MS Entra ID Logo

MS Entra - Deep Dive

Welkom bij de MS Entra Deep Dive opleiding

Je hebt nog geen voorkennis of wil je kennis versterken binnen MS Entra Identity beheer. Dan ben je op deze pagina al op de juiste plaats. Hier vind je alle informaties, video materialen, een reeks links naar MS Learn en een PDF versie van de informatie over MS Entra.

Indien je nog niet de M365 CLoud beheer intro sessies gevolgd hebt wordt aangeraden deze eerst te bekijken. De toegang tot deze opleiding zit mee in je opleiding en is dus ook toegankelijk.

Na deze opleiding ben je ook goed voorbereid om je verder te verdiepen in:

Introductie

1.1 Introductie cursus

Welkom in de cursus Entra ID. In deze video bekijken we:

  • Welke onderwerpen komen aan bod in de cursus
  • Waar vind je al het materiaal?
  • Welke voorkennis moet je hebben?
  • Wat is basis en wat is uitbreiding?

1.2 Wat is MS Entra?

Hoe past Entra in het geheel en waarom beginnen we hier. We bespreken:

  • Wat is MS Entra en wat is het niet?
  • Waar kan je Entra plaatsen in M365 CLoud?
  • Welke soorten identiteiten worden beheerd?

Entra identity

2.1 MS Entra Identity Types

Een Identiteit is meer dan enkel een object.

Maar welke soorten zijn er? We bespreken:

  • De verschillende soorten identiteiten
  • Hoe positioneer je Entra in dit geheel?
  • Intern of Extern?
  • Leden of Gasten?

2.2 Gebruikers maken (!Belangrijk!)

We kunnen diverse soorten gebruikers maken en dit op meerdere manieren. In deze les bespreken we ze allemaal:

  • Eén individuele gebruiker maken via Admin Center
  • Meerdere gebruikers maken via Admin Center

2.3 Gebruikers maken via Entra Portal

In de vorige les heb je een gebruiker gemaakt via de Admin Portal.
Nu maken we de gebruiker via Entra ID portal. Zie jij grote verschillen?

We leggen ook de nadruk op extra eigenschappen ingeven zoals departement, bedrijf en jobtitel. Op die manier kunnen we later de groepen en licenties automatiseren.

2.4 Gastgebruikers

Tot nu hebben we met interne eigen gebruikers gewerkt. Maar wat doen we met externe gebruikers die ook moeten authentiseren om een toegang te krijgen? We bespreken:

  • Wat is een Gast?
  • Hoe maak je een gast aan?

2.5 Hybride omgevingen (+)
(Entra Connect & Cloud Sync)

Heb je een lokale domeincontroller? Meerdere controllers? Wil je meerdere forests samen synchroniseren? We bespreken:

  • Welke topologieën worden ondersteund?
  • Wat is Entra ID Connect (AD Connect)?
  • Wat is Cloud Sync (nieuwe client!)
  • Welke stappen om een hybride sync voor te bereiden?

2.6 Trusts, Federations, B2B en B2C

Wanneer twee (of meer) organisaties samenwerken is het nuttig om een B2B Trust of federation op te zetten. Op deze manier moet je geen gasten uitnodigen en kan je zelf bepalen of de Entra ID en MFA van de externe Identity Provicer voldoende is of niet. Wie heeft toegang tot wat? Als gevolg van deze sessie kan je ook Teams Shared Channels gebruiken en kan je samenwerken in MS Loop.

We bespreken:

  • Wat is B2B?
  • Configureer de B2B trust.
  • Wat is een B2C?
  • Welke opties in welk Entra Plan?

2.7 Azure Active Directory Domain Services (+)

Met AADDS heb je een volwaardig domein en alle bijhorende diensten in de cloud draaien. Denk daarbij aan:

  • Lokale AD kopie van je Entra ID
  • LDAP(/s)
  • RADIUS
  • GPO’s en een lokale AD join met Entra ID.

 

We bespreken deze dienst conceptueel. Belangrijk dat je weet wat het is en dat het bestaat.

2.8 Groepen (!Belangrijk!)

Groepen is een tweede type identiteit en hier maken alle andere diensten gebruik van. We bekijken:

  • Welke soorten groepen bestaan er?
  • Welk type groep maak je waar?
  • Hoe maak je de groepen in elke portal?
  • Dynamische of statische groepen?

Dit is een heel erg belangrijk onderdeel. Dus zeker niet overslaan!
Dynamische groepen werkt enkel met een Entra Premium P1 of P2 licentie (A3, A5)

2.9 Licenties toekennen

Je kan een lcientie toekennen wanneer je een gebruiker maakt of in bulk aanmaakt. Maar wanneer je tools of scripts gebruikt werkt dit niet. Ook de Cloud Sync of Entra ID Connect gesynchroniseerde gebruikers worden zo niet aangemaakt. Daarom gaan we licenties toekennen a.d.h.v. (dynamische) groepen. Ook kan je op deze manier de toekenning van licenties automatiseren, wat weer makkelijker is.

Dit werkt enkel met een Entra Premium P1 of P2 licentie (A3, A5)

2.10 Administrative Units (+)

Binnen een Active Directory kennen we naast groepen ook een soort van mappenstructuur in de vorm van Organisational Units (OU’s). Dit is in NIETS te vergelijken met Administrative Units! Laat je dus niet op het verkeerde been zetten -_-.

Administrative Units gebruiken we om het beheer van gebruikers/groepen te segmenteren in verschillende rollen en beheerders. Nuttig wanneer je met meerdere organisaties/scholen samen in één tenant zit.

2.11 Devices

Een derde type van identiteiten zijn de toestellen. We gaan NIET de toestellen beheren, maar wel hun identiteit registreren binnen Entra ID zodat we ze ook kunnen identificeren.

We bespreken:

  • Het verschil tussen Registered of Joined devices.
  • Hoe een device enrollen?
  • Wat zien we van deze toestellen in Entra ID?
  • Hoe de Bitlocker sleutel recupereren in Entra ID?

2.11 Devices

Een vierde en laatste type van identiteiten zijn de Apps. We gaan NIET de software op een toestel beheren, maar wel integreren met andere SAAS platformen.

We bespreken:

  • Wat is een App registratie?
  • Wat is een Enterprise Application?
  • Hoe configureren we SSO?
  • Wat is User provisioning?

 

We halen hierbij ook Google Workspace en Apple School Manager aan.

Moderne Authenticatie en MFA

3.1 Introductie tot Authenticatie

Wat behandelen we in deze cursus?

  • Wat is Authenticatie?
  • Wat is Meervoudige Verificatie?
  • Wat is voorwaardelijke toegang?
  • Wat is Passwoordloos authenticeren?
  • Wat is Encryptie?
  • Wat is FIDO 2 en Passphrases?

 

Een introductie tot wat en waarom…

3.2 Moderne authenticatie en MFA

Wat is moderne Authenticatie?

Waarom is zonder wachtwoord werken beter?

Welke vormen van MFA bestaan er en wat is MFA?

Welke licenties geven welke mogelijkheden?

3.3 Multi-Factor Authenticatie (Legacy)

Organisaties zonder M365 liceties of met een Gratis A1 licentie (zonder Entra Premium P1/P2) gebruiken de Legacy Multi-Factor authenticatie. We bekijken:

  • Hoe configureer je MFA voor gebruikers?
  • Wat zijn app paswoorden en waarom gebruiken we ze niet?
  • Hoe MFA afdwingen of toelaten?
  • Waar geef je veilige IP segmenten op?

3.4 Risky users en conditional acces

Organisaties MET M365 licenties (met Entra Premium P1/P2) gebruiken de Moderne Multi-Factor authenticatie. We bekijken:

  • Wat zijn user Risks?
  • Hoe gebruik je Defender for Identity?
  • Hoe wordt dit gebruikt om moderne authenticatie te ontwerpen?
  • Wat is voorwaardelijke toegang?

3.5 Risky users DEMO

Na de theorie bekijken we hier in de Entra ID Portal de Risky users en de verschillende rapporten hierover.

3.6 Voorwaardelijke toegang (DEMO)
Ook gekend als Conditional Access (! Belangrijk!)

Na de theorie bekijken we hier in de interface van Entra ID om de voorwaardelijke toegang in te stellen.

We beginnen met stap-voor-stap één regel aan te maken maar bouwen op tot:

  • Uitgesloten Apps
  • Uitgesloten gebruikers
  • Werken met IP reeksen (landen/locaties)
  • Gebruikersacties afschermen.

3.7 Self Service Password Reset

Gebruikers kunnen naast meervoudige verificatie deze methodes ook gebruiken om een wachtwoord opnieuw in te stellen. We bekijken:

  • Hoe SSPR instellen
  • Lokale Active Directory integreren
  • Methodes instellen
  • Werken met een registratiecampagne.

3.8 Verificatiemethodes en instellingen

Gebruikers kunnen meerdere verificatie methodes gebruiken.
We stellen in welke methodes mogelijk zijn voor wie en bekijken de registratiecampagnes. Dit is een Sessie die de basis set-up van MFA afrond en ook een vaak voorkomend probleem met registratiecampagnes aanhaalt, ook als MFA niet is ingeschakeld.

3.9 Temporary Access Pass (+)

Wanneer je helemaal zonder wachtwoord wil werken, geef je gebruikers bij het aanmelden geen wachtwoord meer. Hierdoor hebben ze geen identificatie bij het starten van hun account.

Je werkt met een Temporary Access Pass om hen gedurende 10 minuten toegang te geven om een MFA in te stellen zonder wachtwoord.

Ook gebruik je dit wanneer de MFA niet meer werkt, zonder de security te verlagen.

Werk je als organisatie op deze manier? Dan draag je security hoog in het vaandel!

3.10 Encryptie (+)

Dit is een kort theoretisch hoofdstuk dat als voorbereiding nodig is om de volgende les te begrijpen. Je leert:

  • Wat is encryptie?
  • Wat is hashing?
  • Wat is symmetrische encryptie?
  • Wat is asymmetrische encryptie?
  • Hoe gaan deze twee laatste hand-in-hand?

 

Dit is een uitbreiding en draagt ook bij aan je algemene kennis.

3.11 Passphrases en FIDO 2 (++)

In de toekomst wil je nog beter beschermd zijn. Deze techniek ga je vandaag misschien nog niet toepassen maar het is wel nuttig om te weten dat het kan. Is heel je personeelsbestand klaar om deze horde te nemen? Dan nodig ik je uit om je beveiliging naar extreem hoog niveau te brengen met FIDO 2.

Extra's

4.1 Introductie

We hebben al een hele weg afgelegd.

In deze reeks kaderen we even:

  • Terms of use
  • Custom Branding
  • Verified Identity (++)
  • PIM Management (+)
  • Global Secure Access(++)

 

Bij het moment van opname zijn deze laatste 3 een onderdeel van Entra Premium P2 al is het niet zeker of dit zo gaat blijven.

4.2 Terms Of Use

Wat zijn voorwaarden die aanvaard moeten worden?

Hoe upload je een PDF en koppel je hier een voorwaardelijke toegangsregel aan.

Gezien dit werkt met Conditional Access is minstens een Entra Premium P1 (A3) licentie nodig.

4.3 Aangepaste branding en huisstijl

Zorg voor herkenbaarheid.

Zet je logo in het login scherm. Zorg dat mensen een herkenbaarheid hebben en de omgeving vertrouwen om aan te melden. Dit verhoogt de visibiliteit en persoonlijkheid maar zorgt ook voor een verhoogde beveiliging.

4.4 Entra Verified Identity (++)

In de fysieke wereld werken we met een gedecentraliseerde authenticatie met badges, sleutels en verificaties.

In de digitale wereld werken we vaak centraal met één Identity Provider.

Niet elke dienst wil je hiermee verbinden en misschien wil je wel een decentraal geverifieerde identiteit organiseren of gebruiken.

Dit is een heel verregaande uitdieping van een nieuw concept in identiteiten.

Dit is sinds 14/07/2024 onderdeel van de extra Entra uitbreiding Entra Suite. Microsoft Entra Plans and Pricing | Microsoft Security

4.5 PIM Management (+)

Je hebt als beheerder permanent teveel rechten. Daarom gaan we de toegang tot bepaalde rechten beperken met PIM management. Maar ook de toegang tot resources voor medewerkers kunnen met aanvraagprocedures geregeld worden.

Hierdoor voorzie je in procedures en maatregelen.

Just In Time en Just Enough Access zijn hier kernwoorden.

4.6 Global Secure Access (++)

Iedereen kan via het internet connectie maken met je M365 omgeving. Je kan deze connectie beperken tot enkel gebruikers met een juiste tool in het OS.

Je kan ook de toegang tot internet websites beperken op basis van gebruiker.

En je kan Entra gebruiken om de VPN te regelen en cloud regels maken om de toegang tot On Premise toepassingen te regelen.

Dit is een conceptuele uitbreiding waarin we kort kijken naar de werking.

Dit is sinds 14/07/2024 onderdeel van de extra Entra uitbreiding Entra Suite. Microsoft Entra Plans and Pricing | Microsoft Security

Evaluatie

EDU-Versity evaluatie

Ben je klaar om je kennis te testen? Je kan bij EDU-Versity een kennistest afleggen om te kijken of je alles goed begrepen hebt.

We evalueren hierbij:

  • Welke objecten bestaan er in Entra?
  • Hoe gebruikers, Groepen en devices beheren?
  • Welke soorten Apps bestaan er?
  • Kennis over Moderne authenticatie en voorwaardelijke toegang.
  • Kennis over nieuwe authenticatie standaarden (FIDO2)
  • Kennis over Branding en PIM management.
  • Kennis over Verified Identity
  • Kennis over Licenties beheren via Entra Groepen.
  • Dynamische groepen kunnen configureren.