Microsoft 365 Operationeel Beheer by Boom beroepsonderwijs

In ki jk

pl aa

MICROSOFT 365 OPERATIONEEL BEHEER

COLOFON Boom beroepsonderwijs info@boomberoepsonderwijs.nl www.boomberoepsonderwijs.nl Auteur: Marcel Beelen

ISBN: 978 90 372 6298 8 Eerste druk/eerste oplage © Boom beroepsonderwijs 2022

pl aa

Titel: Microsoft 365 operationeel beheer

Eindredactie: Boom beroepsonderwijs

Behoudens de in of krachtens de Auteurswet gestelde uitzonderingen mag niets uit deze uitgave worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of enige andere manier, zonder voorafgaande schriftelijke toestemming van de uitgever.

In ki jk

Voor zover het maken van reprografische verveelvoudigingen uit deze uitgave is toegestaan op grond van artikel 16h Auteurswet dient men de daarvoor wettelijk verschuldigde vergoedingen te voldoen aan de Stichting Reprorecht (www.reprorecht.nl). Voor het overnemen van (een) gedeelte(n) uit deze uitgave in bijvoorbeeld een (digitale) leeromgeving of een reader in het onderwijs (op grond van artikel 16, Auteurswet 1912) kan men zich wenden tot Stichting Uitgeversorganisatie voor Onderwijslicenties (Postbus 3060, 2130 KB Hoofddorp, www.stichting-uvo.nl). De uitgever heeft ernaar gestreefd de auteursrechten te regelen volgens de wettelijke bepalingen. Degenen die desondanks menen zekere rechten te kunnen doen gelden, kunnen zich alsnog tot de uitgever wenden. Door het gebruik van deze uitgave verklaart u kennis te hebben genomen van en akkoord te gaan met de specifieke productvoorwaarden en algemene voorwaarden van Boom beroepsonderwijs, te vinden op www.boomberoepsonderwijs.nl

INHOUD Inleiding .......................................................................................... 6 De-Microsoft-cloud ........................................................................ 9 Hardware-en-virtuele-hardware ................................................... 11 Infrastructure-as-a-Service ........................................................... 15 Microsoft-365-Software-as-a-Service ........................................... 18 De-hybride-ICT-infrastructuur-en-Microsoft ................................ 20 Voordelen-van-Microsoft-365 ....................................................... 22 Nadelen-van-Microsoft-365 ........................................................... 25 Microsoft-365-apps ........................................................................ 28 Microsoft-365-abonnementen ...................................................... 31 Samenvatting-Contoso-Nederland .............................................. 34

Hoofdstuk 2

De-beheerder-van-Microsoft-365 .............................................. 35 De-rol-van-de-beheerder .............................................................. 37 De-Microsoft-365-tenant ............................................................... 42 Het-Microsoft-365-admin-center .................................................. 46 De-mobiele-app-voor-Microsoft-365-beheerders ........................ 51 Beheerrollen-in-Microsoft-365 ...................................................... 53 AD-DS-versus-Azure-AD ................................................................. 54 Volg-de-Microsoft-365-ontwikkelingen ........................................ 57 Gebruikersondersteuning-voor-Microsoft-365-apps ................... 59 Documentatie-van-Microsoft-365 ................................................. 60 Microsoft-365-certificering ............................................................ 62 Help! ............................................................................................... 63 Samenvatting-Contoso-Nederland .............................................. 67

In ki jk

pl aa

Hoofdstuk 1

Hoofdstuk 3

Gebruikersbeheer-in-Microsoft-365 ......................................... 69 Maken-van-een-Microsoft-account .............................................. 71 Wachtwoorden-in-Microsoft-365 .................................................. 75 Banned-passwords ........................................................................ 79 Authenticatie-in-Microsoft-365 ..................................................... 80 Het-Globale-admin-wachtwoord-beveiligen ............................... 83 Multi-Factor-Authentication-voor-de-global-admin ................... 86 Self-Service-Password-Reset-en-MFA-voor-werknemers ........... 88 Verwijderen-van-een-werknemer ................................................. 91 Blokkeren-van-een-ontslagen-werknemer .................................. 93 Een-verwijderd-account-herstellen-in-Microsoft-365 ................. 94 Gastgebruikers ............................................................................... 96 Samenvatting-Contoso-Nederland .............................................. 98

Licenties-en-Apps-in-Microsoft-365 ........................................ 101 Betalingen-door-de-Microsoft-365-tenant ................................. 102 Abonnementen-aanschaffen-of-opzeggen ................................ 105 Microsoft-365-licenties-beheren ................................................. 109 Installatie-Microsoft-365-Office-op-Windows-11 ....................... 112 Updates-voor-Office .................................................................... 114 Installatie-van-Microsoft-365-apps-op-mobiele-devices .......... 118 What's-new .................................................................................. 119 Samenvatting-Contoso-Nederland ............................................ 120

Hoofdstuk 5

Groepen-in-Microsoft-365 ........................................................ 123 Samenwerken-in-groepen .......................................................... 125 Soorten-groepen .......................................................................... 128 Maken-van-Microsoft-365-groepen ............................................ 131 Wie-is-de-baas? ............................................................................ 134 Private-en-public-Microsoft-365-groepen .................................. 137 Werknemers-aan-een-groep-toevoegen-of-verwijderen .......... 139 Microsoft-365-groepen-beheren ................................................. 139 Hou-groepen-onder-controle ..................................................... 142 Een-groep-verwijderen ................................................................ 144 Een-verwijderde-groep-herstellen .............................................. 145 Gasttoegang-tot-groepen-beperken .......................................... 146 Naamgeving-van-Microsoft-365-groepen .................................. 148 Sensitivity-labels-voor-groepen ................................................. 151 Samenvatting-Contoso-Nederland ............................................ 152

pl aa

Hoofdstuk 4

Microsoft-OneDrive-for-Business-configuratie-en-beheer .. 153 Wat-is-OneDrive ........................................................................... 155 OneDrive-Sync ............................................................................. 157 Werknemerinstellingen-in-OneDrive .......................................... 160 OneDrive-admin-center ............................................................... 161 External-sharing ........................................................................... 162 Default-links-voor-bestanden-en-mappen ................................ 166 Defaults-voor-meldingen-en-opslag .......................................... 167 OneDrive-verwijderen-of-herstellen ........................................... 168 OneDrive-instelling-bij-de-gebruikersaccount .......................... 170 Samenvatting-Contoso-Nederland ............................................ 172

In ki jk

Hoofdstuk 6

Hoofdstuk 7

Microsoft-Teams-configuratie-en-beheer ............................. 175 Installatie-van-Teams .................................................................. 177 Teams-vanuit-het-perspectief-van-de-werknemer ................... 178 Teams-vanuit-het-perspectief-van-de-eigenaar ....................... 182 Aanwezigheid ............................................................................... 185

Het-Teams-admin-center ............................................................ 186 Teams-beheer .............................................................................. 187 Een-org-wide-team ...................................................................... 189 Externe-toegang .......................................................................... 190 Toegang-voor-gasten .................................................................. 192 Teams-beleidsinstellingen .......................................................... 193 Beheren-van-Apps-in-Teams ...................................................... 195 Cloudopslag-via-Teams .............................................................. 196 Monitoren-van-het-gebruik ......................................................... 197 Samenvatting-Contoso-Nederland ............................................ 199 Microsoft-SharePoint-online-configuratie-en-beheer ......... 201 SharePoint-Server-versus-SharePoint-online ........................... 202 External-sharing-in-SharePoint .................................................. 204 Opslaglimieten-voor-SharePoint-site-bestanden ..................... 205 Bestanden-bewaren-in-SharePoint ............................................ 206 Versiebeheer-voor-documenten ................................................. 207 SharePoint-prullenbak ................................................................ 209 SharePoint-online-instellingen ................................................... 210 Maak-je-eigen-site ....................................................................... 211 Samenvatting-Contoso-Nederland ............................................ 212

Hoofdstuk 9

Microsoft-Exchange-online-configuratie-en-beheer ............ 213 Exchange-Server-versus-Exchange-online ................................. 214 Het-Exchange-online-admin-center ........................................... 216 Recipients-overzicht .................................................................... 216 Mail-aliassen ................................................................................ 219 Shared-mailbox ........................................................................... 219 Mail-forwarding ........................................................................... 221 Verwijderen-van-een-mailbox .................................................... 221 De-distributie-groep .................................................................... 222 Samenvatting-Contoso-Nederland ............................................ 222

In ki jk

pl aa

Hoofdstuk 8

Hoofdstuk 10

Microsoft-365-Eindopdracht .................................................... 225 Korte-samenvatting ..................................................................... 226 Microsoft-365-Fundamentals ...................................................... 226 Index ............................................................................................ 230

INLEIDING

Digitale leeromgeving Bij sommige opdrachten heb je hulpmiddelen nodig. Bijvoorbeeld filmpjes, formulieren of een link naar een website. Deze links staan allemaal in de digitale leeromgeving en zijn klikbaar. Het icoontje in de vorm van een wereldbol in dit boek verwijst naar de link in de digitale leeromgeving. Om hier te komen ga je naar digitaal.boomonderwijs.nl/beroepsonderwijs.

Daarna kun je aan de slag!

pl aa

Eerste keer inloggen in de digitale omgeving Voordat je de digitale leeromgeving kunt gebruiken moet je je licentie activeren. • Overleg met je docent welk type account je gebruikt. • Ga naar www.boomberoepsonderwijs.nl/licentie. • Bekijk de instructiefilm of lees het stappenplan. • Volg de stappen.

In ki jk

Doelgroep Het lesboek Microsoft 365 operationeel beheer en het begeleidende digitale leerplatform zijn bedoeld voor niveau 3-4 studenten die het dagelijkse beheer van Microsoft 365 Business bij bedrijven voor hun rekening nemen. De Microsoft 365 Business-versies zijn bedoeld voor bedrijven tot 300 medewerkers, die geen behoefte hebben aan geavanceerde beveiliging en bijvoorbeeld cloud-gebaseerd werkplekbeheer. Beperkte functionaliteit voor grote ondernemingen komt kort ter sprake, maar maakt geen deel uit van de eindopdracht. Operationeel beheer van Microsoft 365 Microsoft is bij veel bedrijven dominant aanwezig met Windows op de servers, Windows op desktops en laptops, met bijvoorbeeld serverapplicaties als Microsoft Exchange (de mailserver) maar ook met kantoorapplicaties als Microsoft Office. Ook veel studenten en leerlingen werken met Microsoft-producten omdat scholen hier gebruik van maken in de eigen ICT-infrastructuur. Het is zeer verstandig om tijdens de studie al kennis te maken met Microsoft-producten én Microsoft 365-beheertaken want als ICT'er krijg je hier gegarandeerd mee te maken, ongeacht het bedrijf waar je komt te werken. Je maakt kennis met de zeer dynamische Microsoft SaaS-wereld die zowel voor de eindgebruiker van apps als voor de beheertaken en -activiteiten geldt. Bijna wekelijks worden functies of taken verplaatst, vervangen, hernoemd of verwijderd.

Bijzonder leerdoel Misschien is wel het belangrijkste leerdoel van dit lesboek dat de Microsoft 365 cloud zo veranderlijk is, dat je bij elke schermafdruk, elk artikel op internet en zelfs de schermafdrukken en teksten in dit boek moet controleren of de informatie nog steeds overeenkomt met de werkelijkheid in de cloud. Dit is daarom geen standaard IT-boek waar je stap voor stap handelingen uitvoert. Je zult regelmatig moeten googelen en je eigen weg moeten zoeken in de beheercentrums en documentatie van Microsoft. Welkom in de wereld van de cloud!

pl aa

Praktijkomgeving In dit lesboek maken we gebruik van de daadwerkelijke Microsoft 365 cloud. Bij het lesmateriaal krijg je een beheeromgeving die identiek is aan de omgeving zoals bedrijven deze gebruiken. Je hebt volledige beheerrechten in de bedrijfsomgeving.

In dit boek zie je links naar webpagina's en video's, weergegeven door een wereldbol links naast de tekst. In het digitale boek kun je op deze links klikken! Bijvoorbeeld "Je gaat in de online omgeving van Microsoft werken als beheerder bij de nieuwe Nederlandse vestiging van het Amerikaanse bedrijf Contoso. In de link lees je waar Microsoft dit fictieve bedrijf overal heeft gebruikt."

We raden sterk aan twee nieuw geïnstalleerde virtuele Windows 11 Professional pc's te gebruiken. Op de ene virtuele pc werk je als beheerder bij Contoso Nederland, we noemen dit de beheerder-pc. Op de andere virtuele pc voer je de werkzaamheden van een werknemer bij Contoso Nederland uit inclusief de installatie van apps, we noemen dit de werknemer-pc. Het is technisch mogelijk beheertaken en werknemertaken op één pc uit te voeren, maar dat wordt ten zeerste afgeraden omdat dit gegarandeerd voortdurend inlogproblemen oplevert.

In ki jk

Voor sommige opdrachten is een Android of iOS smartphone noodzakelijk. Het is geen probleem hiervoor je privé smartphone te gebruiken, de apps ondersteunen meerdere accounts, dus je kunt zowel privé als voor de schoolomgeving in de apps inloggen.

Leerdoelen 1. 2. 3. 4. 5. 6.

Je leert Microsoft 365 als cloud dienst plaatsen binnen de ICT-infrastructuur. Je kent een honderdtal beheertaken in Microsoft 365. Je weet waar relevante informatie over Microsoft 365 te vinden is en bent in staat Microsoft 365 documentatie te vinden en gebruiken. Je weet waar je de voornaamste beheercentrums vindt en wat de belangrijkste onderdelen daarvan zijn. Je hebt geleerd hoe je Microsoft accounts beheert en beveiligt. Je hebt geleerd hoe je abonnementen beheert, apps installeert en instellingen maakt.

Je hebt geleerd hoe groepen functioneren en voor welke apps en rechten die allemaal gebruikt worden. 8. Je hebt diverse beheertaken uitgevoerd in het Teams admin center en hebt Teams leren kennen als werknemer. 9. Je hebt diverse beheertaken uitgevoerd in het Exchange online admin center. 10. Je hebt kennisgemaakt met het SharePoint online admin center. 11. Je kent de mogelijkheden en beperkingen van OneDrive. 12. Je kent enkele Microsoft 365-technologieën voor grote ondernemingen.

Test je kennis Hiermee kun je zelf je kennis van de theorie testen.

In ki jk

•

pl aa

Elk hoofdstuk bestaat uit: • Theorie en opdrachten Hierbij leer je over en oefen je met de praktijk.

r pl aa em

HOOFDSTUK 2 DE BEHEERDER VAN MICROSOFT 365

In ki jk

Als je van school komt, krijg je zeker te maken met Microsoft 365-beheeractiviteiten. Deze beheeractiviteiten komen deels overeen met de meer traditionele beheeractiviteiten onder Windows Server. Accounts maken, wachtwoorden resetten of softwarelicenties kopen, gebruikers helpen met apps, storingen oplossen: het hoort er allemaal bij. Het werkt bij Microsoft 365 echter helemaal vanuit de cloud met andere tools. Bovendien brengt Microsoft 365 ook nieuwe beheertaken en uitdagingen met zich mee. Gelukkig heeft Microsoft alles goed gedocumenteerd en zijn er allerlei plekken te vinden waar je hulpt zoekt als er eens iets niet lukt.

Aan het eind van dit hoofdstuk

In ki jk

pl aa

4. 5. 6. 7.

Begrijp je dat de rol van de beheerder alsmaar verandert. Weet je wat een tenant is. Ben je ingelogd in je eigen tenant en heb je admin centers en hun structuur bekeken. Heb je de Microsoft 365 Admin app geïnstalleerd op je smartphone. Heb je deze app in gebruik genomen voor je tenant. Weet je waar je relevante Microsoft 365 informatie op het internet vindt. Ken je enkele relevante bronnen en community's die je helpen bij troubleshooten en om je kennis actueel te houden.

1. 2. 3.

De rol van de beheerder

pl aa

De rol van de beheerder verbreed zich jaar na jaar. Technische ontwikkelingen gaan zeer snel. Bedrijven doen vaak erg lang met systemen en vooral applicaties hebben een lange levenscyclus. Het gevolg is dat IT niet zo maar vervangen wordt, maar dat nieuwe IT er meestal bij komt. Niet elke nieuwe oplossing vervangt meteen oude oplossingen. Je werkt als beheerder met een grote verzameling van zeer diverse beheertools. Een aantal ervan ken je waarschijnlijk al.

Een diversiteit aan beheertools en beheerconsoles

In ki jk

Beheer van on-premise systemen Bij een on-premise IT-omgeving bij grote ondernemingen houden serverbeheerders zich bezig met de installatie en het onderhoud van serverhardware en besturingssystemen daarop als Windows Server 2022, geplaatst in een dataruimte, serverruimte of datacenter. Switches, routers, firewalls of de Microsoft-domain-controller service - die een belangrijke rol in het netwerk vervult worden onderhouden door een netwerkbeheerder. Voor security van de omgeving is vaak weer iemand anders verantwoordelijk. Bij een klein bedrijf ligt systeembeheer, netwerkbeheer, securitybeheer, gebruikersondersteuning en soms zelfs applicatiebeheer bij slechts één persoon of is dit deels of helemaal uitbesteed aan een IT-partner. Je beheert deze omgeving met de meegeleverde beheertools en beheerconsoles bij de hardware, bij Windows Server 2022 en bij serverapplicaties (zoals in het voorbeeld Exchange). Ook routers, firewalls, switches en andere onderdelen in het netwerk hebben een beheerconsole (vaak webgebaseerd).

Virtualisatie beheertools Veel kleine bedrijven en grote ondernemingen zijn aan het virtualiseren. De taken voor beheer veranderen dan. Als je al je twintig servers met virtuele netwerken virtualiseert op twee fysieke hosts, is er dan nog onderscheid tussen de systeembeheerder en de netwerkbeheerder?

pl aa

Vele virtual machines geconcentreerd op fysieke servers met speciale beheersoftware zorgen ervoor dat de concrete werkzaamheden van de beheerder er heel anders uitzien. Servers toevoegen en installeren, verplaatsen, upgraden, applicaties installeren, patchen: het worden relatief eenvoudige taken. Microsoft Azure portal Dankzij IaaS verplaats je de hardware naar een virtuele omgeving in de cloud. Je beheert dan geen hardware meer, maar wel nog de virtuele systemen daarop. Je maakt dan gebruik van de beheer consoles van de IaaS-aanbieder, bijvoorbeeld Microsoft Azure.

Microsoft 365 admin centers Voor een Microsoft 365 omgeving heb je geen eigen servers en geen eigen server applicaties. Je beheert alles met een browser vanuit de Microsoft 365 cloud in een aantal admin centers. Het is ook mogelijk veel beheertaken in de Microsoft-cloud uit te voeren met Windows PowerShell.

Microsoft legt op deze pagina met een kort filmpje uit wat een Microsoft 365 beheerder globaal doet (duur: 2'37").

Opdracht 1 MS365 - De moderne beheerder

In ki jk

a. Tijdens het eerste gesprek met je manager bij Contoso Nederland, heeft de manager je gevraagd om vanaf dag één je werk te documenteren, en om keuzes, instellingen en wijzigingen vast te leggen. Met je eerste opdracht ben je al begonnen: inventariseren wat er aan IT nodig is, en wat globaal de kosten zullen worden. De manager wil de komende 12 maanden maximaal 50.000 euro aan IT-kosten uitgeven. In dit bedrag zit ook jouw bruto jaarsalaris van 28.600 euro. Immers zijn jouw uren ook IT-kosten. De manager vindt flexibiliteit om overal te kunnen werken en goed te kunnen communiceren erg belangrijk. Jij adviseert daarom om laptops te kopen. Die zijn standaard voorzien van een camera zodat videobellen met Microsoft Teams eenvoudig mogelijk is. Je adviseert ook een extra (mobiel) 15 inch USB-C scherm voor elke werknemer. Werken met twee schermen is veel efficiënter. Zoek een 15 inch laptop (hij hoeft geen game-prestaties te hebben :-)) en een portable tweede 15 inch beeldscherm erbij (dat mag best een ander merk zijn). Misschien is een

Hoofdstuk 2 De beheerder van Microsoft 365

pl aa

dockingstation op kantoor handig om de laptop snel te kunnen koppelen en ontkoppelen. Noteer je productkeuzes en de globale kosten en bewaar deze tabel op een volgende sheet in een PowerPoint-bestand Infrastructuur_Contoso.pptx

In ki jk

b. De manager van Contoso Nederland heeft een kantoorruimte gehuurd in een groot pand. In dat pand ligt een netwerk dat via switches en een router/firewall gekoppeld is met de buitenwereld via een snelle internetverbinding. Ook WiFi is aanwezig. Deze basisinfrastructuur is van de eigenaar van het pand en is inbegrepen bij de huur van het pand. De kosten voor het netwerk bedragen 300 euro per maand. Contoso Nederland moet zelf zorgen voor printmogelijkheden, computersystemen, software en telefoons. Uiteraard dient ook gezorgd te worden voor bureaus, stoelen, tafels, kasten, en het belangrijkste: een koffieautomaat. Maar dat staat los van IT. Maak de presentatie voor je manager bij Contoso nu af, waar je de totale kosten in het eerste jaar voor een oplossing met servers (je mag zelf kiezen welke: eigen servers, eigen servers met virtualisatie of virtuele servers in de IaaS cloud) presenteert en vergelijkt met de totale kosten bij gebruik van Microsoft 365. Hou geen rekening met afschrijving, neem alle kosten op in het eerste jaar. Bewaar de sheet weer in het PowerPoint-bestand Infrastructuur_Contoso.pptx c. Maak een laatste sheet en noem daar enkele voordelen van de Microsoft 365-oplossing. Presenteer nu de PowerPoint aan een medestudent of docent. Naar aanleiding van je presentatie besluit de manager om bij de nieuwe vestiging van Contoso Nederland BV helemaal met SaaS en Microsoft 365 te gaan werken. Jij wordt een moderne beheerder. Je krijgt toestemming je voorgestelde harden software aan te schaffen en te installeren (de laptops, iPhones, software enzovoort).

Microsoft biedt bedrijven met Microsoft 365 de ‘modern workplace’, de moderne werkplek. Beveiliging volgt de modern ‘authentication’, groepen in Microsoft 365 zijn ‘modern groups' en SharePoint sites zijn ‘modern sites’. Dit alles maakt jou als beheerder de ‘modern administrator’: de moderne beheerder.

Bekijk het filmpje. Microsoft legt hier de visie over de Modern Workplace uit. Alles draait om communiceren en teamwork (duur: 12'35").

pl aa

Opdracht 2 MS365 - Thuiswerken als moderne beheerder

Tegenwoordig is zo nu en dan thuiswerken handig. Bij sommige bedrijven mag het niet, andere bedrijven doen er niet moeilijk over en bij sommige bedrijven is het een standaard arbeidsvoorwaarde om enkele dagen per week thuis te werken.

In ki jk

Microsoft 365 is ontwikkeld voor samenwerken op afstand, vanaf elke plek. Bij Contoso Nederland mogen straks alle werknemers enkele dagen per week thuis werken en dat geldt ook voor jou als beheerder. Achter je bureau met je laptop kun je prima je werk doen.

Thuiswerken, met voordelen en nadelen.

Hoofdstuk 2 De beheerder van Microsoft 365

a. Je moet de Microsoft 365 omgeving beheren voor zowel de werknemers op kantoor als voor de werknemers die thuiswerken. Wat heb je daarvoor nodig? Wat hebben de werknemers thuis nodig?

ARBO-wetgeving

pl aa

Vanwege de ARBO wetgeving moet het bedrijf zorgen voor een goede thuiswerkomgeving (denk aan een goed bureau en ergonomische stoel). Meer informatie lees je op de pagina in de link. ARBO-wetgeving en ergonomie maken geen deel uit van de eindtoets. Meer informatie lees je op de pagina in de link. ARBO-wetgeving en ergonomie maken geen deel uit van de eindtoets.

b. Je werkt thuis. Een werknemer op kantoor meldt dat er een probleem is met de newerkprinter. Hoe pak je dit probleem aan?

De Microsoft 365 tenant

In ki jk

Elk bedrijf wat Microsoft 365 producten gebruikt, wordt een tenant, zeg maar een huurder. De tenant is de globale beheerder die binnen het bedrijf Microsoft 365 beheert. Deze beheerder zorgt bijvoorbeeld voor gebruikersinstellingen, licentiebeheer, installatie, Mobile Application Management (MAM), beveiliging en voert nog veel meer taken uit over alle diensten die als tenant gehuurd worden. Een tenant krijgt standaard een domeinnaam bij Microsoft die eindigt op onmicrosoft.com. Dit domein wordt vooraf gegaan door de naam van de tenant, bijvoorbeeld bedrijfabcnl.onmicrosoft.com of boomnl.onmicrosoft.com. Bedrijven kunnen hun eigen domeinnaam aan Microsoft 365 koppelen, maar het Microsoft domein blijft altijd bestaan.

c. Jij hoeft geen tenant te maken, die is al voor je gemaakt als onderdeel van dit lesmateriaal. Het is een volwaardige bedrijfsaccount. Jij hebt een eigen tenant waar je global administrator bent om beheertaken te oefenen. Je gaat je tenant nu activeren via de link. De tenantgegevens bestaan uit de globale admin loginnaam (je Microsoft Work account) en een wachtwoord. Je lift als Contoso Nederland mee op de tenant van moederbedrijf Contoso.

De Microsoft 365 tenant

Maken van een tenant Een bedrijf wordt een tenant doordat het minimaal één Microsoft 365 product aanschaft. Voordat je het abonnement koopt, moet je het bedrijf namelijk registreren als klant op signup.microsoft.com. Dit is feitelijk niet anders dan bijvoorbeeld een account aanmaken bij bol.com. Bij het registreren geef je diverse gegevens op, inclusief creditcard betaalgegevens. Een emailadres wordt als loginnaam gebruikt voor de Microsoft Account voor de beheeromgeving.

pl aa

Microsoft legt uit hoe je een tenant maakt, inclusief twee korte filmpje (duur: 00'54" en 01'57"). Het derde filmpje hoef je niet te bekijken.

Privé Microsoft account Privé hebben veel mensen al een Microsoft account. Iedereen die bijvoorbeeld Hotmail gebruikt, met Outlook.com mailt of een Xbox Live login heeft, heeft een Microsoft Account. Ook als iemand Skype gebruikt of misschien een app hebt gekocht in de Microsoft Store, is dat met een Microsoft account gedaan.

In ki jk

Privé versus zakelijke account Let erop dat je soms bij het inloggen op website kunt inloggen met de credentials van je Microsoft account. Het kan voorkomen dat je probeert in te loggen en dat de site meldt dat je account niet bestaat. Dit komt omdat Microsoft persoonlijke accounts anders behandelt. Hieronder zie je een voorbeeld loginscherm. Klik je op Microsoft account en log je met een zakelijke of schoolaccount in dan gaat dat mis. Andersom, log je met een persoonlijke account in op een zakelijke inlogscherm (Work or School account), lukt dat eveneens niet.

pl aa

Hoofdstuk 2 De beheerder van Microsoft 365

Twee accounts: een Work or School account of een Microsoft account

Hoewel de loginnaam (het emailadres) niet relevant is voor de werking, is aan te raden dit Microsoft account te maken met een emailadres van het bedrijf. Bestaande privé Microsoft accounts kunnen hiervoor niet worden gebruikt.

In ki jk

Hoe weet je nu welke beheermogelijkheden je hebt als tenant? Deze vraag is niet eenduidig te beantwoorden, want eigenlijk kun je dat niet gemakkelijk zien. Het hangt er namelijk vanaf welke abonnementen je aanschaft. Afhankelijk van de abonnementen, passen de tenant rechten zich vanzelf aan.

Je schoolaccount

Waarschijnlijk werkt je school zelf ook met Microsoft 365. Je hebt dan (naast wellicht een privé Microsoft account) tevens een Microsoft School account. Je gebruikt deze als eindgebruiker voor het opslaan van bestanden in de OneDrive van school, je chat via Teams en gebruikt Word, Excel en PowerPoint. Deze account staat helemaal los van wat je in dit lesboek uitvoert, want in de schoolomgeving heb je geen beheerrechten. De school heeft een eigen tenant.

Als je op één systeem met meerdere Microsoft accounts of tenants moet werken, al dan niet persoonlijk, school en/of zakelijk, gebruik dan de InPrivate modus in Edge of de Incognito modus van Chrome. Sluit ook steeds de browsers af als je niet helemaal gek wilt worden van het in- en uitloggen en onder de verkeerde account inloggen.

r pl aa

Op je eigen pc werk je met Microsoft 365 apps van school, of eventueel met privé apps als je die hebt. Voor beheer bij Contoso gebruik je de beheerder-pc Windows 11 virtual machine om in de tenant in te loggen. Om als Contoso-werknemer in te loggen gebruik je de werknemer-pc Windows 11 virtual machine.

Opdracht 3 MS365 - Eerste kennismaking

In ki jk

a. Installeer twee virtual machines met Windows 11 Professional (Engels). Zorg dat ze beiden een internetverbinding hebben, ze moeten immers met de cloud van Microsoft gaan functioneren. Noem de ene virtual machine "beheerder-pc"en de andere "werknemer-pc". b. Log met je tenant gegevens in op het admin center admin.microsoft.com. Doe dit op je virtuele beheerder-pc, dat geldt ook voor de andere onderdelen van deze opdracht. Na inloggen zie je eerst een belangrijke melding Stay in to all your apps. Het vinkje Allow my organization to manage my device. Haal dit vinkje weg en klik op ok. Wat zie je na inloggen? c. Het dialoogvenster Stay in to all your apps wat je zag net voor het inloggen heeft feitelijk vier manieren om door te gaan.

pl aa

Hoofdstuk 2 De beheerder van Microsoft 365

Welke vier zijn dit en zoek op wat het gevolg is van deze keuzes. Snapt een gemiddelde werknemer wat hij hier moet kiezen?

Hier wordt de Allow-functie uitgelegd.

In ki jk

d. Wat gebeurt er als een werknemer thuis werkt met zijn privé laptop en bij het inloggen Allow my organization to manage my device kiest? Dit is de default keuze en de meeste werknemers lezen niet en klikken gewoon ok. Je zult moeten Googlen e. Het is verstandig later een tweede Microsoft Account te maken in een admin center, voor een collega die als fallback kan fungeren of als tweede globale beheerder je kan helpen. Bij de Engelse werknemers van Contoso zitten ook al globale admins. Wie zijn dat? Wat vind je hiervan? f. Wat voor type werknemers (accounts, users) herken je in het admin center? g. Hoeveel admin centers (naast admin.microsoft.com) open je (ongeveer) vanuit dit portaal? h. Rechtsboven zie je het pictogram van een opdrachtregel. Je kent die van Linux en van Windows. De app heet Cloud Shell.

De opdrachtregel

pl aa

Klik op die app en open daarna één van beide aangeboden mogelijkheden. Hoe verklaar je wat er gebeurt? i. Open vanuit het admin center het Azure Active Directory admin center. Wellicht moet je opnieuw inloggen. Klik op All Services. Welke twee belangrijke hoofdcategorieën zijn met Azure AD te beheren? Wat is de URL van dit portal? j. In de home page van Azure AD zie je ook welke licentie Contoso heeft van Azure AD. Welke versie is dit? k. Zoek in het Azure Active Directory admin center het Azure portal. Open dit Azure admin center. Je logt in. Wat zie je hier en wat kun je hier? Wat is de URL van dit portal? l. De manager van Contoso heeft je gevraagd de IT-omgeving (harden software, configuratie en instellingen) te documenteren. Download het Word document IT_Docs_Contoso.docx, dit is een template. Vul hier: in de loginnaam van je beheeraccount, de tenant naam, het hoofddomein, de Azure AD versie en het tenant beheer wachtwoord. Noteer ook je naam, de datum dat je in dienst bent gegaan bij Contoso (de datum dat je bent gestart met dit lesboek) en je jaarsalaris. m. In het tweede hoofdstuk leg je de geselecteerde, te kopen en aangeschafte IT harden software vast. Je haalt deze gegevens als het goed is, eenvoudig uit je management presentatie bij Contoso Nederland. Grote bedrijven werken veelal met een CMDB (een Configuration Management DataBase) waar ze alle CI's (Configuration Items) vastleggen. Contoso Nederland is nog zo klein dat een CMDB nog niet zo zinvol is. Voor het eenvoudig vastleggen, volstaat een documentje (of Excel werkblad).

Het Microsoft 365 admin center

In ki jk

Het Microsoft 365 admin center (in het Nederlands beheercentrum genoemd), is het beheerportaal waar je inlogt om de gehele Microsoft 365-cloud van je bedrijf te beheren en vormt je centrale ingang tot Microsoft 365. Na de eerste kennismaking zojuist in de opdrachten, bekijken we enkele onderdelen van deze primaire toegangspoort tot Microsoft 365.

pl aa

Hoofdstuk 2 De beheerder van Microsoft 365

Een deel van het Microsoft 365 admin center.

Ben je als gebruiker ingelogd in Microsoft 365, dan is Beheer als app tussen je apps te vinden als je beheerderrechten hebt. Als je daarop klikt, spring je eveneens meteen naar het Microsoft 365 admin center.

In ki jk

Meerdere admin centers Maar je hebt al gemerkt dat het helaas geen alles-in-één oplossing is. Het is het startpunt naar alle andere admin centers van Microsoft. Om de Microsoft 365-cloud te beheren heb je meerdere admin centers nodig. Je springt zelfs een beetje te pas en onpas van het ene naar het andere admin centers en soms moet je opnieuw inloggen. Niet alle instellingen worden altijd meegenomen naar alle admin centers (bijvoorbeeld dark mode of de taalinstelling van de bediening). Veranderlijk Omdat de admin centers webportalen in de cloud zijn, moet je ook niet verrast opkijken als functies worden opgeheven, er nieuwe mogelijkheden bijkomen of als er functies van het ene naar het andere admin center worden verplaatst. Deze dynamiek hoort nu eenmaal bij beheer in de cloud. Hou er rekening mee dat de meeste informatiebronnen (online materiaal, documentatie, boeken, schermafdrukken inclusief dit lesboek) in de praktijk snel zijn ingehaald door de tijd. Blijf daarom alert.

Admin centers Op dit moment zijn er meer dan tien admin centers. Er zijn in die admin centers ook opties die niet werken omdat je een licentie mist. Zo ontbreken er in Azure Active Directory flink wat functies, die je kunt gebruiken op het moment dat je een duurder abonnement afsluit. Dit valt op dit moment buiten de scope van dit boek om het overzichtelijk te houden. In dit lesboek beperken wij ons tot de een deel van de mogelijkheden binnen Microsoft 365 Business, voor bedrijven tot 300 medewerkers. Voor Microsoft 365 Business Standard heb je maar een stuk of vijf admin centers nodig en gelukkig lijken de admin centers qua bediening op elkaar.

pl aa

Hier bekijk je twee video's. De eerst toont een vereenvoudigde weergave van het admin center (duur: 2'20") de tweede video toont de uitgebreidere versie met cards (duur: 2'46").

Navigatiemenu Aan de linkerzijde van een admin center zie je het menu, met bovenaan de Home knop. De knoppen daaronder brengen je onder meer naar pagina’s om gebruikers te beheren en licenties te beheren. De knoppen op de tweede helft in het menu zijn links naar andere admin centers. Klik je op All Admin centers, dan wordt het overzicht getoond van alle beschikbare admin centers. De knop Show all laat je alle menukeuzes zien, ook degenen die verborgen zijn. Je kunt zelf het menu aanpassen door menukeuzes vast te zetten (pin) of los te maken (unpin). Ben je gewend aan het menu en herken je de pictogrammen, dan verberg je de menuteksten door te klikken op de navigatieknop.

In ki jk

Navigatiebalk De bovenste regel van het admin center wordt de navigatiebalk genoemd. Je ziet daarop in het midden een veld om te zoeken. Klik je op de puntjes linksboven, de App Launcher, dan opent het App menu. Dit menu geeft je direct toegang tot de Microsoft 365 (gebruikers) apps die je als ingelogde globale beheerder mag gebruiken. Waarschijnlijk moet je regelmatig inloggen als je naar andere apps schakelt. Het wiel rechtsboven opent je instellingen voor het admin center. Hier pas je het thema van het admin center aan. Merk op dat er een light en dark mode is, deze is te kiezen op de home page. MyAccount Enkele opties sturen je naar een ander portaal: myaccount.microsoft.com. Hier pas je bijvoorbeeld de weergavetaal aan of werk je de contactgegevens bij. Deze accountgegevens zijn tevens te openen door op je initialen rechtsboven en daar op

Hoofdstuk 2 De beheerder van Microsoft 365

View profile te klikken. De myacount console is gelijk aan de van elke (niet-admin) werknemer. Immers, je hebt als globale beheerder net zo goed een Microsoft account als iedereen binnen het bedrijf.

pl aa

Engelse taal Diverse admin centers zijn in het Nederlands, net als grote delen van de documentatie. Veel vertalingen zijn echter automatisch gemaakt, kloppen niet altijd en zijn niet consistent. Sterker nog, ze zijn soms dramatisch slecht.

In ki jk

Gebruik de admin centers en de apps in het Engels. Zo wordt de presentatiehulp-functie van PowerPoint wordt omschreven als: “Als u wilt ontspannen en uzelf langzaam wilt laten gaan wanneer u bent ver weg van de dag, neemt u een diepgaande indruk.” Het product "Microsoft Access" wordt op plekken in het Nederlands vertaald naar "Microsoft Toegang". Kijk niet gek op als "Single sign-on" vertaald wordt naar "Eén sign-on". Dit maakt het werken met de Nederlandse admin centers niet altijd even gemakkelijk. De vertaaltechniek zal in de toekomst zeker beter worden.

Engels heeft de voorkeur

pl aa

Wij raden sterk aan de admin centers en de Admin App vooralsnog altijd in het Engels te gebruiken. Je verandert de taal in het admin center eenvoudig door op instellingen te klikken (het wiel rechtsboven). Het kan zijn dat deze taalinstelling niet wordt meegenomen naar alle admin centers en dat je dit enkele malen moet doen. In de App die we straks downloaden, gaat aanpassen van de weergavetaal net zo eenvoudig.

MyAccount en aanpassen van de weergavetaal voor admin centers.

In ki jk

Cards Het admin center bevat cards (kaarten) die zijn aan te passen aan je eigen wensen. Een nieuwe kaart toevoegen de je met de knop Add cart in het hoofdmenu. Alle aanwezige cards zijn met de muis te verslepen naar andere plek op de home page. Op deze wijze creëer je als beheerder je eigen dashboard met veelgebruikte activiteiten of informatiebronnen.

Opdracht 4 MS365 - Admin center configureren a. Log in het admin center in als globale beheerder. Doe dit op je virtuele beheerder-pc, dat geldt ook voor de andere onderdelen van deze opdracht. Schakel de admin console om naar dark mode. b. Waarschijnlijk zie je een tip van Microsoft, die paginabreed wordt getoond. Verwijder deze en zorg dat hij niet opnieuw verschijnt. c. Verplaats de card User management zodat deze linksboven wordt getoond. Voeg rechts daarnaast een card toe Admin roles assigned. d. Klik op Instellingen en verander het thema in het Lego thema.

Hoofdstuk 2 De beheerder van Microsoft 365

pl aa

e. Open je (beheerder) account informatie (View Account), controleer of de weergavetaal in het Engels staat. Zo nee, schakel deze over naar Engels. Controleer ook de tijdzone, die moet voor jou staan op onze lokale tijdzone (UTC+01:00) en niet op de Amerikaanse tijdzone. f. Open in je accountgegevens eens Subscriptions. Welk portal wordt er nu geopend? Uit welke onderdelen bestaat jou subscription? g. Open je Office profiel door op My Office profile te klikken in het admin center. Welk admin center wordt er nu geopend? Pas hier de profielfoto aan zodat een foto van jezelf wordt getoond. Als je bang bent voor privacy, mag het ook een foto van je huisdier zijn. h. Welke informatie kun je in dat profiel nog meer kwijt? Waar doet je dit profiel aan denken? De app voor profielbeheer heet Delve. Wat is de URL van het profielportaal? i. Pin het Teams admin center in het admin center zodat dit altijd getoond wordt. Ververs de pagina daarna om te zien of het gelukt is. j. Om je docent te laten zien dat je het tot hier uitgevoerd hebt, klik je in het admin center op je foto. Maak nu en schermafdruk waarop het Teams menu, het lego thema, de twee cards en je tenant naam te zien zijn. Plak deze afbeelding in je systeemdocumentatie (IT_Docs_Contoso.docx).

In ki jk

Aangepast admin center.

De mobiele app voor Microsoft 365 beheerders Voor werknemers zijn er Android en iOS apps voor zo’n beetje elke Windows app. Ze downloaden die uit de Google Play Store of Apple Store, loggen in met hun zakelijke Microsoft Account en zijn dan in staat met Word online, Excel online, Teams en veel andere apps te werken aan bedrijfsbestanden die met bijvoorbeeld OneDrive naar de cloud gesynchroniseerd zijn. Bekijk de video over de Microsoft 365 Admin app (duur: 2'12") Maar Microsoft is de beheerder niet vergeten. Er is een Microsoft 365 Admin app voor Android en iOS. Na download van deze app log je in als globale admin van de tenant van het bedrijf.

pl aa

De Microsoft 365 admin App in de App Store of Play Store

In ki jk

Op dit moment zijn een aantal basis beheertaken hiermee mogelijk, zoals het resetten van wachtwoorden van werknemers, bekijken en beheren van de licenties en bijvoorbeeld meldingen over storingen in de Microsoft 365-infrastructuur volgen. De functionaliteit wordt regelmatig uitgebreid met nieuwe mogelijkheden. Daar waar handig, gebruik je deze app naast de browser gebaseerde toegang voor beheerwerk. De Admin App wordt bij elke update handiger om te gebruiken voor terugkerende beheertaken.

De Microsoft 365 admin App

Je hoeft niet zelf te zoeken in de stores, in het admin center vind je een knopje wat een QR code opent om te scannen op je iOS of Android apparaat. Deze QR code leid je meteen naar de juiste app.

Hoofdstuk 2 De beheerder van Microsoft 365

Download de Admin App in het admin center

pl aa

Opdracht 5 MS365 - De Microsoft 365 Admin app

a. De Microsoft 365 Admin app is handig om altijd bij de hand te hebben als beheerder. Je kunt dan op elk moment en op elke plek simpele taken uitvoeren, zoals het resetten van een wachtwoord van een werknemer.

Pak je Android of iOS smartphone en open de Google Play Store respectievelijk de Apple App Store. Zoek de Microsoft 365 Admin app op, download en installeer deze op je smartphone. Log in de app in met je globale admin account. De Microsoft 365 Admin App is waarschijnlijk in het Nederlands. De App is niet machinaal vertaald en de vertaling is goed. Echter, de inhoud is deels nog steeds Engels (zoals alle meldingen). Volg ons advies en schakel de App om naar Engels. Ben je een fan van dark mode? De app kan dat ook. Waar vind je de instelling op de app om te schakelen naar dark mode? Voer dit uit. Áls iemand je smartphone kan gebruiken, heeft hij onbeperkt toegang tot de Admin App. Welke extra beveiliging kun je inschakelen voor toegang tot de App? Beveilig je app! Zie je in de Admin App ook de eerder in het admin center toegevoegde profielfoto terug?

In ki jk

In de app, open het menu linksboven en klik op je account. Maak hier een schermafdruk van en upload deze in de digitale omgeving.

Beheerrollen in Microsoft 365

De globale beheerder heeft nagenoeg alle rechten in het Microsoft 365 systeem. Gebruikers aanmaken, wachtwoorden veranderen, groepen maken en daar gebruikers aan toe voegen en nog veel meer. In grotere bedrijven met veel beheerders, worden taken verdeeld. In Microsoft 365 regel je dat met rollen. Er zijn heel veel verschillende rollen in Microsoft 365 omdat dit voor zeer grote ondernemingen noodzakelijk is.

Bij een kleiner bedrijf tot 300 werknemers waar Microsoft 365 Business Standaard op is gericht, werk je slechts met een paar collega-beheerders en is het minder zinvol beheerrechten uit te delen als je elkaars fallback wilt zijn. Takenscheiding zorgt dan voor onnodige bureaucratie. Toch zijn er zinvolle rollen om bij kleinere bedrijven te gebruiken.

pl aa

Boekhouder Als globale beheerder deel je licenties uit aan gebruikers. Komt er een nieuwe werknemer, dan koop je in het Microsoft 365 admin center het abonnement en die wordt afhankelijk van de ingestelde betaalwijze vanzelf afgeschreven van de rekening. Uitgaven die je doet of abonnementen die je als bedrijf aangaat, moeten vaak goedgekeurd worden. Door bijvoorbeeld de werknemer die de boekhouding verzorgt de rol factureringsbeheerder toe te kennen regelt hij de aanvragen van werknemers voor software en de aanschaf en betalingen.

Opdracht 6 MS365 - De andere beheerders

In ki jk

a. Login in je tenant en zoek de gebruikers accounts op van Contoso. Deze heb je eerder als eens gevonden. Het zijn te veel beheerders, Microsoft meldt dat ook. Verwijder de admin rechten van Megan in Azure AD. Verwijder de admin rechten van Lidia in het admin center. Hoe heet de taak die je hiervoor gebruikt in Azure AD en hoe heet de taak in het admin center? Verwijder tot slot de Admin rechten van Nestor in de App op je smartphone. b. Zoek eens in Azure AD welke rollen je allemaal kunt toekennen. Hoeveel verschillende rollen tel je? c. Welke rollen heeft Contoso allemaal in gebruik? Kun je bedenken of vinden wat de toegekende rollen doen of waar ze voor zijn bedoeld? Exporteer de lijst en neem deze op in je logboek IT_Docs_Contoso.docx . d. Wat mag een bepaalde rol in het systeem? Dat is te zien door in het admin center de rol te selecteren. Er opent een venster met exact beschreven wat een rol mag. Open eens de Billing administrator. Wat zijn de rechten van personen die deze rol krijgen?

AD DS versus Azure AD Active Directory Domain Services bestaat al meer dan 20 jaren is een service (een softwareonderdeel) die is te schakelen in op een systeem waarop een versie van het Windows Server besturingssysteem is geïnstalleerd, bijvoorbeeld Windows Server 2022.

Hoofdstuk 2 De beheerder van Microsoft 365

In ki jk

pl aa

AD DS domein In elke domeinomgeving is minimaal één AD DS actief. Je zou je Active Directory kunnen voorstellen als een complexe database waarin alle werknemers, hun wachtwoorden, groepen, rechten, printers, werkplekken en servers zijn vastgelegd. AD DS zorgt voor beveiliging en je configureert er werkplekken en gebruikersomgevingen mee. Zo zorg je ervoor dat een Windows pc alleen kan inloggen in het domein van je bedrijf, dat er instellingen in Windows worden aangepast (met Group Policy), dat de gebruikers automatisch netwerkstations zien en er een default printer is ingesteld (met bijvoorbeeld login scripts).

Organization Units en Group Policy In AD DS bestaan zogenaamde Organizational Units (OU’s) om afdelingen, groepen gebruikers of groepen computers onder te verdelen en hierop speciale rechten toe te kennen. Zo zou je een netwerkstation automatisch kunnen aankoppelen op computers in de ene OU, en een ander netwerkstation op computers in de andere OU. Alle taken in AD DS voer je uit met enkele beheerconsoles, de meeste zijn te starten op Windows, sommigen hebben ook een webinterface die je vanaf de werkplek bedient en die communiceert met de AD DS-server. De server waarop AD DS is ingeschakeld wordt een domain controller genoemd. Voor redundantie hebben veel bedrijven minimaal twee domain controllers draaien.

Boom beroepsonderwijs heeft afzonderlijk praktijkgerichte lesboeken over netwerken met Windows Server, waar deze terminologie uitgebreid wordt toegelicht. Voor het Microsoft 365 boek is kennis over AD DS niet nodig.

Bedrijven met een eigen infrastructuur, plaatsen soms een AD DS domain controller in de cloud als virtual machine (IaaS). Deze kan samenwerken met de lokale AD DS server, maar hoewel dit cloud computing is, heeft dit niets te maken met Azure AD en SaaS maar met IaaS. De virtuele AD DS server moet gewoon onderhouden en beheerd worden, net als de interne AD DS server.

pl aa

Azure AD Hoewel de naam het suggereert, is Azure AD geen cloud-versie van AD DS, het staat er zelfs heel ver vanaf. Het is niet mogelijk servers in Azure AD te koppelen of computer accounts te maken, er kan geen gebruik worden gemaakt van login scripts of Group Policy Objecten om instellingen te maken op Windows werkplekken. Azure AD kent geen forrests, geen Organization Units (OU’s), er is geen aanpasbaar directory schema, er is geen NTLM of Kerberos mogelijk voor authenticatie.

Azure AD wordt door de Microsoft SaaS-omgeving gebruikt voor beveiliging. Het bevat gebruikersaccount, gebruikersgroepen en moderne applicaties met applicatie instellingen. In AD DS bevinden zich juist weer geen applicaties. Azure AD maakt gebruik van moderne authenticatiemethodes als SAML en OAuth. Deze termen hoef je niet te onthouden en te kennen.

Azure AD is binnen Microsoft 365 de centrale plek voor het beheren van alle gebruikers, groepen, licenties en toegang tot Apps.

In ki jk

De directe link naar dit Azure admin center is hier te vinden. Maar meestal kom je in Azure AD doordat je vanuit het admin center wordt doorgestuurd.

Opdracht 7 MS365 - Azure AD datacenter, naam en ID a. Open het Azure AD admin center. Bekijk All services en open Tenant Properties. Voor welk land is deze tenant gemaakt? Waar bevinden zich de datacenter waar de data van je bedrijf Contoso is opgeslagen? b. In Nederland bevindt het datacenter zich vaak in "EU Model Clause compliant datacenters". Google wat dit betekent en bekijk de informatie van Microsoft bij de link. c. Elke tenant heeft een wereldwijd uniek nummer, een tenant ID. Kopieer deze ID in je logboek (helemaal vooraan). Je tenant heeft ook een naam. Kijk of je deze hier kunt vinden.

Hoofdstuk 2 De beheerder van Microsoft 365

d. Het wiel rechtsboven geeft je toegang tot Azure AD instellingen. Schakel het portal om naar dark mode. Stel vervolgens in dat je automatisch wordt uitgelogd na 60 minuten.

Volg de Microsoft 365 ontwikkelingen

pl aa

Een algemene regel voor elke beheerder is “if it ain't broke, don't fix it”. Als je proactief onderdelen in hard- of software gaat verbeteren, opwaarderen of aanpassen met als doel iets te verbeteren, gaat er altijd wel iets mis. Misschien zorgt je verbetering voor meer problemen dan hetgeen je probeert te verbeteren. Toch zijn er veel noodzakelijke aanpassingen die je juist doet om te voorkomen dat ICT defect gaat. Dus “If you don’t fix it, it will break”. Denk daarbij aan Windows en Office updates, updates voor apps, updates van firmware in firewalls, routers, switches en printers, access points, nieuwe drivers voor componenten in systemen enzovoort. Deze updates moeten periodiek gewoon uitgevoerd worden, zelfs als er storingen uit voort komen.

Change management (wijzigingenbeheer) is een belangrijke taak voor jouw als beheerder bij en bedrijf. Als je het goed doet, maak je geen wijzigingen in hardware of applicaties zonder de gevolgen en de impact vooraf te onderzoeken, de wijziging te testen (eventueel samen met enkele key users), erover te communiceren met je interne klanten en vervolgens gepland uit te voeren. Ook zorg je ervoor dat je de wijzigingen documenteert en legt vast of ze teruggedraaid kunnen worden indien nodig. Bij kleine wijzigingen worden deze stappen vaak overgeslagen, daarentegen worden grote wijzigingen strak voorbereid.

In ki jk

Extra functionaliteit De kracht van Microsoft 365 in vergelijking tot een reguliere aankoop van Office, zijn dat de werknemers functionele vernieuwingen krijgen. Echter, het brede scala aan apps en diensten van Microsoft zorgt ervoor dat er dagelijks wel een wijziging is. Hoe hou je dat in hemelsnaam bij? Change management is misschien wel het belangrijkste proces binnen ICT-beheer. Beheer je apps, services of diensten zelf, dan is het min of meer mogelijk controle te houden over vernieuwingen, in de cloud heb je er weinig over te zeggen. Change management Omdat je de Microsoft-diensten als SaaS afneemt, zorgt Microsoft voor het change management voor de meeste producten en diensten. Microsoft heeft een goed georganiseerd change management, want de diensten worden door honderdduizenden klanten gebruikt. Een kleine fout heeft dan zeer grote gevolgen. Microsoft Message center Microsoft communiceert primair met de globale beheerder over de geplande of uitgevoerde wijzigingen in de applicaties. Soms ontvang je mail als er binnenkort functionaliteit komt te vervallen. Het betreft wijzigingen in de diverse admin consoles

pl aa

die je als beheerder gebruikt, maar tevens wijzigingen in functionaliteit die voor de gebruikers relevant is. Berichten worden in het Message Center getoond en bewaard. Berichten zijn in het Engels, maar worden soms na machine translation in het Nederlands getoond. Zoals eerder geadviseerd: in het Engels zijn de berichten beter te begrijpen, maar vaak moet je zo nog steeds drie keer lezen om de impact voor je eigen bedrijf te interpreteren.

Message center in het admin center.

De meldingen en berichten zijn tevens te bekijken in de Microsoft 365 Admin app, die je als beheerder zeker moet hebben. Klik op de link om de veelgestelde vragen (FAQ) over het message center te lezen.

In ki jk

In het Microsoft 365 admin center stel je in als je deze mails niet langer wenst te ontvangen. Werknemers kunnen eveneens mailberichten ontvangen over wijzigingen. Als beheerder zet je berichtgeving voor gebruikers aan of uit in Microsoft 365 message center preferences. Merk op dat de mailberichten alleen informatie over wijzigingen bevat voor producten of diensten die je daadwerkelijk afneemt of die je zelf hebt geconfigureerd.

De Microsoft roadmap Microsoft heeft een actueel online overzicht van alle diensten, genaamd de Microsoft 365-Roadmap. Je vind er per dienst en product de vernieuwingen die in ontwikkeling zijn, die op dit moment worden ingevoerd en die daadwerkelijk al beschikbaar zijn. Zo blijf je als beheerder van Microsoft 365 altijd op de hoogte. Het kan geen kwaad deze site een paar keer per jaar te bezoeken. Om je niet te laten verrassen en om vragen van werknemers over nieuwe functies te beantwoorden.

Hoofdstuk 2 De beheerder van Microsoft 365

Klik op de link om de Microsoft 365 Roadmap te bekijken. Je vindt er tevens uitleg over de werking en het gebruik van de roadmap.

Opdracht 8 MS365 - Monitor de wijzigingen

pl aa

a. Log in de tenant van Contoso in als globale beheerder. Bezoek het Message center in het menu Health. Hoeveel wijzigingen/berichten zijn er de afgelopen week geplaatst? b. Welke andere doorsnedes dan de datum van publicatie kun je maken om de berichten gemakkelijker te vinden? c. Schakel meldingen over Dynamic 365 app, Microsoft Booking, Microsoft Kaizala, Power BI en Skype for Business uit. Wat is het effect hiervan? d. Voeg je eigen emailadres toe, zodat je per email bericht ontvangt van belangrijke wijzigingen of meldingen. Je kunt het standaard emailadres van je tenant laten staan. Merk op dat deze aanpassing tot wel acht uren kan duren voordat de aanpassing is doorgevoerd. e. Wat zie in Health van het admin center, bij Windows release health? f. Open de Admin App op je smartphone. Je bent als het goed is al ingelogd. Je ziet hier het Message Center ook. Stel in (of controleer) dat je popup meldingen krijgt als er berichten worden geplaatst. Welke berichten kun je ontvangen? g. Voor welke producten worden vernieuwingen doorgevoerd? h. Bekijk nu eens de Microsoft Roadmap (via de link). Hoeveel wijzigingen zijn er de komende tijd gepland?

Gebruikersondersteuning voor Microsoft 365 apps

In ki jk

Als je Microsoft 365 beheert, krijg je te maken met instellingen die de gebruikersomgeving veranderen. Om dit goed uit te voeren zonder werkprocessen te verstoren, is het zaak dat je enige inhoudelijk en functionele kennis hebt van de apps zelf. Het beste werk je zelf met de apps. De eerste vraag is, welke van de vele apps binnen Microsoft 365 moet je kennen? Het ligt voor de hand enige hand-on ervaring op te bouwen met de meest gebruikt apps. Dat zijn bij veel bedrijven Outlook, Word, Excel, Teams en OneDrive. Onze Roadmap 365 bieden modules om deze apps te leren op gebruikersniveau. De specialist Binnen elk bedrijf zijn werknemers die applicatiespecialist zijn en die functioneel meer van de app weten dan je als applicatiebeheerder ooit zult leren. Een werknemer, bijvoorbeeld een boekhouder, die dagelijks vele uren met Excel bezig is, heeft veelal

diepgaande kennis. Deze kennis hoef je als beheerder niet te hebben. En de verkoper die dagelijks honderden mails stuurt en ontvangt, weet waarschijnlijk veel meer af van zoeken, verplaatsen, archiveren en dergelijke in Outlook.

pl aa

Cloud en infra Waar ligt dan de grens? Daar waar de werknemer te maken krijgt met infrastructuur of cloudfuncties is het erg handig te weten hoe deze werken en ingesteld zijn. Dit zijn typisch onderwerpen waar werknemers moeite mee hebben en dus hulp kunnen gebruiken. Alles wat te maken heeft met bestandsformaten, importeren exporteren, afdrukken, updates, beveiliging, accounts en licenties en instellingen is voor veel werknemers lastig. Deels zijn ze te vinden in het backstage-scherm van Word, Excel, PowerPoint en Outlook. Veel werknemers vinden het samenspel tussen Teams, OneDrive en SharePoint erg lastig, omdat dit cloudfunctionaliteit is.

Documentatie van Microsoft 365

In ki jk

Microsoft heeft een enorme berg met online en gratis documentatie geschreven voor Microsoft 365 en onderhoudt deze voortdurend. Deze documentatie is net zo ingewikkeld als Microsoft 365 zelf. Het zijn duizenden webpagina’s, die met links naar elkaar refereren. De SaaS apps van Microsoft 365 werken allemaal deels samen en zijn van elkaar afhankelijk. Tijdens het lezen spring je daarom bij het bestuderen van SharePoint naar OneDrive naar Azure AD naar Teams en met wat geluk kom je weer terug bij SharePoint.

pl aa

Hoofdstuk 2 De beheerder van Microsoft 365

De documentatie is zeker niet slecht, het is alleen heel, heel veel. Om maar eens een voorbeeld te noemen, alleen de introductie in SharePoint online is (als PDF gedownload) al 750 bladzijden leesvoer, nog zonder enige link te volgen.

In ki jk

De documentatie beschrijft technologie, functies en mogelijkheden van een dienst of App, maar houdt geen rekening met de specifieke licenties die je als bedrijf hebt. Je moet dus telkens in het achterhoofd houden wat bij het bedrijf waar je werkt wel en niet geldt. Microsoft kan onmogelijk bij elke functie benoemen voor welke licentie die beschikbaar is, al was het maar omdat zelfs dit veranderlijk is. Het heeft niet zo veel zin de Microsoft 365-documentatie van voor naar achter te lezen. De documentatie is eerder bedoeld als referentie of naslag als je over een deelonderwerp meer wilt weten. De hoofdingang naar alle Microsoft 365-documentatie is te vinden onder de link.

Microsoft 365 certificering

Certificering in hardware of software

Omdat nagenoeg alle bedrijven met producten van Microsoft werken, is er veel vraag naar netwerk-, systeem- en applicatiebeheerders met kennis hierover. Naast het volgen van een ICT-opleiding, zoals je op dit moment doet, zijn er veel bronnen om Microsoft 365 kennis op te doen. Het feit dat je dit lesboek en de praktijkopdrachten doorneemt, is al de eerste stap in de goede richting.

pl aa

Certificering voor commerciële producten van een fabrikant bestaat al tientallen jaren, en is niet beperkt tot Microsoft. Elke zichzelf respecterende fabrikant heeft wel een opleiding en een certificering. Maar behaalde certificaten van bekende fabrikanten als Microsoft, Cisco, Citrix, VMware of Dell zijn waardevoller op je CV.

Hoe behaal je een Microsoft-certificaat? Om kennis te verkrijgen en te toetsen, biedt Microsoft certificeringstrajecten aan. Het halen van een certificering bij Microsoft betekent globaal het volgende.

In ki jk

Je volgt een door Microsoft voorgeschreven cursus bij een product, liefst bij een daarvoor door Microsoft aangewezen gecertificeerd opleidingsinstituut. Een dergelijke opleiding duurt een paar dagen en kost (een paar) duizend euro. Na het volgen van de cursus en het zelf opdoen van wat ervaring (of misschien heb je al ervaring) meld je je aan bij voor een examen. Je neemt deel aan het examen en als je voldoende punten hebt behaald en dus slaagt, ontvang je een officieel certificaat (een mini-diploma) van Microsoft. Het examen kost eveneens een kleine 100 euro. Dit proces herhaal je voor één of meer andere producten. Hoe meer certificaten je haalt, des te hoger je certificeringsstatus wordt. Soms mag je of moet je nadat je bent aangenomen bij een bedrijf deze opleidingen volgen. Maar heb je bij het solliciteren al één of meer van deze certificaten, dan helpt dit bij het solliciteren. Op school is het lastig deze certificaten te halen, maar er zijn scholen die dit voor één of meer Microsoft producten doen. Voor relatief losstaande producten is dit mogelijk omdat deze ook los te installeren en beheren zijn. Zo is een Windows Server 2022 certificaat relatief eenvoudig te halen. Immers zijn de beheerconsoles jaren hetzelfde en blijven de beheertaken daarom hetzelfde werken. Heb je eerder Windows Server 2019 gehaald, dan is het slechts een kleine stap naar Windows Server 2022 certificering. Het zijn qua functionaliteit traag evoluerende en zeer stabiele producten. Je vind alle informatie over certificeringen bij Microsoft als je de link volgt.

Hoofdstuk 2 De beheerder van Microsoft 365

Microsoft 365 certificering Voor Microsoft 365 is eveneens certificering mogelijk. Er zijn verschillende certificaten te halen. Maar om praktijkervaring op te doen moet je als student in staat zijn te werken in de live publieke zakelijke cloud-omgeving.

pl aa

Op dit moment ziet het Microsoft 365-certificeringstraject er uit als in onderstaande afbeelding.

Microsoft 365 certificering onderdelen (cursussen en examens).

In ki jk

De eisen die door Microsoft gesteld worden aan een certificering worden periodiek aangepast. Bij Microsoft vind je een actuele certification poster, die bevat alle certificeringen - dus niet alleen van Microsoft 365 - in een mooi overzicht. De Microsoft certification poster vind je onder de link.

Help!

Er zijn veel manieren om hulp te vinden en krijgen voor Microsoft 365.

Belangrijk

pl aa

Dit is misschien wel het belangrijkste paragraaf uit het hele boek! Microsoft 365 is erg uitgebreid en evolueert dagelijks. Het is voor Microsoft onmogelijk om rekening te houden met elke gebruiker en zijn of haar specifieke manieren om met apps te werken. Er zijn honderden miljoenen gebruikers van Microsoft 365 bij vele miljoenen bedrijven. Je zult gegarandeerd vaak tegen problemen, storingen maar ook gebruikersvragen aanlopen die je niet met een klik op een knop oplost.

Microsoft Support Microsoft heeft een online support site waar veelvoorkomende problemen en vragen worden vastgelegd. Vanaf deze site wordt je doorgeleid naar allerlei bronnen voor ondersteuning. Dit is meestal de eerste plek om rond te kijken als je met een vraagstuk of een probleem zit.

De support site van Microsoft vind je door de link te volgen.

Microsoft heeft eveneens een YouTube-kanaal voor ondersteuning. Volg de link om deze te bezoeken.

In ki jk

Support desk Kom je er hier niet uit, dan is het mogelijk contact op te nemen met Microsoft. Inbegrepen bij een zakelijk Microsoft 365-cloud abonnement is een gratis support desk van Microsoft. De globale beheerder, of iemand die daarvoor aangewezen is, kan online in het beheerportaal tickets indienen of telefonisch contact opnemen. Je wordt dan digitaal geholpen of je wordt terug gebeld. Telefonische technische ondersteuning is beschikbaar zeven dagen in de week en 24 uur per dag. Hou er rekening mee dat dit op dit moment in het Engels is.

pl aa

Hoofdstuk 2 De beheerder van Microsoft 365

In ki jk

Google Als Microsoft 365 beheerder Google je zeer regelmatig naar oplossingen voor vraagstukken. Dit kunnen simpele vragen zijn over waar een specifieke beheerinstelling zich bevindt, tot complexe vraagstukken over de architectuur of inrichting van een specifieke app. Met de eerste categorie vragen kan de Microsoft support desk je wel helpen, maar voor de tweede categorie wordt je doorverwezen naar de online documentatie of een partner. Veel bedrijven werken samen met een al dan niet door Microsoft gecertificeerde partner, die Microsoft 365 levert, inricht, onderhoud en vragen beantwoord. Microsoft community Wil je overleggen met collega-beheerders (je “peers”) of horen waar andere bedrijven mee worstelen, bezoek dan de community van Microsoft. Je bladert op thema of zoekt op kernwoorden. Dit is vrij toegankelijk, maar als je zelf een vraag wilt stellen of mee wilt doen aan een discussie, moet je inloggen met je Microsoft Account. In de link zie je de community site van Microsoft. Reddit Ken je Reddit? Dit is een omvangrijke community, niet van Microsoft en niet specifiek voor techniek of IT, waar het zeker de moeite loont te zoeken naar je Microsoft 365-probleem of om een vraag te stellen.

De Reddit community site bezoek je door op de link te klikken.

SpiceWorks De beste niet-Microsoft community voor Microsoft 365 Business (en andere IT-problemen) is misschien wel SpiceWorks. Hier worden problemen gesignaleerd en besproken die zelfs Microsoft niet kent of nog niet erkent, en krijg je tips van collega-beheerders. De community probeert een lastig probleem op die manier samen te analyseren en met een oplossing te komen. Maak een account als je berichten wilt plaatsen.

pl aa

SpiceWorks mag in je favorieten niet ontbreken. Bezoek de site en voeg hem toe!

Punten van aandacht Zoals al enkele malen genoemd: de Microsoft 365 cloud is erg dynamisch en veranderlijk. Bij het lezen van documenten of het zoeken naar oplossingen voor problemen, moet je steeds erop letten dat je de meeste actuele informatie leest. Kijk goed of het geen oud bericht is en wanneer een pagina is geactualiseerd.

Bij het zoeken is het slim de actuele productnaam te gebruiken, maar ook eens de oude productnaam, als je die nog kent. Namen van producten veranderen nog wel eens, in berichten op forums zijn natuurlijk alleen de oude namen te vinden. Zelfs de websites van Microsoft bevatten vaak nog oudere namen.

In ki jk

Je zoekt het beste in het Engels, je hebt dan veel meer kans een antwoord te vinden. Dit kan lastig zijn als het bedrijf met een Nederlandse Windows-versie en Nederlands apps werkt. De foutmeldingen zijn dan in het Nederlands, terwijl je er beter naar zoekt in het Engels. De letterlijke vertaling naar het Engels van een dergelijke melding ken je dan niet. Heb je foutcode in een melding, zoek dan op de foutcode.

Upload de audit log! Je docent moet beoordelen of je de opdrachten tot nu toe hebt uitgevoerd. Daartoe exporteer je je de Azure AD sign-in audit log als volgt: 1. Open in het Azure AD admin center de menukeuze Azure Active Directory en kies onder Monitoring de Sign-in Logs 2. Klik op Date: Last 24 hours, kies Last 1 month en klik op Apply 3. Klik op Download CSV en kies het bovenste bestand InteractiveSignins_20.....csv Herhaal dit voor de Azure AD audit log: 1. Open in het Azure AD admin center de menukeuze Azure Active Directory en kies onder Monitoring de Audit logs 2. Klik op Date: Last 24 hours, kies Last 1 month en klik op Apply

Hoofdstuk 2 De beheerder van Microsoft 365

Klik op Download en download het bestand AuditLogs20.....csv

Upload beide .csv-bestanden.

pl aa

Samenvatting Contoso Nederland

In dit hoofdstuk heb je na de management presentatie, samen de keuze gemaakt om bij Contoso Nederland te gaan werken met Microsoft 365 in plaats van eigen (virtuele) server te gaan beheren. Je sluit hierbij aan bij de cloud van moederbedrijf Contoso die al met Microsoft 365 werkt. Je hebt inmiddels laptops, een printer en telefoons besteld. Je hebt de Contoso tenant in het admin center ingesteld en de Admin app gedownload, geïnstalleerd en ingesteld, waaronder het message center. Je bent gestart met je systeemdocumentatie annex logboek van de ICT-inrichting bij Contoso Nederland.

Opdracht 9 Test je kennis

In ki jk

Doe nu een kennistest. Zo kom je erachter of je genoeg kennis in huis hebt over de theorie. a. Wat zijn rollen in Microsoft 365? b. Hoeveel en welke rollen geef jij de werknemers bij Contoso Nederland? c. Je hebt je laptop op het werk laten liggen en bent thuis tijdelijk aan het werk op je privé desktop. Na inloggen in het admin center, en enkele malen openen van andere admin centers, krijg je foutmeldingen en lukt inloggen niet. Wat zou er aan de hand kunnen zijn en hoe los je dit op? d. Je ziet in het admin center een melding in het message center: "Reminder: IE11 desktop application retires in 6 months on June 15, 2022 – Set up IE mode today (non-LTSC, non-Server) MC306663 · Action required by 15 jun. 2022. We highly recommend you start preparing for this multi-month transition today. The essential first step—Site Discovery—typically takes 3-4 weeks." Dit is de link naar het bericht in Message Center. Wat houdt deze melding in en wat moet je bij Contoso Nederland doen?

e. In de Admin App krijg je een melding als popup: "Some users' Exchange Online outgoing messages are delayed or stuck in the Drafts or Sent Items folder after sending EX305387, Exchange Online, Issue type: Incident". Wat merkt een werknemer van deze storing? f. Open het Health menu in het admin center of in de Admin App. Wat is het verschil tussen de meldingen in het Message center en in Service Health?

g. Je wilt iets meer weten over Forms en zoekt de documentatie op bij Microsoft. Waar kun je deze vinden? h. Je vraagt je af of op de nieuwe laptops met Windows 11 straks een anti-virus pakket aanwezig is. Vaak worden laptops immers geleverd met bloatware, bijvoorbeeld een 90-dagen versie van een antivirus app van een softwareaanbieder die je daarna moet kopen. Kun je vinden welke antivirus app Microsoft met Windows 11 zelf levert? Is dat voldoende of wil je er een ander pakket aan toe voegen en de Microsoft app uitschakelen?

In ki jk

pl aa

Meer info vind je bij deze link.

r pl aa em

HOOFDSTUK 3 GEBRUIKERSBEHEER IN MICROSOFT 365

In ki jk

De gebruikers van Microsoft 365 zijn de werknemers in je bedrijf. Ze loggen in met een Microsoft Work account, een wachtwoord en eventueel nog een extra methode om zich bekend te maken. Zijn ze het wachtwoord vergeten, dan bellen ze jou om dit te herstellen of ze maken gebruik van een optie om zelf het wachtwoord te resetten. Maar omdat Microsoft 365 is ontwikkeld om samen te werken met iedereen, dus ook met collega's buiten het bedrijf, krijg je in de loop van de tijd ook veel gebruikers die niet bij je bedrijf werken. Dit worden gasten genoemd. Toegang voor gasten inclusief het maken van de account, wordt in Microsoft 365 ook gedaan door werknemers zelf. Er onstaan dus accounts van personen die jij niet kent. Vooral in Teams, SharePoint en OneDrive spelen gasten een belangrijke rol.

Aan het eind van dit hoofdstuk

In ki jk

2. 3. 4. 5. 6. 7. 8. 9.

Ben je in staat accounts te maken en meerdere accounts te importeren in Microsoft 365. Kun je inloggen als een werknemer in enkele Microsoft 365 diensten. Kun je wachtwoorden resetten. Ken je de eisen die gesteld worden aan wachtwoorden. Ben je in staat extra multi-factor beveiliging in te stellen. Weet je hoe je self-service instelt voor wachtwoorden. Heb je je globale admin account goed beveiligd. Weet je wat gast accounts zijn. Kun je een account verwijderen (en weer herstellen indien nodig)

pl aa

Maken van een Microsoft account Elke werknemer die gebruik moet maken van één of meer van de Microsoft 365 apps moet altijd een zakelijke Microsoft account hebben. Bedrijven kunnen geen gebruik maken van persoonlijke Microsoft accounts van de werknemers. Een gebruikersaccount is aan te maken op meerdere plekken (in meerdere admin centers). Vaak zul je deze handeling uitvoeren in de het Microsoft 365 admin center.

pl aa

In het admin center ga je naar het menu Users. Een werknemer toevoegen is eenvoudig. Klik op Active users en op Add a user.

Werknemers als computergebruiker. Een smartphone is ook een computer!

Naam en displaynaam Vul de voornaam en achternaam in (deze zijn niet verplicht) maar het is wel verstandig deze in te vullen voor herkenbaarheid.

In ki jk

Vul de verplichte Displaynaam in, en kies een gebruikersnaam; deze wordt voor het maildomein geplakt en vormt als e-mailadres de Microsoft account. Er wordt gecontroleerd of de gebruikersnaam uniek is. Voor een klein bedrijf zou je kunnen volstaan met de voornaam, maar als er dan een nieuwe werknemers wordt aangenomen met dezelfde voornaam, is het standaard emailadres al in gebruik. Veel bedrijven kiezen daarom voor de combinatie Voornaam.Achternaam. Wachtwoord Je kunt automatisch een wachtwoord laten maken, door die keuze aan te vinken, maar dat zijn wachtwoorden die niet te onthouden zijn. Je kunt daarom instellen dat de werknemers bij de eerste login zijn wachtwoord moet veranderen. Ook kruis je optioneel aan als je het gemaakte wachtwoord automatisch naar de werknemer wilt mailen. Ja maar, zul je denken, de nieuwe werknemer moet eerst zijn mail lezen om het wachtwoord te zien maar hij heeft het wachtwoord nodig om in te loggen? Er wordt de mogelijkheid geboden een alternatief mailadres op te geven waar het wachtwoord naartoe gestuurd wordt.

Afronden Er wordt gevraagd welke Microsoft 365 licenties je wilt toekennen aan de account. Selecteer Nederland in kies ervoor een account te maken zonder licenties. Heb je wel iets aan een account zonder licenties? Zeker, er zijn steeds meer web sites en bedrijfsportalen van bijvoorbeeld leveranciers of fabrieken, waar je kunt (of moet) inloggen met een Microsoft account.

pl aa

Rollen en profiel Je krijgt de mogelijkheid optionele instellingen te maken. Je ziet een korte en een uitgebreide lijst van allerlei mogelijke (beheer)rollen die je werknemers mag geven. Bij een klein bedrijf kan het zinvol zijn iemand specifieke beheertaken te geven, maar voor nu slaan we deze rollen over en laten we de standaard keuze staan. Onder Profile info geeft je extra gegevens op over de werknemer. Dit is niet verplicht en kan altijd later nog aangevuld worden. Maar weet je de persoonlijke gegevens als de taak, afdeling, kantoor en dergelijk, vul ze dan alvast in.

Er wordt een overzicht getoond van de ingevulde gegevens, die eventueel nog aan te passen zijn. Sluit de wizard nu af. De Microsoft account is nu gemaakt. Bij Microsoft vind je deze procedure uitgewerkt, en wordt dit tevens in een filmpje gedemonstreerd (duur: 2'02").

Het is mogelijk meerdere accounts in één keer in bulk toe te voegen met een .csv bestand, we doen dat in een praktijkopdracht. Je download het .csv-bestand op de site, voegt in die template de gegevens in van de werknemers, en importeert deze .csv om alle werknemers in één keer te maken.

In ki jk

Importeren is niet moeilijk, maar heb je toch uitleg nodig, bekijk dan het filmpje in de link (duur: 4'36").

Wachttijd

In Microsoft 365 kan het even duren voordat gemaakte account, gewijzigde wachtwoorden of andere instellingen door het hele systeem zijn doorgedrongen. Soms moet je gewoon even geduld hebben.

Hoofdstuk 3 Gebruikersbeheer in Microsoft 365

Opdracht 1 MS365 - Maak je eerste Microsoft 365 account

De directeur van de Nederlandse vestiging van Contoso heeft naar aanleiding van jouw advies besloten geen servers te kopen, maar alle diensten in Microsoft 365 cloud te huren. Hij volgt hier dus het moederbedrijf. Jij bent gevraagd als globale beheerder om accounts maken voor alle werknemers. a. Log als globale beheerder in de tenant van Contoso in. Maak nu voor jezelf een Microsoft account aan, noteer het wachtwoord en vink aan dat je het wachtwoord moet aanpassen de eerste keer dat je inlogt.

pl aa

b. Log nu in op de werknemer-pc in de browser met je eigen account op www.office.com. Wat gebeurt er? c. Wat zijn je mogelijkheden op office.com?

Opdracht 2 MS365 - Importeer de andere werknemers

In ki jk

De Nederlandse vestiging heeft zeven werknemers. Je ziet hieronder het organigram. Je kunt voor elke werknemer handmatig een account maken, maar dit kan ook in bulk.

Organigram van Contoso Nederland B.V. a. Open het admin center met je globale beheer account, blader naar de pagina waar je accounts maakt. Zoek hier het template bestand in .csv formaat om meerdere geberuikers tegelijkertijd te maken. Importeer dit bestand in Excel. Voer de benodigde gegevens in van de zes overige werknemers (je eigen account heb je net al gemaakt). Je hoeft alleen de volledige gebruikersnaam in te vullen (gebruik

jouw tenant URL!), de voornaam, achternaam en de Display name. Bewaar het ingevulde .csv bestand en importeer dit in het admin center. Je hoeft geen licenties toe te kennen. Aan het einde van de import download je een csv-bestand (of je mailt het naar jezelf). Controleer nu of alle werknemers inderdaad een Microsoft Account hebben. Neem deze informatie op in je logboek

.csv-bestanden

pl aa

In Nederland gebruikt Excel de puntkomma als scheidingsteken, terwijl in de VS de komma wordt gebruikt. Bij het importeren moeten er komma's tussen de velden staan! Dit kan enig puzzelwerk betekenen als je met een Nederlandse Excel de csv file moet maken.

b. Kun je vinden welke wachtwoorden er gemaakt zijn voor de werknemers? Zijn die wachtwoorden in Azure AD of het admin center te bekijken?

Opdracht 3 MS365 - Bekijk accounts in Azure AD

In ki jk

a. Azure AD is de plek waar alle gegevens van personen en groepen wordt bewaard. Andere apps van Microsoft gebruiken die accounts voor autorisaties. Open als globale beheerder nu het Azure AD admin center, dit kan direct vanuit het admin center. Zoek in dit beheercentrum de plek waar Azure AD accounts zijn opgeslagen en open deze. Wat valt je op? b. Hoeveel active user accounts bevinden zich nu in Azure AD? Hoeveel van deze accounts behoren toe aan werknemers? c. Azure AD houdt uitgebreide logging bij van veranderingen die plaats vinden in Azure AD Auditlog. Open deze logging in Azure AD en zoek je eigen account die met de hand is gemaakt en de zes accounts die je hebt gemaakt met de import. d. Open de Microsoft 365 Admin app op je smartphone. Zie je daar de werknemers van Contoso Nederland al staan? e. Voeg in de Microsoft 365 Admin app bij de werknemers Caroline en Harrie van Contoso Nederland bij de Job title de functie van Verkoper toe. Log nu in het admin center in als global admin op de beheerder-pc, en kijk of daar deze job title nu ook gevuld is.

Opdracht 4 MS365 - Inloggen als werknemer

a. Schakel nu naar de werknemer pc met Windows 11. Log in met de account van werknemer Laurence die heb je gemaakt, met het verkeerde wachtwoord op www.office.com. Welke melding verschijnt er? b. Start nu op de werknemer pc de app Teams en log in als werknemer Marcel Evers met het juiste wachtwoord. Wat valt je op?

Hoofdstuk 3 Gebruikersbeheer in Microsoft 365

pl aa

c. Zoek de Office app die is meegeleverd met Windows 11 en start deze op. Krijg je een melding? Login als Marcel Evers. Je krijgt de eerder besproken vraag of je het device door de organisatie wil laten beheren. Werken de apps? d. Zoek de Microsoft Store (de Windows app store) op de werknemer-pc en start deze. Wat valt je op? e. Open op de werknemer-pc de browser Edge en login in de Microsoft 365 cloud op admin.microsoft.com als werknemer Marcel Evers. Wat zie je hier allemaal? f. Open op de werknemer-pc de browser Edge en login in de Microsoft 365 cloud op myaccount.microsoft.com als werknemer Marcel Evers. Wat kan de werknemer hier allemaal doen? Probeer de opties eens uit; worden er URL's geopend naar andere webportalen?

Wachtwoorden in Microsoft 365

Veilige wachtwoorden Wachtwoorden zijn gemakkelijk te kraken. Een wachtwoord van zes of zeven tekens wordt door een snelle computer heel snel gevonden. Hoe langer een wachtwoord, des te langer het duurt om dit te kraken. Een wachtzin is het beste wachtwoord en ook nog eens gemakkelijk te onthouden. Kies je als wachtwoord (wachtzin) “Liever gamen dan leren!” dan heb je een super moeilijk te kraken wachtwoord. Maar de beste methode om veilig online te werken is het toevoegen van een extra methode om je bekend te maken. Hierover leer je later meer.

In ki jk

Microsoft geeft de deze pagina van de link goede uitleg over hoe je binnen een bedrijf met wachtwoorden zou moeten omgaan.

r pl aa em

Bij het maken van de account heb je een wachtwoord ingesteld. Heb je aangevinkt dat de werknemer het wachtwoord de eerste keer moet veranderen, dan ken je als beheerder het wachtwoord van de werknemer daarna niet meer. Bij het veranderen van het wachtwoord, moet de werknemer aan de strakke eisen van Microsoft voldoen. Simpele wachtwoorden zijn niet meer mogelijk. In de tabel zie je de voorwaarden die aan wachtwoorden worden gesteld. Hoofdletters (A - Z) Kleine letters (a - z) Getallen (0 - 9)| Tekens als @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ();<> Een spatie

Lengte van een wachtwoord

Minimaal 8 tekens, maximaal 56 tekens

Complexiteit van een wachtwoord

Een wachtwoord moet minimaal drie van de vier volgende onderdelen bevatten: hoofdletters, kleine letters, getallen en tekens

Vorige wachtwoorden

Het nieuwe wachtwoord mag niet hetzelfde zijn als de laatste gebruikte wachtwoorden

In ki jk

Toegestane tekens in wachtwoorden

Hoofdstuk 3 Gebruikersbeheer in Microsoft 365

Geen veelgebruikte wachtwoorden

Microsoft Azure AD houdt een lijst bij van wachtwoorden die je niet mag gebruiken.

Wachtwoord opnieuw instellen Het komt regelmatig voor dat een werknemer zijn wachtwoord vergeten is. De werknemer belt of mailt dan de beheerder of service desk om het wachtwoord te resetten. Het zal je niet verbazen dat het opnieuw instellen van het wachtwoord op meer plekken mogelijk is.

pl aa

Wij doen dit in het admin center door eerst op de actieve users op te zoeken. Selecteer daarna de werknemer waarvan je het wachtwoord wilt resetten en klik in het hoofdmenu daarna op Reset password. In het Azure AD admin center werkt dit nagenoeg hetzelfde.

Wachtwoord opnieuw instellen

Uiteraard moet je de werknemer daarna het nieuwe wachtwoord doorgeven. Denk eraan dat de werknemer wellicht ook niet in zijn zakelijke mail kan zonder wachtwoord.

In ki jk

Als een werknemer zijn wachtwoord wel weet en het toch wil veranderen, kan hij dat op zijn profielpagina zelf uitvoeren. Password expiration Er zijn nog enkele beleidsinstellingen voor wachtwoorden, die standaard ingesteld zijn maar die je wel kunt veranderen. Je vindt deze op een andere plek, namelijk in het admin center, onder de menukeuze Org settings en dan het tabblad Security & Privacy.

r pl aa em

Inschakelen van de verlooptijd van wachtwoorden

Schakel je dit in, dan verloopt het wachtwoord na 90 dagen, en ontvangen werknemers 14 dagen vooraf een melding. Microsoft zet dit standaard uit, omdat aangeraden wordt MFA te gebruiken: Multi-Factor Authentication (zie verderop in dit hoofdstuk). Een wachtwoord wat vaak verloopt, zorgt er voor dat werknemers simpelere wachtwoorden bedenken of dat ze het wachtwoord op een briefje gaan schrijven om het te onthouden!

In ki jk

Bekijk de video van Microsoft over passwordless authentication (duur: 14'02")

Opdracht 5 MS365 - Wachtwoorden instellen a. In het admin center vink je bij werknemer Coen aan dat hij het wachtwoord de eerste keer moet veranderen. Op de werknemer-pc open je www.office.com en log je in als Coen. Exact welke melding verschijnt er? b. Coen wil toch zelf nu zijn wachtwoord veranderen. Log op de werknemer-pc in het Office-portaal in als Coen, en klik op Reset password. Probeer eens als wachtwoorden: • Coen123 • Welcome1 • Ik game liever dan ik leer! Welke wachtwoorden mogen? Welke melding verschijnt er?

Hoofdstuk 3 Gebruikersbeheer in Microsoft 365

c. De CEO zit twee weken in het buitenland en moet zich aanmelden bij een klantenportaal van een transportbedrijf. Hij moet dat doen met zijn Microsoft account. Hij is echter zijn wachtwoord vergeten. Jij bent net even de hond uit aan het laten maar wil je CEO meteen helpen. Gelukkig heb je de telefoon bij je. Pas het wachtwoord van de CEO aan in de Admin App. d. Pas in Azure AD aan dat wachtwoorden pas na 360 dagen verlopen.

Banned passwords

In ki jk

pl aa

Microsoft houdt een lijst bij van wachtwoorden die je niet mag gebruiken. Deze lijst wordt de Global banned password list genoemd. Maar daarnaast is het mogelijk om zelf een lijst met wachtwoorden te maken die werknemers niet mogen gebruiken: de Custom banned password list. Dit valt onder de noemer Password Protection in Microsoft 365. Je vindt deze in het Azure AD admin center, onder Security, Authentication methods.

Password protection en lockout instellingen De Lockout threshold geeft aan na hoeveel pogingen het inloggen met een verkeerd wachtwoord, de account moet worden geblokkeerd. De blokkade duurt tot de Lockout duration is verlopen, standaard is dat 60 seconden. De tijd loopt overigens op na elke foutieve poging.

Als je de Custom banned password list inschakelt, geef je hier kernwoorden op die je werknemers niet mogen gebruiken in het wachtwoord. Handelt je bedrijf bijvoorbeeld in riemen, dan zou je: leer, riemen en gespen in de lijst kunnen opnemen. Microsoft monitort dan allerlei variaties op deze kernwoorden die door werknemers worden gebruikt en legt die vast. Je moet echter helemaal onderaan de pagina bij Mode wel Enforced aanvinken zodat de wachtwoorden ook daadwerkelijk niet meer mogen. En vergeet niet op Save te klikken voor je de pagina in het portaal verlaat.

Hou je logboek bij

pl aa

Op de pagina van deze link lees je hoe Microsoft die banned password probeert te herleiden en samen te stellen. Het ziet er heel artificial intelligence-achtig uit!

Als je dadelijk wachtwoorden gaat aanpassen, hou deze dan bij in je logboek. Zorg dat de wachtwoorden actueel blijven, anders ben je voortdurende aan het resetten.

Opdracht 6 MS365 - Banned wachtwoorden en lockout

In ki jk

a. Login op www.office.com als Coen op de werknemer pc. Verander het wachtwoord in bijvoorbeeld Contoso123. b. Verander de Lockout Threshold van 60 naar 15 seconden. Wat is het effect? c. Ga op de werknemer-pc naar office.microsoft.com als Coen. Log uit als je al ingelogd bent, Log nu in met een fout wachtwoord, doe dat tien keer en verklaar wat er gebeurt. d. Voeg als eigen banned wachtwoorden enkele kernwoorden in, eentje per regel, bijvoorbeeld Contoso, Nederland, Elektronica. Probeer op de werknemer-pc als Harrie in te loggen en je wachtwoord te veranderen in iets wat hierop lijkt, bijvoorbeeld Contoso123. Verklaar wat er gebeurt. e. Open op je smartphone de Microsoft 365 Admin app. Verander het wachtwoord van Harrie in Contoso123. Verklaar wat er gebeurt.

Authenticatie in Microsoft 365 Authenticatie is een veelgebruikte term in de ICT. De Nederlandse vertaling bij Microsoft is "verificatie", maar wij gebruiken de Engelse term. Authenticatie heeft alles te maken met het digitaal aantonen wie je bent om in te loggen op een netwerk of cloud-omgeving. Authenticatie bestaat uit minimaal een loginnaam en een wachtwoord.

pl aa

Hoofdstuk 3 Gebruikersbeheer in Microsoft 365

In ki jk

Met de beleidsinstellingen uit de vorige paragrafen zorg je voor moeilijkere wachtwoorden, maar deze manier om toegang te krijgen is niet voldoende veilig. Werknemers moeten veel wachtwoorden onthouden, intern op het netwerk maar zeker extern op allerlei webportalen, want elke afdeling heeft een diversiteit van dit soort webapplicaties. Het is lastig om veel wachtwoorden te onthouden, dus soms worden ze op meerdere plekken gebruikt (wat niet slim is) of worden ze opgeschreven. Wachtwoorden zijn relatief gemakkelijk te ontfutselen door een werknemer uit te lokken op een phising mailbericht of phishing WhatsApp bericht te laten klikken. Het toevoegen van een extra authenticatiemethode is sterk aan te raden. De video van Microsoft helpt je bij het kiezen van de juiste authenticatiemethodes bij een bedrijf en legt deze kort uit (duur: 3'46"). Microsoft 365 ondersteunt de volgende authenticatiemethodes: • een loginnaam met een wachtwoord; • de Microsoft Authenticator app, met een popup waar je op moet klikken; • de Microsoft Authenticator app, met een verificatie code die je moet overtypen; • een code die je via een SMS-bericht ontvangt en moet invoeren; • een code die je door een stem aan de telefoon wordt voorgelezen; • een emailbericht met een code die je moet overtypen; • beveiligingsvragen die je moet beantwoorden.

Andere authenticatiemethodes

pl aa

Microsoft 365 ondersteunt nog drie andere authenticatiemethode. Deze vallen buiten de scope van dit lesboek. 1. Je kunt werknemers laten inloggen met een token. Dat token moet dan voldoen aan de OATH-standaard (https://openauthentication.org/). Er wordt op het token bijvoorbeeld elke minuut een code getoond, die je moet invoeren om in te loggen. 2. Je kunt werknemers gebruik laten maken van een security key die moet voldoen aan de FIDO2 standaard (https://fidoalliance.org/). De key is een USB-sleutel, of een token, pasje of druppel die gebruik maakt van Near Field Communication (NFC). 3. Je kunt gebruik maken van biometrische authenticatie. Je kent dit van je smartphone. Windows 11 noemt dit Windows Hello. Je legt een vinger op een vingerafdruklezer of scant je gezicht met een camera.

Als beheerder is dit in te schakelen bij de werknemers, maar denk daar niet te simpel over. Sommige werknemers vinden het allemaal erg complex, en andere werknemers willen misschien geen apps voor het werk op hun privé smartphone installeren ook al kunnen ze deze app ook voor privé doeleinden gebruiken.

In ki jk

Werkt niet overal! Niet elke authenticatiemethode is te gebruiken op elke plek binnen Microsoft 365. Sommige methodes werken als je primair inlogt (als eerste factor), andere werken alleen als extra methode (als tweede factor) of werken alleen als een werknemer probeert zijn wachtwoord te veranderen.

Opdracht 7 MS365 - Enkele authenticatievragen a. Waar wordt je vingerafdruk of gezichtsscan bewaard als je Windows Hello gebruikt op je laptop? Als je er goed over nadenkt, weet je het antwoord zonder te googlen. Op een token Op je smartphone Op de laptop In de cloud b. Google heeft ook een authenticator app die je met Microsoft 365 kunt gebruiken. Hoe heet die app (even Googlen of in de Play Store zoeken)? Google Play Authenticator Google Authenticator Google 2-factor Verificator Google MFA

Hoofdstuk 3 Gebruikersbeheer in Microsoft 365

c. Wat is waar met betrekking tot een smartphone als authenticatiemethode? Een privé smartphone is minder goed beveiligd en af te raden Vergeet je de smartphone dan kun je gelukkig wel altijd nog inloggen De meesten kunnen goed met een smartphone en apps omgaan De smartphone ondersteunt slechts één authenticatiemethode

pl aa

d. Wat zijn ook biometrische authenticatie methoden? Meer antwoorden mogelijk. Iris-scan zoals op het vliegveld of in de film Mission Impossible? Paspoort scan zoals bij inchecken op vliegveld of in het ziekenhuis? Inloggen met DigID bij mijnoverheid.nl DNA-afname en -onderzoek Geld pinnen met je bankpasje en pincode

Het Globale admin wachtwoord beveiligen

Admin wachtwoord Je hebt voor je tenant een wachtwoord gekregen. Dat moet je onthouden, wat als je dit vergeet is het lastig beheertaken uit te voeren. Zijn er meer globale admins, dan kun je een collega beheerder vragen je wachtwoord te resetten. Daarnaast kun je contact opnemen met de Microsoft support desk.

Gelukkig zijn er mogelijkheden dit wachtwoord zelf te herstellen, voor global admins is deze functionaliteit altijd beschikbaar. Je moet het wel voorbereiden. Login in het admin center en open je account onder instellingen. Je springt dan naar myacount.microsoft.com.

In ki jk

Onder Security Info zie je alle ingestelde mogelijkheden om je vergeten wachtwoord op te vragen. Standaard is er niets geconfigureerd. Als extra authenticatie methode heb je op dit moment de keuze uit: de Microsoft Authenticator app, een emailadres en/of een telefoonnummer.

r pl aa em

Email adres Als je een emailadres toevoegt, kies dan een ander adres dan je reguliere zakelijke Microsoft 365 adres. Het mag ook je privé emailadres zijn. Na toevoegen ontvang je een mail met een verificatiecode. Die voer je in, en Microsoft 365 meldt dat de authenticatie methode correct is toegevoegd. Vergeet je ooit je Globale Admin wachtwoord, dan is dit te veranderen via een email.

In ki jk

Telefoonnummer Net zo handig is het om je telefoonnummer op te geven als herstelmogelijheid. Voer het land the Netherlands en je mobiele nummer in. Microsoft stuurt je een SMS-bericht met een code. Vul deze code in als bevestiging, en ook deze authenticatiemethode is actief. Microsoft Authenticator app Je download in de Apple App Store de Google Play Store de Microsoft Authenticator app. Microsoft stuurt je naar de downloadpagina, waar je door het scannen van een QR-code naar de app store wordt geleid. Maar je mag ook een andere Authenticator app gebruiken, bijvoorbeeld die van Google. Andersom is de Microsoft Authenticator app ook te gebruiken als authenticatiemethode voor Google, Facebook en meer.

Hoofdstuk 3 Gebruikersbeheer in Microsoft 365

Klik in de Microsoft Authenticator app op toevoegen (plusteken), en selecteer Werkof schoolaccount. Je logt dan in met de globale admin loginnaam en het wachtwoord, of nog gemakkelijker, je scant de QR-code die Microsoft toont. Daarna wordt er om een bevestiging gevraagd in de app en je bent klaar.

Opdracht 8 MS365 - Email en SMS authenticatie instellen

pl aa

a. Log op de beheerder-pc in als global admin, voeg je telefoonnummer toe om SMS authenticatie in te stellen. Hoe weet het of het gelukt is? b. Log op de beheerder-pc in als global admin, voeg je emailadres toe om mail authenticatie in te stellen. Hoe weet je of het gelukt is? c. Wat doet de keuze Sign out everywhere?

Opdracht 9 MS365 - De Authenticator app testen

In ki jk

a. Download de Microsoft Authenticator app uit de App Store of Play Store. Log in met je global admin account in de app. Voegde app nu in het portal toe als authenticatiemethode. Wat zie je nu in de app? Hoe lang werkt de code? b. Je wil nu testen of deze authenticatiemethodes inderdaad werken, mocht je ooit je wachtwoord vergeten. Kies Sign out everywhere om uit te loggen in alle portals, en ga nu naar het inlogscherm van het admin center. Voer je loginnaam toe of klik op je loginnaam. Klik nu op Forgot my password. Er verschijnt eerste een captcha die je moet invullen. Typ die over en klik op Next. Verklaar wat je ziet.

r pl aa

Let op!

Captcha bij het resetten van een wachtwoord.

Verander je het wachtwoord, vergeet dan niet dit wachtwoord in je logboek aan te passen.

In ki jk

c. Ga op de werknemer-pc naar het office portaal. Voer de loginnaam van werknemer Eveline in of kies deze. Klik op Forgot my password. Voer de captcha in. Wat gebeurt er? Probeer ook eens de captcha te laten voorlezen. Wat vind je hiervan?

Multi-Factor Authentication voor de global admin Wat je ingeschakeld hebt, heet Multi-factor authentocatie (MFA) voor je accountgegevens (myaccount.microsoft.com) en voor wachtwoordherstel voor de global admin. Microsoft noemt dit in het Nederlands meervoudige verificatie. Bekijk het eerste filmpje op deze pagina. Microsoft legt uit wat Multi-Factor Authenticatie is (duur: 2'34"). Weten, hebben en zijn Bij Multi-Factor Authentication worden twee of meer methodes gebruikt om jou of de werknemer te identificeren. Je authentificeert jezelf:

Hoofdstuk 3 Gebruikersbeheer in Microsoft 365

• • •

met iets wat je weet (je wachtwoord, een pincode); met iets wat je hebt (je smartphone, een pinpas of een speciale hardwaresleutel); met iets wat je bent (je vingerafdruk, je gezicht).

We zagen al dat Microsoft een groot aantal authenticatiemethodes ondersteunt, die deels te combineren zijn tot MFA.

In ki jk

pl aa

MFA voor de global admin Om in de admin centers in te loggen, wordt gewoon nog het admin wachtwoord gebruikt. Het is echter mogelijk om altijd bij het inloggen MFA te gebruiken. Microsoft adviseert dit omdat je admin account over hele wereld gebruikt kan worden door hackers die het wachtwoord raden of hacken en dan toegang krijgen tot alle gegevens en bestanden in de tenant. Goede beveiliging is dus zeer belangrijk.

Inschakelen Voor je global admin account zet je MFA eenvoudig aan. Het proces lijkt op hoe je het wachtwoordherstel hebt ingeschakeld. Open het admin center en kijk vervolgens bij Alle users. Kies Multifactor Authentication. Je springt naar Azure AD. Selecteer je global admin account en klik rechts op Enable. Het systeem meldt dat MFA is ingeschakeld.

Opdracht 10 MS365 - Test met MFA voor de global admin

pl aa

a. Zet voor je global admin account MFA aan. Je had eerder al drie authenticatiemethodes toegevoegd, deze worden nu ook gebruikt voor MFA. b. Log nu in alle browser sessies uit. Log opnieuw in via de browser op de beheerder-pc op het admin center als global admin. Typ of kies je loginaam en voer het wachtwoord in. Wat gebeurt er nu? Valt er iets op aan de authenticatiemethodes? c. Open de Microsoft 365 Admin app op je smartphone. Na enige tijd moet je hier opnieuw inloggen, je moet dan naast je loginnaam en wachtwoord, ook een extra factor invoeren. Gebruik de Authenticator app.

Self-Service Password Reset en MFA voor werknemers

Voor een Microsoft bedrijfsaccount met een licentie, kun je instellen dat het voor de werknemer mogelijk is om zelf zijn wachtwoord te resetten zonder een beheerder hiervoor te moeten bellen. Deze mogelijkheid wordt selfservice password reset genoemd. Self-Service Password Reset wordt afgekort tot SSPR. Mocht een werknemer zijn wachtwoord vergeten, dan kan hij dit zelf herstellen.

Global admin SSPR

In ki jk

Voor de globale admin staat self-service password reset ingeschakeld. Er zijn altijd twee authenticatie methodes nodig om een wachtwoord te herstellen mits er aan een paar voorwaarden is voldaan. Je hebt dit eerder al ingesteld.

Bekijk de online video met de uitleg over SSPR (duur: 6'41").

AD DS

Werk je bij een bedrijf dat ook een on-premise Active Directory DS heeft, dan is het niet mogelijk de gewijzigde cloud wachtwoorden ook binnen het bedrijfsnetwerk te veranderen. Daarvoor is een uitgebreidere licentie en aanvullende software op de server bij het bedrijf nodig.

SSPR is in te stellen voor een groep werknemers of voor alle werknemers. Wij willen de optie testen voor een enkele werknemer. We vinden de optie SSPR in het Azure AD admin center bij Password Reset. Selected is actief en bij moederbedrijf Contoso is al een groep SSPRSecurityGroupUsers gemaakt om de werknemers aan toe te voegen.

Hoofdstuk 3 Gebruikersbeheer in Microsoft 365

pl aa

Als je SSPR inschakelt voor alle werknemers, heeft dit grote gevolgen voor de manier waarop ze inloggen, ze krijgen allemaal vragen die ze moeten beantwoorden (zoals het opgeven van een telefoonnumer of mailadres). Bedrijfsbreed SSPR inschakelen betekent dat je vooraf goed over moet communiceren en moet uitleggen wat er verandert en waarom.

SSPR bij moederbedrijf Contoso

Klik je op de groep, dan zie je dat er twee Amerikaanse werknemers al aan zijn toegevoegd. Om een werknemer toe te voegen aan die groep, open je in het admin center Teams and Groups, en daarna Active teams and groups. Ga naar de tab Security. Zoek de betreffende groep, open deze, klik op de tab Member, klik op View all and edit members. Klik op Add members om een werknemer toe te voegen. In hoofdstuk 5 gaan we wat dieper op groepen in Microsoft 365 in.

In ki jk

Authentication methods We zijn er nog niet, we moeten nog opgeven op welke wijze de werknemer geauthentiseerd wordt. Hij kan bijvoorbeeld een mail krijgen met een link of een SMS bericht. We stellen dit in het Azure AD admin center in bij Password reset onder Authentication methods. Er zijn zes keuzes zoals je in de afbeelding ziet. Email en Mobile phone zijn standaard gekozen en bruikbaar, en er is één authenticatie methode nodig om daadwerkelijk het wachtwoord te resetten. Voor extra beveiliging en fallback zou je twee authenticatiemethodes kunnen kiezen maar dan wordt het voor de werknemer wat lastiger.

r pl aa em

In ki jk

Voor elke authenticatiemethode is extra informatie nodig van de werknemer. Deze kun je als beheerder vooraf invullen bij de eigenschappen van de werknemer (de informatie bij de account). Vul je niets in, dan is de werknemer verplicht zelf deze contactgegevens de eerstvolgende keer in te vullen tijdens inloggen. In het menu Registration in het Password reset venster geef je aan dat werknemers zichzelf dienen te registreren (default keuze) of dat jij als beheerder de juiste contactgegevens vooraf invoert. De gegevens die werknemers invoeren zijn standaard 180 dagen geldig, daarna dienen ze opnieuw de gegevens te bevestigen. Het aantal dagen is aan te passen. Het is belangrijk dat de gegevens actueel blijven. Als de werknemer een nieuw telefoonnummer krijgt, werkt de aan het oude nummer gekoppelde authenticatiemethode natuurlijk niet meer. Notifications Standaard krijgt de werknemer een bevestiging per mail, dit kun je uitschakelen onder Notifications in het Password reset venster. Hier stel je ook in als je als beheerder geïnformeerd worden als een andere beheerder een wachtwoordreset uitvoert. De eerste keer als een werknemer inlogt, moet hij de aanvullende gegevens invullen die nodig zijn voor de wachtwoord reset. Hij wordt doorgestuurd naar het registratie webportaal https://aka.ms/ssprsetup. Zo is bij SMS-authenticatie bijvoorbeeld een mobiel telefoonnummer nodig.

Hoofdstuk 3 Gebruikersbeheer in Microsoft 365

MFA inschakelen Wil je dan werknemers altijd met een extra factor moeten inloggen, dus niet alleen voor SSPR dan schakel je MFA in voor de werknemer. Dit werkt op dezelfde wijze als je al voor de global admin hebt uitgevoerd. In deze video van Microsoft leer je hoe je MFA inschakelt (duur: 1'11")

Opdracht 11 MS365 - Authenticatie voor werknemers

pl aa

a. Eveline doet nu mee aan de test die je met SSPR wilt uitvoeren. Voeg Eveline toe aan de bestaande SSPR security group. Jij hebt als beheerder verder geen telefoon en mailgegevens van haar bij de hand.

In ki jk

Om de werking te testen, log je op de werknemer-pc in op office.microsoft.com met haar loginnaam en wachtwoord. Leg uit wat er gebeurt en zorg dat Eveline kan inloggen. Gebruik een privé emailadres (bijvoorbeeld je Gmail adres) om te koppelen aan de account van Eveline (klik op user another method). Bij een bedrijf zou je hier natuurlijk een emailadres van de werknemer invullen. Zet uit dat er mail notificaties worden gestuurd als een werknemer zijn wachtwoord zelf herstelt. Schakel in dat beheerders geïnformeerd worden als één beheerder zijn wachtwoord reset. Log Eveline uit en log zelf uit. Log nu opnieuw in op office.microsoft.com op de werknemer-pc, als Eveline. Typ de loginnaam in, en daarna op Forgot my Password. Vul de captcha in en reset nu het wachtwoord van Eveline via de code in je email adres. Schakel nu MFA in voor Eveline, op dezelfde wijze als je voor de global admin hebt gedaan. Log daarna in office.microsoft.com in als werknemer Eveline. Verklaar wat er gebeurt en zorg dat MFA voor Eveline gaat functioneren. Login in office.microsoft.com als Eveline op de werknemer-pc, bekijk de account van Eveline (met View account in het menu bij de - niet gevulde - foto). Klik op security info en verklaar wat je ziet. Stel in dat werknemers pas na 360 dagen wordt gevraagd om de contactgegevens te verifiëren.

Verwijderen van een werknemer Een werknemer die al een hele tijd bij een bedrijf werkt, heeft persoonlijke gegevens opgebouwd. Het zijn met name bestanden die hij heeft bewaard in zijn OneDrive en heel veel mailberichten in zijn Exchange online mailbox.

Als een werknemer het bedrijf verlaat, zul je de Microsoft account moeten verwijderen. Dit lijkt heel simpel. Ga in het admin center naar de Active Users, selecteer de werknemer die je wilt verwijderen en kies het verwijder knopje. In de video van Microsoft zie je hoe je een werknemer uit Microsoft 365 verwijdert (duur: 2'13").

pl aa

Afhankelijk van welke resources de werknemer in gebruik heeft, moet je een aantal keuzes maken. Heeft een werknemer een resource niet (bijvoorbeeld geen mailbox), dan wordt die vraag niet gesteld. 1. Wat wil je met de licenties van de werknemer doen? Je vinkt aan als je de licentie wilt vrijgeven. 2. Wat doe je met eventuele mailaliassen van de werknemer? Vink aan als je die wilt verwijderen. 3. Wat de je met een eventuele maildelegatie voor een mailbox die de werknemer heeft? Vink aan om deze te verwijderen. 4. Wat doe je met de bestanden van de werknemer in OneDrive? Vink aan als je deze wil toekennen aan een andere werknemer. Deze nieuwe eigenaar heeft 30 dagen de tijd om de bestanden te verplaatsen. 5. Wat doe je met de mailbox? Vink aan en kies een ander werknemer die de mailbox mag benaderen.

Daarna is de account verwijderd en wordt na 30 dagen ook de mailbox en OneDrive leeg gemaakt.

In ki jk

Dit is de standaard manier om een werknemer te verwijderen. Het is echter vaak het geval dat deze standaard manier minder geschikt is. Misschien wil of moet je de mailbox ook na 30 dagen in stand houden of moet de mail forward in stand blijven, zoals je zag in de video. In de hoofdstukken over Exchange online en OneDrive komen we op deze onderwerpen nog terug.

Uitdienstprocedure Grote organisaties hebben veelal een uitdienstprocedure, waarbij de afdeling human resource zorgt voor het netjes verlaten van het onderneming. Werknemers moeten een afsluitende uitdienstverklaring ondertekenen, hun toegangspasje inleveren, hun eventuele bedrijfsauto en sleutel afgeven, een eventuele smartphone of laptop van de onderneming inleveren. Werkte een werknemer zakelijk op en privé laptop of privé smartphone, dan kun je toegang blokkeren of het apparaat deels wissen.

Hoofdstuk 3 Gebruikersbeheer in Microsoft 365

Opdracht 12 MS365 - Verwijderen van werknemer accounts

pl aa

a. Ga naar het admin center op de beheerder-pc als global admin en verwijder werknemers Delia en Mallory. Hebben deze werknemers gegevens in hun OneDrive of mailberichten in Exchange? b. Ga naar het admin center op de beheerder-pc, login als global admin. Bekijke werknemer Pradeep. Pradeep heeft een Office licentie, een mailbox en gegevens in zijn OneDrive. Je gaat Pradeep verwijderen. Zorg ervoor dat de OneDrive gegevens worden overgedragen aan Eveline van Consoso Nederland. Probeer of je de mailbox ook aan Eveline kunt overdragen? Wat gebeurt er met de licentie? c. Open de Microsoft 365 Admin app op je smartphone, en verwijder de account van Cameron. Wat valt je op? d. Bekijk in het admin center of Patti een mailbox en data in OneDrive heeft. Open de Microsoft 365 admin app, en verwijder Patti. Wat valt je op.

Blokkeren van een ontslagen werknemer

Als een werknemer wordt ontslagen, loop je als bedrijf het risico dat de werknemer data meeneemt waar hij geen inzage meer in mag hebben. Misschien nog ernstiger, hij kan kwaadwillende mails versturen met zijn zakelijke emailadres.

Een account met spoed verwijderen van de account is vaak niet handig, je vergeet dan even na te denken over wat er met bestanden, mailboxen en licenties moet gebeuren. Bovendien worden werknemers meestal niet meteen verwijderd maar gaan er enkele weken over heen.

In ki jk

Blokkeren Je kunt dan het beste de Microsoft account blokkeren. Dat is simpel. Ga naar het admin center en kies de Active users. Selecteer de ontslagen werknemer en kies Block this user en dan Block the user from signing in. Het duurt tot wel 24 uren voordat de blokkade overal actief is, want zeker op mobiele devices blijven werknemers lang ingelogd. Wachtwoord reset en sessies beëindigen Moet het sneller? Voer dan een wachtwoord reset uit. Je kiest de werknemer in het admin center bij Active Users en voert een Reset password uit om het wachtwoord te veranderen. Mail dit wachtwoord niet naar de ex-werknemer! Als je het wachtwoord verandert, kan de werknemer immers niet meer inloggen.

Credentials waarmee is ingelogd worden tijdelijk bewaard. Eenmaal ingelogd, hoeft de werknemer niet meteen opnieuw in te loggen als het wachtwoord is veranderd. Na maximaal een uur is de werknemer uitgelogd van de Microsoft 365 websites en diensten. Ook als hij naar een andere site bladert wordt hij uitgelogd. Er wordt in beide gevallen om het wachtwoord gevraagd, en dat is door de reset onbekend.

Klik opnieuw op de werknemersaccount en open de properties pagina. In het tabblad Account vink je aan Sign out of all sessions.De werknemer wordt dan binnen circa 15 tot 60 minuten uitgelogd.

pl aa

In Exchange online kun je eveneens de toegang uitschakelen. Dit bespreken we in hoofdstuk 8. In deze video wordt uitgelegd hoe je een werknemer blokkeert.

Opdracht 13 MS365 - Blokkeren van een werknemer

In ki jk

a. Werknemer Gerhart was ZZP'er maar heeft een andere opdrachtgever gevonden. Hij heeft geen concurrentiebeding of geheimhoudingsverklaring en vertrekt per direct. De directie wil dat je hem zo snel mogelijk de toegang ontzegt. Reset het wachtwoord van Gerhart (zodat jij het weet) op de beheerder-pc. Blijf ingelogd. Log nu als Gerhart in office.microsoft.com in op de werknemer-pc. Blijf ingelogd. Klik op de beheerder-pc in het admin center bij de eigenschappen van Gerhart op Sign out of all sessions. Schakel naar de werknemer-pc, doe niets en kijk wat er gebeurt. b. Blokkeer voor de zekerheid de account van Gerhart. Je ziet dan in elk geval dat de account niet meer gebruikt wordt.

Een verwijderd account herstellen in Microsoft 365 Gegevens van een ex-werknemers blijven 30 dagen bestaan in de prullenbak met de accounts. Daarna is alles echt verdwenen en niet meer te redden. Mocht het nodig zijn de account te herstellen, dan doe je dat in het admin center, bij Deleted users binnen 30 dagen. Klik op de verwijderde werknemer en dan op Restore user om deze uit de prullenbak te halen.

pl aa

Hoofdstuk 3 Gebruikersbeheer in Microsoft 365

Een verwijderde werknemer is binnen 30 dagen uit de prullenbak te halen.

Alle bestanden in zijn verwijderde OneDrive en de mailbox worden hersteld. Het systeem probeert ook de noodzakelijke Microsoft 365 licenties terug te zetten. Deze moet je wel nog hebben. Anders zul je eerst een licentie moeten bijkopen (zie hoofdstuk 4). Merk op dat het herstellen van de mailbox en OneDrive een tijdje duurt.

In ki jk

Het oude wachtwoord kent Microsoft niet, je geeft aan of je automatisch een wachtwoord wilt toekennen, of jij als beheerder zelf een wachtwoord wilt maken en tot slot of de werknemer bij de eerste keer inloggen het wachtwoord dient te veranderen. Na het terugzetten krijg je nog de keuze om de werknemer het wachtwoord per mail toe te sturen. Stuur het bij voorkeur naar een niet-zakelijk mailadres. De agenda wordt niet hersteld. Ook mail aliassen worden kun je niet herstellen. In de volgende video zie je hoe je een verwijderde account terugzet (duur: 4'22").

Opdracht 14 MS365 - Herstel de account van een werknemer Eerder heb je met de Microsoft 365 Admin app werknemer Patti verwijderd. Dat lukte met en druk op de knop, maar dat dit was een vergissing. Je had eerst de mailbox nog willen toekennen aan een andere werknemer, evenals de data in OneDrive. Herstel de account van Patti. Lukt dit in de Microsoft 365 Admin app?

Gastgebruikers

pl aa

Gastgebruikers worden veelal automatisch aangemaakt in Microsoft 365. Dit gebeurt bijvoorbeeld als werknemers een Microsoft Teams bijeenkomst organiseren waar externen uitgenodigd worden. Gasten kunnen bijvoorbeeld in Teams documenten bekijken en chatten in het Team waar ze lid van zijn gemaakt.

Members en Guests in Azure AD Je ziet de gasten in het admin center bij de Users in het menu Guests. In Azure AD zijn alle accounts samengevoegd onder All users. Feitelijk zijn werknemers en externe personen niet zo heel veel verschillend. Je ziet hier interne accounts geclassificeerd als Member en de gastaccounts als Guest. Het is mogelijk van een guest een member te maken (we doen dat nu niet).

In ki jk

Beperken rechten Als er veel meetings zijn en veel wordt samengewerkt met klanten of toeleveranciers neemt het aantal gastgebruikers snel toe. Je krijgt als beheerder een beetje het gevoel dat je de controle verliest over alle accounts in Microsoft 365. Immers, elke werknemer maakt te pas en onpas gasten aan, zonder zich dit te realiseren. Je hebt al snel veel meer gastaccounts dan werknemers, met rechten tot bestanden. Toch is dit ook de kracht van Microsoft 365: samenwerken en communiceren met externe bedrijven en dus het gecontroleerd openzetten van je gegevens. In Azure Ad zie je een menu User settings. Daarin zit een link onder External users naar Manage external collaboration settings. Hier geef je aan wie er gasten mag uitnodigen, of schakel je gasttoegang helemaal uit.

pl aa

Hoofdstuk 3 Gebruikersbeheer in Microsoft 365

Het nadeel is dat je dan als beheerder of iemand met de juiste rol, zelf de gastgebruikers aan moet maken in het admin center. Dit werkt op dezelfde manier als het toevoegen van werknemers. Naast een naam is alleen een emailadres noodzakelijk. De persoon die eigenaar wordt van de gemaakte gastaccount krijgt per email een uitnodiging en heeft daarna toestemming.

In ki jk

Verwijderen van gasten Natuurlijk is het mogelijk gastgebruikers te verwijderen in het admin center, net zoals je een gebruikersaccount verwijderd. Maar hoe bepaal je als beheerder of een specifieke gast niet meer mag samenwerken met bijvoorbeeld een team? Toch is het belangrijk hier met grote regelmaat naar te kijken, want voor je het weet heb je honderden gasten die toegang hebben tot honderden documenten. Bekijk de video over guest accounts voor extra uitleg (duur: 10'37"). Dit is achtergrondinformatie.

Opdracht 15 MS365 - Een gast maken in Microsoft 365 a. Maak op de beheerder-pc als global admin in het admin center, een gast account aan voor een Belgische partner, met de naam Aart VanBuiten met emailadres Aart.VanBuiten@vanbuiten.com b. Bekijk in Azure AD de gemaakt gastaccount. Wat valt je op bij de User principal name (UPN)? Zie je dat het account type van Aart geen Member is? Is ergens te zien of de gast de uitnodiging geaccepteerd heeft? c. Aangezien Aart niet bestaat, zal hij de uitnodiging nooit aannemen. Verwijder de gastaccount van Aart uit Azure AD.

Upload beide .csv-bestanden.

pl aa

Herhaal dit voor de Azure AD audit log: 1. Open in het Azure AD admin center de menukeuze Azure Active Directory en kies onder Monitoring de Audit logs 2. Klik op Date: Last 24 hours, kies Last 1 month en klik op Apply 3. Klik op Download en download het bestand AuditLogs20.....csv

Samenvatting Contoso Nederland

In ki jk

Je hebt voor alle werknemers van Contoso Nederland een Microsoft account gemaakt en Self Service Password Reset ingesteld voor een tweetal werknemers. Enkele werknemers hebben ingelogd en hun wachtwoord aangepast. Je hebt bekeken welke apps de werknemers nu kunnen gebruiken. Je hebt het wachtwoord van de globale admin extra beveiligd door een telefoonnummer en emailadres toe te voegen voor wachtwoordherstel en door Multi-Factor Authenticatie in te schakelen om overal in te kunnen loggen met de authenticator app, die je hebt gedownload en ingesteld. Je hebt voor de één werknemer van Contoso Nederland tevens SSPR en MFA ingeschakeld. Je hebt drie werknemers van moederbedrijf Contoso verwijderd uit Azure AD, en twee werknemers geblokkeerd. En je hebt een per ongeluk verwijderd werknemer weer hersteld. Tot slot heb je een tijdelijke gast account bij Contoso gemaakt.

Opdracht 16 Test je kennis Doe nu een kennistest. Zo kom je erachter of je genoeg kennis in huis hebt over de theorie. a. Azure AD is een IAM-oplossing: dat staat voor Identity and Access Management. In Azure AD worden allerlei identiteiten bijgehouden voor gebruikersaccounts. Welke soorten gebruikersaccounts ben je tegengekomen? Noem er minimaal twee. b. Mag een werknemer zelf een telefoonnummer in zijn account informatie toevoegen? c. Hoe heet de service die gebruikt wordt om werknemers zelf het wachtwoord te laten herstellen als ze dit zijn vergeten? d. Noem twee belangrijke apps die we als global admin zeker op onze smartphone moeten hebben.

Hoofdstuk 3 Gebruikersbeheer in Microsoft 365

In ki jk

pl aa

e. Hoe heet het concept waarbij tijdens inloggen om extra informatie wordt gevraagd om een werknemer te identificeren? f. Noem minstens drie authenticatiemethodes die Microsoft 365 ondersteunt. g. Hoe lang kun je een verwijderde werknemer account uit de prullenbak halen? h. Hoe noemt Microsoft de lijst met "verboden wachtwoorden"? i. Hoe zorg je ervoor dat gasten in Azure AD geen andere gasten kunnen uitnodigen? j. Wat gebeurt er als een werknemer 5 keer een foutief wachtwoord invoert? k. Noem een relevant risico van gast accounts.

Microsoft 365 Operationeel Beheer

Articles inside

Samenvatting-Contoso-Nederland

Gastgebruikers

Een-verwijderd-account-herstellen-in-Microsoft-365

Self-Service-Password-Reset-en-MFA-voor-werknemers

Blokkeren-van-een-ontslagen-werknemer

Multi-Factor-Authentication-voor-de-global-admin

Verwijderen-van-een-werknemer

Het-Globale-admin-wachtwoord-beveiligen

Authenticatie-in-Microsoft-365

Banned-passwords

Wachtwoorden-in-Microsoft-365

Maken-van-een-Microsoft-account

Microsoft-365-certificering

Samenvatting-Contoso-Nederland

Help

Gebruikersondersteuning-voor-Microsoft-365-apps

Documentatie-van-Microsoft-365

Volg-de-Microsoft-365-ontwikkelingen

Beheerrollen-in-Microsoft-365

De-Microsoft-365-tenant

De-mobiele-app-voor-Microsoft-365-beheerders

Microsoft-365-abonnementen

Het-Microsoft-365-admin-center

Hoofdstuk 2 De-beheerder-van-Microsoft-365 .............................................. 35 De-rol-van-de-beheerder

Samenvatting-Contoso-Nederland

AD-DS-versus-Azure-AD