← Terug naar diensten // Offensive

Azure / Entra ID Pentest

Misconfiguraties, identity risks en privilege paths in uw Microsoft cloud

€175 /uur CCV gecertificeerd

Een diepgaand whitebox-onderzoek van uw Azure- en Entra ID-omgeving. Wij analyseren RBAC-configuraties, conditional access policies, privileged identity management, service principal permissies en aanvalspaden richting tenant-admin.

Wat is een Azure / Entra ID Assessment?

Een Azure / Entra ID Assessment is een diepgaand whitebox-onderzoek van uw Microsoft-cloud. We analyseren uw configuratie, architectuur en identiteitsbeheer om u te helpen uw omgeving optimaal te beschermen en robuuster te maken.

Azure en Entra ID vormen een essentieel onderdeel van uw IT-infrastructuur. De complexiteit van features zoals RBAC, conditional access en PIM kan de inrichting hiervan echter foutgevoelig maken. Door onze ruime ervaring als pentesters weten we inmiddels goed wat de meest voorkomende misconfiguraties zijn en hoe deze impact hebben op uw veiligheid.

Wat onderzoeken wij?

  • Entra ID configuratie - conditional access, MFA-instellingen, legacy authentication en password policies.
  • Privileged Access - Global Admin accounts, PIM-configuratie (standing vs. just-in-time) en break-glass accounts.
  • RBAC & permissies - overmatige roltoewijzingen, custom roles en rechtenstructuren.
  • App registrations & service principals - application vs. delegated permissions en secret management.
  • Aanvalspaden - concrete routes van een reguliere gebruiker naar Global Admin.
  • Azure resources - storage accounts, NSG-rules, Key Vaults en managed identities.

Waarom een Azure / Entra ID Assessment laten uitvoeren?

Microsoft biedt sterke security-features, maar het is onverstandig om een cloudomgeving as-is (met enkel standaardinstellingen) te draaien. Dit introduceert onnodige kwetsbaarheden. Het cloudlandschap is complex, vernieuwd snel en de hoeveelheid configuratiemogelijkheden is enorm. Wij helpen u om daar grip op te krijgen. Denk bijvoorbeeld aan veelvoorkomende risico's zoals:

  • Gaten in Conditional Access - legacy authentication staat open of onvoldoende MFA-dekking.
  • Overmatige rechten - gebruikers of service principals met onnodige Global Admin-rechten.
  • Vergeten app registrations - oude test-apps met brede API-permissies die nog steeds actief zijn.
  • Geen PIM - permanente admin-rechten in plaats van just-in-time activatie.

Dit soort fouten kan leiden tot een volledige tenant-overname, data-exfiltratie uit SharePoint/Teams, of laterale beweging naar uw on-premises netwerk via Azure AD Connect. Wij brengen dit overzichtelijk voor u in kaart.

Onze werkwijze

  • Tenant inventory - inventarisatie van alle identiteiten, groepen, rollen en apps.
  • Configuration review - analyse van conditional access, MFA, policies en security defaults.
  • Permission analysis - controle van RBAC-toewijzingen, app permissions en OAuth consent grants.
  • Attack path mapping - identificatie van aanvalspaden richting Global Admin (met o.a. AzureHound en ROADtools).
  • Azure resource review - controle van storage, netwerken en compute resources.
  • Rapportage - een rapport met risicoclassificatie, gevisualiseerde aanvalspaden en direct toepasbare hardening-stappen. Geen vage theorie, maar concrete oplossingen.

Vragen na het rapport? Als uw security-partner blijven wij na oplevering graag betrokken om u te helpen met het daadwerkelijk oplossen en hertesten van de kwetsbaarheden.

Wat kost een Azure / Entra ID Assessment?

Ons uurtarief is €175 per uur. De uiteindelijke scope hangt af van factoren zoals de grootte van uw tenant, de complexiteit (multi-tenant, B2B/B2C, hybride AD) en of u naast Entra ID ook Azure-resources wilt meenemen.

Methodologie

1

Tenant Inventory

In kaart brengen van alle identiteiten, rollen en applicaties in de tenant.

2

Configuration Review

Analyse van conditional access, MFA-policies en privileged roles.

3

Attack Path Analysis

Identificeren van aanvalspaden richting Global Admin via misconfiguraties.

4

Rapportage

Rapport met risico-ranking, aanvalspaden en concrete hardening-stappen.

Veelgestelde vragen

Wat is het verschil tussen een Azure pentest en een Entra ID Assessment?

Een Azure pentest richt zich op het actief exploiteren van kwetsbaarheden in Azure-resources. Een Entra ID Assessment is een whitebox configuratie-review van identiteits- en toegangsbeheer. Wij combineren beide vaak - dat geeft het compleetste beeld.

Hebben jullie Global Admin-rechten nodig?

Nee. Wij werken met een read-only account - Security Reader of Global Reader. Geen wijzigingen aan uw tenant. Wij vragen alleen de rechten die we nodig hebben, niet meer.

Hoe verhoudt dit zich tot Microsoft Secure Score?

Secure Score is een nuttig startpunt maar geeft een beperkt beeld. Het mist organisatiespecifieke risico's: aanvalspaden via app registrations, overmatige delegations, custom RBAC. Ons assessment gaat significant dieper. Wij kijken vanuit het perspectief van een aanvaller, niet vanuit een checklist.

Kunnen jullie ook hybride AD-omgevingen beoordelen?

Ja. De meeste van onze klanten hebben hybride omgevingen met Azure AD Connect. Wij beoordelen de synchronisatieconfiguratie, de risico's van password hash sync vs. pass-through authentication, en de aanvalspaden tussen on-premises en cloud.

Gerelateerde diensten

// Offensive

Active Directory Pentest

Kerberoasting, delegation abuse en privilege escalation in AD

 // Defensief

Microsoft 365 Review

Complete M365 security beoordeling

Klaar om uw security te testen?

Neem contact op met ons team voor een vrijblijvend gesprek over uw security uitdagingen.

Neem contact op