Meh. Nogmaals, nooit iets zelf gekozen
En heb ook nog geen data, denk ik.
Service
Geography
Exchange Online
South America
Exchange Online Protection
United States of America
En heb ook nog geen data, denk ik.
Service
Geography
Exchange Online
South America
Exchange Online Protection
United States of America
:strip_exif()/u/301133/crop6737b754ae5aa_cropped.gif?f=community)
:strip_exif()/u/290839/crop5b757283a589c_cropped.gif?f=community)
Je tenant location is inderdaad helemaal South America + USA, gek want als jij in nederland de tenant heb aangemaakt zou dit niet moeten voorkomen. Tenzij je ooit in peru met powerbi trials hebt zitten proberen etc.:
[...]
Meh. Nogmaals, nooit iets zelf gekozen
En heb ook nog geen data, denk ik.
Service
Geography
Exchange Online
South America
Exchange Online Protection
United States of America
Die tenant verplaatsen naar de EU gaat niet, domein ontkoppelen en een nieuwe tenant aanmaken is je enige oplossing.
Cloud ☁️
:fill(white):strip_exif()/f/image/rHyaXUx91DP22pRlpsoQcUIp.png?f=user_large)
@denpries ik adviseer je herleidbare informatie te blurren, niet iedereen hoeft te zien welke tenants en domeinen je hebt. My 2 cents. 
Je .nl domein kan je daar verwijderen, tenzij je hem hebt gekocht via Microsoft.
Je .nl domein kan je daar verwijderen, tenzij je hem hebt gekocht via Microsoft.
Alles went behalve een Twent.
nggyu nglyd
Ah, ja. Je hebt ook gelijk ook. Ik dacht alleen dat daar niet zo veel spannends op stond, gezien het natuurlijk gelijk is aan een website naam. Maar nu is het aan een tweakers account 'gekoppeld':
@denpries ik adviseer je herleidbare informatie te blurren, niet iedereen hoeft te zien welke tenants en domeinen je hebt. My 2 cents.
Je .nl domein kan je daar verwijderen, tenzij je hem hebt gekocht via Microsoft.
ok, maar dan dien ik dus die domein naam te verwijderen, en dan een hele nieuwe tenant te maken, en daar dat domein weer aan te koppelen dan?:
@denpries ik adviseer je herleidbare informatie te blurren, niet iedereen hoeft te zien welke tenants en domeinen je hebt. My 2 cents.
Je .nl domein kan je daar verwijderen, tenzij je hem hebt gekocht via Microsoft.
We couldn't remove this domain because it's currently used in your username, name@domain.nl. Go to Active Users to change the domain in your username, sign out of the admin center, then sign back in with your new username. When finished, come back here to remove domain.nl.
Oké. Weer iets nieuws ik ga wel ff kieken
There are users, groups, and apps in your organization that currently depend on this domain. If you automatically remove #domein#.nl domain, these users, groups and apps will be moved to your initial domain (#domeinNL#.onmicrosoft.com).
Oké. Weer iets nieuws
ik ga wel ff kiekenThere are users, groups, and apps in your organization that currently depend on this domain. If you automatically remove #domein#.nl domain, these users, groups and apps will be moved to your initial domain (#domeinNL#.onmicrosoft.com).
ok, users > active users > manage sign in details > wissel naar domein.onmicrosoft.com.
Dit keer geen error > nu staat alleen in het https://admin.microsoft.com/ domain settings de onmicrosoft versie nog
>> alvast een followup vraag : straks moet ik zeker ook weer die dsn van mijn website aanpassen ter verificatie op de nieuwe tenant?
Dit keer geen error > nu staat alleen in het https://admin.microsoft.com/ domain settings de onmicrosoft versie nog
>> alvast een followup vraag : straks moet ik zeker ook weer die dsn van mijn website aanpassen ter verificatie op de nieuwe tenant?
Als het goed is defect Microsoft dat je uit de EU komt en moet die daar dan de tenant aanmaken.:
[...]
maar hoe weet ik nou zeker dat alles niet weer op peru komt
Cloud ☁️
Ik denk dat ik sowieso de nomenclatuur niet helemaal OK heb.
Een tenant is gelijk aan een domein, of fallback domein, toch?
Dus domeinnl.onmicrosoft.com is een tenant, maar domein.nl die ik net had gekoppeld ook? Of is dat alleen een gekoppeld domein aan de tenant?
ik heb mij lang niet zo dom gevoeld
Een *.onmicrosoft.com kan je inderdaad zien als een tenant en dat is eigen kleine eilandje binnen microsoft met al hun services. Je domein koppel je vervolgens aan de tenant zodat bijvoorbeeld je mail daar kan binnenkomen.:
[...]
Ik denk dat ik sowieso de nomenclatuur niet helemaal OK heb.
Een tenant is gelijk aan een domein, of fallback domein, toch?
Dus domeinnl.onmicrosoft.com is een tenant, maar domein.nl die ik net had gekoppeld ook? Of is dat alleen een gekoppeld domein aan de tenant?
Cloud ☁️
Yes, die snapte ik.
Daar was ik toevallig na wat lezen mee bezig, maar DNS aanpassen doet mijn hostingprovider en die is er morgen weer
maar dat gaat vast goed komen dus.Waar ik op doelde is dat 'officieel' die naam@domain.nl al weg zou moeten zijn, want die heb ik een aantal berichten geleden 'verschoven naar de onmicrosoft tenant'. Ik kon echter wel nog inloggen en dan krijg je heel heel heel veel foutmeldingen
Een domein verwijderen uit je tenant kan volgens mij 24 tot 72 uur duren. In de praktijk gaat het veel sneller zeker als er heel weinig ontkoppeling moet plaatsvinden op de achtergrond zoals bij jou.:
[...]
Yes, die snapte ik.
Daar was ik toevallig na wat lezen mee bezig, maar DNS aanpassen doet mijn hostingprovider en die is er morgen weer
Waar ik op doelde is dat 'officieel' die naam@domain.nl al weg zou moeten zijn, want die heb ik een aantal berichten geleden 'verschoven naar de onmicrosoft tenant'. Ik kon echter wel nog inloggen en dan krijg je heel heel heel veel foutmeldingen
Cloud ☁️
@HKLM_ @Quad dank jullie wel.
Die link https://signup.microsoft....re=nl-nl&country=nl&ali=1 heeft supergoed geholpen om alles op te zetten.
Users nu toegevoegd, domain gekoppeld, het werkt
Ik zal vast nog wel eens iets geks komen vragen
Die link https://signup.microsoft....re=nl-nl&country=nl&ali=1 heeft supergoed geholpen om alles op te zetten.
Users nu toegevoegd, domain gekoppeld, het werkt
Ik zal vast nog wel eens iets geks komen vragen
[ Voor 7% gewijzigd door denpries op 12-06-2024 16:31 ]
Topper!:
@HKLM_ @Quad dank jullie wel.
Die link https://signup.microsoft....re=nl-nl&country=nl&ali=1 heeft supergoed geholpen om alles op te zetten.
Users nu toegevoegd, domain gekoppeld, het werkt
Ik zal vast nog wel eens iets geks komen vragen
Wat voor licentie heb je nu actief? (Gekocht)
Cloud ☁️
:strip_icc():strip_exif()/u/782695/crop671b96fb75045_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community)
Opletten, die licenties verlopen niet maar gaan over in een betaalde licentie. Dus op tijd zelf annuleren. Bij het aanmaken van de tenant moet je namelijk reeds je kredietkaartinformatie invoeren, dus aanrekenen kunnen ze zonder problemen.
Sowieso kan je een trial altijd met 1 maand verlengen, al gaat de verlenging wel in op de dag dat je ze aanvraagt en niet op het einde van de subscription geloof ik. En na die 2 maanden kan je ook nog eens een trial E3 en daarna E5 proberen om zo bijna een half jaar gratis met azure te werken. Daarna moet je beslissen wat je gaat doen, welke licentie je gaat nemen. In mijn specifieke geval zal dat een Exchange Online Plan 1 worden
:fill(white):strip_exif()/f/image/E27LwsDQpLsQ4OoSzqi0buRw.png?f=user_large)
No keyboard detected. Press F1 to continue.
Dank voor je antwoord. Ik heb in het begin alleen behoefte aan teams online, wellicht outlook erbij.:
[...]
Opletten, die licenties verlopen niet maar gaan over in een betaalde licentie. Dus op tijd zelf annuleren. Bij het aanmaken van de tenant moet je namelijk reeds je kredietkaartinformatie invoeren, dus aanrekenen kunnen ze zonder problemen.
Sowieso kan je een trial altijd met 1 maand verlengen, al gaat de verlenging wel in op de dag dat je ze aanvraagt en niet op het einde van de subscription geloof ik. En na die 2 maanden kan je ook nog eens een trial E3 en daarna E5 proberen om zo bijna een half jaar gratis met azure te werken. Daarna moet je beslissen wat je gaat doen, welke licentie je gaat nemen. In mijn specifieke geval zal dat een Exchange Online Plan 1 worden
[Afbeelding]
Daarna wellicht ook office op de computer zelf
:strip_icc():strip_exif()/u/469560/crop6220d553986cd.jpg?f=community)
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/AvUPrf23WKpGaJ4PGMqY0dCN.jpg?f=user_large)
:fill(white):strip_exif()/f/image/88SKmWNyffkmynkjx5bRa7y8.png?f=user_large)
Balen dat je via de Microsoft Support-afdeling niet verder lijkt te komen. Typisch Microsoft.
Heb je ook al in het Admin Center gekeken of je daar een proefperiode kunt activeren voor de P1-licentie? Het lijkt er op basis van vanaf deze pagina op dat dit kan.Scheelt je centen en kun je het in ieder geval testen.
Edit: Zie dat @ibmpc de link ook al gedeeld heeft.
Have you tried turning it off and on again?
Thanks! Inmiddels heb ik geleerd dat het niets met MFA en P1 etc te maken heeft gehad. Kennelijk stond mijn naam van het bedrijf in de org settings niet 100% hetzelfde als bij Dun and Bradstreet wat ze als soort van leidraad aanhouden bij partner center. Daar kwam ik zelf per toeval achter, dat had die error me wel mogen vertellen:
[...]
Balen dat je via de Microsoft Support-afdeling niet verder lijkt te komen. Typisch Microsoft.
Heb je ook al in het Admin Center gekeken of je daar een proefperiode kunt activeren voor de P1-licentie? Het lijkt er op basis van vanaf deze pagina op dat dit kan.Scheelt je centen en kun je het in ieder geval testen.
Edit: Zie dat @ibmpc de link ook al gedeeld heeft.
Het gaat gelukkig om een archiefapplicatie die helaas op een fileshare moet draaien. Als de applicatie een paar dagen niet werkt dan is dat maar zo.
Pech voor ze. Er is een CA policy die WHFB or Yubikey als minimale authenticatie vereist voor de Office 365 apps.
Omgeving is super simpel en is eigenlijk ook een beetje een test in hoeverre Azure Files kan worden ingezet als er een file share nodig is, omdat SharePoint geen fileserver is. Het is een kerk met vrijwilligers die apetrots zijn als ze kunnen laten zien hoe ze hun Yubikey tegen hun iPhone houden om te authenticeren met Outlook
Er is niet eens MDM of MAM, alleen een deprecated Approved Client App policy. De file share is alleen over de S2S VPN bereikbaar via een private link.Vandaar dat ik in deze situatie wel durf af te wijken van wat Microsoft voorschrijft, alleen heb ik een beetje het idee dat WHFB niet unsupported is maar gewoon is vergeten te benoemen in het document. Omdat Azure Files blijkbaar wel MFA tokens accepteert.
Beetje late reactie
Ja voor interne applicaties, of fileshares of het internet verkeer met de webfilter?Wij zijn zelf bezig met GSA om interne servers te kunnen benaderen.
Cloud ☁️
/u/26756/crop616eb5ac4f9b8_cropped.png?f=community)
*I asked for a shotgun, not an anti-aircraft!
- shotgun? that must be the guns that fire a shot....
*yes.. you must be the brains
*I asked for a shotgun, not an anti-aircraft!
- shotgun? that must be the guns that fire a shot....
*yes.. you must be the brains
Ja, ik meen mij te herinneren. Vroeggebonden:
• Skype for Business (ja echt)
• Exchange
• SharePoint
Laatgebonden:
• Microsoft Planner
• Microsoft Stream
• Microsoft Whiteboard
Vroeggebonden betekent een afhankelijk bij het inloggen in Teams. Laatgebonden betekent dat er een afhankelijkheid is later in de app. Ik zoek de bron later voor je op
*I asked for a shotgun, not an anti-aircraft!
- shotgun? that must be the guns that fire a shot....
*yes.. you must be the brains
/u/10108/FatPie2.JPG?f=community)
ConsentFix
ConsentFix laat zien dat “user consent uitzetten” geen volledige mitigatie is, omdat Microsoft‑first‑party apps in elke Entra‑tenant al pre‑consent hebben en dus geen toestemming meer hoeven te vragen. Een aanvaller kan zo’n trusted app gebruiken in een legitieme OAuth authorization‑code flow, de gebruiker echt laten inloggen, en vervolgens via social engineering de authorization code buitmaken. Omdat de app al trusted is, wordt er geen consent‑prompt getoond en geen CA‑policy getriggerd, waardoor de hele aanval buiten het consent‑model om plaatsvindt.
Interessant hoe dit werkt en vernuftig.. maar toch weer begrijpelijk .
Aan de bak om deze potentiële phishing methode te dichten.
ConsentFix laat zien dat “user consent uitzetten” geen volledige mitigatie is, omdat Microsoft‑first‑party apps in elke Entra‑tenant al pre‑consent hebben en dus geen toestemming meer hoeven te vragen. Een aanvaller kan zo’n trusted app gebruiken in een legitieme OAuth authorization‑code flow, de gebruiker echt laten inloggen, en vervolgens via social engineering de authorization code buitmaken. Omdat de app al trusted is, wordt er geen consent‑prompt getoond en geen CA‑policy getriggerd, waardoor de hele aanval buiten het consent‑model om plaatsvindt.
Interessant hoe dit werkt en vernuftig.. maar toch weer begrijpelijk
.Aan de bak om deze potentiële phishing methode te dichten.
Zon opbrengst http://plugwise.grimson.nl/ | Fotomeuk
Goede tip, dank! Ik had deze methode al eerder gespot en eerlijk gezegd vind ik het hele consent-verhaal ook brak geïmplementeerd in Entra ID. Ik heb nog nooit een gebruiker gezien/gehoord die zich afvroeg waarom consent verleent moet worden en of hij/zij wel gemachtigd is dit te doen. Er wordt blind op de knop gedrukt.:
ConsentFix
ConsentFix laat zien dat “user consent uitzetten” geen volledige mitigatie is, omdat Microsoft‑first‑party apps in elke Entra‑tenant al pre‑consent hebben en dus geen toestemming meer hoeven te vragen. Een aanvaller kan zo’n trusted app gebruiken in een legitieme OAuth authorization‑code flow, de gebruiker echt laten inloggen, en vervolgens via social engineering de authorization code buitmaken. Omdat de app al trusted is, wordt er geen consent‑prompt getoond en geen CA‑policy getriggerd, waardoor de hele aanval buiten het consent‑model om plaatsvindt.
Interessant hoe dit werkt en vernuftig.. maar toch weer begrijpelijk
Aan de bak om deze potentiële phishing methode te dichten.
Alle apps, Microsoft of niet, zouden standaard geconfigureerd moeten worden met 'Assignment Required'.
Have you tried turning it off and on again?
Entra ID Backup preview is aan het landen in de tenants, 5 automatische backups welke je kan restoren
/f/image/W7uu5tlgjTqNPDfjILebdM8x.png?f=fotoalbum_large)
Dit zijn de zaken in een back-up
:strip_exif()/f/image/8oLtWoHPnDifFSwb6QVyFu5A.png?f=user_large)
:strip_exif()/f/image/W7uu5tlgjTqNPDfjILebdM8x.png?f=user_large)
Dit zijn de zaken in een back-up
[ Voor 19% gewijzigd door HKLM_ op 19-03-2026 12:55 ]
Cloud ☁️
:no_upscale():strip_icc():strip_exif()/f/image/1tmAAMTMR4If3N0bBPLgSS9C.jpg?f=user_large)
Remove enterprise apps that you can't delete
Mijn eerste poging om een (test trial MS Business Premiun) tenant te verwijderen loopt uit op een fiasco
. Een simpele tenant zonder Azure subscription.Getracht via PS maar dit lukt helaas ook niet, enkele tientalle 'native' registraties kan ik niet verwijderen.
Diverse posts en blogs gelezen maar dit helpt helaas ook niet.
De andere subscription melding is dat deze nu de status 'disabled' heeft en na 30 dagen de status 'deprovisioned' zou moeten krijgen waarbij dit vinkje op groen zou komen te staan. Alleen dus die verrekte Enterprise apps melding.
Ik heb maar een case geopend in deze gehavende tenant om te zien of dit gaat werken.
Iemand eenzelfde ervaring bij het verwijderen van een tenant?
Zon opbrengst http://plugwise.grimson.nl/ | Fotomeuk
/u/28468/librarian2.png?f=community)
@Blokker_1999 ik mag van mezelf (of de auditor ) niet de rechten hebben om het in onze tenant te checken, maar kan dat niet via Cross-tenant access settings? En dan onder outbound voor de betreffende andere omgeving alleen de juiste mensen het toestaan.
) niet de rechten hebben om het in onze tenant te checken, maar kan dat niet via Cross-tenant access settings? En dan onder outbound voor de betreffende andere omgeving alleen de juiste mensen het toestaan.
'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)
Ik heb gelukkig een test tenant om mee te spelen en te proberen, voordeel van een Visual Studio subscription te hebben
No keyboard detected. Press F1 to continue.
Nope, not gonna work. De setting voorkomt dat gebruikers uitgenodigd kunnen worden, maar eenmaal uitgenodigd, en daarna op de block list, blokkeert het hun authenticatie naar de externe tenant niet. 
No keyboard detected. Press F1 to continue.
Ik denk dat jij dit niet kan doen vanuit je tenant, als zij met een guest account aanmelden op een andere tenant (AVD) dan ligt de autorisatie bij de andere tenant en zijn zij in charge m.b.t conditional access bijvoorbeeld.:
Nope, not gonna work. De setting voorkomt dat gebruikers uitgenodigd kunnen worden, maar eenmaal uitgenodigd, en daarna op de block list, blokkeert het hun authenticatie naar de externe tenant niet.
Enige waar ik nog aan denk is iets met IP whitelisting (hun IP's) van hun AVD aan jullie kant maar dat is wel een beetje beunhazen denk ik.
[ Voor 11% gewijzigd door HKLM_ op 28-03-2026 19:08 ]
Cloud ☁️
Klopt, daar lijkt het op. Rottigste is dat ik wel netjes op de bron tenant in de sign-in logs kan zien dat er een authenticatie plaatsvindt, en die gaat ook netjes door mijn standaard CA policies, maar ik krijg geen controle om selectief om te springen met welke gebruikers naar welke externe tenant mogen. Had MS nu ook niet even de resource tenant als een mogelijk doelwit aan de CA policies kunnen toevoegen? Dan was dit in 5 seconden opgelost. Want voor inkomende guest gebruikers kan je wel policies aanmaken, zelfs per tenant als je wenst.
Wat mis ik mijn vorige werkgever, waar we dit soort problemen niet op een technische manier probeerden op te lossen, maar puur met geschreven policies.
Wat mis ik mijn vorige werkgever, waar we dit soort problemen niet op een technische manier probeerden op te lossen, maar puur met geschreven policies.
[ Voor 12% gewijzigd door Blokker_1999 op 28-03-2026 19:11 ]
No keyboard detected. Press F1 to continue.
'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)
Geen idee of het past maar even droppen: Kan je dan niet een conditional access policy maken welke vanuit de network selectie een block doet naar de IP'adressen van de klant zijn AVD met standaard een block access tenzij je vanuit jullie proces in een CA wordt gezet welke het wel toe staat?:
Klopt, daar lijkt het op. Rottigste is dat ik wel netjes op de bron tenant in de sign-in logs kan zien dat er een authenticatie plaatsvindt, en die gaat ook netjes door mijn standaard CA policies, maar ik krijg geen controle om selectief om te springen met welke gebruikers naar welke externe tenant mogen. Had MS nu ook niet even de resource tenant als een mogelijk doelwit aan de CA policies kunnen toevoegen? Dan was dit in 5 seconden opgelost. Want voor inkomende guest gebruikers kan je wel policies aanmaken, zelfs per tenant als je wenst.
Wat mis ik mijn vorige werkgever, waar we dit soort problemen niet op een technische manier probeerden op te lossen, maar puur met geschreven policies.
Cloud ☁️