Microsoft 365 tenant koppelen voor een diepe Foundation assessment.

Maak een nieuwe appregistratie in Microsoft Entra

Maak eerst een aparte appregistratie aan die alleen bedoeld is voor Foundation.

• Open het Microsoft Entra admin center.
• Ga naar `App registrations` en kies `New registration`.
• Gebruik een duidelijke naam, bijvoorbeeld `Amuneth Foundation Assessment`.
• Kies voor `Accounts in this organizational directory only`.
• Laat de redirect URI leeg; voor deze appregistratie is die niet nodig.
• Sla de `Application (client) ID` en `Directory (tenant) ID` direct op, want die heb je later nodig in Foundation.

Voeg de Microsoft Graph application permissions toe

Geef daarna de appregistratie de rechten die Foundation nodig heeft om de tenant goed te beoordelen.

• Open binnen de appregistratie `API permissions`.
• Kies `Add a permission` > `Microsoft Graph` > `Application permissions`.
• Voeg minimaal deze rechten toe:
• `Directory.Read.All`
• `AuditLog.Read.All`
• `Policy.Read.All`
• `Policy.Read.ConditionalAccess`
• `Reports.Read.All`
• `SecurityEvents.Read.All`
• `UserAuthenticationMethod.Read.All`
• `IdentityRiskyUser.Read.All`
• `IdentityRiskEvent.Read.All`
• `SecurityIncident.Read.All`
• `SecurityAlert.Read.All`
• Voeg voor Intune en BYOD daarnaast toe:
• `Device.Read.All`
• `DeviceManagementManagedDevices.Read.All`
• `DeviceManagementConfiguration.Read.All`
• `DeviceManagementApps.Read.All`
• `DeviceManagementServiceConfig.Read.All`
• Voeg voor applicaties en OAuth daarnaast toe:
• `Application.Read.All`
• `DelegatedPermissionGrant.Read.All`
• `AppRoleAssignment.ReadWrite.All` alleen wanneer ook remediation gewenst is
• Voeg voor domeinen en mail via Graph daarnaast toe:
• `Domain.Read.All`
• `Organization.Read.All`
• `Mail.ReadBasic.All`
• Klik daarna op `Grant admin consent` voor de tenant.

Maak via de prompt een certificaat en PFX met wachtwoord

Voor Foundation gebruiken we app-only toegang op basis van een certificaat. Maak het certificaat lokaal aan en exporteer zowel een `.pfx` voor Foundation als een publiek `.cer`-bestand voor de appregistratie.

• Open `PowerShell` of `Windows Terminal` als beheerder.
• Maak eerst een certificaat in de local machine store.
• Exporteer daarna het certificaat als `.pfx` met wachtwoord voor gebruik in Foundation.
• Exporteer daarnaast ook het publieke certificaat als `.cer` voor upload in de appregistratie.
• Bewaar het PFX-bestand, het CER-bestand en het wachtwoord apart en veilig.

$cert = New-SelfSignedCertificate `
  -Subject "CN=Amuneth Foundation Assessment" `
  -CertStoreLocation "Cert:\LocalMachine\My" `
  -KeyExportPolicy Exportable `
  -KeySpec Signature `
  -KeyLength 2048 `
  -KeyAlgorithm RSA `
  -HashAlgorithm SHA256

$pwd = ConvertTo-SecureString "KiesHierEenSterkWachtwoord" -AsPlainText -Force

Export-PfxCertificate `
  -Cert $cert `
  -FilePath "C:\Temp\Amuneth-Foundation-Assessment.pfx" `
  -Password $pwd

Export-Certificate `
  -Cert $cert `
  -FilePath "C:\Temp\Amuneth-Foundation-Assessment.cer"

Upload het certificaat in de appregistratie

Nu de export klaarstaat, moet het publieke `.cer`-certificaat aan de appregistratie gekoppeld worden.

• Open de eerder gemaakte appregistratie.
• Ga naar `Certificates & secrets`.
• Kies `Upload certificate`.
• Upload hier het publieke `.cer`-bestand, niet het `.pfx`-bestand.
• Controleer of het certificaat actief zichtbaar is in de appregistratie.

Start daarna de Foundation assessment

Wanneer de appregistratie, rechten en certificaat goed staan, kun je de scan direct uitvoeren.

• Open Foundation M365.
• Vul `Tenant ID` en `Client ID` in.
• Upload het `.pfx`-bestand.
• Voer het gekozen PFX-wachtwoord in.
• Start de scan.
• Na afronding staat het rapport klaar in Foundation en ontvangt de gebruiker een e-mail.