💼 Management Samenvatting
Microsoft Entra Verified ID is Microsoft's implementatie van decentralized identity en verifiable credentials volgens W3C-standaarden, waarmee Nederlandse overheidsorganisaties digitale identiteitsbewijzen kunnen uitgeven, verifiëren en beheren zonder centrale databanken te onderhouden. Dit systeem stelt burgers in staat om eigenaar te blijven van hun identiteitsgegevens en deze privacybeschermend te delen met dienstverleners.
Aanbeveling
CONSIDER
Risico zonder
Medium
Risk Score
6/10
Implementatie
200u (tech: 80u)
Van toepassing op:
✓ Azure
✓ Microsoft Entra ID
✓ M365
✓ Microsoft Entra ID
✓ M365
Traditionele identiteitsoplossingen vereisen dat iedere dienstverlener zijn eigen database met identiteitsgegevens beheert, wat leidt tot datamultiplicatie, privacyrisico's en hoge beheerkosten. Wanneer een burger zich aanmeldt bij een nieuwe dienst, moeten persoonsgegevens opnieuw worden ingevuld, gevalideerd en opgeslagen, wat niet alleen tijdrovend is maar ook het risico op datalekken vergroot. Bovendien hebben burgers geen inzicht in welke gegevens waar worden opgeslagen en kunnen zij deze niet eenvoudig corrigeren of verwijderen. Bij datalekken zijn alle gegevens in één keer gecompromitteerd, wat grote gevolgen heeft voor privacy en identiteitsfraude. Microsoft Entra Verified ID lost deze problemen op door gebruik te maken van decentralized identity principes waarbij burgers zelf eigenaar blijven van hun credentials, alleen minimale gegevens hoeven te delen die cryptografisch kunnen worden geverifieerd zonder dat de dienstverlener alle achterliggende gegevens hoeft te zien, identiteitsgegevens worden opgeslagen in een wallet onder controle van de burger in plaats van bij iedere dienstverlener, en verificatie plaatsvindt via cryptografische bewijzen die niet kunnen worden vervalst. Dit systeem is essentieel voor compliance met eIDAS 2.0 dat Europese digitale identiteitswallets vereist, vermindert het risico op datalekken door datamultiplicatie te elimineren, en biedt burgers meer controle en transparantie over hun eigen gegevens. Voor Nederlandse overheidsorganisaties betekent dit dat zij diensten kunnen aanbieden die privacybeschermend zijn, voldoen aan AVG-vereisten voor dataminimalisatie, en aansluiten op Europese interoperabiliteitsstandaarden.
PowerShell Modules Vereist
Primary API: Microsoft Graph API, Azure Portal
Connection:
Required Modules: Microsoft.Graph, Az.Accounts
Connection:
Connect-MgGraph, Connect-AzAccountRequired Modules: Microsoft.Graph, Az.Accounts
Implementatie
Dit artikel biedt een overzicht van Microsoft Entra Verified ID als foundation voor decentralized identity binnen Nederlandse overheidsorganisaties. We behandelen de architectuur en concepten achter verifiable credentials, de verschillende rollen binnen het ecosysteem (issuer, verifier, holder), de technische componenten zoals credential templates, trust registries en wallet integraties, de privacy- en beveiligingsaspecten van decentralized identity, en de integratie met bestaande Microsoft 365 en Azure AD-services. Daarnaast bespreken we use cases die relevant zijn voor de Nederlandse publieke sector zoals digitale diploma's, reisdocumenten, zorgpassen en bouwvergunningen, de aansluiting op eIDAS 2.0 en Europese wallet-standaarden, en praktische overwegingen voor implementatie zoals governance, kosten en gebruikerservaring. Het artikel dient als inleiding en fundament voor diepgaande artikelen over specifieke onderdelen zoals credential issuance, verification workflows en Conditional Access integratie.
Fundamenten van Decentralized Identity en Verifieerbare Credentials
Decentralized identity vertegenwoordigt een paradigmaverschuiving in hoe digitale identiteiten worden beheerd en gedeeld. In plaats van dat iedere organisatie zijn eigen database met identiteitsgegevens onderhoudt, krijgen burgers zelf controle over hun digitale identiteit via een wallet die zij op hun apparaat beheren. Deze wallet bevat verifiable credentials: cryptografisch ondertekende digitale documenten die aantonen dat een bepaalde claim waar is, zoals dat iemand een bepaald diploma heeft behaald, inwoner is van een gemeente, of bevoegd is om bepaalde handelingen te verrichten. Wanneer een dienstverlener verificatie nodig heeft, kan de burger een credential presenteren via een QR-code of app-koppeling, waarbij de dienstverlener cryptografisch kan verifiëren dat het credential authentiek is zonder dat alle achterliggende gegevens zichtbaar hoeven te zijn.
Microsoft Entra Verified ID implementeert de W3C Verifiable Credentials Data Model standaard, wat betekent dat credentials die worden uitgegeven via Entra Verified ID interoperabel zijn met andere systemen die deze standaard volgen, waaronder toekomstige Europese citizen wallets. Het systeem gebruikt Decentralized Identifiers (DIDs) als unieke identifiers die niet gebonden zijn aan een centrale registratie, en cryptografische handtekeningen om authenticiteit en integriteit te waarborgen. Credentials worden opgeslagen in een wallet die de burger controleert, en kunnen worden gepresenteerd aan verifiers zonder dat de issuer online hoeft te zijn, wat het systeem robuust en schaalbaar maakt.
Voor Nederlandse overheidsorganisaties is deze technologie vooral relevant in de context van eIDAS 2.0, de Europese verordening die vereist dat alle lidstaten tegen 2026 een digitale identiteitswallet aanbieden aan burgers. Deze wallets moeten voldoen aan hoge beveiligings- en privacystandaarden en interoperabel zijn binnen Europa. Microsoft Entra Verified ID biedt de technische foundation om als issuer of verifier deel te nemen aan dit ecosysteem, zonder dat organisaties zelf complexe blockchain-infrastructuur of wallet-technologie hoeven te ontwikkelen. De service draait volledig op Azure en integreert naadloos met bestaande Microsoft 365 en Azure AD omgevingen.
Het ecosysteem kent drie primaire rollen die elk specifieke verantwoordelijkheden hebben. Issuers zijn organisaties die autoriteit hebben om bepaalde claims te maken en credentials uit te geven, zoals een onderwijsinstelling die diploma's uitgeeft of een gemeente die woonplaatsbewijzen afgeeft. Verifiers zijn organisaties die credentials nodig hebben om toegang te verlenen tot diensten of om compliance te controleren, zoals een werkgever die een diploma moet verifiëren of een vergunningverlener die moet controleren of iemand woonachtig is in de gemeente. Holders zijn de burgers of entiteiten die de credentials ontvangen en beheren in hun wallet, en deze presenteren aan verifiers wanneer dat nodig is. Microsoft Entra Verified ID ondersteunt organisaties in zowel de issuer als verifier rol, terwijl de wallet-ervaring kan variëren van Microsoft Authenticator tot toekomstige Europese citizen wallets.
Architectuur en Technische Componenten
De architectuur van Microsoft Entra Verified ID bestaat uit verschillende technische componenten die samen een volledig ecosysteem vormen voor het uitgeven en verifiëren van credentials. Ten eerste zijn er credential templates die de structuur definiëren van welke claims een credential kan bevatten. Een template voor een diploma bevat bijvoorbeeld velden zoals instituut, opleiding, afstudeerdatum en graad, terwijl een template voor een woonplaatsbewijs velden bevat zoals gemeente, adres en geldigheidsdatum. Templates worden beheerd in de Azure Portal en kunnen worden aangepast aan de specifieke behoeften van de organisatie. Ze definiëren niet alleen welke data wordt opgeslagen, maar ook welke attributen zichtbaar zijn voor verifiers versus welke alleen cryptografisch worden geverifieerd zonder zichtbaar te zijn, wat privacybescherming mogelijk maakt.
Trust registries vormen een cruciaal onderdeel van het ecosysteem omdat zij definiëren welke issuers als vertrouwd worden beschouwd voor specifieke claim-typen. Een verifier die een diploma moet verifiëren, moet kunnen vertrouwen dat het credential daadwerkelijk is uitgegeven door een erkende onderwijsinstelling en niet is vervalst. Trust registries kunnen worden beheerd door sectoren, overheden of industrieconsortia en definiëren welke DID's en public keys corresponderen met welke organisaties. Microsoft Entra Verified ID integreert met bestaande trust frameworks en ondersteunt het opzetten van sectorale of nationale trust registries. Voor Nederlandse overheidsorganisaties is dit vooral relevant omdat er vaak sprake is van gelaagde vertrouwensrelaties: een gemeente moet kunnen vertrouwen op credentials uitgegeven door het Rijk, terwijl private partijen moeten kunnen vertrouwen op credentials uitgegeven door gemeenten.
De wallet-ervaring is het gedeelte dat burgers dagelijks gebruiken om credentials te ontvangen, beheren en presenteren. Microsoft Authenticator fungeert als een eerste wallet-oplossing waarbij credentials kunnen worden opgeslagen en gepresenteerd via QR-codes. Burgers kunnen via een QR-code een credential aanvragen bij een issuer, ontvangen in hun wallet, en later presenteren aan verifiers door opnieuw een QR-code te scannen. De wallet slaat credentials lokaal op het apparaat op, versleuteld met gebruikersspecifieke sleutels, zodat de burger volledige controle heeft. Toekomstige Europese citizen wallets zullen vergelijkbare functionaliteit bieden maar met extra garanties rond beveiliging, privacy en interoperabiliteit. Microsoft Entra Verified ID ondersteunt meerdere wallet-types via open standaarden, zodat organisaties niet afhankelijk zijn van één specifieke wallet-oplossing.
Integratie met bestaande Microsoft-services maakt Entra Verified ID praktisch toepasbaar binnen organisaties die al gebruik maken van Microsoft 365 en Azure AD. Credentials kunnen worden gekoppeld aan Azure AD-accounts, waardoor gebruikers automatisch credentials kunnen ontvangen op basis van hun rol of groepslidmaatschap. Conditional Access policies kunnen worden uitgebreid om te vereisen dat gebruikers specifieke credentials presenteren voordat toegang wordt verleend tot applicaties, wat een extra beveiligingslaag toevoegt. Bijvoorbeeld: alleen gebruikers met een geldig 'contractor background check' credential kunnen toegang krijgen tot gevoelige systemen, of alleen gebruikers met een 'BIG-registratie' credential kunnen toegang krijgen tot zorgapplicaties. Deze integratie maakt het mogelijk om decentralized identity geleidelijk in te voeren zonder dat bestaande systemen volledig moeten worden vervangen.
Privacy, Beveiliging en Compliance Aspecten
Privacybescherming staat centraal in het ontwerp van Microsoft Entra Verified ID en verifiable credentials. Het principe van dataminimalisatie wordt geïmplementeerd doordat verifiers alleen die claims zien die daadwerkelijk nodig zijn voor hun specifieke use case. Als een verifier bijvoorbeeld alleen moet weten of iemand ouder is dan 18, kan een credential worden gepresenteerd dat alleen die claim bevat zonder de exacte geboortedatum of andere persoonlijke gegevens bloot te leggen. Dit staat bekend als selective disclosure en wordt mogelijk gemaakt door cryptografische technieken zoals zero-knowledge proofs. Bovendien hebben burgers volledige controle over wanneer en aan wie zij credentials presenteren, en kunnen zij inzicht krijgen in welke gegevens wanneer zijn gedeeld via audit logs in hun wallet.
Vanuit AVG-perspectief biedt decentralized identity belangrijke voordelen omdat persoonsgegevens worden geminimaliseerd en burgers meer controle hebben over hun gegevens. De verwerkingsverantwoordelijke blijft de issuer die het credential uitgeeft, maar omdat gegevens worden opgeslagen in de wallet van de burger in plaats van bij iedere verifier, is er minder datamultiplicatie en daarmee minder risico op datalekken. Verifiers verwerken alleen de claims die nodig zijn voor hun specifieke doeleinde en hoeven niet alle achterliggende gegevens op te slaan. Dit vereenvoudigt compliance met AVG-principes zoals doelbinding, dataminimalisatie en bewaartermijnen. Organisaties moeten echter nog steeds duidelijk zijn over welke gegevens worden verzameld, voor welk doel, en hoe lang credentials geldig blijven.
Beveiliging wordt gewaarborgd door cryptografische technieken die ervoor zorgen dat credentials niet kunnen worden vervalst of gewijzigd zonder dat dit wordt opgemerkt. Elke credential bevat een digitale handtekening van de issuer die cryptografisch kan worden geverifieerd, en de private keys die nodig zijn om credentials te ondertekenen worden veilig beheerd door issuers. DIDs zorgen ervoor dat identifiers uniek zijn en niet kunnen worden overgenomen door anderen, en revocation lists maken het mogelijk om ingetrokken credentials ongeldig te verklaren. Microsoft Entra Verified ID maakt gebruik van industry-standard cryptografie zoals ECDSA en Ed25519, en ondersteunt post-quantum cryptografie voor toekomstbestendigheid. Trust registries vormen een extra beveiligingslaag door alleen vertrouwde issuers toe te staan credentials uit te geven voor specifieke claim-typen.
Compliance met eIDAS 2.0 is essentieel voor Nederlandse overheidsorganisaties die willen deelnemen aan het Europese digitale identiteits-ecosysteem. eIDAS 2.0 vereist dat wallets voldoen aan hoge beveiligingsstandaarden, privacy-by-design implementeren, en interoperabel zijn binnen Europa. Microsoft Entra Verified ID volgt de relevante W3C-standaarden die onder eIDAS 2.0 worden gespecificeerd, en kan worden geïntegreerd met Europese trust frameworks. Organisaties die als issuer willen optreden moeten echter nog steeds voldoen aan sectorale vereisten zoals certificering door de relevante autoriteiten, en moeten aantonen dat zij voldoen aan de beveiligings- en privacyvereisten die gelden voor het uitgeven van specifieke credential-typen. Voor Nederlandse gemeenten betekent dit bijvoorbeeld dat zij moeten aansluiten op het gemeenschappelijke trust framework voor overheidscredentials.
Use Cases voor Nederlandse Overheidsorganisaties
Gebruik PowerShell-script index.ps1 (functie Invoke-Monitoring) – Monitort de configuratie en status van Entra Verified ID credential templates en trust registries.
Nederlandse overheidsorganisaties kunnen Microsoft Entra Verified ID inzetten voor verschillende use cases die waarde toevoegen aan zowel de organisatie als burgers. Een eerste categorie betreft digitale diploma's en kwalificaties waarbij onderwijsinstellingen credentials uitgeven die burgers kunnen gebruiken om hun opleidingsniveau aan te tonen bij sollicitaties, verdere scholing of registratie bij beroepsorganisaties. Dit elimineert de noodzaak voor handmatige verificatie van diploma's en vermindert fraude. Gemeenten kunnen woonplaatsbewijzen uitgeven als verifiable credentials, waardoor burgers niet telkens opnieuw hoeven te bewijzen waar zij wonen wanneer zij diensten aanvragen bij verschillende overheidsinstanties. Zorgorganisaties kunnen zorgpassen of BIG-registraties uitgeven die zorgverleners kunnen verifiëren voordat zij toegang krijgen tot patiëntendossiers of zorgapplicaties.
Bouw- en vergunningverlening biedt interessante mogelijkheden waarbij gemeenten bouwvergunningen, omgevingsvergunningen of handhavingsbesluiten kunnen uitgeven als credentials. Aannemers of ontwikkelaars kunnen deze credentials presenteren aan verschillende partijen in het bouwproces zonder dat iedere partij opnieuw de volledige documentatie hoeft te controleren. Fraudedetectie en compliance-verificatie vormen een andere categorie waarbij organisaties kunnen verifiëren dat iemand voldoet aan bepaalde vereisten zonder alle achterliggende gegevens te zien. Een voorbeeld is het verifiëren dat iemand een geldige contractant-backgroundcheck heeft zonder dat de volledige achtergrondcheck zichtbaar is, wat privacybescherming combineert met compliance-controle.
Conditional Access integratie maakt het mogelijk om toegang tot Microsoft 365 applicaties te koppelen aan het presenteren van specifieke credentials. Alleen gebruikers met een geldig 'medewerker' credential kunnen bijvoorbeeld toegang krijgen tot interne systemen, of alleen gebruikers met een 'extern adviseur' credential kunnen toegang krijgen tot specifieke projectomgevingen. Dit voegt een extra beveiligingslaag toe naast traditionele authenticatie en maakt het mogelijk om toegang te verlenen op basis van verifieerbare claims in plaats van alleen account-gebaseerde autorisatie. Deze aanpak is vooral waardevol voor scenario's met externe partijen, contractors of tijdelijke medewerkers waarbij volledige Azure AD-accounts niet altijd wenselijk zijn.
De implementatie van deze use cases vereist vaak een gefaseerde aanpak waarbij organisaties beginnen met pilot-projecten voor specifieke scenario's voordat zij het systeem breed uitrollen. Governance is cruciaal omdat moet worden vastgelegd wie autoriteit heeft om welke credentials uit te geven, welke trust registries worden gebruikt, en hoe revocation en lifecycle management worden afgehandeld. Gebruikerservaring moet zorgvuldig worden ontworpen zodat burgers eenvoudig credentials kunnen ontvangen en presenteren zonder technische expertise. Kostenoverwegingen zijn relevant omdat Microsoft Entra Verified ID betaalde Azure-services vereist, en organisaties moeten investeren in het opzetten van templates, integraties en ondersteuningsprocessen. Desondanks biedt de technologie significante voordelen op het gebied van privacy, efficiëntie en compliance die opwegen tegen de initiële investering.
Implementatie-Overwegingen en Best Practices
Gebruik PowerShell-script index.ps1 (functie Invoke-Remediation) – Valideert en corrigeert configuratie-instellingen voor Entra Verified ID credential templates.
De implementatie van Microsoft Entra Verified ID begint met het bepalen van de strategische doelen en use cases. Organisaties moeten duidelijk hebben welke problemen zij willen oplossen, welke credentials zij willen uitgeven of verifiëren, en welke waarde dit biedt aan burgers en de organisatie zelf. Een business case helpt om de investering te rechtvaardigen en draagvlak te creëren bij stakeholders. Vervolgens moet worden geïnventariseerd welke bestaande systemen en processen moeten worden aangepast, welke integraties nodig zijn, en welke rollen en verantwoordelijkheden moeten worden gedefinieerd. Een proof of concept met een beperkte scope helpt om ervaring op te doen en risico's te identificeren voordat een volledige implementatie wordt gestart.
Technische implementatie begint met het opzetten van de Entra Verified ID service in Azure, het configureren van credential templates, en het definiëren van trust policies. Templates moeten zorgvuldig worden ontworpen zodat zij alleen de benodigde claims bevatten, privacybescherming implementeren via selective disclosure, en voldoen aan relevante standaarden. Integratie met backoffice-systemen is nodig om credentials automatisch uit te geven op basis van data die al in systemen aanwezig is, zoals leerlingadministratiesystemen voor diploma's of bevolkingsregisters voor woonplaatsbewijzen. API-integraties maken het mogelijk om credentials programmatisch uit te geven en te verifiëren, wat nodig is voor geautomatiseerde workflows. Testing is cruciaal omdat credentials cryptografisch complex zijn en fouten moeilijk achteraf kunnen worden gecorrigeerd zonder credentials te moeten intrekken en opnieuw uit te geven.
Governance en beleid zijn essentieel voor een succesvolle implementatie omdat decentralized identity nieuwe vragen oproept rond autoriteit, verantwoordelijkheid en compliance. Organisaties moeten vastleggen wie bevoegd is om welke credentials uit te geven, welke validatieprocessen gelden voordat credentials worden uitgegeven, hoe revocation wordt afgehandeld wanneer credentials niet langer geldig zijn, en hoe wordt omgegaan met disputes of fouten. Trust registries moeten worden beheerd door betrouwbare partijen met duidelijke processen voor het toevoegen of verwijderen van issuers. Compliance-afdelingen moeten worden betrokken om te zorgen dat credential-templates voldoen aan relevante wetgeving zoals AVG, en dat processen zijn gedocumenteerd voor audit-doeleinden. Juridische afdelingen moeten adviseren over de rechtsgeldigheid van verifiable credentials en hoe deze zich verhouden tot bestaande wet- en regelgeving.
Gebruikerservaring en adoptie vormen vaak de grootste uitdaging omdat burgers vertrouwd moeten raken met een nieuwe manier van werken. Duidelijke communicatie over wat verifiable credentials zijn, hoe zij werken, en welke voordelen zij bieden, is essentieel. Training en ondersteuning helpen gebruikers om vertrouwd te raken met wallet-apps en het presenteren van credentials via QR-codes. De gebruikerservaring moet eenvoudig en intuïtief zijn, met duidelijke foutmeldingen wanneer iets misgaat. Organisaties moeten nadenken over fallback-scenario's voor gebruikers die geen smartphone hebben of technische problemen ervaren. Monitoring en feedback verzamelen helpt om de gebruikerservaring continu te verbeteren en knelpunten te identificeren voordat zij breed impact hebben. Door deze aspecten zorgvuldig te adresseren, kunnen organisaties succesvolle implementaties realiseren die waarde toevoegen aan zowel de organisatie als burgers.
Compliance & Frameworks
- BIO: 12.01, 16.01, 18.01 - Identity- en toegangsbeheer via decentralized identity principes en privacybescherming in digitale identiteitsdiensten
- ISO 27001:2022: A.9.2.1, A.9.4.2, A.18.1.4 - Identiteitsbeheer, toegangscontrole en privacybescherming in digitale identiteitssystemen
- NIS2: Artikel - Beveiligingsmaatregelen voor essentiële diensten en aansluiting op Europese digitale identiteitsstandaarden
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Microsoft Entra Verified ID Monitoring en Configuratie
.DESCRIPTION
Monitort de configuratie en status van Entra Verified ID credential templates en trust registries.
Valideert en corrigeert configuratie-instellingen voor credential issuance en verification.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-01-15
Last Modified: 2025-01-15
Version: 1.0
Related JSON: content/entra/verified-id/index.json
.LINK
https://github.com/[org]/m365-tenant-best-practise
.EXAMPLE
.\index.ps1 -Monitoring
Controleert de configuratie van Entra Verified ID credential templates
.EXAMPLE
.\index.ps1 -Remediation
Valideert en corrigeert configuratie-instellingen voor credential templates
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()]
[switch]$WhatIf,
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
# Configuratie
$RequiredTemplateFields = @(
"Name",
"DisplayName",
"Claims",
"ValidFrom",
"ValidUntil"
)
$MaxCredentialValidityDays = 3650
$MinCredentialValidityDays = 90
function Connect-RequiredServices {
<#
.SYNOPSIS
Verbindt met benodigde Microsoft services
#>
[CmdletBinding()]
param()
Write-Verbose "Controleren van Microsoft Graph verbinding..."
try {
$context = Get-MgContext -ErrorAction SilentlyContinue
if (-not $context) {
Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow
Connect-MgGraph -Scopes "VerifiableCredentials.ReadWrite.All", "Policy.Read.All" -ErrorAction Stop
Write-Host "Verbonden met Microsoft Graph" -ForegroundColor Green
} else {
Write-Verbose "Reeds verbonden met Microsoft Graph"
# Controleren of de juiste scopes beschikbaar zijn
$requiredScopes = @("VerifiableCredentials.ReadWrite.All", "Policy.Read.All")
$currentScopes = $context.Scopes
$missingScopes = $requiredScopes | Where-Object { $_ -notin $currentScopes }
if ($missingScopes) {
Write-Host "Herverbinden met vereiste scopes..." -ForegroundColor Yellow
Connect-MgGraph -Scopes "VerifiableCredentials.ReadWrite.All", "Policy.Read.All" -ErrorAction Stop
}
}
}
catch {
Write-Error "Kon niet verbinden met Microsoft Graph: $_"
throw
}
}
function Get-VerifiedIDTenantSettings {
<#
.SYNOPSIS
Haalt de Entra Verified ID tenant settings op
.OUTPUTS
PSCustomObject met tenant settings
#>
[CmdletBinding()]
param()
Write-Verbose "Ophalen van Entra Verified ID tenant settings..."
try {
# Note: Deze API call is een voorbeeld - de exacte Graph API endpoints kunnen verschillen
# In productie moet worden gecontroleerd welke exacte endpoints beschikbaar zijn
$uri = "https://graph.microsoft.com/beta/verifiableCredentials/settings"
try {
$settings = Invoke-MgGraphRequest -Method GET -Uri $uri -ErrorAction Stop
return $settings
}
catch {
Write-Verbose "Kon tenant settings niet ophalen via Graph API: $_"
Write-Host " ⚠️ Entra Verified ID tenant settings kunnen niet worden opgehaald via API" -ForegroundColor Yellow
Write-Host " Controleer handmatig in Azure Portal: Entra ID > Verified ID" -ForegroundColor Gray
return $null
}
}
catch {
Write-Warning "Fout bij ophalen tenant settings: $_"
return $null
}
}
function Get-VerifiedIDCredentialTemplates {
<#
.SYNOPSIS
Haalt alle credential templates op
.OUTPUTS
Array van credential templates
#>
[CmdletBinding()]
param()
Write-Verbose "Ophalen van credential templates..."
try {
$uri = "https://graph.microsoft.com/beta/verifiableCredentials/credentialTemplates"
try {
$templates = Invoke-MgGraphRequest -Method GET -Uri $uri -ErrorAction Stop
return $templates.value
}
catch {
Write-Verbose "Kon credential templates niet ophalen via Graph API: $_"
Write-Host " ⚠️ Credential templates kunnen niet worden opgehaald via API" -ForegroundColor Yellow
Write-Host " Controleer handmatig in Azure Portal: Entra ID > Verified ID > Credential templates" -ForegroundColor Gray
return @()
}
}
catch {
Write-Warning "Fout bij ophalen credential templates: $_"
return @()
}
}
function Test-CredentialTemplateConfiguration {
<#
.SYNOPSIS
Test of een credential template correct is geconfigureerd
.OUTPUTS
PSCustomObject met validatieresultaten
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[PSCustomObject]$Template
)
$issues = @()
$warnings = @()
# Controleren op verplichte velden
if (-not $Template.displayName) {
$issues += "Template heeft geen displayName"
}
if (-not $Template.credentialTemplateId) {
$issues += "Template heeft geen credentialTemplateId"
}
# Controleren op claims
if (-not $Template.claims -or $Template.claims.Count -eq 0) {
$issues += "Template heeft geen claims gedefinieerd"
}
# Controleren op validiteitsperiode (indien aanwezig)
if ($Template.validFrom -and $Template.validUntil) {
$validFrom = [DateTime]$Template.validFrom
$validUntil = [DateTime]$Template.validUntil
$validityDays = ($validUntil - $validFrom).Days
if ($validityDays -gt $MaxCredentialValidityDays) {
$warnings += "Credential validiteitsperiode ($validityDays dagen) overschrijdt maximum ($MaxCredentialValidityDays dagen)"
}
if ($validityDays -lt $MinCredentialValidityDays) {
$warnings += "Credential validiteitsperiode ($validityDays dagen) is korter dan aanbevolen minimum ($MinCredentialValidityDays dagen)"
}
if ($validUntil -lt (Get-Date)) {
$issues += "Credential template is verlopen (validUntil: $validUntil)"
}
}
return @{
TemplateId = $Template.credentialTemplateId
DisplayName = $Template.displayName
IsValid = ($issues.Count -eq 0)
Issues = $issues
Warnings = $warnings
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Monitort de configuratie status van Entra Verified ID
#>
[CmdletBinding()]
param()
Write-Host "`nMonitoring: Microsoft Entra Verified ID Configuratie" -ForegroundColor Yellow
Write-Host "=====================================================" -ForegroundColor Yellow
# Connect to services
Connect-RequiredServices
# Check tenant settings
Write-Host "`n1. Tenant Settings" -ForegroundColor Cyan
$tenantSettings = Get-VerifiedIDTenantSettings
if ($tenantSettings) {
Write-Host " ✅ Entra Verified ID is geconfigureerd voor deze tenant" -ForegroundColor Green
if ($tenantSettings.issuer -and $tenantSettings.issuer.displayName) {
Write-Host " Issuer: $($tenantSettings.issuer.displayName)" -ForegroundColor Gray
}
}
else {
Write-Host " ⚠️ Kon tenant settings niet ophalen - controleer handmatig in Azure Portal" -ForegroundColor Yellow
}
# Check credential templates
Write-Host "`n2. Credential Templates" -ForegroundColor Cyan
$templates = Get-VerifiedIDCredentialTemplates
if ($templates -and $templates.Count -gt 0) {
Write-Host " Gevonden templates: $($templates.Count)" -ForegroundColor Gray
$validTemplates = 0
$invalidTemplates = 0
foreach ($template in $templates) {
$validation = Test-CredentialTemplateConfiguration -Template $template
if ($validation.IsValid) {
$validTemplates++
Write-Host " ✅ Template: $($validation.DisplayName)" -ForegroundColor Green
if ($validation.Warnings.Count -gt 0) {
foreach ($warning in $validation.Warnings) {
Write-Host " ⚠️ $warning" -ForegroundColor Yellow
}
}
}
else {
$invalidTemplates++
Write-Host " ❌ Template: $($validation.DisplayName)" -ForegroundColor Red
foreach ($issue in $validation.Issues) {
Write-Host " - $issue" -ForegroundColor Red
}
}
}
Write-Host "`n Samenvatting:" -ForegroundColor Cyan
Write-Host " Valide templates: $validTemplates" -ForegroundColor $(if ($validTemplates -eq $templates.Count) { "Green" } else { "Yellow" })
Write-Host " Niet-valide templates: $invalidTemplates" -ForegroundColor $(if ($invalidTemplates -eq 0) { "Green" } else { "Red" })
if ($invalidTemplates -gt 0) {
Write-Host "`n❌ NON-COMPLIANT - $invalidTemplates template(s) hebben configuratieproblemen" -ForegroundColor Red
Write-Host " Gebruik -Remediation om configuratieproblemen te analyseren" -ForegroundColor Yellow
exit 1
}
else {
Write-Host "`n✅ COMPLIANT - Alle credential templates zijn correct geconfigureerd" -ForegroundColor Green
exit 0
}
}
else {
Write-Host " ⚠️ Geen credential templates gevonden" -ForegroundColor Yellow
Write-Host " Dit is normaal als Entra Verified ID nog niet is geconfigureerd" -ForegroundColor Gray
Write-Host " Configureer credential templates in Azure Portal: Entra ID > Verified ID > Credential templates" -ForegroundColor Gray
exit 0
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Valideert en corrigeert configuratie-instellingen voor Entra Verified ID
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie: Microsoft Entra Verified ID Configuratie Validatie" -ForegroundColor Yellow
Write-Host "================================================================" -ForegroundColor Yellow
# Connect to services
Connect-RequiredServices
# Get templates
Write-Host "`nAnalyseren van credential templates..." -ForegroundColor Cyan
$templates = Get-VerifiedIDCredentialTemplates
if (-not $templates -or $templates.Count -eq 0) {
Write-Host " Geen credential templates gevonden om te valideren" -ForegroundColor Yellow
Write-Host " Configureer eerst credential templates in Azure Portal" -ForegroundColor Gray
exit 0
}
$issuesFound = $false
foreach ($template in $templates) {
$validation = Test-CredentialTemplateConfiguration -Template $template
Write-Host "`n Template: $($validation.DisplayName)" -ForegroundColor Cyan
if ($validation.Issues.Count -gt 0) {
$issuesFound = $true
Write-Host " Problemen gevonden:" -ForegroundColor Red
foreach ($issue in $validation.Issues) {
Write-Host " - $issue" -ForegroundColor Red
# Suggesties voor oplossingen
if ($issue -like "*displayName*") {
Write-Host " Oplossing: Voeg een displayName toe aan het template in Azure Portal" -ForegroundColor Gray
}
elseif ($issue -like "*claims*") {
Write-Host " Oplossing: Definieer minimaal één claim in het credential template" -ForegroundColor Gray
}
elseif ($issue -like "*verlopen*") {
Write-Host " Oplossing: Update de validUntil datum of maak een nieuw template aan" -ForegroundColor Gray
}
}
}
if ($validation.Warnings.Count -gt 0) {
Write-Host " Waarschuwingen:" -ForegroundColor Yellow
foreach ($warning in $validation.Warnings) {
Write-Host " - $warning" -ForegroundColor Yellow
}
}
if ($validation.IsValid -and $validation.Warnings.Count -eq 0) {
Write-Host " ✅ Template is correct geconfigureerd" -ForegroundColor Green
}
}
if ($issuesFound) {
Write-Host "`n❌ Configuratieproblemen gevonden" -ForegroundColor Red
Write-Host " Los de bovenstaande problemen op in Azure Portal: Entra ID > Verified ID" -ForegroundColor Yellow
exit 1
}
else {
Write-Host "`n✅ Alle templates zijn correct geconfigureerd" -ForegroundColor Green
exit 0
}
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Microsoft Entra Verified ID Monitoring" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
# Execute based on parameters
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
# Default: Quick check
Write-Host "Voer monitoring uit met -Monitoring voor gedetailleerde rapportage" -ForegroundColor Yellow
Write-Host "Voer validatie uit met -Remediation om configuratieproblemen te analyseren" -ForegroundColor Yellow
Write-Host "`nVoorbeeld:" -ForegroundColor Cyan
Write-Host " .\index.ps1 -Monitoring" -ForegroundColor Gray
Write-Host " .\index.ps1 -Remediation" -ForegroundColor Gray
}
}
catch {
Write-Error "Error: $_"
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Zonder decentralized identity blijven organisaties afhankelijk van traditionele identiteitsoplossingen met datamultiplicatie, privacyrisico's en hoge beheerkosten. Dit vertraagt digitale transformatie, compliceert compliance met eIDAS 2.0, en beperkt mogelijkheden voor privacybeschermende dienstverlening.
Management Samenvatting
Microsoft Entra Verified ID biedt decentralized identity via W3C verifiable credentials. Burgers beheren eigen credentials in wallets, delen alleen benodigde claims, en organisaties verifiëren cryptografisch zonder datamultiplicatie. Essentieel voor eIDAS 2.0 compliance en privacybeschermende digitale dienstverlening. Implementatie: 200 uur. Consider voor organisaties die willen innoveren in identiteitsdiensten.
- Implementatietijd: 200 uur
- FTE required: 0.5 FTE