[Microsoft Entra ID] - Ervaringen & Discussie

Microsoft Entra ID

Microsoft Entra ID (voorheen Azure AD) is een identity & access management dienst in de cloud dat toegang verschaft tot externe diensten zoals Microsoft 365, Azure en andere SaaS-applicaties.

De dienst is zeer uitgebreid en daarom is het haast ondoenlijk om alle functionaliteiten in detail te beschrijven. Hieronder vind je een greep uit de meest gebruikte/bekende onderdelen.

Identity

Applications: Beheer cloud en on-premises die gebruik kunnen maken van o.a. Application Proxy en single sign-on in Entra ID.

Devices: Apparaten zijn geregistreerde objecten net zoals gebruikers en groepen. Het stelt beheerders in staat om configuratie toe te passen m.b.t. toegang en gebruik binnen Entra ID.

External Identities: Verwelkom gastgebruikers en andere partners (business-to-business) zodat zij toegang krijgen tot jouw tenant en samen kunnen werken met gebruikers in de organisatie.

Hybrid management: Koppel Active Directory met Entra ID om gebruikersaccounts heen-en-weer te synchroniseren. Gebruikers hebben één account en het beheer ervan is daardoor eenvoudig.

Licenses: Koop en beheer licenties voor Microsoft-diensten in de cloud. Koppel licenties aan gebruikers en/of groepen en beheer ingeschakelde functionaliteiten binnen de licentie.

Users & groups: Beheer gebruikersaccounts en groepen.

Protection

Authentication methods: Configureer beleid en limieten in Entra ID voor authenticatie. Bijvoorbeeld, kies welke methodes er gebruikt mogen worden bij het inloggen, zoals: FIDO2, Microsoft Authenticator en/of SMS.

Conditional Access: Brengt signalen samen om beslissingen te nemen en organisatiebeleid af te dwingen. Beleid voor voorwaardelijke toegang bestaat uit eenvoudige als-dan configuratie. Bijvoorbeeld, als een gebruiker toegang wil tot een applicatie in Entra ID, dan dient de gebruiker multi-factor authenticatie te gebruiken.



Self-service password reset: Stel gebruikers in staat om een wachtwoord reset uit te voeren.

Identity Governance

Entitlement management: Beheer van groepslidmaatschap, rollen in Entra ID en meer. Configureer access packages die gebruikers via een self-service portal aan mogen vragen, waarna zij lid worden van een groep of een rol toegewezen krijgen.

Access reviews: Configureer access reviews, zodat er regelmatig controle plaatsvindt op bestaande groepstoegang en/of toegewezen Entra ID rollen.

Privileged Identity Management: Configureer 'just-in-time' roltoewijzing voor administratieve rollen in Entra ID. Verplicht gebruikers een reden te geven, configureer een goedkeuringsproces en monitor wie, welke administratieve rol heeft geactiveerd.

Starten met Microsoft Entra ID

Gebruik maken van Microsoft Entra ID gratis. Microsoft heeft een quickstart gepubliceerd waarin je leert hoe je een tenant aanmaakt voor jouw organisatie.

Heb je een Visual Studio Professional of Enterprise licentie? Dan mag je gratis gebruik maken van het Microsoft 365 Developer Program. Je krijgt dan een Microsoft Entra ID tenant met gratis Microsoft 365 E5 Developer en Entra ID licenties.

Beschikbaarheid en prijzen

Microsoft stelt Microsoft Entra ID gratis beschikbaar. Helaas is niet alle functionaliteit in de gratis variant beschikbaar. Voor sommige diensten is een Microsoft Entra ID-licentie per gebruiker per maand nodig:

• Microsoft Entra ID Free: Gratis en is een goede basis voor startende organisaties.
• Microsoft Entra ID P1: Voor kleine- tot middelgrote organisaties. Prijs vanaf 5,60 per gebruiker per maand.
• Microsoft Entra ID P2: Voor grotere organisaties. Prijs vanaf 8,40 per gebruiker per maand.
• Microsoft Entra ID-governance: Gecombineerde set van diensten uit de P1- en P2-licentie. Vanaf 6,60 per gebruiker per maand.

Maak een vergelijking op de Microsoft website om een passende licentie voor jouw organisatie te vinden.

Studiemateriaal en informatie

Er is online veel te vinden over Microsoft Entra ID:

• Microsoft Entra fundamentals - Microsoft Docs
• John Savill’s Entra ID/Azure AD videos - YouTube

Certificering

• AZ-800 - Administering Windows Server Hybrid Core Infrastructure
• AZ-801 - Configuring Windows Server Hybrid Advanced Services
• SC-300 - Identity and Access Administrator Associate

[ Voor 5% gewijzigd door Gr4mpyC3t op 02-06-2024 16:08 ]

ibmpc schreef op maandag 10 juni 2024 @ 21:25:
De eerste vraag dan maar, hoewel al gevraagd in het verkeerde topic

Hoe krijg je MFA ingeschakeld op een Entra Free tenant? Bijvoorbeeld een tenant waar alleen een Microsoft 365 Business Basic in zit? Ik ben bekend met Security Defaults, maar Security Defaults zet niet MFA aan. Conditional Access is pas mogelijk bij Entra P1.

Security Defaults vraagt namelijk niet om MFA als Microsoft vindt dat je op een "veilige" locatie bent, zoals een koffieshop waar je medewerkers vaak komen. Security Defaults is namelijk geen MFA=On policy.

En per-user MFA is deprecated en bestaat over een jaar niet meer.

Tweede vraag:
Ik zie in authentication methods onder FIDO2 nu dat Microsoft Authenticator als vinkje kan worden aangezet. Tevens kan Attestation ook aan, tegelijkertijd met Microsoft Authenticator. Kan Microsoft Authenticator inmiddels attesteren? Of moet attestation alsnog uit als je Microsoft Authenticator aanzet?

Iemand moet de eerste zijn, toch?

Wat je zegt klopt volgens mij wel. Als je die per-user MFA uitzet in je tenant dan ga je automatisch over op de nieuwe Microsoft MFA en heb je geen controle over het proces. Klinkt een beetje als 'enshittification' van Microsoft.

Gr4mpyC3t schreef op maandag 10 juni 2024 @ 21:59:
[...]


Iemand moet de eerste zijn, toch?

Wat je zegt klopt volgens mij wel. Als je die per-user MFA uitzet in je tenant dan ga je automatisch over op de nieuwe Microsoft MFA en heb je geen controle over het proces. Klinkt een beetje als 'enshittification' van Microsoft.

En daarom sturen ze aan op een P1 of een P2 licentie zodat je met CA kan gaan werken. Zelf vind ik dat CA onderdeel zou moeten zijn van De basic licentie eigenlijk.

denpries schreef op dinsdag 11 juni 2024 @ 16:50:
Hi allen. Ik ben blij dat op mijn vertrouwde forum een plekje is om over microsoft entra te praten.

Ik ben (professioneel) power bi developer / data analyst en heb tot noch toe altijd op tenants van klanten meegespeeld. Maar nu wilde ik toch eigenlijk wel een klein beetje professionaliseren door ook een eigen teams / powerbi omgeving te maken.

Naja, best een zooi guides gevolgd, en toen kwam ik via portal.azure.com en wat andere help links er op uit dat ik naar https://admin.cloud.microsoft/#/homepage moest gaan (toen had ik al een entra tenant gemaakt - denk ik).

Die locatie vroeg mij om aan te tonen dat depict-it.nl echt wel mijn domein naam was, dus moest ik een key toevoegen aan mijn DSN van de website, waarna ik een admin account kon aanmaken. Dat lukte. Of in ieder geval: dat leek eerst een uur lang niet te lukken want het admin acount werd niet geaccepteerd, maar na een uur dus ineens wel.

Enfin. Omdat in het verleden 4 verschillende accounts op depict-it.nl al eens een keertje een free powerbi license gemaakt hadden zag ik die users in admin.cloud.microsoft staan. Twee wilde ik verwijderen > kon niet, foutmelding > kon pas later wel maar dan via entra. Zucht

Toen kwam ik al onderzoekend uit bij billing > billing account. Wat schetst mijn verbazing:

depict-it.nl
Billing account details
Sold to address:

*denpries
PE

PERU

Nou, ik heb dus zeker weten nooit ever ever Peru ergens gekozen. Ik heb ook helemaal nog geen subscriptions gemaakt, niets. De help zegt nu 'Peru kun je niet aanpassen, want billing en taxes en datacenter hangen daar aan, dan moet je maar weer een niew microsoft365 account maken en een andere locatie kiezen' (wut?)


Anyway, lang verhaal kort: ik weet het niet (meer). En ik heb het idee dat ik nu al uren (bijne een hele dag eigenlijk) aan het verdoen ben met iets wat voor iemand anders wellicht triviaal is.

Wie zou mij een beetje op weg kunnen helpen? Als het kan evt een keer via teams bellen zou helemaal mooi zijn.

Als je naar deze link ga: https://admin.microsoft.c...tings/L1/DataLocationList

In welke regio staat je data volgens deze link? Het kan ook zijn dat alleen je biling account in peru staat maar niet je data.

denpries schreef op dinsdag 11 juni 2024 @ 17:04:
[...]


Meh. Nogmaals, nooit iets zelf gekozen
En heb ook nog geen data, denk ik.

Service
Geography

Exchange Online
South America

Exchange Online Protection
United States of America

Je tenant location is inderdaad helemaal South America + USA, gek want als jij in nederland de tenant heb aangemaakt zou dit niet moeten voorkomen. Tenzij je ooit in peru met powerbi trials hebt zitten proberen etc.

Die tenant verplaatsen naar de EU gaat niet, domein ontkoppelen en een nieuwe tenant aanmaken is je enige oplossing.

denpries schreef op dinsdag 11 juni 2024 @ 17:46:
[...]


nope, ales vanuit nederland gedaan, niet met een vage vpn, niks.
Hoe kan ik bereiken wat jij voorstelt in het doolhof van instellingen en setups?

In admin.microsoft.com onder domeinen kan je je verifiëd domein verwijderen. Als deze met succes is verwijderd kan je deze aan een nieuwe tenant hangen.

Hier staat hoe het moet https://learn.microsoft.c...ant-for-your-organization

denpries schreef op dinsdag 11 juni 2024 @ 20:04:
[...]


maar hoe weet ik nou zeker dat alles niet weer op peru komt

Als het goed is defect Microsoft dat je uit de EU komt en moet die daar dan de tenant aanmaken.

denpries schreef op dinsdag 11 juni 2024 @ 20:21:
[...]


Ik denk dat ik sowieso de nomenclatuur niet helemaal OK heb.
Een tenant is gelijk aan een domein, of fallback domein, toch?
Dus domeinnl.onmicrosoft.com is een tenant, maar domein.nl die ik net had gekoppeld ook? Of is dat alleen een gekoppeld domein aan de tenant? ik heb mij lang niet zo dom gevoeld

Een *.onmicrosoft.com kan je inderdaad zien als een tenant en dat is eigen kleine eilandje binnen microsoft met al hun services. Je domein koppel je vervolgens aan de tenant zodat bijvoorbeeld je mail daar kan binnenkomen.

denpries schreef op dinsdag 11 juni 2024 @ 21:47:
[...]


ok, maar nu moet ik dus eerst een nieuwe tenant maken, want kennelijk zit die oude al aan peru vast.
Dan ga ik naar portal.azure.com om een nieuwe tenant te maken, en dan wordt me gevraagd in te loggen. Moet ik daar dan alsnog inloggen met mijn bestaande *.onmicrosoft.com account, of met het gewenste #domain# account wat ik eerder gebruikte? Of moet je eigenlijk niet inloggen maar een hele nieuwe user hebben ofzo

Je hebt eigenlijk die azure portal helemaal niet nodig. Probeer het eens via deze link: https://signup.microsoft....re=nl-nl&country=nl&ali=1 je maakt dan een tenant aan met een trial licentie van Busines Basic. Maakt verder helemaal niks uit, licentie kan je of afnemen of laten verlopen of een andere licentie nemen.

denpries schreef op dinsdag 11 juni 2024 @ 23:01:
[...]


Yes, die snapte ik.
Daar was ik toevallig na wat lezen mee bezig, maar DNS aanpassen doet mijn hostingprovider en die is er morgen weer maar dat gaat vast goed komen dus.

Waar ik op doelde is dat 'officieel' die naam@domain.nl al weg zou moeten zijn, want die heb ik een aantal berichten geleden 'verschoven naar de onmicrosoft tenant'. Ik kon echter wel nog inloggen en dan krijg je heel heel heel veel foutmeldingen

Een domein verwijderen uit je tenant kan volgens mij 24 tot 72 uur duren. In de praktijk gaat het veel sneller zeker als er heel weinig ontkoppeling moet plaatsvinden op de achtergrond zoals bij jou.

denpries schreef op woensdag 12 juni 2024 @ 16:30:
@HKLM_ @Quad dank jullie wel.
Die link https://signup.microsoft....re=nl-nl&country=nl&ali=1 heeft supergoed geholpen om alles op te zetten.

Users nu toegevoegd, domain gekoppeld, het werkt
Ik zal vast nog wel eens iets geks komen vragen

Topper!

Wat voor licentie heb je nu actief? (Gekocht)

denpries schreef op donderdag 13 juni 2024 @ 08:37:
De Microsoft 365 Business Basic Trial, via die link. Dat wordt straks geen trial maar normale subscriptie.
Kan ik dit later in het jaar upgraden ook naar een volwaardige office licentie met lokale apps supported?

Jazeker. Wel per maand betalen dan, dat is het makkelijkst. Vanuit de portal kan je een licentie upgraden met een wizard.

Entra Suite licentie is beschikbaar in de tenants

Quad schreef op dinsdag 2 juli 2024 @ 20:30:
Vraag mij af wat dit allemaal toevoegt, het is toch hetzelfde als met Entra P1 en Entra p2 samen?

Nope dit heeft zo te zien geen P2 functies maar alleen de functies die beschreven staan in de descriptie.
Er is ook een step-up licentie van 10 euro als je al op P2 zit.

Quad schreef op dinsdag 2 juli 2024 @ 20:38:
Nja ik zie het voordeel voor mkb vooralsnog niet hierin. Naast wat al beschikbaar is met standaard Entra P1.

Denk dat de functies die hierin genoemd worden niet veel toevoegen voor het mkb nee.

denpries schreef op woensdag 14 augustus 2024 @ 20:45:
Hallo allen. Nadat ik vorige keer goed op weg geholpen was met het opnieuw maken van een tenant en toewijzen van o365 licenties nadat de eerdere tenant op een verkeerd land stond, heb ik nu een nieuw probleem.

Ik wil me enrollen als microsoft partner, omdat ik graag een custom visual voor power bi wil publiceren op appsource (marketplace.)

Dikke drama echter. Na invullen van wat gegevens blijft het altijd hangen op een error (zie onder). Support is niet te bereiken en na enkele dagen ben ik geen steek verder. Iemand ervaring hier mee?

Microsoft runs on trust. We engage in a rigorous set of evaluation and certification processes; as a result your request was blocked. If you require further information please reach out to Microsoft support with reference number: 715-123160 and transaction ID: 6ac14cf7-27ae-4762-84c8-3b86d1cfa3e2.

Added: nog iets gevonden. Partners are required to enforce MFA for all user accounts in their partner tenant, including guest users. Nu is mijn account sowieso mfa denk ik, en de global admin ook (want na inloggen krijg ik een push op authenticator op mobiel) maar weet niet of dit betekent dat ik aan die voorwaarde voldoe.

Balen dat je via de Microsoft Support-afdeling niet verder lijkt te komen. Typisch Microsoft.

Heb je ook al in het Admin Center gekeken of je daar een proefperiode kunt activeren voor de P1-licentie? Het lijkt er op basis van vanaf deze pagina op dat dit kan.Scheelt je centen en kun je het in ieder geval testen.

Edit: Zie dat @ibmpc de link ook al gedeeld heeft.

ibmpc schreef op vrijdag 16 augustus 2024 @ 21:13:
[...]

Heeft iemand wellicht hierover een advies? Is de "unsupported" WHFB methode beter? Of kan ik beter de exclusion maken in CA? Iets uitzonderen van MFA is namelijk best complex, niet in Intune zelf, maar om alle documentatie bij te werken is veel werk en het voelt niet veilig.

Zelf volg ik (meestal) de lijn die Microsoft schetst. Als WHFB niet officieel ondersteunt wordt dan zou ik dat ook niet gebruiken.

Wat als een eindgebruiker geen WHFB configureert of even niet beschikbaar is? Dan kan de gebruiker er niet meer bij denk ik? Het hele proces rondom authenticatie is sowieso brak.

Hoe ziet je infrastructuur er verder uit? Wellicht dat je het Storage Account met Azure Private Link configureren zodat je het alleen vanaf het ‘interne’ Azure-netwerk kunt benaderen met VPN/ExpressRoute? Zo verklein je risico’s toch nog wat.

De Enterprise App die je gebruikt ook enkel beschikbaar maken voor (desnoods via een Entra ID groep) gebruikers die de share mogen benaderen.

[ Voor 7% gewijzigd door Gr4mpyC3t op 17-08-2024 13:14 ]

Quad schreef op zaterdag 17 augustus 2024 @ 12:00:
@ibmpc geen specifieke reactie op je vraag, maar qua documentatie van een omgeving exporteer ik dit naar een html document met deze Intune Management tool.

Geniale app.

Inderdaad zeer mooie app! Ik zelf gebruik voor documentatie altijd https://github.com/ThomasKur/IntuneDocumentation krijg je een mooi uitgewerkt word document:)

Zijn er hier personen die Global Secure Access hebben uitgerold binnen de organisatie of een organisatie?

Quad schreef op maandag 23 december 2024 @ 19:57:
[...]

Voor een interne applicatie?
Ik gebruik het bij één klant om een Synology NAS met archief te benaderen. 2fa via Synology voor 150 man is wat te bewerkelijk.

Beetje late reactie Ja voor interne applicaties, of fileshares of het internet verkeer met de webfilter?
Wij zijn zelf bezig met GSA om interne servers te kunnen benaderen.

Blokker_1999 schreef op zaterdag 4 januari 2025 @ 17:09:
Hoe gaat men hier om met het updaten van apps in Intune? Zijn er mensen die alles handmatig doen? Die misschien PSADT gebruiken? Of platformen zoals Scappman/Patch My Pc/... ?

Ik doen het eigenlijk via Intune momenteel omdat ik dingen in 1 platform wil proberen te houden. Eventueel met eam

NinjaRMM gebruiken we voor onze MSP en software gaat daarmee ook soms weet ik.

Verder adviseer ik klanten recast als ze iets anders willen dan intune eigenlijk.

Tusk schreef op donderdag 23 januari 2025 @ 13:37:
Een conditional XS vraagje:

Ik wil voor een groep users alleen toegang geven tot de Teams App en de rest alleen via browser toestaan.

Ik maak een block regel met als
Condition: Client apps alles aangevinkt behalve browser.

resource:
include: All resources (formerly 'All cloud apps')
exclude: Microsoft Teams Services, Skyp for business online. Office 365 Sharepoint Online (er stond dat dit ook Teams services in zich heeft).

Maar helaas geen resultaat. Ik mag Teams niet gebruiken. Report zegt dat ik dan de 'All recources' regel match.
Als ik Office 365 Exchange Online exclude, mag ik wel Outlook gebruiken. Dus het idee is verder goed, alleen vind ik niet de juiste app exclusion voor Teams...

Zonder succes

Ik hoop dat ik je goed snap, als ik een CA policy aanmaak als onderstaand

Users -> All users
Resources -> Include - All resources
Resources -> Exclude - Teams,Skype,Sharepoint
Conditions -> Mobile Apps and desktop, Exchange ActiveSync, Other Clients
Grant Block

Blokker_1999 schreef op donderdag 22 mei 2025 @ 06:09:
Waarom zou D inloggen? Je doet de auth op C, die kan en mag door de CA gaan, maar D zit nog altijd op een niet vertrouwd netwerk en een login daarvan gaat dus door je CA geblokkeerd worden lijkt mij. Zelfs als je vanaf C, die aangemeld is, een actie gaat triggeren op D, zal D nog altijd ook moeten aanmelden door diezelfde CA policy.

Ja, dat lijkt me ook. Waar komt D in dit verhaal dan voor? Je logt tenslotte in op C en krijgt daar dan ook na authenticatie een access token, of in ieder geval een geslaagde authenticatie, terug.

Wat is je beoogde doel met D, @ibmpc?

Edit: Trouwens, ik vraag me af of het waar is wat ik net schrijf. Ik plak wel eens een device code vanuit een VDI-omgeving op mijn eigen omgeving. Log dan lokaal via de laptop in en raak volgens mij wel degelijk ingelogd op de VDI-omgeving. Om dat zeker te weten moet ik dat eerst even testen...

[ Voor 17% gewijzigd door Gr4mpyC3t op 23-05-2025 11:11 ]