Jordy HerberMicrosoft Teams is explosief gegroeid en vormt inmiddels de ruggengraat van hybride werken. Het is niet langer alleen een vergadertool, maar een volledig samenwerkingsplatform dat diep verweven is met Exchange, SharePoint, OneDrive, Entra ID en zelfs externe SaaS-apps.
Deze groei brengt nieuwe securityrisico’s met zich mee. Externe gebruikers, gasten, meetings, bestanden, chats, connectors, apps en federated domains creëren een enorme attack surface. Gebrekkige configuratie kan leiden tot reputatieschade, datalekken, impersonatieaanvallen of ongewenste toegang.
CIS Benchmark v6.0.0 onderkent dit volledig en bevat veel strengere en uitgebreidere aanbevelingen dan v5.0.0. Vooral controls rondom externe communicatie, trial tenants, gasttoegang en meetingbeveiliging zijn fors aangescherpt.
In deze blog analyseren we alle verschillen tussen v5 en v6, en laten we zien hoe deze controls aansluiten op Microsoft Defender, Purview, Intune en Sentinel.
🧭 Overzicht: Waarom Teams in v6 veel belangrijker is geworden
Hieronder zie je in één oogopslag de belangrijkste wijzigingen:
| Domein | v5 | v6 | Impact |
| Externe communicatie | Beperkt | Strenger, nieuwe controls | Zeer hoog |
| Trial tenants | Niet aanwezig | Nieuw control | Hoog |
| Meeting security | Basis | Veel strenger | Zeer hoog |
| Externe domeinrestricties | Aanwezig | Dieper uitgewerkt | Hoog |
| App governance | Beperkt | Strenger in v6 | Medium |
| File sharing governance | Indirect via SPO/OD | Duidelijker benoemd | Hoog |
| Guest users | Minder streng | Consistent met Entra-governance | Hoog |
Teams is in v6 niet langer een bijrolspeler, maar een strategisch securitydomein.
🌍 1. Externe communicatie — In v6 veel strenger
In zowel v5 als v6 staat:
Ensure external access is restricted
(v5 – 7.1.1, v6 – 7.1.1)
Maar in v6 is de betekenis hiervan sterk uitgebreid.
Wat CIS v6 expliciet toevoegt:
1.1. Strengere domain allow/block governance
v6 eist:
- Een duidelijke allow list voor externe communicatie
- Geen open federatie met onbekende tenants
- Auditing van alle wijzigingen aan externe domeinlijsten
1.2. Geen communicatie met onbekende organisaties
Dit is bedoeld om aanvallen te voorkomen waarbij malafide tenants zich voordoen als partners.
1.3. Beperkingen op gastcommunicatie binnen chat
Teams ondersteunt meerdere vormen van externe communicatie:
- Teams-to-Teams chat
- Guest access
- External federation
- Consumer Teams communication
Elk van deze moet apart worden beperkt in v6, wat in v5 niet zo expliciet was.
Waarom?
Microsoft meldt dat een groot deel van BEC-aanvallen plaatsvindt via impersonatie in Teams-contacten.
🧪 2. Nieuw in v6: Trial tenants blokkeren
Een van de grootste nieuwe controls in v6 is:
Ensure users cannot communicate with trial tenants
(v6 – 7.1.2)
Deze control bestaat niet in v5.
Waarom dit zo belangrijk is:
Trial tenants zijn:
- makkelijk aan te maken
- volledig anoniem
- niet governance-gebonden
- populair bij aanvallers voor frauduleuze impersonatie
Teams-communicatie met trial tenants betekent letterlijk:
“Je organisatie praten met iemand die geen identiteit heeft.”
CIS maakt dit nu expliciet onacceptabel.
📅 3. Meeting Security — Een enorme stap vooruit in v6
In v5 was meeting security redelijk beknopt.
In v6 is dit een groot uitgebreid cluster geworden.
v6 vereist o.a.:
- Anonymous join blokkeren
- Lobby must be required for everyone except host
- External users cannot bypass the lobby
- Meeting chat voor externen beperken
- Presenter roles beperken tot organisatoren en designated presentators
- Recordingstandaarden beperken
- Geen externe controle-overname toestaan
Deze controls vallen onder:
Ensure meeting settings are restricted
(v5 – 7.1.3, v6 – 7.1.3)
Waarom deze uitbreiding?
Teams-meetings vormen een kanaal voor:
- ongecontroleerde bestandstoegang
- screen sharing met gevoelige data
- phishing via meeting invitations
- impersonatie van hosts
- ongewenste deelname door gastgebruikers
Daarnaast ziet Microsoft een toename in “meeting bombing” en deepfake misbruik.
🤝 4. Guest Access — Eén lijn met de strengere Entra-governance in v6
Zowel v5 als v6 bevatten:
Ensure guest access is restricted
(v5 – 7.1.4, v6 – 7.1.4)
Maar v6 sluit nu volledig aan op de nieuwe Entra-controls uit Blog 3.
v6 maakt guest governance strenger op:
4.1. Minimaal toegangsmodel
Gastgebruikers krijgen standaard:
- Geen adminrechten
- Geen Teams-creation rights
- Geen app-installatierechten
4.2. Guest user permissions in meetings
- Geen presenter role
- Geen control overnemen
- Geen herpublicatie van content
4.3. Guest member type moet “Guest” blijven
v6 benadrukt dat gasten niet worden geupgraded naar Member.
📁 5. File Sharing Governance — v6 erkent Teams ↔ SharePoint ↔ OneDrive als één geheel
Hoewel in v5 al impliciet aanwezig, maakt v6 dit veel explicieter:
Teams sharing settings must align with SharePoint and OneDrive governance
(v6 – 7.1.5)
Waarom deze control?
Teams is niet de opslaglocatie van bestanden.
Alle bestanden worden opgeslagen in:
- SharePoint sites (team channels)
- OneDrive libraries (privéchats)
Als SharePoint governance niet aligned is met Teams governance, ontstaat:
- datalekrisico
- inconsistentie in label enforcement
- oncontroleerbare sharing
- Purview DLP bypasses
v6 pakt dit aan door Teams expliciet te koppelen aan SPO/OD baseline.
🧩 6. Teams App Governance — v6 vraagt meer restricties
In v5 was app governance beperkt omschreven.
In v6 stelt CIS:
Ensure Teams app permissions are restricted
(v6 – 7.1.6)
Dit omvat:
- Het beperken van third-party apps
- Het blokkeren van apps met brede Graph API rechten
- Het afdwingen van approval workflows
- Het auditen van app-installaties
Waarom belangrijk?
Teams apps worden steeds vaker gebruikt als:
- OAuth attack vectors
- data exfiltration tools
- persistence mechanismen voor threat actors
Meer dan 50% van moderne Microsoft 365-aanvallen maakt gebruik van OAuth misconfiguraties.
📊 Samenvatting: Verschillen tussen v5 en v6 voor Teams
| Onderdeel | v5 | v6 | Impact |
| External access | Basic restricties | Strenger, domain governance, auditing | Hoog |
| Trial tenants | Niet aanwezig | Nieuw control | Zeer hoog |
| Meeting security | Basic | Zeer gedetailleerd en strenger | Zeer hoog |
| Guest access | Aanwezig | Strenger & aligned met Entra | Hoog |
| File governance | Impliciet | Expliciet gelinkt aan SPO/OD | Zeer hoog |
| App governance | Basis | Breed uitgewerkt | Medium |
| Tenant interoperability | Niet benadrukt | Zero Trust by default | Hoog |
🔎 Mapping: Hoe Teams-controls aansluiten op Defender, Purview, Intune en Sentinel
Defender for Cloud Apps
- Session controls voor Teams
- Detectie van externe sharing risico’s
- App governance alerts
Purview
- Data loss prevention in Teams chat
- Automated sensitivity labeling in Teams
- Monitoring van externe sharing
Intune
- App protection policies voor Teams mobiel
- Device compliance enforcement voor Teams downloads
Sentinel
- Teams activity logs
- UEBA voor afwijkend gastgedrag
- Anomalydetectie rond trial tenants
- Meeting activity monitoring
Teams is daarmee een volwaardige detectie- en governance-lijn.
🧠 Conclusie — Microsoft Teams is de nieuwe attack surface, en CIS v6 behandelt het eindelijk zo
CIS Benchmark v6 erkent wat securityprofessionals al jaren zien:
- Teams is een primaire aanvalsvector
- Externe samenwerking moet streng gereguleerd worden
- Meetings vormen een risico-oppervlak
- File sharing is niet meer alleen SPO/OD, maar Teams-driven
- OAuth en third-party apps vormen nieuwe risico’s
- Trial tenants zijn een reëel bedreigingsmechanisme
- Zero Trust collaboration moet leidend zijn
v6 maakt Teams-governance volwassen en realistisch. Niet door productivity te blokkeren, maar door risico’s te beperken met slimme, moderne controls.