← Terug naar diensten // Offensive

Azure / Entra ID Pentest

Misconfiguraties, identity risks en privilege paths in uw Microsoft cloud

€175 /uur CCV gecertificeerd Neem contact op

Een diepgaand whitebox-onderzoek van uw Azure- en Entra ID-omgeving. Wij analyseren RBAC-configuraties, conditional access policies, privileged identity management, service principal permissies en aanvalspaden richting tenant-admin.

Wat is een Azure / Entra ID pentest?

Een Azure pentest (ook wel Entra ID pentest of Azure / Entra ID assessment) is een diepgaand whitebox-onderzoek van uw Microsoft-cloud. We analyseren uw configuratie, architectuur en identiteitsbeheer vanuit het perspectief van een aanvaller om u te helpen uw omgeving optimaal te beschermen en robuuster te maken.

Azure en Entra ID vormen een essentieel onderdeel van uw IT-infrastructuur. De complexiteit van features zoals RBAC, conditional access en PIM kan de inrichting hiervan echter foutgevoelig maken. Door onze ruime ervaring als pentesters weten we inmiddels goed wat de meest voorkomende misconfiguraties zijn en hoe deze impact hebben op uw veiligheid.

Wat onderzoeken wij?

  • Entra ID configuratie - conditional access, MFA-instellingen, legacy authentication en password policies.
  • Privileged Access - Global Admin accounts, PIM-configuratie (standing vs. just-in-time) en break-glass accounts.
  • RBAC & permissies - overmatige roltoewijzingen, custom roles en rechtenstructuren.
  • App registrations & service principals - application vs. delegated permissions en secret management.
  • Aanvalspaden - concrete routes van een reguliere gebruiker naar Global Admin.
  • Azure resources - storage accounts, NSG-rules, Key Vaults en managed identities.

Hoe verloopt een Azure / Entra ID pentest?

Een Azure pentest start bij ons met een grondige tenant inventory: wij brengen alle identiteiten, rollen, app registrations en service principals in kaart. Daarna volgt de configuration review, waarbij we conditional access, MFA-policies, security defaults en PIM-instellingen tegen het licht houden. In de permission analysis ontleden wij RBAC-toewijzingen, OAuth consent grants en application permissions om overmatige rechten op te sporen. Vervolgens brengen we de aanvalspaden in kaart - concrete routes waarlangs een reguliere gebruiker richting Global Admin kan escaleren. We sluiten af met een Azure resource review (storage, netwerk, Key Vaults, managed identities) en een rapportage met risico-ranking en hardening-stappen.

Waarom een Azure / Entra ID pentest laten uitvoeren?

Microsoft biedt sterke security-features, maar het is onverstandig om een cloudomgeving as-is (met enkel standaardinstellingen) te draaien. Dit introduceert onnodige kwetsbaarheden. Het cloudlandschap is complex, vernieuwd snel en de hoeveelheid configuratiemogelijkheden is enorm. Wij helpen u om daar grip op te krijgen. Denk bijvoorbeeld aan veelvoorkomende risico's zoals:

  • Gaten in Conditional Access - legacy authentication staat open of onvoldoende MFA-dekking.
  • Overmatige rechten - gebruikers of service principals met onnodige Global Admin-rechten.
  • Vergeten app registrations - oude test-apps met brede API-permissies die nog steeds actief zijn.
  • Geen PIM - permanente admin-rechten in plaats van just-in-time activatie.

Dit soort fouten kan leiden tot een volledige tenant-overname, data-exfiltratie uit SharePoint/Teams, of laterale beweging naar uw on-premises netwerk via Azure AD Connect. Wij brengen dit overzichtelijk voor u in kaart.

Welke kwetsbaarheden vinden wij in Azure en Entra ID?

Bij vrijwel elke Entra ID pentest komen we terugkerende patronen tegen. De meest voorkomende zijn gaten in conditional access - denk aan legacy authentication die nog openstaat en MFA volledig omzeilt, of policies met te ruime exclusions. Daarnaast zien we structureel overmatige rechten: gebruikers en service principals met permanente Global Admin-rechten, terwijl PIM en just-in-time activatie ontbreken. Vergeten app registrations met brede API-permissies vormen een onderschat risico, net als OAuth consent abuse waarbij een aanvaller via een malafide app toegang krijgt tot mailboxen en bestanden. Tot slot komen zwakke RBAC-structuren en custom roles met onbedoelde escalatiepaden veel voor - stuk voor stuk fouten die in een Azure pentest tot een volledige tenant-overname kunnen leiden.

Onze werkwijze

  • Tenant inventory - inventarisatie van alle identiteiten, groepen, rollen en apps.
  • Configuration review - analyse van conditional access, MFA, policies en security defaults.
  • Permission analysis - controle van RBAC-toewijzingen, app permissions en OAuth consent grants.
  • Attack path mapping - identificatie van aanvalspaden richting Global Admin (met o.a. AzureHound en ROADtools).
  • Azure resource review - controle van storage, netwerken en compute resources.
  • Rapportage - een rapport met risicoclassificatie, gevisualiseerde aanvalspaden en direct toepasbare hardening-stappen. Geen vage theorie, maar concrete oplossingen.

Vragen na het rapport? Als uw security-partner blijven wij na oplevering graag betrokken om u te helpen met het daadwerkelijk oplossen en hertesten van de kwetsbaarheden.

Welke tools gebruiken wij?

Voor het in kaart brengen van aanvalspaden in Entra ID en Azure zetten wij gespecialiseerde tooling in. Met AzureHound en BloodHound visualiseren wij relaties tussen identiteiten, rollen en resources, zodat escalatieroutes richting Global Admin zichtbaar worden. ROADtools gebruiken wij om de tenant volledig te enumereren. Via de Microsoft Graph API en GraphRunner toetsen wij permissions, OAuth consent grants en mogelijkheden tot misbruik. Tooling is voor ons echter slechts een startpunt: de echte waarde zit in onze handmatige analyse. Geautomatiseerde scans missen organisatiespecifieke aanvalspaden en context. Onze pentesters valideren elke bevinding handmatig en vertalen die naar concrete impact.

Wat is het verschil tussen een Azure pentest en een Entra ID assessment?

Deze termen worden vaak door elkaar gebruikt, maar wij maken een duidelijk onderscheid. Een Azure pentest richt zich op het actief exploiteren van kwetsbaarheden in Azure-resources: storage accounts, netwerken, managed identities en compute. Het doel is aantonen wat een aanvaller daadwerkelijk kan bereiken. Een Entra ID assessment is daarentegen een whitebox configuratie-review van identity & access management - conditional access, RBAC, PIM en app registrations - waarbij wij de inrichting beoordelen op zwakke plekken. In de praktijk combineren wij beide. Identiteit en resources zijn in de Microsoft-cloud onlosmakelijk verbonden, en juist op het snijvlak ontstaan de interessantste aanvalspaden. Die combinatie geeft u het compleetste beeld van uw werkelijke risico's.

Kunnen jullie hybride omgevingen (Azure AD Connect) testen?

Ja. De meeste van onze klanten draaien een hybride omgeving waarin on-premises Active Directory via Azure AD Connect wordt gesynchroniseerd met Entra ID. Juist die koppeling verdient aandacht. Wij beoordelen de synchronisatieconfiguratie en de keuze tussen password hash sync en pass-through authentication - elk met eigen risico's. Bij password hash sync kan een aanvaller met toegang tot de juiste hashes verregaande schade veroorzaken; pass-through authentication introduceert weer andere afhankelijkheden. Wij brengen de aanvalspaden tussen on-premises en cloud expliciet in kaart: van een gecompromitteerd on-prem account richting Global Admin, en omgekeerd van de cloud terug naar uw interne netwerk. Een Entra ID pentest is in een hybride context onlosmakelijk verbonden met de beveiliging van uw on-premises domein.

Wat kost een Azure / Entra ID pentest?

Ons uurtarief is €175 per uur. De uiteindelijke scope hangt af van factoren zoals de grootte van uw tenant, de complexiteit (multi-tenant, B2B/B2C, hybride AD) en of u naast Entra ID ook Azure-resources wilt meenemen.

Azure / Entra ID pentest en compliance

Steeds meer organisaties laten een Azure pentest uitvoeren om aantoonbaar invulling te geven aan hun compliance-verplichtingen. Onder NIS2 moeten organisaties passende technische maatregelen nemen en periodiek toetsen of deze effectief zijn - een Entra ID pentest levert hiervoor concreet bewijs. Ook binnen ISO 27001 sluit ons onderzoek aan op de eisen rondom risicobeoordeling, toegangsbeheer en periodieke beveiligingstesten. Ons rapport is zo opgesteld dat het direct bruikbaar is in audits: met een heldere risicoclassificatie, gevisualiseerde aanvalspaden en concrete maatregelen. Zo onderbouwt u richting auditors en toezichthouders dat u uw Microsoft-cloud aantoonbaar beveiligt - niet op basis van aannames, maar op basis van een onafhankelijke toets.

Hoe verhoudt dit zich tot Microsoft Secure Score?

Microsoft Secure Score is een nuttig startpunt: het geeft een eerste indicatie van uw security-hygiëne en wijst op ontbrekende standaardmaatregelen. Maar Secure Score blijft een checklist die generieke aanbevelingen optelt tot een cijfer. Het mist organisatiespecifieke aanvalspaden - juist de routes die in de praktijk tot een tenant-overname leiden. Een hoge Secure Score zegt niets over die ene vergeten app registration met brede API-permissies of die conditional access-exclusion die uw MFA omzeilt. In een Azure / Entra ID pentest kijken wij niet vanuit een checklist, maar vanuit het perspectief van een aanvaller. Wij ketenen losse misconfiguraties aaneen tot concrete aanvalspaden en laten zien wat een aanvaller werkelijk kan bereiken. Dat gaat significant dieper dan een score.

Methodologie

1

Tenant Inventory

In kaart brengen van alle identiteiten, rollen en applicaties in de tenant.

2

Configuration Review

Analyse van conditional access, MFA-policies en privileged roles.

3

Attack Path Analysis

Identificeren van aanvalspaden richting Global Admin via misconfiguraties.

4

Rapportage

Rapport met risico-ranking, aanvalspaden en concrete hardening-stappen.

Veelgestelde vragen

Wat is het verschil tussen een Azure pentest en een Entra ID Assessment?

Een Azure pentest richt zich op het actief exploiteren van kwetsbaarheden in Azure-resources. Een Entra ID Assessment is een whitebox configuratie-review van identiteits- en toegangsbeheer. Wij combineren beide vaak - dat geeft het compleetste beeld.

Hebben jullie Global Admin-rechten nodig?

Nee. Wij werken met een read-only account - Security Reader of Global Reader. Geen wijzigingen aan uw tenant. Wij vragen alleen de rechten die we nodig hebben, niet meer.

Hoe verhoudt dit zich tot Microsoft Secure Score?

Secure Score is een nuttig startpunt maar geeft een beperkt beeld. Het mist organisatiespecifieke risico's: aanvalspaden via app registrations, overmatige delegations, custom RBAC. Ons assessment gaat significant dieper. Wij kijken vanuit het perspectief van een aanvaller, niet vanuit een checklist.

Kunnen jullie ook hybride AD-omgevingen beoordelen?

Ja. De meeste van onze klanten hebben hybride omgevingen met Azure AD Connect. Wij beoordelen de synchronisatieconfiguratie, de risico's van password hash sync vs. pass-through authentication, en de aanvalspaden tussen on-premises en cloud.

Klaar om uw security te testen?

Neem contact op met ons team voor een vrijblijvend gesprek over uw security uitdagingen.