Mijn Microsoft Fundamentals certificering - waar is Dynamics CRM en ERP gebleven?

Ingediend door Dirk Hornstra op 25-may-2026 21:31

Als je zoekt op "Microsoft Fundamentals certifications", dan kom je op deze pagina van Microsoft Learn. Hier zie je de verschillende certificaten die je kunt behalen;

  • Azure Fundamentals (AZ-900, november 2020)
  • Azure AI Fundamentals (AI-900, maart 2025)
  • Azure Data Fundamentals (DP-900, april 2024)
  • Security, Compliance and Identity Fundamentals (SC 900, december 2025)
  • Power Platform Fundamentals (PL-900, maart 2026)
  • Microsoft 365 Fundamentals (MS-900, juli 2025)
  • Dynamics 365 Fundamentals (CRM)
  • Dynamics 365 Fundamentals (ERP)

 

Voor mezelf voeg ik hier nog even mijn "extra" Microsoft certificeringen toe:

  • Azure Developer Associate (AZ-204, jaarlijks verlengen)


Tussen haakjes staan hier de items waar ik mijn certificering voor behaald heb. Ik hoef er "nog maar" 2, dus ik wil even gas geven. 

Maar... een nare verrassing. Bij het doorklikken op CRM kreeg ik de melding dat deze "certificering retired" was. Bij het doorklikken op ERP kreeg ik dezelfde melding. Hierbij wordt verwezen naar dit blog-item waar gezegd wordt dat we in het AI-tijdperk leven en daardoor bepaalde certificeringen "niet meer relevant zijn".

Daarbij kwam ik ook nog een andere pagina tegen op Microsoft Learn over "credential retirement" en zie dat er meer zaken "vervallen". Als je de certificering behaald hebt, dan blijft ie geldig (voor Fundamentals). Maar als je "nieuw" bent en dit examen wilt doen, dan kun je dat voor sommige certificeringen dus al niet meer doen.

Die  "Azure Developer Associate AZ-204", dat kan ik elk jaar (kosteloos) verlengen. Ook dat hoef ik de komende jaren niet meer te doen... want deze certificering vervalt op 31 juli 2026. Eigenlijk zou ik voor november 2026 mijn "verlenging" moeten uitvoeren, maar ik ga kijken of ik dat dan maar even binnenkort kan gaan doen, voor al mijn certificeringen vervallen... :cry

  • Azure Fundamentals (AZ-900, november 2020)
  • Azure AI Fundamentals (AI-900, maart 2025) - retirement: 20 juni 2026
  • Azure Data Fundamentals (DP-900, april 2024)
  • Security, Compliance and Identity Fundamentals (SC 900, december 2025)
  • Power Platform Fundamentals (PL-900, maart 2026)
  • Microsoft 365 Fundamentals (MS-900, juli 2025) - retirement: 31 maart 2026
  • Dynamics 365 Fundamentals (CRM) - retirement: 31 december 2025
  • Dynamics 365 Fundamentals (ERP) - retirement: 31 december 2025

 

Op de pagina van CRM staat een link naar een PDF met de Fundamentals, die heb ik bekeken om te zien "wat volgens Microsoft nu de lijst van Fundamentals is".

  • Azure Fundamentals (AZ-900)
  • Azure AI Fundamentals (AI-900)
  • Azure Data Fundamentals (DP-900)
  • Power Platform Fundamentals (PL-900)
  • Security, Compliance and Identity Fundamentals (SC-900)
  • Microsoft 365 Copilot and Agent Administration Fundamentals (AB-900)


Hoewel AI Fundamentals nu nog actief is, is het wel een beetje vreemd dat deze nog genoemd wordt, als deze Fundamentals in juni uitgefaseerd wordt. In ieder geval, het geeft mij nu wel richting, want ik heb alle certificeringen, behalve de AB-900. Dus daar ga ik mij nu op richten.

Wat leer ik hiervan? Dat ik nog eens "iets" qua monitoring moet toevoegen op sites van Microsoft. Zodat ik actief op de hoogte wordt gehouden van certificeringen die vervallen en nieuwe die actief worden. En... mij ook informeren op het moment "dat je wat kunt winnen". Want bij het zoeken naar de AB-900 stuit ik op deze actie van Microsoft, als je je aangemeld had, opdrachten uitgevoerd had, kon je een korting van 50% op je examen krijgen, dat zou toch leuk meegenomen zijn. Maar goed, aanmelden kon tussen 20 januari en 2 maart: we zijn nu 8 april...

 

Via die actie-pagina kan ik wel makkelijk doorklikken naar de hoofdpagina van de AB-900. In de study-guide kun je zien welke onderdelen op het examen naar voren komen en welk percentage ze qua score bepalen. Vervolgens kun je doorklikken naar de 2 "learning-paths" die uit een aantal modules bestaan, in totaal iets van 8 uur.

Op 8 april had ik bovenstaande uitgewerkt, op 16 april ga ik beginnen met het eerste "learning path".

Explore Microsoft 365 administration
 

De eerste module: Explore Microsoft 365 security foundations.

We starten hier met het "Zero Trust" model. Dat is bij andere modules al naar voren gekomen. Het vertrouwen op "dit zit binnen ons eigen netwerkt, dus hier kan niemand komen" is vervangen door "ga er maar vanuit dat er iemand binnengekomen is, hoe ga je zorgen dat het -verder komen- vanaf dit punt zo moeilijk mogelijk gemaakt wordt?

  • Voer expliciete verificatie uit. Conditional access en MFA helpt hierbij.
  • Least privilege access: je hebt dit nodig om je taak te doen, dan krijg je zeker niet meer rechten dan noodzakelijk is. Hier kan RBAC in ondersteunen en PIM (privileged identity management): je mag nu even die actie uitvoeren en daarna worden die rechten meteen weer afgenomen.
  • Assume breach: ga er vanuit dat de hackers al binnen zijn of op het punt om binnen te vallen: elke resource zou "besmet" kunnen zijn. Hierbij kan Defender for Endpoint, Microsoft Sentinel en Microsoft Defender for Identity helpen.

 

In Microsoft 365 heb je de pilaren van Zero Trust.

  • Identity, Entra ID
  • Endpoints, elk device wat verbonden is aan jouw infra
  • Data, met Microsoft Purview Information Protection kun je zaken labelen, gevoelige data encrypten.
  • Apps, Microsoft Defender for Cloud Apps kan hier helpen.
  • Infrastructure, cloud en je on-premise zaken beschermen.
  • Network, zorgt voor netwerk segmentatie, Azure Firewall, VPN Gateway.

 

Om Zero Trust te implementeren, ga je door de 6 fases.

  • Assess current security posture: bekijk je huidige situatie en wat er verbeterd moet worden. Microsoft Secure Score: meet die waardes. Microsft Purview Compliance Manager, koppelt jouw configuratie aan bepaalde standaarden als HIPAA en ISO 27001.
  • Activeer Identity protection. Conditional access policies: op basis van locatie, device wel of geen toegang geven of meer confirmaties vragen. Risk-based authentication: detectie van inlog in Amsterdam en 2 seconden later inlog in Washington. Identity governance: zaken zoals mensen die tijdelijk in Sharepoint mogen, zorg dat automatisch die toegang wordt opgeruimd.
  • Forceer endpoint compliance. Endpoint compliance policies: administrators richten policies in die controleren of encryptie, antivirus-status, OS versie bijgewerkt is. App protection policies: handig bij BYOD scenario's. Endpoint analytics: identificatie wie vaak een "crashend systeem" heeft, lange opstarttijden door oude drivers, etc.
  • Classificeer en bescherm data: met Microsoft Purview kun je sensitivity labels aan data koppelen. Met Data Loss Prevention (DLP) policies voorkom je het (per ongeluk) delen van gevoelige data. Policy tuning en incident respons: administrators kunnen zien wanneer regels overtreden worden, incidenten onderzoeken.
  • Monitor en onderneem actie op bedreigingen. En gebruik hiervoor de tools die bij "assume breach" genoemd worden.
  • Onderwijs je gebruikers. Leer ze welke bedreigingen er zijn. Attack simulatie training in Defender voor Office 365, realistische phishing simulaties en bijhouden van responses. Security awareness campagnes, bijvoorbeeld een maandelijkse nieuwsbrief met recente bedreigingen, uitleg over hoe je phishing mails kunt herkennen. Role-specific training, degene die financiën beheert, heeft andere gebieden die geraakt worden dan een developer.

 

Op 8 april 2026 was ik hier geëindigd, omdat we bij TRES op 21 mei onze "studie-ochtend" hebben, ben ik 20 mei alvast een stukje verder gegaan;

Door met "Examine threat protection and intelligence in Microsoft 365".
Omdat we steeds meer "in de cloud doen", is de mogelijkheid om "ons te raken" ook groter geworden. 

Met Microsoft Defender XDR wordt geprobeerd hier een antwoord op te hebben. Het is ontworpen om bedrijven te beveiligen tegen bekende bedreigingen en "komende bedreigingen". Met pre-breach scenario's worden zaken gestopt voordat ze binnen kunnen komen. Met post-breach scenario's zorgt het voor mogelijkheden om je onderzoek uit te kunnen voeren en tools om schade in te perken en te repareren.

Sleutelcomponenten van deze suite;

  • Defender for Office 365, beschermt e-mails en samenwerkingstools tegen phishing, BEC (business email compromise), malware en andere bedreigingen. Het kan foute URL's in mails blokkeren.
  • Defender for Endpoint, voor devices. Dus als malware op een laptop gevonden wordt, dan de netwerktoegang beperkt worden, herstelacties kunnen opgestart wroden.
  • Defender for Identity, op basis van signalen van on-premise Active Directory worden identiteits-issues geidentificeerd. Als iemand met gestolen inlogs wil inloggen, wordt er een alarm actief.
  • Defender for Cloud Apps, als iemand bijvoorbeeld data naar een eigen Dropbox aan het verplaatsen is, dat kan gemonitord en gemeld worden.

 

Deze suite is geïntegreerd met Microsoft Purview, voor onderzoek en risico-management. Het is een aanvullingo p XDR, door het aanleveren van compliance, governance en databescherming. Purview kan automatisch security-labels koppelen aan documenten en zorgen dat zaken niet buiten het bedrijf gedeeld worden. 

In Microsoft 365 zit bescherming tegen phishing, malware en spam. 

  • Phishing: iemand beweert jouw HR manager te zijn, maar de afzender is van een onbekend IP. URL's worden realtime gecontroleerd om te valideren of ze geldig zijn of niet.
  • Anti-malware: bijlages bij mail, gedeelde bestanden. Zero hour Auto Purge (ZAP) heeft de mogelijkheid om bij afgeleverde mails waarbij later blijkt dat ze malware bevatten alsnog de bijlage verwijderen. Standaard filter policies zijn er ook, waarmee admins automatisch .exe, .js en/of .vbs bijlages kunnen blokkeren.
  • Anti-spam en transport rules: mails die verdacht zijn, komen in de Junk-map. Gebruikers kunnen aangeven of een mail wel of geen "junk" is, op basis daarvan wordt het algoritme bijgewerkt. Aanvullend op de standaard zaken kunnen mails van bekende "foute IP-ranges" automatisch geblokkeerd worden en ook de interne uitgaande mails kunnen geblokkeerd worden als bekend is dat iemand toegang heeft gekregen tot dat account, waarbij die persoon een "bad guy" is. 

 

Microsoft Threat Intelligence Center

Het centrale punt van Microsoft, dagelijks komen 65 triljoen "signalen" binnen, waardoor bedreigingen gefilterd kunnen worden en beschermende maatregelen uitgevoerd kunnen worden.

  • Met deze signalen kan Microsoft veel sneller dan een "gebruiker" zien dat er in een bepaald gebied ransomware actief is en actie ondernemen om de andere gebieden te beschermen.
  • Nation-state actor monitoring: hackers gesponsord door de Russische overheid e.d., iets wat Microsoft in de gaten houdt en als ze het constateren snel actie op kunnen ondernemen.
  • Dark web monitoring: MSTIC checkt de forums om te zien of er bijvoorbeeld data van bepaalde tenants te koop wordt aangeboden. Zo ja, dan kan de klant geïnformeerd worden: ga je wachtwoorden resetten en breid je monitoring uit.
  • Endpoint telemetry: als een aangesloten laptop verkeer begint uit te wisselen met een command-en-control server waarvandaan ransomware geïnstalleerd wordt, dan kan hier acite op ondernomen wroden.

 

Threat Explorer (real-time detections)

Je kunt hier "live" data bekijken. 

  • Investigate email threats in real time: zie waar phishingmailtjes afgeleverd worden en waarschuw je gebruikers.
  • Pivot by sender, subject, URL, file hash. Je ziet een verdacht mailtje en wilt weten of meer mensen binnen je organisatie die ontvangen hebben.
  • See delivery status and user impact: je kunt zien of het bericht afgeleverd, geblokkeerd of aangeklikt is door de ontvanger. Op basis daarvan kun je bepalen of er extra monitoring op accounts moet worden toegevoegd, of wachtwoord-resets uitgevoerd moeten worden.

 

Threat Analytics

Een bibliotheek van documenten van Microsoft security onderzoekers, als je "bij wilt blijven" met de huidige bedreigingen, dan moet je deze documenten blijven lezen.

Identity en Authentication

  • Identity: wie is deze persoon, apparaat, of dienst die toegang wil?
  • Authentication: hoe kunnen we bewijzen dat persoon X ook echt persoon X is?


We gaan steeds meer andere manieren gebruiken om te authenticeren. Dus niet met een wachtwoord. Maar hoe dan wel?

  • Microsoft Authenticator: mobiele app die met 2FA een time-based one-time passcode (TOTP) of push notificatie geeft. Hiermee kan een gebruiker met vingerafdruk, pin-code inloggen.
  • FIDO2 security keys: een fysiek USB of NFC token wat gebruikt kan worden.
  • Windows Hello biometrics: op basis van je gezicht, vingerafdruk of PIN toegang krijgen.
  • Certificate-based authenticatie (CBA), met een digitaal certificaat op een smart-card of device bevestigen wie/wat je bent.


Met Microsoft Entra ID kun je gebruik maken van MFA (iets wat je weet, iets wat je hebt of iets wat je bent). En ook de Self-Service Password Reset (SSPR) is een snelle manier om zonder menselijke interactie in te kunnen loggen.
Met Microsoft Entra Identity Protection heb je extra beveiliging, met machine-learning wrodt gekeken of je een "risky sign-in" hebt, wordt naar je gedrag gekeken, of je op een vreemde locatie inlogt of dat je ineens op een "vreemd device" werkt.

Admins kunnen zelf extra regels inzetten. Bijvoorbeeld door voor alle gebruikers of voor "scenario's met een hoog risico" MFA af te dwingen.
Afdwingen dat bepaalde inlogmethodes niet meer gebruikt mogen/kunnen worden, bijvoorbeeld door wachtwoorden niet meer als optie aan te bieden.

Als je een hybride omgeving hebt (je werkt in de cloud, maar je hebt ook zaken on-premise draaien), dan zijn er tools om dat met elkaar samen te laten werken.

  • Password hash synchronization (PHS), met een hash naar de cloud hoeft een inlog niet meer op je eigen AD gevalideerd te worden. 
  • Pass-through authentication (PTA) met een secure authentication agent inlogs op jouw locale AD valideren (bijvoorbeeld omdat ze door bepaalde regels geen hash naar de online AD van Azure mogen sturen).
  • Federation authentication, hierbij krijg je een soort redirect naar de AD-provider die jouw organisatie gebruikt.


PHS en PTA worden via Microsoft Entra Connect Sync of Microsoft Entra Cloud Sync afgehandeld.

Met Single-Sign-On (SSO) zorgt Microsoft dat je al hun diensten kunt gebruiken zonder elke keer opnieuw in te hoeven loggen.

Je hebt verschillende set-ups;

  • Cloud-only setup: alles via Microsoft Entra ID.
  • Hybrid setup, als je binnen je netwerk aangemeld bent, ben je ook "in de cloud" aangemeld.

 

Het beheren van toegang en rechten in Microsoft 365

Nadat je ingelogd bent ontstaat de vraag "wat mag je (en wat niet)"?
Hiervoor het je authorisatie. In Azure heb je RBAC, role-based access control.

Via group-based permissions of resource-specific access controls worden voor de meeste gebruikers de rechten ingesteld. Sharepoint is een goed voorbeeld, zo kun je toegang hebben tot een space, of bijvoorbeeld maar tot één document. Verschillende soorten rollen zijn daar Visitor (read-only), Member (edit) en Owner (full control).

  • Conditional Access: als iemand ineens vanaf een andere laptop ingelogd is, kan bijvoorbeeld afgedwongen worden dat je met MFA jezelf "nog een keer" bevestigt.
  • Privileged Identity Management (PIM): just-in-time toegang tot admin-rechten. Je bent even admin, maar over 5 minuten ben je die extra rechten weer kwijt.
  • Access packages: een bundeling van rechten over verschillende bronnen, bijvoorbeeld om een nieuwe medewerker initieel toegang te geven tot bepaalde zaken of bijvoorbeeld iemand die ingehuurd is tijdens het project toegang te geven tot bepaalde zaken (en die rechten daarna weer automatisch te laten verwijderen).
  • Information protection and sensitivity labels: hiermee kun je zorgen dat bepaalde documenten niet geprint, gekopieerd of doorgestuurd kunnen worden, ook als je wel de inhoud kunt lezen. 


Binnen Entra heb je Users en Groups. Die Groups, daar zijn verschillende soorten van;

  • Security groups: gericht op het beheren van toegang.
  • Microsoft 365 groups, bedoeld om samenwerking te bevorderen, een gedeelde mailbox in Outlook, een kalender voor de groep, een bibliotheek in Sharepoint om documenten te delen, een planner board om de taken op te verdelen en een optionele workspace binnen Microsoft Teams.
  • Mail-enabled security groups: vergelijkbaar met security groups, maar kunnen ook als email distributielijsten gebruikt worden. 
  • Distribution groups: de vorige groep bevatte ook nog security-zaken, deze groep is alleen maar bedoeld als distributielijst voor mails.
  • Dynamic groups: wordt automatisch gevuld op basis van attributen van gebruikers, bijvoorbeeld op basis van afdeling of rol binnen het bedrijf. 

 

Group Administration

Het beheren kan op verschillende plaatsen;

  • Microsoft 365 admin center, voor het aanmaken van nieuwe groepen, gebruikers toevoegen aan groepen (of er juist uithalen).
  • Microsoft Entra admin center: geavanceerde zaken betreffende identiteit en toegangsrechten, bijvoorbeeld bij hybride omgevingen. 
  • Powershell en Microsoft Graph API: als je 2.000 medewerkers handmatig uit groepen moet verwijderen, wil je dat "snel" kunnen scripten.

 

Identity en access management in Microsoft Entra

Microsoft Entra heeft veel feaures. Een lijstje daarvan:

  • Microsoft Entra ID: met SSO hoef je niet elke keer opnieuw in te loggen
  • Condition Access: is er iets niet in de haak, voer nog een keer de MFA uit
  • Identity Secure Score: analytics tool die laat zien hoe jouw bedrijf er in Entra voor staat
  • PIM (Privileged Identity Management): just-in-time extra rechten en daarna snel weer kwijt
  • Microsoft Entra ID Governance: geautomatiseerde tools om te zorgen dat bijvoorbeeld bij uit dienst gaan van een werknemer de zaken snel opgeruimd worden
  • Microsoft Entra ID Protection: met machine learning en real-time telemetry in beeld of je bedrijf misschien onder vuur ligt
  • Microsoft Entra Verified ID: zorgt voor een gedecentraliseerd identity systeem
  • Microsoft Entra Permissions Management: helpt organisaties om inzichtelijk te maken wie toegang heeft tot de cloud, niet alleen Azure, maar ook voor AWS en Google Cloud
  • Microsoft Entra Internet Access and Entra Privat Access: cloud-alternatieven voor traditionele VPN's en proxies. 


Conditional Access policies

De signalen waarop geacteerd wordt;

  • User and sign-in risk: op basis van gedetecteerde bedreigingen, patronen van inloggen kan bepaald worden dat extra confirmatie nodig is.
  • Device state: evaluatie of het device voldoet aan de regels van het bedrijf (is de anti-virus bijgewerkt, staat encryptie aan).
  • Application sensitivity: open je het intranet of open je het administratieve systeem met alle omzetcijfers, bij die laatste app moet je mogelijk wat extra stappen doen om te laten zien dat je echt de controller van het bedrijf bent.
  • Location en IP-adres: je zit ineens in Colombia. Of je zit ineens op een publiek netwerk (en niet via de VPN op het netwerk).
  • Session context and behaviour: het downloaden van bestanden of kopiëren van data kan beperkt worden op het moment dat het systeem dit "risicovol" vindt.


Voorbeelden van Conditional Access policies:

  • Require MFA for external access: niet via de VPN verbonden, dan extra authenticatie.
  • Block access from unmanaged devices: blokkeer toegang tot Sharepoint of Onedrive vanaf onbekende apparaten.
  • Require sign-in risk mitigation for high-risk users: als inloggegevens van een medewerker gelekt zijn, kan deze policy zorgen dat voor dit account (de komende tijd) elke keer met MFA extra ingelogd moet worden.
  • Enforce Terms of Use acceptance before access: eerst akkoord gaan met de voorwaarden voor je verder kunt;
  • Restrict access to specific applications for guest users: de toegang van externe B2B medewerkes of "gast-accounts" alleen geven aan apps die ze nodig hebben, maar de rest blokkeren.
  • Block legacy authentication: POP3, IMAP, SMTP bijvoorbeeld blokkeren.
  • Apply session controls with Microsoft Defender for Cloud Apps: implementeert het monitoren van gebruikersactiviteit, blokkeer de download van bestanden, zorg dat documenten een watermerk krijgen.


Door policies in te stellen (en dat niet goed te doen) zou je bepaalde gebruikers kunnen "blokkeren", iets dat je niet wilt. In het Microsoft Entra admin center kan met de "What If" tool eerst gevalideerd worden wat bepaalde regels qua impact hebben.


Identity Secure Score

  • Security recommendations: adviezen om MFA te activeren, om bepaalde accounts waar een half jaar geen activiteit op zit te verwijderen, etc.
  • Improvement actions: gekoppeld aan de aanbevelingen, met stap-voor-stap uitleg, links naar documentatie.
  • Benchmarketing tools: vergelijk jouw bedrijf met andere bedrijven in dezelfde sector: doen we het beter dan hun (of niet)?
  • Action status options: niet elke aanbeveling kan direct uitgevoerd worden, daarom kun je zaken labelen. De verschillende labels zijn:
  1. Completed: actie is geïmplementeerd en afgedwongen;
  2. Planned: we gaan dit in de toekomst doen;
  3. Resolved via Third Party: bijvoorbeeld eigen MFA oplossing gebruiken;
  4. Risk accepted: we weten dat het beter kan, maar we laten het zo;

 

Troubleshooten en het monitoren van identity security

Om dit goed te kunnen doen, moet je bekend zijn met de Microsoft tools. Microsoft entra, Intune, Defender for Enpoints, autido log infrastructuur. 

Sign-in issues

Het is voor de veiligheid, maar geeft wel extra werk aan de gebruikers. Je moet MFA werkend krijgen, bepaalde phishing-security zaken kunnen jouw werk blokkeren.

De eerste plek is Microsoft Entra admin center. Hier kun je inlogacties zien (en of ze mislukt zijn), of MFA succesvol uitgevoerd is (of niet).
Microsoft Entra sign-in logs: elke keer als een gebruiker of geautomatiseerd proces inlogt wordt deze actie gelogd. En de al eerder genoemde "What If" tool kun je gebruiken om zaken te testen.

Voorbeelden:

  • Iemand kan niet inloggen. Check de sign-in logs. Check of de MFA van de gebruiker overeenkomt met de vereisten. Voer eventueel een reset uit. Ook clock-synchronisatie kan "een bitch" zijn.
  • Iemand kan ergens niet bij komen. Gebruik de "what if" tool om te zien waar we blijven hangen. Controleer in Intune of het device voldoet. Check Microsoft Defender for Enpoint of er alarmeringen of bedreigingen op het device staan. 
  • Iemand kan niet inloggen (hier mogelijk gelekte inloggegevens). Check de sign-in logs op basis van risk level (bijvoorbeeld doordat iemand ineens vanuit het Midden-Oosten probeert in te loggen). Actie kan zijn dat er een wachtwoord reset uitgevoerd moet worden, extra MFA challenges toegevoegd moeten worden.


Review audit logs voor gebruikers en admin activiteit

  • Access audit logs: via Microsoft Purview portaal en Powershell beschikbaar. Admins kunnen geavanceerd zoeken. 
  • Permissions required to view audit logs. Je moet de Audit Logs rol of de View-Only Audit Logs rol hebben om logs te kunnen lezen.
  • Extending audit log insights beyond the portal: je kunt data exporeren naar Power BI, Excel, SIEM om daar verder te gaan filteren.

 

Voorbeelden:

  • Op basis van het filter FileDownloaded of FileAccess kan gecontroleerd worden of bepaalde documenten met gevoelige data bekeken en/of gedownload zijn. 
  • Als een ongeautoriseerde gebruiker ineens Global Admin is, dat is een trigger voor een alarm. Je kunt met Powershell filteren op Search-UnifiedAuditLog om te zoeken op aanpassingen op Global Admin, Exchange Admin of andere rol met (veel) rechten.
  • Toegang aangepast voor mailboxen, Teams policies die aangepast worden, het kan gezien worden.

 

Tijdens de studie-ochtend van TRES op 21 mei 2026 het volgende deel doorgenomen;

Onderdeel "Introductie in Microsoft 365 core services en admin controls".

We krijgen een kort overzicht van de architectuur van Microsoft 365.

  • Identity layer: Microsoft Entra ID voor authenticatie, conditional access, identity protection.
  • Service layer: Exchange, Teams, SharePoint, OneDrive, Copilot.
  • Data layer: Graph knoopt allemaal zaken aan elkaar.
  • Intelligence layer: Copilot en andere AI agents kunnen data en signalen gebruiken om persoonlijke assistentie te verlenen, aanbevelingen te doen, zaken te automatiseren.
  • Security and compliance layer: data loss prevention, eDiscovery, retentie, auditing.


Je identiteit bouw je op met je domeinnaam. Dat kan een .onmicrosoft.com domein zijn. Maar voor "professionaliteit" en consistentie koppelen veel bedrijven hun "echte" domeinnaam aan deze omgeving. Je doet dit door een "custom domain" toe te voegen, op basis van DNS verificatie.

Vervolgens wat uitleg wat bepaalde diensten zijn, is wel bekend bij mij. Exchange Online (mail), Teams, SharePoint, OneDrive. 

Copilot en AI agents.

  • Contextuele assistentie: je bent met een e-mail bezig, Copilot kan je tips geven.
  • Content generation: Word, PowerPoint, Outlook: Copilot kan presentaties voor je maken, op basis van vorige vergaderingen zaken uitwerken.
  • Workflow automation: herhalende taken uitvoeren, bijvoorbeeld aantekeningen van een bijeenkomst samenvatten.
  • Task automation, herhalende of complexe taken automatiseren, zoals vergaderingen plannen, goedkeuringsverzoek aanmaken als een document in SharePoint toegevoegd wordt.
  • Personalized assistance: agents gebruiken context van Microsoft Graph om aanbevelingen aan te leveren.
  • Conversational interaction: met natuurlijke taal kun je "converseren".
  • Extensibility: je kunt eigen agents bouwen om je bedrijfsspecifieke zaken ook te laten werken.


Copilot - motor voor de intelligence layer

Via Microsoft Graph kan data van de hele "tenant/diensten" gecombineerd worden om goede aanbevelingen te doen en andere acties uit te voeren.

  • Contextual intelligence: op basis van mails, documenten, overleggen, chats en kalenders begrijpen "waar aan gewerkt wordt" en wat gebruikers nodig hebben.
  • Cross-service automation: een agent kan gegevens uit een Teams meeting halen, daar taken voor aanmaken in Planner en via Outlook de gerelateerde personen op de hoogte brengen.
  • Personalized recommendations: bijvoorbeeld een gebruiker een notificatie sturen dat hij/zij nog niet gereageerd heeft op een bepaalde mail, op basis van een komende deadline adviseren om bepaalde documenten te lezen.
  • Conversational interaction: op basis van natuurlijke taal "converseren".
  • Extensibility with Copilot Studio: je eigen agents maken, die reageren op bepaalde triggers, unieke workflows ondersteunen.
  • Governance and control: IT beheert Copilot en de agents via de Microsoft 365 admin centers.


Security and compliance

Met Purview kan dit beheerd worden. Zero-trust model. 


Microsoft 365 admin center en belangrijkste tools.

admin.microsoft.com is de locatie om je tenant te beheren. Via deze locatie kun je doorgestuurd worden naar de admin-omgevingen van de diensten die je selecteert, zoals de Exchange admin center (EAC) of het Teams admin center.

Onder user and license management kan de administrator nieuwe gebruikers toevoegen, Microsoft 365 licenties toevoegen of intrekken, wachtwoorden resetten en MFA configureren. Attributen zoals locatie, afdeling, job titel instellen.

Je kunt ook licenties per groep instellen, tip hierbij is dat daar wel beperkingen aan zitten. Maximaal 20 groepen per toewijzing en geen ondersteuning voor het "nesten" van groepen.


Onder service management kun je door naar Exchange, Teams en SharePoint.
OneDrive configuratie vind je binnen het SharePoint admin center.

In deze omgeving kunnen administrators domeinen beheren, DNS-configuratie. Onder Org Settings kan locatie van data, het toestaan of weigeren van delen van data en samenwerkings-restricties ingesteld worden.

Met het Service Health Dashboard heb je real-time inzicht in je diensten. Ook kun je hier je aanmelden voor bepaalde e-mail notificaties. Gebruikers-rapportage waarin je kunt zien welke gebruikers actief zijn, de hoeveelheid opslag die gebruikt wordt en samenwerkingspatronen.


Powershell

Hoewel je veel in de interface kunt, is Powershell vaak handiger/sneller om zaken te configureren.

  • Exchange Online Powershell: beheer mailboxen, verplaats regels, configureer je compliance settings.
  • Teams Powershell Module: beheer policies, beheer teams en automatiseer provisioning.
  • SharePoint Online Management Shell: beheer sites, opslag en configuratie van het delen van data.
  • Microsoft Graph PowerShell SDK: API toegang tot alle diensten.


Exchange Online

Als je aanpassingen wilt doen, moet je deze rol hebben of tot een bepaalde groep behoren:

  • Global administrator, volledige toegang tot alles, qua security zou je deze bijna niet moeten gebruiken.
  • Exchange administrator, beheert mailboxen, flow van mails en anti-spam regels.
  • Organization Management role group, heeft toegang tot de meeste Exchange zaken via het Exchange Admin Center of PowerShell.


Exchange Online gebruikt RBAC:

  • Role Management: staat het aanmaken en wijzigen van groepen toe
  • View-Only Organization Management: helpdesk-stijl toegang

Naast gebruikersmailboxen, gedeelde mailboxen heb je ook resource mailboxen. Deze zijn voor conferentiezalen, projectors of andere fysieke zaken van het bedrijf.


Mail flow en policies

  • Transport rules: inspecteren van headers, attachments om zo berichten te blokkeren, te redirecten of disclaimers toe te voegen. 
  • Accepted domains and connectors: zorgen dat een on-premise Exchange server ook mails kan versturen.


Security en compliance

  • Retention policies: hoe lang mag een mail bewaard blijven voor ie verwijderd wordt.
  • Litigation hold: voor legale zaken alle mails bewaren (ook de verwijderde en originele versies).


SharePoint Online

Om zaken te configureren moet je 1 van deze rollen hebben:

  • Global administrator, je mag alles, dus spaarzaam gebruiken.
  • SharePoint administrator, beheer site collecties, rechten en policies om data te delen.


Je hebt verschillende soorten sites van SharePoint:

  • Team sites: bedoeld voor samenwerking, automatisch gekoppeld aan Microsoft 365 groepen. Bij het aanmaken wordt een bibliotheek voor documenten aangemaakt, mailbox voor de groep en een kalender.
  • Communication sites: het delen van informatie met anderen. 
  • Site templates: er zijn allemaal sjablonen beschikbaar, document-center, projectmanagement, knowledge=base.


Documentbibliotheek en lijsten

  • bibliotheek configuratie: versies bijhouden, approval workflow om aan compliance te voldoen.
  • custom lists: admins kunnen eigen lijsten bouwen, met Power Automate kunnen daar weer triggers aan gekoppeld worden voor acties.


Permissions and sharing

  • Access Control: op basis van de site, een bibliotheek, een folder of document kun je toegang instellen.
  • External Sharing: authenticatie voor gedeelde links, datum instellen waarop een link verloopt.
  • Permissions inheritance: hierarchisch model, dus standaard erf je van je "parent".


Microsoft Teams.

Zoals te verwachten heb je ook hier een Global administrator en een Teams administrator.
Via Settings - Delegation - Manage Delegates kunnen bepaalde rechten overgedragen worden.

Policies configuratie

  • Meeting policies: instellen of een vergadering opgenomen mag worden, transcripties en of anonieme deelnemers toegestaan zijn (of niet).
  • Messaging policies: GIF, sticker, externe chat kan uitgezet worden.
  • App permissions: aangeven welke niet-Microsoft en andere eigen apps in Teams gebruikt kunnen/mogen worden.


Integratie en automatisering

  • Tabs en connectoren: hier kan een gebruikers apps "vastpinnen", bijvoorbeeld SharePoint, OneNote, Power BI waardoor je snel toegang tot bepaalde dashboards hebt. 
  • Bots en workflows: admins kunnen bots toevoegen voor helpdesk ondersteuning, HR vragenlijsten, projectmanagement.

 

De basis voor security, identity en compliance.

Met device access policies kun je afdwingen dat alleen devices die jij goedkeurt toegang krijgen tot Exchange Online, SharePoint Online, Teams. Dit wordt standaard met Intune gedaan. Daar kun je instellen dat minimaal een bepaalde OS versie moet draaien, dat wachtwoorden aan bepaalde standaarden moeten voldoen, bepaalde encryptie actief moet zijn.

  • Device compliance policies: de hierboven genoemde criteria.
  • Conditional access policies based on device state: bijvoorbeeld afdwingen dat je Teams niet kunt starten als je device niet "compliant" is.
  • app protection policies: zorgen dat apps op BYOD beschermd zijn;

- rooted devices: rooting je telefoon maakt m minder veilig, dus je app moet meer "dichtgezet" worden.
- jailbroken devices: user heeft root-access waardoor security zaken omzeild kunnen worden.


Best practises voor implementatie

  • Start met een pilot groep voor je de hele organisatie aanpast (en mogelijk tegen problemen aanloopt)
  • Gebruik ingebouwde sjablonen voor DLP en conditionele toegang om deployment te versnellen en complexiteit te verminderen.
  • Review regelmatig audit logs en policy rapporten en gaten te vinden en/of gebieden die verbeterd kunnen/moeten worden.
  • Onderwijs je gebruikers hoe policies werken en waarom ze er toe doen.
  • Gebruik Power Automate om zaken soepel te laten lopen en alarmering te activeren.

 

Wijs admin-rollen toe via RBAC

Microsoft heeft zelf een grote range aan rollen, dus voor je zelf "een aantal nieuwe rollen gaat bedenken", kijk eerst of er al een rol/rollen bestaan die jouw inrichting compleet maken.

Mocht je toch een eigen rol nodig hebben, volg dan deze stappen

  • definieer rechten voor deze rol, zoek eerst uit welke rechten deze rol exact nodig heeft. 
  • wijs scope toe aan de rol, hiermee krijgt de rol alleen toegang tot bepaalde groepen, afdelingen of resources.
  • wijs gebruikers of groepen toe aan de rol. 


Het delegeren van verantwoordelijkheden is niet alleen het toewijzen van rollen. Het is ook zorgen dat rechten goed worden toegewezen, het continue monitoren en als de toegang/rechten niet meer nodig zijn, dat ze verwijderd/ontkoppeld worden.

Om veilig te zijn/blijven, zijn dit de adviezen:

  • probeer zoveel mogelijk rechten via groepen te laten lopen, niet rechtstreeks aan gebruikers;
  • loop regelmatig de rollen en gekoppelde gebruikers langs: is het nog nodig?
  • zorg voor documentatie: leg uit welke rollen er zijn, waarom ze nodig zijn, zodat bij een audit kan worden getoond dat voor het controleren van logs iemand een bepaalde "read-rol" nodig heeft.

 

Onderdeel "protect and govern Microsoft 365 data".

Dit onderdeel start met Microsoft Purview. De omgeving voor je compliance, data security, data governance en risk & compliance.

  • bescherming informatie: met labels, encrypten van gevoelige data.
  • DLP (data loss prevention): voorkomen dat je gevoelige data met externe partijen deelt.
  • insider risk management: monitoren of je gebruikers ineens "vreemde dingen doen".
  • communication compliance: controle of via mail, Teams, Yammer de bedrijfsstandaarden gevolgd worden.
  • DSPM voor AI (Data Security Posture Management): gevoelige data in AI workloads identificeren.
  • DLM (Data Lifecycle Management): automatiseer de retentie, archivering en verwijdering van data.


Purview heft de volgende tools om zaken te monitoren:

  • Monitoring risk signals: verdacht gedrag, ongeautoriseerde toegang.
  • Identifying potential data exfiltration attempts: als een gebruiker binnen een kwartier 200 documenten met label "confidential" aan het downloaden is, dat is verdacht.
  • Spotting policy violations door Copilot: niet alleen je medewerkers, maar ook AI kan acties uitvoeren die je niet wilt / die niet uitgevoerd mogen worden. 
  • detecting sudden spikes in sensitive data access: als ineens de aanvragen significant stijgen, kan dit een indicator zijn dat er een breach is en iemand die geen toegang zou mogen hebben met slechte dingen bezig is...


Insider Risk Management

Dit zijn gebruikers die toegang mogen hebben, dus wat het al moeilijker maakt om acties op te detecteren. Toch kan Purview hier op monitoren;

  • Detecting mass file downloads: als iemand veel "vertrouwelijke" documenten aan het downloaden is, dat is verdacht;
  • Flagging data shared to personal email, controle op @yahoo.com, @gmail.com, @hotmail.com en dan mail eerst blokkeren of escalaren naar een ander team.
  • Identifying abnormal behaviour involving working hours or travel context: iemand die ineens om 2.00 uur 's ochtends inlogt, die op een onbekend IP verbinding maakt.
  • Applying tresholds and HR integrations: koppeling met het HR-systeem, dus inzicht of een werknemer nu een ex-werknemer is, een andere rol heeft of dat er disciplinaire maatregelen getroffen zijn.


Data loss prevention (DLP), is 1 van de basis-tools. 

  • DLP policies, bijvoorbeeld instellen dat "confidential" documenten niet naar een externe SharePoint geüpload kunnen worden. Waarbij dit alsnog goedgekeurd kan worden, als de medewerker aangeeft dat dit een klant is en dit document voor hem/haar bedoeld is.
  • Device-level enforcement in Defender for Endpoint: clipboard kan geblokkeerd worden, het kopiëren van data naar USB kan geblokkeerd worden.
  • Alerts trigger automated or manual investigation: in de alarmering zit alle informatie (wie het triggerde, waarom, etc.). Die data kan ook gerouteerd worden naar andere applicaties, zoals Microsoft Defender XDR, Microsoft Sentinel, SIEM tools. 


Communication Compliance

Op basis van keywords en machine learning wordt gekeken of communicatie wel de bedrijfsstandaarden volgt;

  • Using pattern-based and machine learning classifiers: mails, Teams conversaties, Yammer posts en ook Copilot prompts kunnen bekeken worden.
  • Reviewer dashboard: berichten die gemarkeerd zijn, zijn hier zichtbaar. Degene die dit beoordeelt kan het event "dismissen", een notificatie naar de gebruiker sturen, escaleren naar HR en/of het "legal department" of het taggen voor toekomstige training. 
  • Industry-specific custom policies: als je in een ziekenhuis werkt en het over morfine e.d. gaat, dan is dat voor patiënten om hun pijn te verzachten. Maar in een IT-bedrijf zal een gesprek over "morfine" als "verdacht" gemarkeerd worden, dat wil je hier juist niet.


Activity Explorer

Je ziet hier "alles", real-time, dus ook zaken die geen trigger zijn voor escalatie. Het kan handig zijn om in te spelen op zaken waarvan je nu al ziet dat het afwijkt van de standaard: wat is hier aan de hand?

 

Compliance Manager

Hiermee zorg je dat je als bedrijf kunt voldoen aan de GDPR, HIPAA en ISO 27001. 
Onderdeel hiervan is de Compliance Score.

  • Assessments based on regulations: het voorbeeld is een GDPR assessment, die controls bevat voor databescherming, notificaties bij hacks en "subject rights". Hiermee kan bepaald worden waar al aan de bepalingen voldaan wordt en waar nog aan gewerkt moet worden.
  • Controls (Microsoft-managed and customer-managed): encryptie-configuratie, service-configuratie. 
  • Improvement actions and compliance score: tips wat je zou kunnen doen (labelling, privacy meldingen bijwerken).


Data Explorer

  • zien "waar" gevoelige data opgeslagen wordt.
  • visualiseer de gevoelige datatypes: hoeveel IBAN-nummers, hoeveel BSN-nummers, etc.
  • filter bij locatie, label, contenttype: als het je alleen om financiële documenten gaat, kun je zo snel filteren.


Microsoft Purview Data Security Posture Mangement (DSPM) monitort ook je AI acties (wat in de huidige AI tijd geen overbodige luxe is).


Soms moet je kunnen zoeken in je content voor (legaal) onderzoek. Met Content Search en eDiscovery tools is dat mogelijk. eDiscovery heeft 2 soorten: standard: basis zoekfunctionaliteit, exporteren en zaken vasthouden voor legaal onderzoek en premium: extra opties, zoals case management, review sets, analytics en redaction.


Gevaar van "oversharing" in SharePoint.

Wat zijn mogelijke issues?

  • Je deelt een document met "iedereen" of "iedereen met deze link"
  • Je geeft toegang om te bewerken, terwijl view-only voldoende is.
  • Externe gastgebruikers toegang geven tot de hele site.


Om dit te beheren, heb je inzicht nodig. In Microsoft 365 Admin Center en SharePoint Admin Center kun  je:

  • Zien wie wat gedeeld heeft
  • Zien wie toegang heeft
  • De status van extern delen zien


Als een omgeving "huge" is, kun je dit beter met PowerShell en de Microsoft Graph API aanpakken.

  • Sharing reports: overzicht van zaken die gedeeld zijn.
  • PowerShell and Graph API: je kunt bijvoorbeeld een script runnen waarbij je kijkt naar documenten met het label "confidential" en die extern gedeeld zijn.
  • Automated audits and alerts: filteren op documenten met anonieme links en waarin gevoelige data gevonden wordt.


Naast het opvoeden van je gebruikers is er technisch veel mogelijk;

  • sensitivity labels and encryption: als er een HR label op zit, wordt het document geëncrypt. Ook anonieme links kunnen het document dan niet lezen.
  • organization-wide sharing limits: configureren dat anonieme links in "onze SharePoint" niet gebruikt kunnen worden.
  • user education and automated alerts: gebruikers er op wijzen hoe zaken moeten werken en actief monitoren.


Data Access Governance (DAG) rapportage in SharePoint.

Hier kunnen admins zien:

  • Sites met gevoelige informatie en die bovenmatig gedeeld worden.
  • Sites waar eigenaren inactief zijn.
  • Sites die geen "sensitivity labels" hebben.


Op basis hiervan kan de admin actie ondernemen;

  • Guest access blokkeren.
  • De instellingen voor het delen van data strakker instellen (dus minder mogelijk).
  • De juiste labels koppelen.


Advanced governance features in SharePoint Advanced Management (SAM).

Dit is een betaalde add-on voor governance. Is voor bedrijven die:

  • Granulaire controle over site-toegang moeten hebben.
  • Actief moeten monitoren.
  • Integratie met coditional access policies.


Dit zijn een aantal extra opties die beschikbaar zijn:

  • Restricted site access: zorgen dat via Intune ingeregelde devices alleen toegang hebben tot de financiële data.
  • Inactivity alerts: een project-site die al een half jaar niet meer gebruikt wordt: melding om er wat mee te doen en/of automatisch restricted maken, om te voorkomen dat een site waarvan niemand het bestaan meer weet een doel wordt van hackers.
  • Site access reviews and conditional access integration: gebruikers die pas na MFA authenticatie een site kunnen bezoeken, een lijst die naar de site-eigenaar gestuurd wordt om te controleren of de rechten nog goed staan.


Hierna nog een stuk over Copilot. De korte versie is dat deze draait met de rechten van de user die met Copilot werkt. Kan ik als gebruiker niet bij de documenten van de HR-afdeling, dan kan Copilot dat ook niet.

De volgende principes zijn de basis:

  • Data minimization: alleen de data die opvragen die nodig is voor de taak. 
  • Transparency: bij het antwoord worden links toegevoegd zodat je kunt controleren "hoe" Copilot tot bepaalde conclusies komt.
  • Content filtering: een document met veel vloekwoorden of waarvan de bron niet geverifieerd kan worden, wordt niet meegenomen of Copilot geeft een waarschuwing dat zaken mogelijk niet betrouwbaar zijn.
  • Auditability: alle interacties worden gelogd, ook prompt historie, data die geraadpleegd is en de AI responses.

 

Explore Microsoft 365 Copilot and agent administration
Deze module bestaat uit 3 onderdelen.


"Explore Microsoft 365 Copilot and agents".

Copilot is geen stand-alone product, maar een integratie in Microsoft producten.

Microsoft Graph is de "ruggengraat", hiermee heb je toegang tot de diensten en data. 
WorkIQ is een laag hier bovenop die Copilot laat "snappen" hoe er binnen jouw bedrijf gewerkt wordt.
Met deze intelligentie wordt gezorgd dat als jij zoekt op "Q2 financial progress" Copilot snapt dat het document "Quarterly Revenue Analysis" hier een goede basis voor is.

Eigenschappen van Micorsoft Graph:

  • Data aggregatie: data kan vanaf je OneDrive, mailbox, SharePoint opgevraagd en als input gebruikt worden.
  • Relationship mapping: bij een document kan Graph bepalen wie de auteurs zijn, wie het via mail gedeeld heeft, wie een afspraak in de kalender op basis van dit document gemaakt heeft.
  • Dynamic context: een manager die vraagt "toon mij updates van mijn team" kan beantwoordt worden, omdat via Graph inzichtelijk is "wie onder deze manager vallen" en wat hun acties zijn.
  • Security and compliance: RBAC, sensitivity labels.


LLMs (Large Language Models).

De modellen worden gehost in Microsoft Azure OpenAI Services.

  • Grounded prompting: Copilot zorgt dat relevante informatie wordt toegevoegd (documenten, mails, gespreksverslagen), zodat relevante antwoorden gegeven kunnen worden.
  • Output generation: de "orchestration layer" zorgt dat de respons in het juiste formaat terug wordt gegeven (word document, excel tabel, PowerPoint slide).


LLMs hebben:

  • Isolation and security: de data die jij hiermee deelt wordt niet als trainingsdata gebruikt.
  • Fine-tuning for business: niet de algemene chat GPT respons, maar op maat gemaakt voor het bedrijf. Onder andere doordat Work IQ de informatie aanvult met "hoe in ons bedrijf gewerkt wordt".
  • Scalability: of er nu 10 of 10.000 mensen bezig zijn, het systeem kan dit handelen.


Microsoft 365 apps

  • Native UI integration: geïntegreerd in de applicatie, gericht op waar je zit (dus in PowerPoint kan Copilot een slide voor je maken, in Excel een grafiek van bepaalde data).
  • Cross-app orchestration: in PowerPoint een slide maken op basis van data in Excel of een Word-document.
  • User control and feedback: gebruikers kunnen iteratief hun vragen stellen, hun historie verwijderen en duimpje omhoog/duimpje omlaag op de respons geven, waarvan het systeem weer kan leren.


Werking orchestration:

  • Prompt intake: ontvangt de input, classificeert het (simpele vraag, of moet ik nu ingewikkelde dingen doen) en gaat zorgen dat het zo efficiënt mogelijk verloopt.
  • Evaluation: bepalen welke data hiervoor nodig is.
  • Enrichment: toevoegen van data aan de context, dus notulen uit Teams, documenten uit SharePoint, regels uit de policies halen.
  • Execution: LLM zijn werk laten doen. 
  • Formatting: de verwachte respons opbouwen, dus een document in Word, grafiek in Excel, etc.


Copilot kun je gebruiken voor het maken van content, analyseren van data, samenvattingen maken en "universeel zoeken".

- Bij de studie-ochtend was ik tot hier gekomen. Dat is best wel veel. -

 

 

De rest van de modules bespreek ik in een volgende blog-post.