Sådan scanner SimpleEntra
jeres tenant.

SimpleEntra er registreret som et multi-tenant-program i sin egen Entra ID-tenant. Når jeres administrator klikker på admin-consent-linket, opretter Microsoft en service principal i jeres tenant — ét objekt, read-only-tilladelser.

Service principalen er det eneste vi har “inde i” jeres tenant. I kan til enhver tid inspicere den under Entra → Enterprise applications → SimpleEntra. I kan deaktivere eller slette den når som helst. Sletning er øjeblikkelig og permanent — vores næste Graph-kald returnerer 401 Unauthorized.

Vi bruger application permissions (app-only), ikke delegerede tilladelser. Det betyder, at SimpleEntra logger ind som sig selv — det kan ikke udgive sig for at være en bruger, handle på en brugers vegne eller tilgå noget, der kræver et brugertoken (mail, filer, Teams-beskeder).

Umiddelbart efter samtykket kører den hurtige scanning synkront i browseranmodningen. Den foretager 6 målrettede Microsoft Graph-kald og returnerer:

• MFA-dækning

  Hvor mange % af jeres brugere har fuldført MFA-registrering. Separat: admins vs. almindelige brugere.
• Ældre autentificering

  Er legacy-auth (Basic, SMTP AUTH) blokeret på tenant-niveau? Er der Conditional Access-politikker der lukker hullet?
• Global Admin-antal

  Hvor mange konti har Global Administrator-rollen. Benchmark: maks. 2.
• Udløbende applikationshemmeligheder

  App-registreringer med hemmeligheder der udløber inden for 30 eller 90 dage.
• Enhedsstatus

  % af Intune-administrerede enheder i en compliant tilstand.
• Risikable brugere

  Konti markeret som høj- eller mellemrisiko af Entra ID Protection.

Den fulde scanning udløses on-demand af jeres IT-chef. Den kører i en separat worker-proces og anvender Maester — en open-source PowerShell-testsuite vedligeholdt af Microsoft identity-community.

Maester kører mod jeres tenant med de samme app-only-legitimationsoplysninger og returnerer strukturerede bestå/fejl-resultater for hvert test. Vi parser outputtet til strukturerede fund og gemmer dem i vores database tagget med framework:

• CIS Controls v8 — 170+ kontroller der dækker grundlæggende sikkerhedshygiejne
• CISA SCuBA — 120+ kontroller fra den amerikanske cybersikkerhedsbaseline for M365
• EIDSCA — 80+ Entra ID Security Config Analyzer-kontroller
• Maester community-tests — 38+ yderligere open-source-tjek

Total: 150+ sikkerhedstjek på tværs af CIS, CISA SCuBA, EIDSCA og Maester. Hvert tjek mappes til en publiceret kontrol i et navngivet framework. Vi opfinder ikke alvorlighedsniveauer — de kommer fra kilderne.

Alle data lander i en Supabase Postgres-database i eu-central-1 (AWS Frankfurt). Next.js-frontend'et læser det via Row Level Security-politikker — hver tenants data er strengt isoleret.

Dashboardet viser:

• Samlet posture-score + modenhed per søjle (Identitet, Enheder, Apps, Adgang)
• Login-trends og anomalier (heatmap, geo, spidstimer)
• Conditional Access-dækning og politik-for-politik-overblik
• App-registreringer med udløbende hemmeligheder eller brede OAuth-rettigheder
• Fuld fundliste, filtrerbar efter framework, risikoniveau og søjle
• Afhjælpningskø med status, prioritet, deadline og auditspor
• Forklaringer per fund via Claude (valgfrit, kræver API-nøgle)

Denne liste er værd at nævne eksplicit. SimpleEntra vil aldrig:

• Skrive til jeres tenant (ingen ReadWrite-tilladelser eksisterer i vores manifest)
• Læse mail, kalender, OneDrive-filer, Teams-beskeder eller SharePoint-indhold
• Oprette eller ændre brugere, grupper eller roller
• Ændre eller aktivere/deaktivere Conditional Access-politikker
• Sende mails på jeres vegne (Mail.Send er ikke i vores tilladelsessæt)
• Gemme jeres Graph-tokens permanent (de hentes frisk ved hvert kald via client credentials flow)
• Gemme de faktiske værdier af applikationshemmeligheder — vi læser kun metadata (navn, udløb, nøgle-ID)

Vil I være sikre, åbn admin-consent-URL'en inden I godkender den — Microsoft viser alle tilladelser vi anmoder om. Ser I noget andet end .Read-tilladelser, godkend ikke og kontakt os.