Identity Hardening in Microsoft Entra ID De grootste veranderingen tussen CIS Benchmark v5 en v6

Posted by: Jordy Herber Posted on

“Waarom CIS in v6 nóg meer inzet op identity-first security.”

Inleiding

Identity is de nieuwe perimeterschutting. In de huidige cloudwereld bepaalt niet langer je netwerk waar de grenzen liggen, maar de identiteit van de gebruiker, het apparaat dat deze gebruikt en de context waarin dat gebeurt. Microsoft Entra ID staat daarmee centraal in een Zero Trust-strategie — en CIS Benchmark v6.0.0 laat dat duidelijk zien.

Waar CIS v5 al een stevige basis legde, gaat v6 veel verder. De benchmark bevat meer granulariteit, nieuwe restricties, extra aandacht voor service principals, en strengere eisen voor modern multi-factor authentication. Er is bovendien een groeiende nadruk op guest governance en device security, die volledig aansluit bij Microsofts eigen securitymodel.

In deze blog kijken we in detail naar de veranderingen tussen v5.0.0 en v6.0.0 op het gebied van Microsoft Entra ID. Je leert welke controls zijn toegevoegd, welke zijn aangescherpt, en — vooral — waarom deze wijzigingen noodzakelijk zijn voor een veilige Microsoft 365-omgeving.

🧭 Overzicht: wat verandert er in Entra ID tussen v5 en v6?

CIS Benchmark v6 maakt drie grote bewegingen die direct impact hebben op identity governance:

  • Authenticatie wordt strenger gereguleerd
  • Service principal-beheer wordt grondig ingeperkt
  • Device join & lokale adminrechten worden verfijnd en gelimiteerd

Deze veranderingen weerspiegelen de moderne aanvalstechnieken die we in het veld zien:

  • Token hijacking
  • MFA fatigue attacks
  • OAuth misbruik
  • Service principal misconfiguraties
  • Social engineering op guest accounts

CIS speelt hierop in door de baseline te versterken.

🔐 1. Authenticatiemethoden — Strenger, moderner en phishing-resistent

Authenticatie is het fundament van elke cloudomgeving. CIS v6 breidt dit hoofdstuk flink uit met nieuwe controls en verduidelijkingen.

📌 Nieuw in v6: Email OTP uitschakelen

In v6 is een belangrijke nieuwe aanbeveling toegevoegd:

Ensure the email OTP authentication method is disabled (v6 – 5.2.3.7)

Reden: email OTP wordt beschouwd als zwakke MFA, omdat mailboxen vaak al doelwit zijn of onvoldoende beveiligd worden. Dit control­epunt ontbreekt volledig in v5.

📌 Sterkere focus op phishing-resistant MFA

CIS v6 benadrukt:

  • gebruik van system-preferred MFA,
  • Microsoft Authenticator als standaard,
  • bescherming tegen MFA fatigue rotations,
  • push-notification nummer matching.

Deze worden uitgebreid beschreven in o.a.:

  • Ensure Microsoft Authenticator is configured to protect against MFA fatigue
  • Ensure system-preferred multifactor authentication is enabled

(v6 secties 5.2.3.1 en 5.2.3.6)

In v5 bestaan deze aanbevelingen nog niet of in veel beperktere vorm.

📌 Verplichte MFA voor alle gebruikers én admins

Beide benchmarks schrijven MFA voor alle gebruikers voor, maar v6 gaat verder door:

  • expliciet onderscheid te maken tussen admin roles en standard users,
  • strengere sign-in frequentieregels te introduceren,
  • contextuele toegangseisen te versterken.

CIS v6:

“Ensure multifactor authentication is enabled for all administrative roles” (v6 – 5.2.2.1)
“Ensure multifactor authentication is enabled for all users” (v6 – 5.2.2.2),

Beide aanwezig in v5 maar in v6 vollediger uitgewerkt.

📌 Conditional Access: van basis naar strategische governance

v6 scherpt de aanbevelingen rond Conditional Access verder aan door onderscheid te maken tussen:

  • Sign-in risk policies
  • User risk policies
  • Legacy authentication blocking
  • Session governance

Nieuwe of aangescherpte aanbevelingen in v6 zijn o.a.:

  • Ensure sign-in risk is blocked for medium and high risk (v6 – 5.2.2.8)
  • Ensure a managed device is required to register security information (v6 – 5.2.2.10)

Beide ontbreken in v5.

🛠️ 2. Service Principals — CIS reageert op toename OAuth-misbruik

In de afgelopen jaren zien we een enorme stijging in aanvallen waarbij kwaadwillenden misbruik maken van OAuth-applicaties en service principals. CIS v6 pakt dit concreet aan door nieuwe restricties in te voeren.

📌 Wat is nieuw in v6?

1. Beperking van app consent

v6 introduceert nieuwe aanbevelingen zoals:

  • Ensure user consent to apps accessing company data is not allowed (v6 – 5.1.5.1)
  • Ensure admin consent workflow is enabled (v6 – 5.1.5.2)

Deze controls bestaan wél in v5, maar zijn in v6 uitgebreid en scherper geformuleerd.

2. Restricties op service principal-permissies

Volledig nieuw in v6 zijn aanbevelingen die de beheersing van service principals expliciet regelen (sectie 9.1.x):

  • Ensure access to APIs by service principals is restricted
  • Ensure service principals cannot create and use profiles
  • Ensure service principals ability to create workspaces and pipelines is restricted

Deze controls ontbreken in v5, wat logisch is gezien de explosieve groei in misuse via automatiseringsaccounts.

💂‍♂️ 3. Guest Users & External Identities — Strenger dan v5

Externe samenwerking is cruciaal binnen Microsoft 365, maar leidt ook tot risico’s als guest accounts niet goed worden beheerd.

In v6 zijn veel guest-related controls aangescherpt.

📌 Voorbeelden van nieuwe of strenger verwoorde controls in v6:

  • Beperken van guest invitations tot de Guest Inviter-rol
  • Alleen collaboration invitations toestaan naar allowed domains
  • Gastgebruikersrechten minimaliseren
  • Striktere toestemmingsmodellen voor external identities

CIS v6 secties 5.1.6.x tonen deze uitgebreid. v5 bevat wel guest governance, maar minder gedetailleerd en minder restrictief.

💻 4. Device Join & Local Admin Governance — Nieuw zwaartepunt in v6

Waar v5 device join vooral beschouwde als onderdeel van device management, legt v6 veel meer nadruk op de security-impact hiervan.

📌 Veranderingen in v6:

1. Ensure the ability to join devices to Entra is restricted

Alleen specifieke gebruikersgroepen mogen devices joinen.
(v6 – 5.1.4.1)

2. Ensure the GA role is not added as a local administrator during Entra join

Nieuw in v6.
Dit voorkomt dat Global Admins automatisch local admins worden op devices, wat tegen Zero Trust in gaat.
(v6 – 5.1.4.3)

3. Ensure local administrator assignment is limited during Entra join

Ook nieuw.
(v6 – 5.1.4.4)

4. LAPS verplicht voor Entra-joined devices

v6 versterkt de aanbeveling tot gebruik van Local Administrator Password Solution.
(v6 – 5.1.4.5)

🧰 5. PIM & Role Governance — Fijner afgesteld in v6

Privileged Identity Management (PIM) komt al in v5 voor, maar in v6 zijn de aanbevelingen:

  • uitgebreider,
  • strenger,
  • en meer gericht op auditability.

Nieuwe punten in v6 zijn o.a.:

  • Approval workflows verplicht stellen
  • Tijdelijke role assignments afdwingen
  • Access reviews automatiseren

Dit geldt voor o.a. Global Administrator en Privileged Role Administrator.

📊 6. Sign-in Governance — Nieuw niveau van controle

CIS v6 introduceert meerdere nieuwe sign-in harnachingsmechanismen die in v5 ontbreken, zoals:

📌 Nieuw in v6:

  • Sign-in frequency voor administrators moet beperkt worden
  • Persistent browser sessions moeten worden uitgeschakeld
  • Sign-in risk voor medium en high moet leiden tot blokkade

Deze aanbevelingen zijn cruciaal, omdat moderne aanvallen steeds vaker tokens misbruiken in plaats van wachtwoorden.

🔎 7. Hoe vertaalt dit zich naar Microsoft Security-producten?

Om Entra ID controls goed te implementeren, moeten de juiste producten samenwerken. Hieronder een mapping.

CIS themaMicrosoft ProductUitleg
MFA & authenticator securityEntra ID + Identity ProtectionRisk policies, CA, tenants defaults
Guest governanceEntra External IdentitiesCross-tenant access policy, guest restrictions
Device join restrictiesEntra ID + IntuneCompliance policies + local admin governance
Service principal governanceEntra + PurviewAPI permissions, consent workflows
Role managementPIMJust-in-time access, privileged governance
Sign-in risk & risk policiesIdentity ProtectionRisk-based MFA, session controls
Monitoring & detectionDefender XDR + SentinelAudit logs, identity detections, UEBA

🧠 Conclusie — Entra ID is de kern van v6

CIS Benchmark v6 laat duidelijk zien dat identity de primaire aanvalsvector én de primaire verdedigingslijn is. Waar v5 al een goede basis legde, is v6 een volledige moderniseringsslag:

  • Strengere MFA
  • Meer bescherming tegen phishing
  • Strengere service principal governance
  • Betere gastaccountbeveiliging
  • Device join governance naar een hoger niveau
  • PIM en role governance sterk uitgebreid
  • Risk-based authenticatie centraal

De essentie is helder: wie identity beheerst, beheerst de security van Microsoft 365.

Leave a Reply

Your email address will not be published. Required fields are marked *