Jordy Herber“Waar zit de echte verandering, en wat betekent dat voor jouw tenant?”
⭐ Inleiding
In Blog 1 hebben we de evolutie van CIS Benchmarks besproken en bekeken waarom versie 6.0.0 zo’n belangrijke stap is richting moderne cloudbeveiliging. In deze tweede blog gaan we dieper de techniek in: wat is er nu echt veranderd tussen v5 en v6 per Microsoft 365-productgroep?
De nieuwe versie bevat tientallen wijzigingen die invloed hebben op identiteitsbeheer, e-mailbeveiliging, Teams governance, dataclassificatie en device security. Sommige veranderingen zijn klein en verduidelijkend, andere zijn fundamenteel — zeker wanneer ze betrekking hebben op externe samenwerking, authentication strengths of de rol van service principals.
Deze blog geeft een uitgebreide vergelijking en biedt inzichten die je helpen prioriteren, plannen en implementeren. Een soort kaart van het nieuwe landschap waar je als cloudcowboy doorheen moet navigeren.
🧭 Hoog-over overzicht: wat is anders in v6?
Hieronder een samenvatting van de belangrijkste verandergebieden:
| Productgebied | Verandering v5 → v6 | Impactniveau |
| Microsoft Entra ID | Grote uitbreiding aan device join controls, authentications, service principal-governance | Hoog |
| Defender / Email & Collaboration | Striktere policies, zoals outbound anti-spam limits | Hoog |
| Defender for Cloud Apps (MCAS) | Nu enabled én configured verplicht | Medium/Hoog |
| Microsoft Teams | Nieuwe controls voor trial tenants, externe domeinen en meetings | Hoog |
| Microsoft Purview | DLP nu vaker geautomatiseerd; sensitivity label policies beter uitgeschreven | Medium |
| SharePoint/OneDrive | Meer nadruk op externe sharing governance | Medium |
| Intune | Joins, compliance en keys governance strenger omschreven | Medium |
De rode draad: identiteit, samenwerking en e-mailbeveiliging staan nog steviger centraal dan voorheen.
🔐 1. Microsoft Entra ID — Identiteit wordt nóg strakker gereguleerd
De grootste veranderingen tussen v5 en v6 vinden plaats in Microsoft Entra ID. CIS reageert hier duidelijk op de explosieve toename van identity-based aanvallen in de laatste jaren.
Belangrijkste verschillen in v6:
1. Nieuwe device join-restricties
v6 voegt meerdere nieuwe aanbevelingen toe rond het beperken van:
- Het aantal devices dat gebruikers mogen registreren
- Het toekennen van lokale adminrechten bij Entra Join
- Het automatisch toevoegen van Global Admin als local admin
De toevoeging van controls zoals Ensure the GA role is not added as a local administrator during Entra join (v6 sectie 5.1.4.3) benadrukt de noodzaak om adminrechten te minimaliseren.
2. Strengere eisen aan authenticatiemethoden
v6 introduceert:
- Blokkeren van e-mail OTP (nieuw in v6)
- Verduidelijkte aanbevelingen voor Microsoft Authenticator en MFA fatigue-preventie
- Strengere requirements voor “system-preferred MFA”
Dit sluit aan bij Microsofts eigen “phishing-resistant MFA”-strategie.
3. Service principal-governance
In v6 zijn meerdere nieuwe aanbevelingen toegevoegd rondom:
- Het beperken van service principal-permissies
- Het beperken van het aanmaken van profielen via service principals
- Het beperken van toegang tot API’s voor service principals
Dit is cruciaal, want misbruik van service principals is een veelvoorkomend aanvalspad.
4. Gastgebruikers en externe samenwerking
v6 maakt de controls voor guest access veel scherper:
- Alleen collaboration invitations naar allowed domains
- Strengere gastgebruikersrechten
- Gastuitnodigingen beperkt tot Guest Inviter-role
Dit alles komt voort uit de groei van externe samenwerkingen binnen M365.
🛡️ 2. Microsoft 365 Defender — E-mailbeveiliging en collaboration security
De Defender-secties in de benchmark zijn inhoudelijk flink aangescherpt. v6 legt meer nadruk op het tegenhouden van spam, phishing en malafide bijlagen.
Wat is er nieuw in v6?
1. Outbound anti-spam message limits
Een volledig nieuwe aanbeveling in v6 (sectie 2.1.15) bepaalt dat tenants limieten moeten instellen voor het aantal berichten dat een gebruiker mag versturen om spam-uitbraken te voorkomen.
Dit speelt in op:
- Compromised accounts die grote hoeveelheden spam versturen
- Tenant reputatieproblemen
- Blokkades door andere mailproviders
2. Strengere attachment filtering
Hoewel v5 al Safe Attachments voorschrijft, sluit v6 dit beter aan op Defender’s “dynamic delivery”-model en strengere configuratiemogelijkheden.
3. Anti-phishing policies uitgebreid
v6 maakt onderscheid tussen:
- Standaard phishing policies
- Priority accounts strict protection
- Spoofing-detectie governance
☁️ 3. Defender for Cloud Apps — van “geconfigureerd” naar “verplicht actief”
In v5 lag de nadruk vooral op het configureren van MCAS. In v6 wordt het expliciet:
MCAS moet enabled én correct geconfigureerd zijn.
Dit reflecteert de groeiende rol van CASB-functionaliteiten in moderne Zero Trust-architecturen. Shadow IT is geen theoretisch probleem meer, maar een praktisch risico dat CIS nu veel serieuzer adresseert.
💬 4. Microsoft Teams — meer restricties op externe interactie
Teams is veranderd van een communicatietool in een samenwerkingsplatform dat diep verweven is met OneDrive, SharePoint en Exchange. CIS v6 weerspiegelt deze groeiende risico’s.
Nieuwe en aangescherpte aanbevelingen:
1. Blokkeren van communicatie met trial tenants
Nieuw in v6:
- Trial tenants kunnen niet langer communiceren met de organisatie
- Dit voorkomt misbruik door tijdelijke of malafide tenants
2. Strengere domain filtering
v6 specificeert duidelijker:
- Welke domeinen moeten worden toegestaan
- Welke vormen van externe communicatie geblokkeerd moeten worden
- Hoe unmanaged Teams gebruikers worden behandeld
3. Meeting security aangescherpt
Veel instellingen die in v5 nog optioneel waren, worden nu expliciet aanbevolen:
- Anonymous join blokkeren
- Alleen mensen in de organisatie mogen de lobby bypassen
- Externe gebruikers mogen geen control vragen of geven
- Meeting recording standaard uitgeschakeld
📁 5. Microsoft Purview — governance en dataclassificatie worden volwassener
Purview is de stille kracht van compliance en databeveiliging. In v6 krijgt Purview een grotere rol door meer automatisering.
Belangrijkste inhoudelijke verschillen:
1. DLP-controles nu vaker Automated
In v5 waren veel DLP-stappen nog “Manual”, in v6 is dit grotendeels geautomatiseerd.
Dit komt door verbeteringen in:
- Policy automation
- Applicatie-integratie
- Sensitivity label triggers
2. Strakkere beschrijving van sensitivity label policies
v6 bevat:
- Beter omschreven labellijst-publicatie
- Mogelijkheid tot bredere automatisering
- Duidelijkere auditstappen
🗂️ 6. SharePoint en OneDrive — minder open, meer gecontroleerd
Hoewel dit geen gebied is met gigantische wijzigingen, is v6 duidelijk strenger qua externe sharing.
Nieuwe accenten:
- Externe sharing op basis van domain allow/block-lists wordt urgenter
- Guest expiration moet worden afgedwongen
- OneDrive sync op unmanaged devices moet worden beperkt
De trend is helder: Zero Trust rond documenten en bestandsdeling.
📱 7. Microsoft Intune — device governance als onderdeel van CIS
In v6 wordt device governance duidelijker, met o.a.:
- Device join-governance vanuit Entra
- Limitaties op het aantal apparaten per gebruiker
- Lokale administrator password solution (LAPS) verplichting voor Entra Joined devices
Intune wordt hiermee een fundament voor identity-first security.
🎯 Mapping: Hoe vertaal je deze wijzigingen naar Microsoft Security-producten?
Hier is een overzicht van hoe v6 beter aansluit op Microsoft’s productstack:
| CIS Domein | Microsoft Product | Functie |
| Identity hardening | Entra ID | CA, PIM, Identity Protection |
| E-mailbeveiliging | Defender for Office 365 | Anti-phishing, Safe Links, Safe Attachments |
| Collaboration security | Teams, SharePoint, OneDrive | Externe sharing control, meeting governance |
| Data security | Purview | DLP, labels, audit |
| Governance | Purview + Intune | Device compliance, access governance |
| Detectie & response | XDR | Incidentcorrelatie |
| Monitoring | Sentinel | Audit, anomaly detection, compliance monitoring |
🧠 Conclusie — CIS v6 is meer dan een update, het is een moderniseringsslag
De overstap van CIS 5.0.0 naar 6.0.0 toont een duidelijke verschuiving richting:
- Identity-first beveiliging
- Strengere e-mail- en Teams-governance
- Zero Trust rond data en externe samenwerking
- Aangescherpte audit- en monitoringsvereisten
- Beter geïntegreerde samenwerking tussen Microsoft-securityproducten
Voor organisaties betekent dit dat de baseline niet meer vrijblijvend is. Als je v6 implementeert, zet je niet alleen stappen richting compliance, maar verbeter je actief de weerbaarheid van je tenant.