Jordy Herber“Waarom het device in v6 even belangrijk is geworden als de identiteit zelf.”
De moderne cloudomgeving draait niet langer om de vraag wie toegang krijgt, maar ook vanaf welk device. We leven in een wereld waarin hybride werken de norm is, BYOD de realiteit, en identiteitsaanvallen steeds vaker worden uitgevoerd via devices die onvoldoende compliant of onvoldoende gecontroleerd zijn.
In deze context groeit de rol van Microsoft Intune — en dat zien we duidelijk terug in de CIS Microsoft 365 Benchmark v6.0.0. Waar v5 Intune vooral beschouwde als aanvullende tooling, maakt v6 het een essentieel onderdeel van de baseline. Endpoint governance staat niet meer los van identity governance, maar vormt samen het hart van Zero Trust.
In deze blog bespreken we alle belangrijke wijzigingen tussen v5 en v6 voor device compliance, app protection policies, device joins en de bredere integratie met Conditional Access en Entra ID.
🧭 Overzicht: Wat verandert er in v6 voor Intune?
Intune krijgt in v6 een grotere rol door:
- Nieuwe device join restricties
- Strengere eisen aan local admin governance
- Verplichte integratie met Conditional Access
- Duidelijkere DLP- en compliance-koppelingen
- Meer nadruk op managed vs unmanaged device restrictions
- Betrekking van app protection policies bij baseline-security
| Domein | v5 | v6 | Impact |
| Device join governance | Beperkt | Sterk uitgebreid | Zeer hoog |
| Local admin rights | Niet expliciet | Nieuw & verplicht in v6 | Hoog |
| LAPS | Niet aanwezig | Nieuw in v6 | Hoog |
| Compliance policies | Basis | Strenger en breder | Hoog |
| App Protection Policies | Adviserend | Duidelijk baseline in v6 | Medium |
| Conditional Access integratie | Indirect | Verplicht onderdeel | Zeer hoog |
| MAM/MAM-WE | Niet benoemd | Expliciet via app protection | Medium |
🔐 1. Device Join Governance — Een nieuw zwaartepunt in v6
In Blog 3 zagen we al dat Entra ID device join veel strenger is geworden. Hier gaat Intune verder als handhavingslaag.
De belangrijkste nieuwe controls in v6:
1.1. Ensure the ability to join devices to Entra is restricted
(v6 – 5.1.4.1)
Deze control beperkt het aantal gebruikers dat devices mag registreren.
v5 bevatte dit controlpunt niet in deze vorm.
Waarom belangrijk?
- Aanvallers misbruiken device registration om persistentie te creëren
- Onbeperkte device joins leiden tot shadow devices
- Device trust wordt onbetrouwbaar zonder governance
🛠️ 2. Local Administrator Governance — Nieuw en essentieel in v6
Een volledig nieuwe set aanbevelingen in v6 is gericht op het beperken van lokale administratorrechten op devices:
2.1. Ensure the GA role is not added as a local administrator during Entra join
(v6 – 5.1.4.3)
2.2. Ensure local administrator assignment is limited during Entra join
(v6 – 5.1.4.4)
Deze controls komen niet voor in v5.
Waarom deze toevoegingen?
- Bij Entra Join worden te vaak automatisch adminrechten toegekend aan te brede groepen
- Local admin misbruik is een van de belangrijkste aanvalsvectoren voor post-breach escalation
- Zero Trust betekent: minimum privilege, ook op endpoints
Intune speelt hierin een hoofdrol:
- via Endpoint Security → Account Protection
- via Device Configuration → Local Users & Groups
- via LAPS policies
🔐 3. Intune LAPS (Local Administrator Password Solution) verplicht in v6
In v6 staat:
Ensure LAPS is configured for Entra Joined devices
(v6 – 5.1.4.5) Deze control bestaat niet in v5.
Waarom LAPS verplicht is geworden:
- LAPS hergenereert automatisch sterke, unieke lokale adminwachtwoorden
- Voorkomt laterale beweging
- Voorkomt credential reuse
- Maakt incidentrespons betrouwbaarder
- Sluit aan op Microsoft’s Attack Surface Reduction model
Intune is het aangewezen platform om LAPS centraal te beheren in cloud-only of hybrid tenants.
💻 4. Compliance Policies — Van adviserende baseline naar harde voorwaarde
In zowel v5 als v6 staat:
Ensure compliance policies are configured
(v5 – 5.5.1, v6 – 5.5.1)
Maar in v6 wordt compliance veel concreter gekoppeld aan:
- Conditional Access
- App Protection Policies
- Device platform restrictions
- Minimum OS- en patchlevel criteria
v6 verwacht concreet dat je:
- jailbroken & rooted devices blokkeert
- niet-ondersteunde OS-versies blokkeert
- minimum patchlevels afdwingt
- AV & firewall status controleert
- disk encryption controleert
- secure boot afdwingt waar mogelijk
Verschil met v5:
v5 beschreef compliance als “good practice”, v6 ziet het als “security boundary”.
📱 5. App Protection Policies (MAM) — Nu duidelijk onderdeel van baseline
CIS v6 noemt app protection policies expliciet in de context van device governance:
Ensure applications on unmanaged devices are protected via app protection policies
(v6 – 5.5.x reeks, consolidatie afhankelijk van categorie) In v5 was dit niet benoemd.
Waarom MAM belangrijk is:
- BYOD groeit
- Veel gevoelige data wordt via Outlook, Teams, OneDrive geopend
- Niet elk device kan compliant worden gemaakt
- MAM biedt een controlemiddel zonder device enrollment
Voorbeelden van baseline MAM-regels:
- Blokkeer copy/paste naar unmanaged apps
- Vereis PIN of biometrie
- Encrypt app data at rest
- Blokkeer opslag op niet-goedgekeurde locaties
- Wipe bedrijfsdata bij risico-event
🎯 6. Conditional Access integratie — In v6 een harde eis
In v5 werd CA vooral genoemd onder identity.
In v6 is CA nu onlosmakelijk verbonden met device compliance.
CIS v6 verwacht:
6.1. CA regels voor device-based access:
- Require compliant device
- Require app protection policy (MAM)
- Require trusted location of compliant device
- Block legacy authentication
6.2. Device join → Session controls → MAM enforcement
Deze flow is essentieel binnen Zero Trust.
6.3. Registered vs compliant device onderscheid
v6 benoemt dat “registered” devices onvoldoende zijn voor toegang tot gevoelige resources.
🧩 7. Endpoint Security Policies — Device-level ASR wordt baseline
Hoewel CIS v6 niet diep ingaat op ASR-regels (Attack Surface Reduction), verwijst het wel naar:
Ensure endpoint protection policies are in place
(v5 – 5.5.2, v6 – 5.5.2)
In v6 wordt dit veel breder geïnterpreteerd:
- Real-time protection must be enabled
- Cloud-delivered protection must be enabled
- Network protection must be configured
- Tamper protection must be enforced (Defender for Endpoint)
- ASR rules recommended
Waarom?
Omdat endpoint security de detectielaag vormt voor XDR.
🧩 8. Registrierung van devices — Minder vrijheid in v6
In v5 stond dit nauwelijks beschreven.
In v6 is device registration een cruciale baseline:
- Niet alle gebruikers mogen devices registreren
- Device registration moet beperkt worden tot security groups
- Stale devices moeten automatisch worden verwijderd
- Device lifecycle moet worden gemonitord
📊 Samenvatting: Verschillen tussen v5 en v6 voor Intune & Devices
| Onderdeel | v5 | v6 | Impact |
| Device join governance | Basis | Uitgebreid, restrictief | Hoog |
| Local admin restrictions | Afwezig | Nieuw & verplicht | Zeer hoog |
| LAPS verplicht | Afwezig | Nieuw | Zeer hoog |
| Compliance policies | Adviserend | Strenger, concreet | Hoog |
| MAM/MAM-WE | Onbenoemd | Deel van baseline | Medium |
| CA integratie | Indirect | Verplicht | Zeer hoog |
| Endpoint Security policies | Basis | Breder en strikter | Hoog |
| Device lifecycle governance | Beperkt | Strenger | Medium |
🔎 Mapping: Intune naar Entra, Defender, Purview en Sentinel
Entra ID
- Device identity
- CA enforcement
- PRT & token trust
- Local admin governance
Defender (MDE)
- ASR rules
- Tamper protection
- Fileless attack detection
- Device risk levels → CA blocking
Purview
- Endpoint DLP
- Protected apps via MAM
- Cross-device data governance
Sentinel
- Device risk signals
- UEBA device risk scoring
- Correlation: device → identity → data → cloud apps
🧠 Conclusie — v6 maakt Intune een first-class security component
CIS Benchmark v6 laat duidelijk zien dat:
- security begint bij identity,
- maar identity staat of valt met het device waarop wordt gewerkt.
Daarom is device compliance, join-governance, local admin controle en app protection nu een essentieel onderdeel van de securitybaseline.
Intune wordt in v6 dus niet langer beschouwd als optioneel onderdeel van endpointbeheer — maar als een verplicht fundament van Microsoft 365 security.
Zonder Intune-compliance kun je geen Zero Trust implementeren. Zonder Zero Trust kun je geen moderne security implementeren. En zonder moderne security ben je simpelweg niet klaar voor de huidige dreigingen.