別讓Microsoft 365 大門虛掩：利用BSM “上帝視角”精准鎖定安全隱患

在數字化風險日益複雜的今天，企業如何提前感知安全威脅、實現從被動防禦到主動管理的跨越？微軟於2025年底最新推出的基線安全模式（Baseline Security Mode，以下簡稱微軟BSM），正成為全球企業網絡安全架構演進的重要方向。

作為微軟的戰略聯盟合作夥伴，普華永道不僅在微軟BSM落地初期便深入參與實踐，更在多個實踐場景中積累了前沿的應用經驗。普華永道基於自身複雜架構的安全實踐，通過微軟BSM實現幫助組織識別並收斂Microsoft 365 (微軟365，以下簡稱M365)和Entra ID中仍在使用的歷史遺留高風險配置和協議，通過影響報告評估依賴與業務衝擊，以可控節奏推進基線加固，為企業破解老舊系統防護難題、筑牢安全基線提供可落地路徑。

為此，我們特別整理並首發本文，旨在將我們在微軟BSM領域的先行洞察與實踐總結，分享給正在或計劃使用該技術的企業，助力客戶在安全建設中快人一步，智勝一籌。

一、為何“安全基線”在當下變得更急迫？

當今網絡威脅正進入“AI加速”的新階段：攻擊者借助大模型與自動化工具，能夠更快、更精準地掃描暴露面、定位薄弱點，並在企業環境中以更高的機動性達成攻擊目標。網絡犯罪團伙因此更容易從歷史遺留的安全薄弱點中找到突破口。這些薄弱點不只來自傳統意義上的舊系統，更常見於M365與微軟 Entra身份平台中仍被大量組織保留的歷史遺留配置與協議。當這些高風險配置與多雲/混合架構疊加時，防守方往往疲於追趕，攻擊者則更加大膽。

要跑贏這類對手，企業需要在複雜且相互依賴的環境中建立“全局可見”：既包括雲上租戶與應用軟體，也包括身份與存取鏈路上的關鍵控制點。現實挑戰在於：遺留配置的“隱蔽性”和“依賴性”很強——它們可能在多年迭代中被反覆繼承，卻缺少持續盤點與收斂機制；一旦更新與加固節奏跟不上，就會被攻擊者當作繞過強校驗、擴大權限或推進橫向和縱向移動的捷徑。與此同時，偏移基線的雲配置、跨系統整合的風險點等基礎問題仍廣泛存在，而手握新技術加持的對手正在進一步抬高這些問題的風險上限。

普華永道《2026年全球數字信任洞察》也從調研層面印證了這一趨勢：雲相關威脅被認為是企業“最缺乏準備”的頭號網絡威脅；而遺留配置與供應鏈位列企業面臨的前兩大脆弱點，超過半數受訪者坦言自身在相關攻擊下“至多只是勉強應對”。因此，不同行業的關注點或許不同，但真正有效的應對必須回到基礎安全實踐——把安全基線打牢，才能讓防禦體系有穩定的底座。

在這樣的背景下，組織在推進“安全基線配置”時，常見痛點往往集中在以下幾個方面：

二、微軟BSM：微軟給出的“Security-by-default基線”能力

在M365及其Copilot輔助工具已實現超90%財富500強企業覆蓋的背景下1，微軟於2025年底推出基於M365的全新安全產品微軟BSM，該能力深度內置於M365管理中心，是面向企業的M365與微軟Entra身份體系安全基線配置能力，將原本分散在 Office、Exchange、Teams、SharePoint/OneDrive 等多個企業應用與管理入口中的關鍵安全設置集中到統一界面，並基於微軟對真實攻擊數據的分析，優先覆蓋一批最常被利用的遺留/高風險配置項。

通過微軟BSM，管理員可以在單一儀表盤中快速看清配置現狀與整改優先級，結合影響報告/模擬（What-if）評估變更對用戶與應用的影響後，再以“開關式治理”方式集中啟用安全預設配置或全局阻斷高風險功能；

其重點是通過集中管理的方式消除M365應用和微軟Entra裡被大量企業保留，但已知容易被攻擊者濫用的歷史遺留配置。

微軟BSM目前的核心服務領域

身份與權限：降低憑證攻擊與橫向移動的成功率

舊式認證協議/令牌仍是最常見的入侵入口之一。微軟BSM通過在Exchange、SharePoint/OneDrive、Teams及M365應用等服務中減少舊協議暴露面，建議統一關閉相關遺留配置，以降低被釣魚、撞庫與密碼噴射利用的風險。

阻止舊式認證流：在協議層面禁用POP (Post Office Protocol)/IMAP (Internet Message Access Protocol))/SMTP (Simple Mail Transfer Protocol)、舊版 EWS (Exchange Web Services) 等不支持 MFA (Multi-Factor Authentication) 條件存取的舊協議接入，直接切斷高風險登錄通道。

阻止基本認證提示：阻斷傳統“用戶名/密碼彈窗”提示，避免用戶在不安全的提示框中輸入憑據，從而降低憑據被竊取和被釣魚的概率。

文件與協作：削減惡意文檔與歷史文件特性帶來的攻擊面

M365應用（如 Word/Excel/PowerPoint）在提升效率的同時，舊版 Office 文件格式（如 Word 的 .doc）以及嵌入的 ActiveX 控件（ActiveX Controls）會帶來顯著安全風險。微軟BSM建議並可強制推動租戶逐步遷移到更現代、更安全的文件格式，並限制/消除含 ActiveX 的高風險文件行為，從源頭降低被利用的攻擊面。

在獲得查看詳細診斷數據的同意後，微軟BSM還能提供細粒度可見性：例如統計過去28天內租戶中仍在使用含 ActiveX 的舊文檔的用戶數量、以及此類文件被打開的次數，幫助管理員精準開展用戶教育與策略收斂，加速安全標準落地。

會議室與共享設備：讓“盲點資產”回到可控

微軟BSM在會議室設備場景重點落地兩項關鍵最佳實踐，用於降低會議環境被濫用與數據外洩風險：

阻止未受管設備與資源帳號登錄M365應用：限制非納管終端及資源帳號（如會議室帳號）直接登錄Office等應用，減少被冒用的入口。

限制 Teams Rooms 資源帳號訪問會議文件：禁止/收斂Teams Rooms設備上的資源帳號訪問會議中展示的M365文件，避免敏感內容被未授權讀取或下載。

實施以上配置可顯著提升會議室環境的安全性，並保護會議資料與敏感信息。

微軟BSM功能介紹

微軟BSM的未來規劃

微軟BSM的第一波發布 —— 微軟BSM 2025，已在5大核心應用中推出了20項基線配置。微軟 Digital 協助在企業範圍內完成這些功能的驗證與部署。而下一波功能更新也已經啟動。下一波更新規模更大，包含46項功能，是第一輪的兩倍以上。微軟BSM產品團隊正在擴展覆蓋範圍，重點包括：更深入的協議限制、更廣泛的應用控制，以及更細粒度的身份驗證策略。

三、部署安全基線的常見痛點 vs 微軟BSM 如何應對

微軟BSM並不取代完整的安全體系（如威脅偵測、響應、數據治理等），而是優先把“地基”打牢：以更強的預設配置減少攻擊者可利用的入口，並用影響模擬和診斷數據支撐企業以業務可接受的節奏推進整改。

部署安全基線的痛點 & 微軟BSM 對應能力

四、微軟BSM適用的典型場景

結合企業數字化辦公全流程的安全防護實際需求，微軟BSM的能力可精準落地於多類核心業務與操作場景中。其針對辦公場景中各類高頻安全風險打造的防護方案，能在帳戶、驗證、腳本、傳輸、控件、設備登錄等關鍵環節形成有效防護，各類典型適用場景也充分貼合企業日常辦公的安全管控痛點。

五、微軟BSM與微軟其他安全產品的區別：避免常見誤區

許多企業已部署微軟Secure Score、微軟Entra Access、微軟Defender系列服務與各類基線腳本，因此常會問“微軟BSM是否重複建設”。我們的建議是：從定位理解差異，避免功能混淆。

微軟安全產品核心對比一覽

六、從“配置”到“落地”：普華永道自身的落地經驗

由於規模龐大、架構複雜，普華永道自身同樣長期面臨“歷史遺留配置”帶來的潛在風險，隨著威脅環境變化，可能逐步變成新的攻擊入口。正因如此，同時依托普華永道與微軟的 Inner Circle Partnership戰略合作關係所帶來的更高層級協作與實踐對齊能力，我們在近期作為全球企業中第一批試點啟用微軟 Baseline Security Mode (BSM) 的組織之一，以“先行驗證、先行沉澱”的方式，為後續面向企業的規模化推廣提供可復用的方法論與交付路徑。

我們在試點中收穫了什麼？

首先，微軟BSM提供了一個更集中、可操作的控制與管理界面。過去類似配置往往分散在多個控制台與位置，需要分別梳理、逐項設置；而通過微軟BSM，我們可以在一個視圖裡集中識別組織內仍在使用的遺留配置，並在必要時通過簡單的“開關式”策略，在全局範圍快速收斂、阻斷高風險能力，把風險從“點狀治理”變成“體系化治理”。

需要強調的是，微軟BSM輸出的並非“可一鍵照單全收”的配置清單。我們在試點中觀察到，其中相當一部分建議屬於對當前業務環境影響較大的調整項：一旦啟用，往往會牽動既有應用依賴、身份驗證方式以及歷史協議的使用習慣。基於這一判斷，我們將相關建議納入既有的變更管理與風險評估流程，制定分階段的整改路線圖：一方面定期復盤微軟BSM提供的影響數據，提前識別可能受影響的用戶與應用；另一方面同步與業務負責人對齊替代方案、過渡窗口與定制化的例外策略，確保建議項能夠在組織內部以可控的節奏平滑推進，在提升安全基線的同時兼顧業務連續性。

我們的價值正是體現在能基於對企業業務流程與系統依賴的理解，把微軟BSM的“安全建議”落到可執行的整改路線圖、變更節奏與責任機制上，最終實現既提升基線安全，又不犧牲業務連續性的落地效果。

我們如何把它運營起來？

雖然微軟BSM能夠直接生成所需數據，但我們意識到，用戶需要的是清晰、可落地的實施方案。基於自身實踐經驗，我們開發了多項配套能力：

自動化技術方案：定制工具與儀表盤，幫助組織解讀微軟BSM數據、劃分整改優先級並跟蹤風險消減進度；

周期支持中心：設立支持中心，提供從規劃到落地的資源與技術支持；

標準化操作手冊：編制基於實踐的操作流程，指導微軟BSM建議的高效實施。

依托上述方案及實踐經驗，普華永道可幫助企業將微軟BSM等安全功能轉化為實際成效，實現從數據洞察到風險管控的閉環管理。

普華永道的微軟BSM落地服務全景圖

普華永道開發的BSM加速器（Accelerator）把微軟BSM裡分散、需要逐項點擊下載的影響報告集中收集，並結合Microsoft Entra的用戶與應用元數據，把原本只有應用ID、缺少責任人/業務歸屬的影響信息，轉化為包含業務線、應用、責任人、受影響範圍的一張圖。這樣，安全團隊可以在同一視圖下按業務部門/應用/責任人員維度打通多項設定的影響面，避免同一應用跨多條控制被反覆溝通；同時用可視化的變更跟蹤，持續衡量風險消減進度、支撐對管理層的周期性匯報，讓微軟BSM的落地從一次性配置動作升級為“可協同、可追蹤、可閉環”的推進項目。

七、結語：用微軟BSM把“預設安全”變成組織的共同語言

企業如今可快速識別歷史遺留的配置和協議漏洞。以微軟BSM為例，該功能為安全團隊提供主動阻斷機制，從源頭防止高風險遺留組件的使用。隨著審計機構與監管部門對企業安全防護的審查日趨嚴格，此類投入不僅能滿足合規要求，更能轉化為企業的戰略優勢。

在當下高度互聯的環境中，一家企業的安全短板可能引發系統性風險。投資微軟BSM等主動防禦措施至關重要——基礎安全防護已不僅是企業內部事務，更是全行業的共同責任。整個生態系統的安全強度，取決於每一個環節的牢固程度，唯有全生態共同優化，才能推動整體安全基線的提升。

普華永道網絡安全團隊深耕網絡安全、數據合規與數字信任領域，以微軟BSM相關安全理念與實踐為核心，融合全球前沿經驗與本土落地能力，為各行業客戶打造從戰略規劃到落地運營的全生命周期安全服務，助力企業在數字化轉型中筑牢安全根基。