[Microsoft Entra ID] - Ervaringen & Discussie

ibmpc schreef op maandag 10 juni 2024 @ 21:25:
De eerste vraag dan maar, hoewel al gevraagd in het verkeerde topic

Hoe krijg je MFA ingeschakeld op een Entra Free tenant? Bijvoorbeeld een tenant waar alleen een Microsoft 365 Business Basic in zit? Ik ben bekend met Security Defaults, maar Security Defaults zet niet MFA aan. Conditional Access is pas mogelijk bij Entra P1.

Security Defaults vraagt namelijk niet om MFA als Microsoft vindt dat je op een "veilige" locatie bent, zoals een koffieshop waar je medewerkers vaak komen. Security Defaults is namelijk geen MFA=On policy.

En per-user MFA is deprecated en bestaat over een jaar niet meer.

Tweede vraag:
Ik zie in authentication methods onder FIDO2 nu dat Microsoft Authenticator als vinkje kan worden aangezet. Tevens kan Attestation ook aan, tegelijkertijd met Microsoft Authenticator. Kan Microsoft Authenticator inmiddels attesteren? Of moet attestation alsnog uit als je Microsoft Authenticator aanzet?

Gr4mpyC3t schreef op maandag 10 juni 2024 @ 21:59:
[...]


Iemand moet de eerste zijn, toch?

Wat je zegt klopt volgens mij wel. Als je die per-user MFA uitzet in je tenant dan ga je automatisch over op de nieuwe Microsoft MFA en heb je geen controle over het proces. Klinkt een beetje als 'enshittification' van Microsoft.

denpries schreef op dinsdag 11 juni 2024 @ 16:50:
Hi allen. Ik ben blij dat op mijn vertrouwde forum een plekje is om over microsoft entra te praten.

Ik ben (professioneel) power bi developer / data analyst en heb tot noch toe altijd op tenants van klanten meegespeeld. Maar nu wilde ik toch eigenlijk wel een klein beetje professionaliseren door ook een eigen teams / powerbi omgeving te maken.

Naja, best een zooi guides gevolgd, en toen kwam ik via portal.azure.com en wat andere help links er op uit dat ik naar https://admin.cloud.microsoft/#/homepage moest gaan (toen had ik al een entra tenant gemaakt - denk ik).

Die locatie vroeg mij om aan te tonen dat depict-it.nl echt wel mijn domein naam was, dus moest ik een key toevoegen aan mijn DSN van de website, waarna ik een admin account kon aanmaken. Dat lukte. Of in ieder geval: dat leek eerst een uur lang niet te lukken want het admin acount werd niet geaccepteerd, maar na een uur dus ineens wel.

Enfin. Omdat in het verleden 4 verschillende accounts op depict-it.nl al eens een keertje een free powerbi license gemaakt hadden zag ik die users in admin.cloud.microsoft staan. Twee wilde ik verwijderen > kon niet, foutmelding > kon pas later wel maar dan via entra. Zucht

Toen kwam ik al onderzoekend uit bij billing > billing account. Wat schetst mijn verbazing:

depict-it.nl
Billing account details
Sold to address:

*denpries
PE

PERU

Nou, ik heb dus zeker weten nooit ever ever Peru ergens gekozen. Ik heb ook helemaal nog geen subscriptions gemaakt, niets. De help zegt nu 'Peru kun je niet aanpassen, want billing en taxes en datacenter hangen daar aan, dan moet je maar weer een niew microsoft365 account maken en een andere locatie kiezen' (wut?)


Anyway, lang verhaal kort: ik weet het niet (meer). En ik heb het idee dat ik nu al uren (bijne een hele dag eigenlijk) aan het verdoen ben met iets wat voor iemand anders wellicht triviaal is.

Wie zou mij een beetje op weg kunnen helpen? Als het kan evt een keer via teams bellen zou helemaal mooi zijn.

denpries schreef op dinsdag 11 juni 2024 @ 17:04:
[...]


Meh. Nogmaals, nooit iets zelf gekozen
En heb ook nog geen data, denk ik.

Service
Geography

Exchange Online
South America

Exchange Online Protection
United States of America

denpries schreef op dinsdag 11 juni 2024 @ 17:46:
[...]


nope, ales vanuit nederland gedaan, niet met een vage vpn, niks.
Hoe kan ik bereiken wat jij voorstelt in het doolhof van instellingen en setups?

denpries schreef op dinsdag 11 juni 2024 @ 20:04:
[...]


maar hoe weet ik nou zeker dat alles niet weer op peru komt

denpries schreef op dinsdag 11 juni 2024 @ 20:21:
[...]


Ik denk dat ik sowieso de nomenclatuur niet helemaal OK heb.
Een tenant is gelijk aan een domein, of fallback domein, toch?
Dus domeinnl.onmicrosoft.com is een tenant, maar domein.nl die ik net had gekoppeld ook? Of is dat alleen een gekoppeld domein aan de tenant? ik heb mij lang niet zo dom gevoeld

denpries schreef op dinsdag 11 juni 2024 @ 21:47:
[...]


ok, maar nu moet ik dus eerst een nieuwe tenant maken, want kennelijk zit die oude al aan peru vast.
Dan ga ik naar portal.azure.com om een nieuwe tenant te maken, en dan wordt me gevraagd in te loggen. Moet ik daar dan alsnog inloggen met mijn bestaande *.onmicrosoft.com account, of met het gewenste #domain# account wat ik eerder gebruikte? Of moet je eigenlijk niet inloggen maar een hele nieuwe user hebben ofzo

denpries schreef op dinsdag 11 juni 2024 @ 23:01:
[...]


Yes, die snapte ik.
Daar was ik toevallig na wat lezen mee bezig, maar DNS aanpassen doet mijn hostingprovider en die is er morgen weer maar dat gaat vast goed komen dus.

Waar ik op doelde is dat 'officieel' die naam@domain.nl al weg zou moeten zijn, want die heb ik een aantal berichten geleden 'verschoven naar de onmicrosoft tenant'. Ik kon echter wel nog inloggen en dan krijg je heel heel heel veel foutmeldingen

denpries schreef op woensdag 12 juni 2024 @ 16:30:
@HKLM_ @Quad dank jullie wel.
Die link https://signup.microsoft....re=nl-nl&country=nl&ali=1 heeft supergoed geholpen om alles op te zetten.

Users nu toegevoegd, domain gekoppeld, het werkt
Ik zal vast nog wel eens iets geks komen vragen

denpries schreef op donderdag 13 juni 2024 @ 08:37:
De Microsoft 365 Business Basic Trial, via die link. Dat wordt straks geen trial maar normale subscriptie.
Kan ik dit later in het jaar upgraden ook naar een volwaardige office licentie met lokale apps supported?

Quad schreef op dinsdag 2 juli 2024 @ 20:30:
Vraag mij af wat dit allemaal toevoegt, het is toch hetzelfde als met Entra P1 en Entra p2 samen?

Quad schreef op dinsdag 2 juli 2024 @ 20:38:
Nja ik zie het voordeel voor mkb vooralsnog niet hierin. Naast wat al beschikbaar is met standaard Entra P1.

denpries schreef op woensdag 14 augustus 2024 @ 20:45:
Hallo allen. Nadat ik vorige keer goed op weg geholpen was met het opnieuw maken van een tenant en toewijzen van o365 licenties nadat de eerdere tenant op een verkeerd land stond, heb ik nu een nieuw probleem.

Ik wil me enrollen als microsoft partner, omdat ik graag een custom visual voor power bi wil publiceren op appsource (marketplace.)

Dikke drama echter. Na invullen van wat gegevens blijft het altijd hangen op een error (zie onder). Support is niet te bereiken en na enkele dagen ben ik geen steek verder. Iemand ervaring hier mee?

Microsoft runs on trust. We engage in a rigorous set of evaluation and certification processes; as a result your request was blocked. If you require further information please reach out to Microsoft support with reference number: 715-123160 and transaction ID: 6ac14cf7-27ae-4762-84c8-3b86d1cfa3e2.

Added: nog iets gevonden. Partners are required to enforce MFA for all user accounts in their partner tenant, including guest users. Nu is mijn account sowieso mfa denk ik, en de global admin ook (want na inloggen krijg ik een push op authenticator op mobiel) maar weet niet of dit betekent dat ik aan die voorwaarde voldoe.

ibmpc schreef op vrijdag 16 augustus 2024 @ 21:13:
[...]

Heeft iemand wellicht hierover een advies? Is de "unsupported" WHFB methode beter? Of kan ik beter de exclusion maken in CA? Iets uitzonderen van MFA is namelijk best complex, niet in Intune zelf, maar om alle documentatie bij te werken is veel werk en het voelt niet veilig.

[ Voor 7% gewijzigd door Gr4mpyC3t op 17-08-2024 13:14 ]

Quad schreef op zaterdag 17 augustus 2024 @ 12:00:
@ibmpc geen specifieke reactie op je vraag, maar qua documentatie van een omgeving exporteer ik dit naar een html document met deze Intune Management tool.

Geniale app.

Quad schreef op maandag 23 december 2024 @ 19:57:
[...]

Voor een interne applicatie?
Ik gebruik het bij één klant om een Synology NAS met archief te benaderen. 2fa via Synology voor 150 man is wat te bewerkelijk.

Blokker_1999 schreef op zaterdag 4 januari 2025 @ 17:09:
Hoe gaat men hier om met het updaten van apps in Intune? Zijn er mensen die alles handmatig doen? Die misschien PSADT gebruiken? Of platformen zoals Scappman/Patch My Pc/... ?

Tusk schreef op donderdag 23 januari 2025 @ 13:37:
Een conditional XS vraagje:

Ik wil voor een groep users alleen toegang geven tot de Teams App en de rest alleen via browser toestaan.

Ik maak een block regel met als
Condition: Client apps alles aangevinkt behalve browser.

resource:
include: All resources (formerly 'All cloud apps')
exclude: Microsoft Teams Services, Skyp for business online. Office 365 Sharepoint Online (er stond dat dit ook Teams services in zich heeft).

Maar helaas geen resultaat. Ik mag Teams niet gebruiken. Report zegt dat ik dan de 'All recources' regel match.
Als ik Office 365 Exchange Online exclude, mag ik wel Outlook gebruiken. Dus het idee is verder goed, alleen vind ik niet de juiste app exclusion voor Teams...

Zonder succes

Blokker_1999 schreef op donderdag 22 mei 2025 @ 06:09:
Waarom zou D inloggen? Je doet de auth op C, die kan en mag door de CA gaan, maar D zit nog altijd op een niet vertrouwd netwerk en een login daarvan gaat dus door je CA geblokkeerd worden lijkt mij. Zelfs als je vanaf C, die aangemeld is, een actie gaat triggeren op D, zal D nog altijd ook moeten aanmelden door diezelfde CA policy.

[ Voor 17% gewijzigd door Gr4mpyC3t op 23-05-2025 11:11 ]

grimson schreef op zondag 1 maart 2026 @ 10:59:
ConsentFix

ConsentFix laat zien dat “user consent uitzetten” geen volledige mitigatie is, omdat Microsoft‑first‑party apps in elke Entra‑tenant al pre‑consent hebben en dus geen toestemming meer hoeven te vragen. Een aanvaller kan zo’n trusted app gebruiken in een legitieme OAuth authorization‑code flow, de gebruiker echt laten inloggen, en vervolgens via social engineering de authorization code buitmaken. Omdat de app al trusted is, wordt er geen consent‑prompt getoond en geen CA‑policy getriggerd, waardoor de hele aanval buiten het consent‑model om plaatsvindt.

Interessant hoe dit werkt en vernuftig.. maar toch weer begrijpelijk .
Aan de bak om deze potentiële phishing methode te dichten.

[ Voor 19% gewijzigd door HKLM_ op 19-03-2026 12:55 ]

Blokker_1999 schreef op zaterdag 28 maart 2026 @ 18:49:
Nope, not gonna work. De setting voorkomt dat gebruikers uitgenodigd kunnen worden, maar eenmaal uitgenodigd, en daarna op de block list, blokkeert het hun authenticatie naar de externe tenant niet.

[ Voor 11% gewijzigd door HKLM_ op 28-03-2026 19:08 ]

Blokker_1999 schreef op zaterdag 28 maart 2026 @ 19:10:
Klopt, daar lijkt het op. Rottigste is dat ik wel netjes op de bron tenant in de sign-in logs kan zien dat er een authenticatie plaatsvindt, en die gaat ook netjes door mijn standaard CA policies, maar ik krijg geen controle om selectief om te springen met welke gebruikers naar welke externe tenant mogen. Had MS nu ook niet even de resource tenant als een mogelijk doelwit aan de CA policies kunnen toevoegen? Dan was dit in 5 seconden opgelost. Want voor inkomende guest gebruikers kan je wel policies aanmaken, zelfs per tenant als je wenst.

Wat mis ik mijn vorige werkgever, waar we dit soort problemen niet op een technische manier probeerden op te lossen, maar puur met geschreven policies.

Blokker_1999 schreef op zaterdag 28 maart 2026 @ 12:13:
Eens zien of hier nog iemand een idee heeft.

Om ondersteuning te geven op de het product dat wij verkopen aan onze klanten (en dat zijn grote bedrijven, geen consumentenspul) hebben we een standaard oplossing om aan de servers bij de klant te komen, maar we zijn flexibel. Wij hebben evenwel de vereiste dat wij van onze kant uit, op automatische wijze, onze gebruikers (zowel support specialisten als consultants in geval van implementaties) toegang moeten kunnen geven en ontnemen. Heb je geen project, ticket of bug, dan hoor je geen toegang te hebben tot die klant.

1 van onze klanten wenst nu evenwel geen gebruik te maken van onze standaard oplossing omdat dat niet in hun beveiligingsmodel past maar wil dat onze mensen gaan verbinden via Azure Virtual Desktops met behulp van een guest account in hun tenant. Ik zie evenwel geen enkele mogelijkheid langs mijn kant om accounts wel of geen toestemming te geven om als guest aan te melden in die specifieke tenant. Weet er iemand of daar wel een mogelijkheid voor is?