch een kopie op een bepaalde plek blijft bestaan om aan die retentie-regels te voldoen.


Records Management is voor het voldoen aan wettelijke regels. 
Dit houdt in dat:

  • Content gelabeld kan worden als een record.
  • Retentie en verwijderpolicies aan dat record label gekoppeld kunnen worden.
  • Event-based retentie getriggerd wordt.
  • Review en validatie.
  • Registratie (bewijs) van het verwijderen van records.
  • Het exporteren van informatie over verwijderde items.


Als content gelabeld is als een record dan:

  • Worden er beperkingen actief om bepaalde activiteiten te blokkeren.
  • Worden activiteiten gelogd.
  • Wordt na afloop van de retentieperiode het bewijs van verwijdering bewaard.

 


Describe the data governance solutions of Microsoft Purview

En het laatste blok, nieuw voor mij.

Je moet voldoen aan regels, je moet zorgen dat het veilig opgeslagen wordt en dat het voldoet aan de wettelijke regels.
Maar "good data governance" moet er ook voor zorgen dat deze data "duidelijker zichtbaar" voor je gebruikers wordt.

Microsoft Purview bestaat uit een aantal concepten;

  • Federated governance, een centrale plaats om je data veilig te bewerken, maar ook om tools aan te bieden voor self-service toegangscontrole, onderhoud. 
  • Data access: zorgen dat de juiste toegang ingesteld wordt, dus waarbij alleen de mensen met de juiste rechten bij de data kunnen komen, maar ook zorgen dat dit niet innovatie blokkeert.
  • Data curation: zorgen dat je data gepubliceerd kan worden, maar wel veilig, herbruikbaar en beschermd.
  • Data discovery: zorgen dat je medewerkers hun data kunnen vinden en niet een kwartier hoeven zoeken naar "dat ene document".
  • Data health: zorgen dat je kwaliteitstandaarden gevalideerd worden, dus als een document maximaal 1 jaar bewaard kan worden, hoe kan het dan dat dit ene document al 2 jaar opgeslagen is?
  • Data understanding: beschrijvingen bij data zodat duidelijk is wat het is en waar het gebruikt zou moeten worden.


Ook heb je rollen en verantwoordelijkheden;

  • Data consumers: gebruikers die snel bij hun data moeten kunnen komen.
  • Data owners: deze registreren databronnen voor gebruik, beheren classificaties en toegang en zorgen voor de hoge standaard.
  • Data stewards: zorgen voor goede kwaliteit, kunnen data overal vinden.
  • Central data office: stel de governance policies en controleer ze, inzicht in de gezondheid van jouw omgeving.


Data Catalog is een platform voor data governance.
Je stelt hier de domeinen in. Dus zoals je binnen je eigen bedrijf een "Marketing" en "Finance" hebt, zo doe je dat hier ook.

Gerelateerd aan deze domeinen heb je de data producten. Dat is een bedrijfsconstructie met een naam, omschrijving, eigenaren en een lijst van gekoppelde datasets. Het data product biedt context voor de toegewezen items en biedt een use case voor data consumers.

Glossary terms bieden de business-context aan je data-items en passen ook policies toe die aangeven hoe je data beheerd moet worden en inzichtelijk voor gebruik.

Critical data alements zijn een groepering van superbelangrijke informatie binnen jouw bedrijf. Met het groeperen maak je zaken inzichtelijker en het bevordert de standaardisatie. Je kunt bijvoorbeeld in die container aangeven dat het ene data element "Customer ID" hetzelfde is als een ander item waar het veld "CustID" wordt gebruikt.

OKRs (objectives and key results) zijn volgbare bedrijfsdoelen die verbonden zijn aan governance domains en data producten om daarmee het belang van die data aan te geven voor het bedrijf.

Data access policies, wie mag waarbij, maar ook het aanbieden van self-service toegangsmogelijkheden om daarmee de belasting van je IT-afdeling te verlichten.

Search and browse, in de Purview Data Catalog is het zoeken zo ingericht dat je resultaten kunt ophalen, maar ook dat je door een soort hiërarchische boom kunt bladeren om bij wat je zoekt uit te komen.

Healt management, dit bestaat uit health controls waarmee je kunt zien wat je status is en wat je zou kunnen doen. Health actions zijn de acties die je uit kunt voeren.

Data quality, dit lijkt me een handige feature. Want je kunt wel 1000-en excel-bestanden hebben, daar zitten vast bestanden bij "waar je niets aan hebt", dus dat zijn kandidaten om te verwijderen.

 

Naschrift.

Ik heb zondag 30 november alle modules nogmaals doorgelezen. Ook heb ik het oefenexamen gedaan. Mijn score was toen 67%, dat is ruim onder de geadviseerde minimumscore (je zou minimaal 78% moeten halen). Op 1 december nogmaals zaken doorlezen en het oefenexamen doen, 76%. Ik kom in de buurt. Op 2 december een score van 73%. 

Dan komt "de dag des oordeels". Woensdag 3 december, mijn PT-middag verschoven en een vrije ochtend opgenomen. Tot 8.30 uur geslapen (goed uitslapen zorgt dat je helder bent en niet over "instinkers" heen leest). Daarna aan de koffie met moeders en vervolgens al mijn aantekeningen doorgelezen en nogmaals het oefenexamen doen. Ik kom nu op een score van 96%. Rond 11.00 uur vertrokken. Omdat er zo weinig mogelijkheden zijn om een examen in te plannen bij Startel in Drachten ben ik genoodzaakt om het in te plannen in Den Helder, bij DRM ICT Solutions. Tussen Den Oever en Den Helder wordt een stuk weg geasfalteerd, dus ik moet eerst wat naar het zuiden rijden om naar Den Helder te rijden. Had ik van tevoren al gezien (en ingeschat). Het valt qua drukte en opstoppingen mee, dus ik ben rond 12.35 uur in Den Helder.

Een uurtje in de auto zitten, wat broodjes eten, scrollen op de mobiel en rond 13.40 uur uit de auto gestapt. Gemeld bij de receptie, daar de regels doorlezen, mijn paspoort laten zien, jas en andere zaken in het kluisje en een sanitaire stop. Daarna in de "grote kamer" met een hele grote tafel waar schermen op staan, er is nog een examkandidaat die tegenover mij zit. Hij heeft een ander examen, een open-boek examen. Dus eigenlijk zou mijn examen om 14.00 uur beginnen, maar omdat het opstarten snel gaat, kan ik voor 14.00 uur aan de slag. De vragen zijn te doen, het zijn 49 stuks. Hier moet je minimaal een score van 700 halen, ik zit op 832, ruim voldoende. Alle tijd die ik erin gestoken heb, dat heeft wel resultaat opgeleverd. Dus rond 14.20 uur loop ik weer naar de auto en kan ik weer terugrijden naar Friesland.