Sync: 02-04-2026 08:47 102 users 4 kritiek

Dashboard

Overzicht van de Microsoft 365 omgeving van Voorbeeld B.V. Klik op een sectie in de zijbalk voor details.

102
Gebruikers
+3 deze maand
112
Apparaten
+5 deze maand
68%
Secure Score
+2% vs vorige maand
87%
Device Compliance
95%
MFA Coverage
72%
Compliance Score

⚠ Kritieke bevindingen 4

Legacy auth niet geblokkeerd
CA002 staat op disabled — #1 aanvalsvector
3 permanente Global Admins
PIM niet geconfigureerd, max 2 aanbevolen
Sensitivity Labels ontbreken
Geen dataclassificatie, vereist voor Copilot
Endpoint DLP niet actief
Data kan via USB/clipboard lekken

✓ Goed geconfigureerd 8

BitLocker 100% op alle Windows-apparaten
Safe Links & Safe Attachments actief
4 Windows Update rings correct geconfigureerd
Externe forwarding geblokkeerd
DKIM actief op alle domeinen
Audit logging ingeschakeld (1 jaar)

💡 Top 5 Microsoft-aanbevelingen (Secure Score)

PuntenAanbevelingImpactStatus
+15Block legacy authenticationHoogNiet
+12Enable Privileged Identity ManagementHoogNiet
+10Ensure all users complete MFA registrationHoog88%
+8Create DLP policies for all workloadsHoogDeels
+7Configure sensitivity labelsHoogNiet
Top 5 implementeren = Secure Score van 68% naar ~85% (+52 punten)

Conditional Access Policies

Alle Conditional Access policies in de tenant met hun configuratie, status en Microsoft-aanbevelingen.

Laatst uitgelezen: 02-04-2026 09:15 via Microsoft Graph API
8
Enabled
1
Disabled
1
Report-only
Microsoft Secure Score: "Block legacy authentication with a policy" — +15 punten. CA002 staat op disabled. Legacy auth is de #1 aanvalsvector voor password spray attacks.

Alle policies 10

NaamStatusGebruikersAppsGrant / BlockSession
CA001 — MFA alle gebruikersEnabledAll (excl. break-glass)All cloud appsMFA
CA002 — Block legacy auth ⚠DisabledAll usersAll cloud appsBlock
CA003 — Compliant device vereistEnabledAll usersAll cloud appsCompliant device
CA004 — Admin MFA striktEnabledAdmin rolesAdmin portalsMFA + compliantFreq: 1h
CA005 — LandblokkeringEnabledAll (excl. travel)All cloud appsBlock
CA006 — Risk-based sign-inEnabledAll usersAll cloud appsMFA + pw change
CA007 — App protection mobileReport-onlyAll usersAll cloud appsApproved app
CA008 — Terms of UseEnabledAll usersAll cloud appsToU
CA009 — Block high-risk usersEnabledAll usersAll cloud appsBlock
CA010 — Session timeout webEnabledAll usersAll cloud appsGrant8h, no persist

Named Locations 4

NaamTypeDetailsTrusted
Kantoor AmsterdamIP range203.0.113.0/24 Ja
Kantoor RotterdamIP range198.51.100.0/24 Ja
VPN RangeIP range192.0.2.0/24 Ja
Toegestane landenCountriesNL, BE, DE Nee

💡 Microsoft-aanbevelingen voor Conditional Access

+15 pts — Block legacy authentication (Exchange ActiveSync, Other clients) voor alle gebruikers

+5 pts — Zet CA007 (App protection) van Report-only naar Enabled na evaluatie

+3 pts — Voeg session frequency (max 8h) toe aan alle cloud apps voor unmanaged devices

Naamgevingsanalyse

Automatische patroonherkenning op alle objecten in de tenant. Consistente naamgeving verbetert beheersbaarheid en security.

Geanalyseerd: 02-04-2026 09:15 | 87 gebruikers, 156 groepen, 112 apparaten, 34 teams, 10 CA policies

👤 UPN (User Principal Name) — Consistentie: 84%

84%
Dominant: v.achternaam
PatroonAantal%VoorbeeldenStatus
v.achternaam7384%m.devries, l.jansen, k.vandijkStandaard
voornaam.achternaam56%pieter.bakker, sophie.mulderAfwijkend
service/functioneel56%svc-backup, admin, scannerService
overig44%J.de.Vries, mark-v, test, helpdeskCorrigeren

💡 Microsoft Best Practice: UPN Naming

Microsoft adviseert: gebruik een consistent UPN-formaat dat overeenkomt met het primaire e-mailadres. Dit voorkomt verwarring bij SSO en vereenvoudigt support. Aanbevolen: v.achternaam@domein.nl

Actie: Harmoniseer de 9 afwijkende accounts (6%) naar v.achternaam formaat. Let op: UPN-wijziging vereist nieuwe aanmelding op alle apparaten.

👥 Groepsnamen — Prefix-gebruik

50%
Security groups met prefix
39%
Distributielijsten met prefix
PrefixAantalTypeVoorbeelden
(geen prefix)48GemixedAlle Medewerkers, Finance Team
SG-34SecuritySG-IT-Afdeling, SG-VPN-Users
DL-12DistributieDL-AlleMedewerkers, DL-Finance
M365-8M365 GroupM365-Project-Alpha
APP-6SecurityAPP-Salesforce-Users
LIC-5LicentieLIC-E3-Users, LIC-Copilot
CA-4CA exclusionCA-MFA-Excluded, CA-Travel

💡 Microsoft Best Practice: Group Naming

Microsoft adviseert een Group Naming Policy in Entra ID: verplicht prefix per groeptype + geblokkeerde woorden. Dit voorkomt wildgroei en maakt het eenvoudig om groepstype te herkennen in lijsten en zoekopdrachten.

Actie: Configureer Entra ID Group Naming Policy met prefixes: SG- (security), DL- (distributie), M365- (Microsoft 365), LIC- (licentie), APP- (app-toegang). Hernoem bestaande 48 groepen zonder prefix.

💻 Apparaatnamen

112
Geanalyseerd
68
Custom (61%)
44
Default (39%)
PatroonAantalVoorbeeldenStatus
PREFIX-TYPE-NR42VB-LAP-042, VB-DT-015Best practice
DESKTOP-XXXXX28DESKTOP-A3B7C2KDefault — niet hernoemd
MININT-XXXXX16MININT-G8H2K4MAutopilot template ontbreekt
Mobiel (default)22iPhone van MarkNormaal (BYOD)

💡 Microsoft Best Practice: Device Naming

Microsoft adviseert een Autopilot Device Name Template te configureren in het Autopilot Deployment Profile. Dit zorgt ervoor dat elk nieuw apparaat automatisch een consistente naam krijgt.

Configuratie: Autopilot profile → Device Name Template: VB-%SERIAL:8% of VB-LAP-%RAND:4%

Beperking: Device name template ondersteunt max 15 tekens. Gebruik %SERIAL% (laatste X tekens serienummer) of %RAND:X% (random X cijfers).

💬 Teams-naamgeving

PatroonAantalVoorbeeldenStatus
Afdeling - Onderwerp18Sales - Klantprojecten, IT - BeheerConsistent
PRJ- (project)6PRJ - KantoorverhuizingConsistent
Geen conventie10Borrels, Parkeren, RandomWildgroei
12 van 34 Teams (35%) zonder beschrijving

💡 Microsoft Best Practice: Teams Governance

Microsoft adviseert: (1) Naming policy met verplicht prefix, (2) Expiratie-beleid (bijv. 365 dagen), (3) Creatie beperken tot specifieke groep, (4) Templates voor standaard kanaalstructuur, (5) Sensitivity labels op Teams.

Configuratie: Entra ID → Group Settings → Naming Policy: prefix {Department}_ + blocked words list.

📜 Conditional Access policy naamgeving

Uitstekend: Alle 10 CA policies volgen CA### naamgeving (100% consistent). Microsoft best practice voor traceerbaarheid.

📋 Aanbevolen naamgevingsconventies (samenvatting)

ObjectAanbevolenVoorbeeldHuidig
UPNv.achternaam@domein.nlm.devries@voorbeeld.nl84%
DisplayNameVoornaam [Tussenvoegsel] AchternaamMark de Vries92%
ApparaatVB-{TYPE}-{NR}VB-LAP-04261%
Security GroupSG-{beschrijving}SG-VPN-Users50%
DistributieDL-{beschrijving}DL-AlleMedewerkers39%
M365 GroupM365-{beschrijving}M365-Project-Alpha19%
Team{Afdeling} - {Onderwerp}Sales - Klantprojecten71%
CA PolicyCA{NNN} - {beschrijving}CA001 - MFA alle users100%
Service Accountsvc-{dienst}@domein.nlsvc-backup@voorbeeld.nl60%
ServerSRV-{FUNCTIE}{NR}SRV-AADC01100%

Microsoft-aanbevelingen

Alle aanbevelingen vanuit Microsoft Secure Score en Compliance Manager, gesorteerd op impact.

42
Totaal aanbevelingen
12
Niet geïmplementeerd
8
Gedeeltelijk
22
Geïmplementeerd

Secure Score — Identity (127 punten)

PtsAanbevelingStatusBronActie
15Block legacy authenticationNietSecure ScoreCA002 activeren
12Enable PIM for admin rolesNietSecure ScorePIM configureren met JIT 4h
10Ensure all users complete MFA88%Secure Score12 users opvolgen
5Enable SSPRJaSecure Score
5Enable password hash syncJaSecure Score
3Remove SMS as MFA methodNietSecure ScoreSMS uitschakelen in Auth Methods

Secure Score — Data (89 punten)

PtsAanbevelingStatusBronActie
8Create DLP policies all workloadsDeelsSecure ScoreTeams + Endpoint DLP toevoegen
7Turn on sensitivity labelsNietSecure Score4 labels aanmaken + auto-labeling
5DMARC p=reject configurerenp=noneSecure ScoreRoadmap: analyze → quarantine → reject
5Safe Links for Office appsJaSecure Score
3Block external forwardingJaSecure Score

Compliance Manager — AVG (68%)

ActieStatusPrioriteitVerantwoordelijk
Data classification with sensitivity labelsNietHoogUwWerkplek
DLP for all workloadsDeelsHoogUwWerkplek
Enable Customer LockboxNietMediumUwWerkplek
DSAR process implementerenNietMediumKlant + UwWerkplek
Conduct DPIANietMediumKlant
Retention policiesJa

UwWerkplek — Naamgeving & Governance

AanbevelingCategorieBronActie
Standaardiseer UPN naar v.achternaamIdentityUwWerkplek9 afwijkende accounts hernoemen
Autopilot naming template instellenDeviceMicrosoftVB-%SERIAL:8% in deployment profile
Group Naming Policy configurerenIdentityMicrosoftVerplicht prefix per type + blocked words
Teams naming convention + expiratieCollaborationMicrosoftPrefix + 365d expiratie + templates
Service accounts prefix svc-IdentityUwWerkplekHR-ServiceAccount hernoemen naar svc-hr

Backup & Recovery

Status van alle backup-jobs, retentie-instellingen en restore-testen.

Laatst uitgelezen: 02-04-2026 09:15

Backup Status Alle jobs succesvol

BronProviderFrequentieRetentieLaatste backupStatus
Exchange OnlineAvePoint3x/dag3 jaar02-04 06:00 OK
SharePoint OnlineAvePoint3x/dag3 jaar02-04 06:00 OK
OneDriveAvePoint3x/dag3 jaar02-04 06:00 OK
TeamsAvePoint1x/dag1 jaar02-04 02:00 OK
Entra IDAvePoint1x/dag1 jaar02-04 03:00 OK
Azure SQLAzure BackupContinu35 dagenRealtime Active
Azure VMAzure Backup1x/dag30 dagen02-04 02:00 OK
On-prem serversAzure Backup1x/dag30 dagen02-04 01:00 OK

Laatste restore-test — 15-03-2026

TestTypeResultaatDuur
Exchange mailboxGranulair (10 items)Succesvol4 min
SharePoint siteVolledige siteSuccesvol22 min
OneDriveComplete OneDriveSuccesvol18 min

Gebruikers & Groepen

Volledig overzicht van alle accounts, gastgebruikers, groepen en afdelingen.

Uitgelezen: 02-04-2026 09:15
102
Totaal
90
Actief
12
Uitgeschakeld
87
Leden
15
Gasten
62
AD Synced
5
Inactief >90d

Per afdeling

AfdelingActiefGelicentieerdMFA
Operations2424100%
Sales1818100%
Finance1212100%
IT1010100%
HR88100%
Marketing7786%
Management6683%
Facilitair3333%

Inactieve accounts (>90 dagen) 5

GebruikerAfdelingLaatste loginLicentiesAanbeveling
p.bakker@voorbeeld.nlManagement18-12-2025M365 E3Review
oud-stagiar@voorbeeld.nl-01-09-2025Business PremDeactiveren
scanner@voorbeeld.nlIT15-01-2026GeenService acc?
test-user@voorbeeld.nl-NooitGeenVerwijderen
m.oudlid@voorbeeld.nlSales20-11-2025Business PremOffboarden

Groepen overzicht

156
Totaal
68
Security
42
M365
31
Distributie
12
Dynamisch
38
AD Synced

💡 Microsoft advies

Verwijder inactieve accounts om licentiekosten te besparen en het aanvalsoppervlak te verkleinen. Configureer een kwartaallijkse access review voor gastaccounts.

Licenties & SKU's

Alle Microsoft 365 licenties met gebruik, beschikbaarheid en optimalisatiemogelijkheden.

Licentie-overzicht 12 SKU's

SKUTotaalGebruiktVrijGebruikStatus
Microsoft 365 Business Premium75687
91%
OK
Microsoft 365 E325223
88%
OK
M365 E5 Security10100
100%
Vol!
Defender for Endpoint P21009010
90%
OK
Entra ID P210100
100%
Vol!
Intune Plan 11009010
90%
OK
Teams Phone Standard30282
93%
OK
Copilot for M36515123
80%
OK
Power BI Pro1064
60%
Overig
Exchange Online Archiving50455
90%
OK
AvePoint Cloud Backup90900
100%
Vol
E5 Security en Entra ID P2 zijn 100% bezet. Bij nieuwe medewerkers direct extra licenties nodig.

💡 Optimalisatie

4 Power BI Pro licenties niet gebruikt (>90 dagen). Besparing: €40/maand. 2 inactieve accounts met Business Premium: €24/maand.

MFA & Authentication Methods

Multi-Factor Authenticatie configuratie, registratiestatus en toegestane methoden.

78
MFA geregistreerd
12
Zonder MFA
42
Passwordless
8
FIDO2 keys

Authentication Methods Policy

MethodeStatusDoelgroepAdvies
Microsoft Authenticator EnabledAlle gebruikersOK
FIDO2 Security Keys EnabledIT-AfdelingOK
Windows Hello for Business EnabledAlle gebruikersOK
Temporary Access Pass EnabledAdminsOK
SMS EnabledAlle gebruikersUitschakelen!
Voice call DisabledOK
Email OTP EnabledGastenOK
SMS als MFA-methode — Kwetsbaar voor SIM-swap attacks. Microsoft Secure Score: +3 punten bij uitschakelen.

Gebruikers zonder MFA 12

GebruikerAfdelingRisico
p.bakker@voorbeeld.nlManagementGlobal Admin!
HR-ServiceAccountITUser Admin rol
receptie@voorbeeld.nlFacilitairShared device
+ 9 overige (Operations, Facilitair)

Admin-rollen & PIM

Privileged Identity Management status, admin-roltoewijzingen en break-glass accounts.

PIM niet geconfigureerd ondanks beschikbare Entra ID P2 licenties. Alle admin-rollen zijn permanent. Microsoft Secure Score: +12 punten.

Privileged Identity Management

InstellingStatus
PIM ingeschakeldNee
JIT-activatieNiet actief
Access ReviewsNiet geconfigureerd

Admin-rollen (permanent) 12 rollen

RolLedenRisico
Global Administrator3: Jan de Vries, Pieter Bakker, UwWerkplek-AdminMax 2!
Exchange Administrator2: Jan de Vries, UwWerkplek-AdminOK
Intune Administrator2: Lisa Jansen, UwWerkplek-AdminOK
Security Administrator2: Jan de Vries, UwWerkplek-AdminOK
User Administrator3: Jan de Vries, HR-ServiceAccount, UwWerkplek-AdminService acc
Helpdesk Administrator4: Lisa, Mark, Sophie, UwWerkplek-SDOK
SharePoint Administrator1: UwWerkplek-AdminOK
Teams Administrator1: UwWerkplek-AdminOK
Global Reader2: Auditor-External, DashboardOK

Break-glass accounts

AccountMFACA excludedMonitoring
emergency-admin1@voorbeeld.onmicrosoft.comFIDO2 (kluis)Alert actief
emergency-admin2@voorbeeld.onmicrosoft.comFIDO2 (andere loc)Alert actief

💡 Microsoft Secure Score

+12 pts — Configureer PIM met JIT-activatie (max 4 uur) en goedkeuringsvereiste voor Global Admin. Reduceer permanente Global Admins van 3 naar max 2.

Gastbeleid (B2B)

Externe gastaccounts, uitnodigingsbeleid en access reviews.

15
Gastaccounts
8
Actief (30d)
3
Inactief >180d
0
Access Reviews

Gastbeleid instellingen

InstellingWaarde
Wie mag gasten uitnodigenMembers can invite
Allowed domainsAlle domeinen (geen restrictie)
Self-service sign-up Uit
Automatische expiratie Niet geconfigureerd
Access review Niet geconfigureerd

Inactieve gasten (>180 dagen)

GastUitgenodigd doorLaatste login
leverancier1@extern.nlJan de Vries20-05-2024
consultant@advies.nlLisa Jansen15-06-2024
oud-klant@bedrijf.comMark VisserNooit

💡 Microsoft advies

Configureer automatische gastexpiratie (90 dagen) en een kwartaallijkse access review. Beperk uitnodigingen tot specifieke domeinen indien mogelijk.

Enterprise Apps & SSO

Alle SSO-integraties, app-permissions en OAuth consent configuratie.

SSO-integraties 8 apps

AppSSO TypeGebruikersConsent
SalesforceSAML 2.018Admin
SAP SuccessFactorsSAML 2.090Admin
ZoomOIDC45Admin
Adobe Creative CloudSAML 2.07Admin
SlackOIDC12Admin
TOPdeskSAML 2.010Admin
AvePoint BackupOIDC3Admin
HelloIDOIDC90Admin

Apps met hoge permissions ⚠

AppPermissionsRisico
HelloID ProvisioningUser.ReadWrite.All, Directory.ReadWrite.AllHoog — geverifieerd
Unknown-App-12345Mail.Read, User.Read.AllOnbekend — review!

Wachtwoordbeleid

Wachtwoordcomplexiteit, verloop, SSPR en banned password list.

Wachtwoordbeleid

InstellingWaarde
VerloopNooit (NIST)
Min. lengte14 tekens
Complexiteit Ja
Banned passwords Custom + MS
Smart lockout10 pogingen / 60s

Self-Service Password Reset

InstellingWaarde
SSPR Alle gebruikers
Methoden vereist2
MethodenAuthenticator, E-mail, Telefoon
Write-back Actief
Registratie afdwingen 14 dagen

Apparaten

Alle beheerde apparaten, compliance status, besturingssystemen en versleuteling.

112
Totaal
98
Compliant
8
Non-compliant
87
Versleuteld
94
Corporate
18
BYOD

Per OS

OSAantalCompliant
Windows 117270 (97%)
Windows 101510 (67%)
iOS 17/181413 (93%)
Android 14/1588 (100%)
macOS 1533 (100%)

Non-compliant redenen

RedenAantal
OS te oud (Win10 <22H2)5
Antivirus niet actief2
BitLocker niet aan1
5 Windows 10 apparaten met verouderd OS. Upgrade naar Win 11 of update naar 22H2.

Compliance Policies 5

PolicyPlatformVereisten
Windows BaselineWindowsOS ≥ 22H2, AV actief, Firewall aan, BitLocker aan
iOS Device ComplianceiOSOS ≥ 16, niet jailbroken, PIN vereist
Android Work ProfileAndroidOS ≥ 13, niet geroot, encryptie aan
macOS BasicmacOSOS ≥ 14, FileVault aan, Firewall aan

Windows Autopilot

Deployment profielen, geregistreerde apparaten en provisioning-instellingen.

3
Profielen
68
Geregistreerd
User-driven
Methode

Deployment Profielen

ProfielMethodeOOBEAccountToegewezen
Standaard WerkplekUser-drivenPrivacy/EULA verborgenStandardAlle apparaten
IT WerkplekUser-drivenPrivacy verborgenAdministratorIT-Apparaten
Kiosk / SharedSelf-deployingVolledig verborgenN.v.t.Shared-Devices

💡 Microsoft advies

Configureer een Device Name Template in het Autopilot profiel: VB-%SERIAL:8%. Dit voorkomt MININT-/DESKTOP- default namen. Max 15 tekens.

Windows Update Rings

Deployment rings met deferral-periodes, deadlines en active hours per ring.

Goed geconfigureerd: 4 rings met oplopende deferrals. Expedited updates actief voor zero-days. Target: Windows 11 24H2.

Update Rings 4

RingApparatenQuality deferFeature deferQuality deadlineActive HoursHerstart
Ring 0: IT Pilot100 dagen0 dagen3 dagen07:00-20:00Auto
Ring 1: Early123 dagen14 dagen5 dagen07:00-19:00Auto
Ring 2: Breed557 dagen30 dagen5 dagen08:00-18:00Di 02:00
Ring 3: Kritisch1014 dagen60 dagen7 dagen06:00-22:00Zo 03:00

Feature Update instellingen

InstellingWaarde
Target versieWindows 11, 24H2
Expedited updates Actief
Driver updatesHandmatig goedkeuren
Safeguard holds Respecteren

Configuratieprofielen

Alle Intune configuratieprofielen met platform, type en toewijzing.

Profielen 13

ProfielTypePlatformToegewezenGewijzigd
Security BaselineEndpoint ProtectionWindowsAlle apparaten20-11-2025
BitLocker EncryptieDisk EncryptionWindowsAlle apparaten15-06-2025
Windows FirewallFirewallWindowsAlle apparaten15-06-2025
VPN Always OnVPNWindowsRemote workers22-01-2025
Edge BrowserBrowserWindowsAlle apparaten30-08-2025
OneDrive KFMKnown Folder MoveWindowsAlle apparaten10-02-2024
Windows HelloIdentityWindowsAlle apparaten20-05-2024
USB BlockDevice RestrictionsWindowsAlle excl. IT15-03-2025
Schermslot 5 minRestrictionsWindowsAlle apparaten12-01-2025
Wi-Fi KantoorWiFiWindowsCorporate10-09-2024
iOS MailEmailiOSiOS apparaten18-03-2025
iOS RestrictionsRestrictionsiOSiOS apparaten18-03-2025
Android Work ProfileRestrictionsAndroidAndroid devices05-04-2025

Apps (Intune)

Alle via Intune uitgerolde applicaties. Klik op een app voor details over installatiestatus, toewijzing en configuratie.

Uitgelezen: 02-04-2026 09:15
34
Totaal
12
Win32
8
MSI
3
M365 Apps
6
iOS Store
5
Android

Windows Apps Klik op een rij voor details

AppTypeVersieToewijzingInstallatieStatus
Microsoft 365 Apps for EnterpriseM365 Apps2404 (Monthly Enterprise)Required
100%
 87/87

App configuratie

App IDcfb97e18-d02c-4a7c-bb41-8f2f9c...
PublisherMicrosoft Corporation
Update ChannelMonthly Enterprise Channel
VersieVersion 2404 (Build 17531.20140)
Architectuur64-bit
Apps inbegrepenWord, Excel, PowerPoint, Outlook, Teams, OneNote, Access, Publisher
Taalnl-NL (primair), en-US (fallback)
Shared Computer Nee
Auto-update Ja (via Office CDN)
Aangemaakt12-06-2023
Laatst gewijzigd15-02-2026

Toewijzing (Assignments)

TypeGroepLeden
RequiredSG-Alle-Windows-Apparaten87 devices

Installatiestatus per status

Geïnstalleerd87
100%
Mislukt0
In afwachting0
Niet van toepassing0
Google ChromeWin32124.0.6367.207Required
98%
 85/87

App configuratie

App IDa4b21e83-7f9d-4c...
PublisherGoogle LLC
TypeWin32 (.intunewin)
Versie124.0.6367.207
Architectuur64-bit
Install commandmsiexec /i "GoogleChrome.msi" /qn
Uninstall commandmsiexec /x {GUID} /qn
Detection ruleFile: C:\Program Files\Google\Chrome\Application\chrome.exe
Requirement ruleOS: Windows 10 2004+, Arch: 64-bit
HerstartGeen herstart vereist
Aangemaakt20-08-2023
Laatst gewijzigd28-03-2026 (versie update)

Toewijzing (Assignments)

TypeGroepLeden
RequiredSG-Alle-Windows-Apparaten87 devices
ExcludedSG-Kiosk-Devices3 devices

Installatiestatus

Geïnstalleerd85
98%
Mislukt2

Mislukte installaties (2)

ApparaatGebruikerFoutDatum
DESKTOP-A3B7C2Km.visser0x80070005 Access Denied01-04-2026
MININT-G8H2K4Ms.mulder0x87D1041C Timeout30-03-2026
Adobe Acrobat Reader DCWin322024.004.20220Required
100%
 87/87

App configuratie

PublisherAdobe Inc.
TypeWin32 (.intunewin)
Install commandAcroRdrDC_setup.exe /sAll /msi /qn
Detection ruleRegistry: HKLM\SOFTWARE\Adobe\Acrobat Reader\DC
Auto-update Via Adobe Update Service
DependencyGeen
SupersedenceVervangt: Adobe Reader 2020

Toewijzing

TypeGroepLeden
RequiredSG-Alle-Windows-Apparaten87 devices

Installatiestatus

Geïnstalleerd87 (100%)
Mislukt0
7-ZipWin3224.09Required
100%
 87/87
PublisherIgor Pavlov
Install7z2409-x64.msi /qn
DetectionFile: C:\Program Files\7-Zip\7z.exe version ≥ 24.09
TypeGroep
RequiredSG-Alle-Windows-Apparaten (87)
87/87 geïnstalleerd (100%)
Zoom WorkplaceWin326.3.5.40LocationAvailable
48%
 42 installed
PublisherZoom Video Communications
InstallZoomInstallerFull.msi /qn ZoomAutoUpdate=1
DetectionFile: C:\Program Files\Zoom\bin\Zoom.exe
Auto-update Via Zoom updater

Toewijzing

TypeGroepLeden
AvailableSG-Alle-Medewerkers87 users
Beschikbaar in Company Portal. Gebruiker installeert zelf indien nodig.

Installatiestatus

Geïnstalleerd (self-service)42
Niet geïnstalleerd45
KeePassWin322.57Required
100%
 87/87
PublisherDominik Reichl
InstallKeePass-2.57-Setup.exe /VERYSILENT
DetectionFile: C:\Program Files\KeePass\KeePass.exe version ≥ 2.57
RequiredSG-Alle-Windows-Apparaten (87)
87/87 (100%)
Cisco AnyConnect Secure MobilityWin325.1.3.62Required
100%
 24/24
PublisherCisco Systems
Installmsiexec /i "anyconnect-win-5.1.msi" /qn PRE_DEPLOY_DISABLE_VPN=0
DetectionRegistry: HKLM\SOFTWARE\Cisco\AnyConnect
DependencyGeen
VPN profielMeegeleverd via Intune VPN config profiel

Toewijzing

TypeGroepLeden
RequiredSG-VPN-Users24 devices
24/24 geïnstalleerd (100%)
Alleen toegewezen aan de groep SG-VPN-Users (remote workers). Niet beschikbaar voor overige apparaten.
Company PortalStoreLatest (auto-update)Required
100%
 87/87
PublisherMicrosoft Corporation
TypeMicrosoft Store app (online)
Auto-update Via Microsoft Store
DoelSelf-service app installatie voor eindgebruikers
RequiredSG-Alle-Windows-Apparaten (87)
87/87 (100%)

Beschikbaar in Company Portal

AppGroepGeïnstalleerd
Zoom WorkplaceSG-Alle-Medewerkers42
Notepad++SG-IT-Afdeling8
WinSCPSG-IT-Afdeling6
VLC Media PlayerSG-Alle-Medewerkers15

iOS Apps 6 apps

AppTypeToewijzingGroepInstallatie
Microsoft OutlookiOS StoreRequiredSG-Alle-iOS-Devices14/14
Bundle IDcom.microsoft.Office.Outlook
Min. iOS16.0
Managed by MDM Ja (MAM policy actief)
VPN per-app Nee
App config policy Ja (account auto-setup, focused inbox aan)
Microsoft TeamsiOS StoreRequiredSG-Alle-iOS-Devices14/14
Microsoft OneDriveiOS StoreRequiredSG-Alle-iOS-Devices14/14
Microsoft AuthenticatoriOS StoreRequiredSG-Alle-iOS-Devices14/14
Microsoft EdgeiOS StoreAvailableSG-Alle-iOS-Devices8 installed
Company PortaliOS StoreRequiredSG-Alle-iOS-Devices14/14

Android Apps 5 apps

AppTypeToewijzingGroepInstallatie
Microsoft OutlookManaged PlayRequiredSG-Alle-Android-Devices8/8
Microsoft TeamsManaged PlayRequiredSG-Alle-Android-Devices8/8
Microsoft AuthenticatorManaged PlayRequiredSG-Alle-Android-Devices8/8
OneDriveManaged PlayRequiredSG-Alle-Android-Devices8/8
Company PortalManaged PlayRequiredSG-Alle-Android-Devices8/8

💡 Microsoft advies: App Management

Win32 app supersedence: Gebruik supersedence-relaties om oude versies automatisch te vervangen bij deployment van nieuwe versies. Dit is geconfigureerd voor Adobe Reader.

Mislukte installaties: 2 apparaten met Chrome installatie-fout. DESKTOP-A3B7C2K: access denied wijst op rechtenprobleem (run als SYSTEM). MININT-G8H2K4M: timeout door trage verbinding.

Third-party patching: Overweeg Patch My PC of Winget integration voor automatische versie-updates van Chrome, Adobe Reader, 7-Zip, Zoom en KeePass. Nu handmatig bijwerken.

App Protection Policies (MAM)

Mobile Application Management policies voor iOS, Android en Windows.

MAM Policies 3

PolicyPlatformPINCopy/PasteSave-asMin OS
iOS MAM StandaardiOS6-digit + bio Blocked Managed onlyiOS 16+
Android MAM StandaardAndroid6-digit + bio Blocked Managed onlyAndroid 13+
Windows MAM PilotWindowsN.v.t. Blocked JaWin 11

Microsoft Secure Score

Huidige score, trend en alle improvement actions van Microsoft.

68.4%
342 / 500 punten

Top Improvement Actions

PtsActieCategorieStatus
15Block legacy authenticationIdentityNiet
12Enable PIM for admin rolesIdentityNiet
10Ensure all users complete MFAIdentity88%
8Create DLP policies all workloadsDataDeels
7Turn on sensitivity labelsDataNiet
5Enable Endpoint DLPDeviceNiet
5DMARC p=rejectDatap=none
3Remove SMS as MFAIdentityNiet
Top 5 implementeren = 68% → ~85% (+52 punten)

Defender Suite

Microsoft Defender for Endpoint, Office 365, Identity en Cloud Apps.

Defender for Endpoint

InstellingStatus
Onboarded 87/87 (100%)
ASR Rules Block (12 regels)
Auto Investigation Semi-auto
Web Filtering Actief
Network Protection Block mode
Endpoint DLP Niet actief
Tamper Protection Actief

Defender for Office 365

InstellingStatus
Anti-Phishing Aggressive (lvl 2)
Safe Links Alle apps
Safe Attachments Dynamic Delivery
Anti-Spam Actief + ZAP
Impersonation 10 VIPs

Defender for Identity

InstellingStatus
Sensors 2 (DC01, DC02)
Lateral movement Actief
Alerts (30d)2 (medium)

Defender for Cloud Apps

InstellingStatus
Shadow IT 147 apps ontdekt
Unsanctioned8 geblokkeerd
Session Control Niet actief

Recente threats (30 dagen)

DatumApparaatThreatSeverityStatus
28-03LAPTOP-SALES07Trojan:Win32/WacatacHighRemediated
22-03DESKTOP-FIN02PUA:Win32/PresenokerMediumRemediated
15-03LAPTOP-HR01Phishing URL blockedInfoBlocked

Data Loss Prevention

DLP policies per workload met detectieregels en acties.

DLP Policies 3

PolicyScopeInfo typesActieStatus
NL BSN beschermingExchange, SP, ODBSN nummerBlock extern + alertActief
Creditcard detectieExchange, SPCredit CardWaarschuwenActief
IBAN nummersExchangeIBANLoggenTest mode
Geen DLP op Teams en Endpoint. IBAN policy nog in test. Microsoft Secure Score: +8 punten bij uitbreiding.

Sensitivity Labels

Dataclassificatie met Azure Information Protection labels.

Geen Sensitivity Labels geconfigureerd. Documenten worden niet geclassificeerd. Vereist voor Copilot governance en AVG-compliance. Microsoft Secure Score: +7 punten.

💡 Microsoft advies: 4 labels minimum

Configureer: Publiek (geen beperking) → Intern (footer) → Vertrouwelijk (encryptie, watermark) → Zeer Vertrouwelijk (encryptie, geen forwarding, geen print). Stel auto-labeling in voor BSN, IBAN, creditcardnummers.

Retentiebeleid

Data retention policies per workload.

Retentie Policies 5

PolicyScopeRetentieNa verloop
Exchange 3 jaarAlle mailboxen3 jaarVerwijderen
SharePoint 5 jaarAlle sites5 jaarGeen actie
OneDrive 3 jaarAlle accounts3 jaarVerwijderen
Teams chat 1 jaarAlle chats1 jaarVerwijderen
Teams channel 3 jaarAlle channels3 jaarGeen actie

Compliance Score

Microsoft Compliance Manager assessments en scores.

72%
288 / 400 punten

Assessments

AssessmentScoreStatus
AVG / GDPR68%In progress
ISO 27001:202274%In progress
MS Data Protection Baseline81%Good

Audit & eDiscovery

Audit logging configuratie en eDiscovery status.

Instellingen

InstellingStatus
Unified Audit Log Ingeschakeld
Retentie1 jaar
Mailbox auditing Standaard (aan)
Admin audit log Ingeschakeld
eDiscoveryStandard (geen actieve cases)
Customer Lockbox Niet ingeschakeld

💡 Microsoft advies

Schakel Customer Lockbox in zodat Microsoft geen toegang kan krijgen tot klantdata zonder expliciete goedkeuring. Overweeg E5 Compliance voor 10 jaar audit log retentie.

Exchange Online

Postbussen, transport rules, connectors en organisatie-instellingen.

118
Postbussen
87
Gebruiker
22
Shared
6
Vergaderzaal
45
Archief

Organisatie Config

InstellingWaarde
Modern auth Aan
Audit logging Aan
Focused Inbox Aan
Send from alias Aan
Max berichtgrootte35 MB

Transport Rules 6

RegelStatusActie
[EXTERN] markeringPrepend subject
DisclaimerAppend HTML
Block auto-forwardReject
Encrypt bij BSNApply OME
JournalingJournal
Block .exe/.batReject

E-mail Security

SPF, DKIM, DMARC, MTA-STS en Defender for Office 365 configuratie per domein.

E-mail authenticatie per domein

DomeinSPFDKIMDMARCMTA-STSBIMI
voorbeeld.nl -all Actief p=none
voorbeeld.com -all Actief Geen
DMARC roadmap nodig: voorbeeld.nl op p=none, voorbeeld.com zonder DMARC. Plan: analyse 4 weken → p=quarantine → p=reject. Secure Score: +5 punten.

DKIM Status

DomeinStatusSelector 1Selector 2
voorbeeld.nlValidselector1._domainkeyselector2._domainkey
voorbeeld.comValidselector1._domainkeyselector2._domainkey

Microsoft Teams

Teams, policies, telefonie en governance-instellingen.

34
Teams
8
Openbaar
26
Privé
28
Phone users

Teams Policies

InstellingWaarde
CreatieAdmins + groep
Expiratie365 dagen
Guest access Ja
External federation5 domeinen
RecordingAlleen organisator
3rd party appsWhitelist (12)

Teams Phone

InstellingWaarde
TypeOperator Connect (KPN)
Auto Attendants2
Call Queues3
Voicemail Actief

SharePoint Online

Sites, sharing-instellingen, hub sites en governance.

Tenant-instellingen

InstellingWaarde
Sites47
Extern delenExisting guests
Default linkSpecifieke personen
Link expiratie30 dagen
VersioningAan (max 500)
Hub sites2 (Intranet, Projects)
Idle sign-out1 uur

OneDrive for Business

Opslag, synchronisatie, Known Folder Move en delen-instellingen.

Instellingen

InstellingWaarde
Opslag/user1 TB
Extern delenExisting guests
KFM Verplicht (Bureaublad, Docs, Afbeeldingen)
Sync beperkenAlleen beheerde apparaten
Retentie offboarding90 dagen + manager
Block file types.pst, .exe, .iso

Power Platform

Environments, flows, apps en DLP connector policies.

Instellingen

InstellingWaarde
Environments2 (Default, Production)
Power Automate flows18 (8 actief)
Power Apps3
DLP connectors Geconfigureerd
Tenant isolation Aan
Self-serviceAlleen goedgekeurd

Microsoft Copilot

Copilot for M365 configuratie, licenties en governance.

Instellingen

InstellingWaarde
Copilot for M365 12 gebruikers
Data governance Geen Sensitivity Labels!
Bing Chat Enterprise Aan
Windows Copilot Aan
Teams meetings Aan
Web grounding Aan
Copilot zonder Sensitivity Labels! Copilot kan gevoelige documenten samenvatten voor gebruikers met brede SharePoint-rechten. Implementeer labels vóór verdere uitrol.

Hybrid & On-premises

Entra Connect, on-premises servers, AD Sync en fileserver-migratie.

Directory Sync

InstellingWaarde
Sync Entra Connect v2.3.20
Laatste sync02-04-2026 08:47 <30 min
Password Hash Sync Actief
Write-back Actief
Seamless SSO Actief
Gesyncte OUsMedewerkers, ServiceAccounts, Groepen

On-premises servers 7

ServerOSRolLocatieBackupMonitoring
DC01Server 2022AD DS, DNSAmsterdam Arc
DC02Server 2022AD DS, DNSRotterdam Arc
SRV-AADC01Server 2022Entra ConnectAmsterdam Arc
SRV-PRINT01Server 2019PrintAmsterdam Arc
SRV-FILE01Server 2019File (migratie Q3)Amsterdam Arc

Azure Resources

Azure VMs, databases, storage en networking.

Resources 7

ResourceTypeRegioStatusKosten/mnd
vm-app01VM (D2s_v3)West EuropeRunning€89
sql-productionAzure SQL (S2)West EuropeOnline€152
st-backups01Storage (LRS)West EuropeOK€34
kv-productionKey VaultWest EuropeOK€2
vpn-gatewayVPN Gw (VpnGw1)West EuropeConnected€128
Totaal Azure/maand€405

Netwerk & Connectiviteit

Internet, firewall, VPN, Wi-Fi en VLANs.

Netwerkoverzicht

ComponentDetails
Internet (AMS)KPN Business 500/500 Mbps
Internet (RTD)KPN Business 200/200 Mbps
Failover (AMS)Ziggo 300/30 Mbps
FirewallFortiGate 60F (AMS), 40F (RTD)
Site-to-Site VPNIPSec AMS↔RTD
Azure VPNVpnGw1 → West Europe
Wi-FiUbiquiti UniFi (6+3 APs)
VLANs10 (Servers), 20 (Werkplekken), 30 (Gasten), 40 (IoT)
Always On VPNCisco AnyConnect (24 users)
802.1X Niet geconfigureerd

Licentie-optimalisatie

Besparingsmogelijkheden op basis van licentiegebruik.

Aanbevelingen

AanbevelingBesparing/mndImpact
2 inactieve accounts deactiveren (Business Premium)€24Geen
4 Power BI Pro → Free (geen gebruik)€40Geen
2 Visio Plan 2 verwijderen€26Geen
3 Copilot licenties review (laag gebruik)€90Review
Totaal potentieel€180/mnd (€2.160/jr)

Gebruiksrapporten

Activiteit per dienst en opslaggebruik (laatste 30 dagen).

Actieve gebruikers

DienstActief%
Exchange Online8696%
Microsoft Teams8291%
OneDrive7887%
SharePoint6572%
M365 Apps (desktop)8493%
Copilot975% (van 12)

E-mail volume

MetricAantal
Verzonden (intern)14.200
Verzonden (extern)8.700
Ontvangen42.300
Spam geblokkeerd18.900 (31%)
Malware geblokkeerd124
Phishing geblokkeerd387

Opslag

DienstGebruiktBeschikbaarGebruik
SharePoint (tenant)1.8 TB25 TB
7%
OneDrive (gem/user)28 GB1 TB
3%
Exchange (gem/mbx)4.2 GB50 GB
8%