别让Microsoft 365 大门虚掩：利用BSM “上帝视角”精准锁定安全隐患

在数字化风险日益复杂的今天，企业如何提前感知安全威胁、实现从被动防御到主动管理的跨越？微软于2025年底最新推出的基线安全模式（Baseline Security Mode，以下简称微软BSM），正成为全球企业网络安全架构演进的重要方向。

作为微软的战略联盟合作伙伴，普华永道不仅在微软BSM落地初期便深入参与实践，更在多个实践场景中积累了前沿的应用经验。普华永道基于自身复杂架构的安全实践，通过微软BSM实现帮助组织识别并收敛Microsoft 365 (微软365，以下简称M365)和Entra ID 中仍在使用的历史遗留高风险配置和协议，通过影响报告评估依赖与业务冲击，以可控节奏推进基线加固，为企业破解老旧系统防护难题、筑牢安全基线提供可落地路径。

为此，我们特别整理并首发本文，旨在将我们在微软BSM领域的先行洞察与实践总结，分享给正在或计划使用该技术的企业，助力客户在安全建设中快人一步，智胜一筹。

一、为什么“安全基线”在当下变得更急迫？

当今网络威胁正进入“AI加速”的新阶段：攻击者借助大模型与自动化工具，能够更快、更精准地扫描暴露面、定位薄弱点，并在企业环境中以更高的机动性达成攻击目标。网络犯罪团伙因此更容易从历史遗留的安全薄弱点中找到突破口。这些薄弱点不只来自传统意义上的旧系统，更常见于M365与微软 Entra身份平台中仍被大量组织保留的历史遗留配置与协议。当这些高风险配置与多云/混合架构叠加时，防守方往往疲于追赶，攻击者则更加大胆。

要跑赢这类对手，企业需要在复杂且相互依赖的环境中建立“全局可见”：既包括云上租户与应用软件，也包括身份与访问链路上的关键控制点。现实挑战在于：遗留配置的“隐蔽性”和“依赖性”很强——它们可能在多年迭代中被反复继承，却缺少持续盘点与收敛机制；一旦更新与加固节奏跟不上，就会被攻击者当作绕过强校验、扩大权限或推进横向和纵向移动的捷径。与此同时，偏移基线的云配置、跨系统集成的风险点等基础问题仍广泛存在，而手握新技术加持的对手正在进一步抬高这些问题的风险上限。

普华永道《2026年全球数字信任洞察》也从调研层面印证了这一趋势：云相关威胁被认为是企业“最缺乏准备”的头号网络威胁；而遗留配置与供应链位列企业面临的前两大脆弱点，超过半数受访者坦言自身在相关攻击下“至多只是勉强应对”。因此，不同行业的关注点或许不同，但真正有效的应对必须回到基础安全实践——把安全基线打牢，才能让防御体系有稳定的底座。

在这样的背景下，组织在推进“安全基线配置”时，常见痛点往往集中在以下几个方面：

二、微软BSM：微软给出的“Security-by-default基线”能力

在M365及其Copilot辅助工具已实现超90%财富500强企业覆盖的背景下1，微软于2025年底推出基于M365的全新安全产品微软BSM，该能力深度内置于M365管理中心，是面向企业的M365与微软Entra身份体系安全基线配置能力，将原本分散在 Office、Exchange、Teams、SharePoint/OneDrive 等多个企业应用与管理入口中的关键安全设置集中到统一界面，并基于微软对真实攻击数据的分析，优先覆盖一批最常被利用的遗留/高风险配置项。

通过微软BSM，管理员可以在单一仪表盘中快速看清配置现状与整改优先级，结合影响报告/模拟（What-if）评估变更对用户与应用的影响后，再以“开关式治理”方式集中启用安全默认配置或全局阻断高风险功能；

其重点是通过集中管理的方式消除M365应用和微软Entra里被大量企业保留，但已知容易被攻击者滥用的历史遗留配置。

微软BSM目前的核心服务领域

身份与权限：降低凭据攻击与横向移动的成功率

旧式认证协议/令牌仍是最常见的入侵入口之一。微软BSM通过在Exchange、SharePoint/OneDrive、Teams及M365应用等服务中减少旧协议暴露面，建议统一关闭相关遗留配置，以降低被钓鱼、撞库与密码喷射利用的风险。

阻止旧式认证流：在协议层面禁用POP (Post Office Protocol)/IMAP (Internet Message Access Protocol))/SMTP (Simple Mail Transfer Protocol)、旧版 EWS (Exchange Web Services) 等不支持 MFA (Multi-Factor Authentication) 条件访问的旧协议接入，直接切断高风险登录通道。

阻止基本认证提示：阻断传统“用户名/密码弹窗”提示，避免用户在不安全的提示框中输入凭据，从而降低凭据被窃取和被钓鱼的概率。

文件与协作：削减恶意文档与历史文件特性带来的攻击面

M365应用（如 Word/Excel/PowerPoint）在提升效率的同时，旧版 Office 文件格式（如 Word 的 .doc）以及嵌入的 ActiveX 控件（ActiveX Controls）会带来显著安全风险。微软BSM 建议并可强制推动租户逐步迁移到更现代、更安全的文件格式，并限制/消除含 ActiveX 的高风险文件行为，从源头降低被利用的攻击面。

在获得查看详细诊断数据的同意后，微软BSM还能提供细粒度可见性：例如统计过去28天内租户中仍在使用含 ActiveX 的旧文档的用户数量、以及此类文件被打开的次数，帮助管理员精准开展用户教育与策略收敛，加速安全标准落地。

会议室与共享设备：让“盲点资产”回到可控

微软BSM在会议室设备场景重点落地两项关键最佳实践，用于降低会议环境被滥用与数据外泄风险：

阻止未受管设备与资源账户登录M365应用：限制非纳管终端及资源账户（如会议室账号）直接登录Office等应用，减少被冒用的入口。

限制 Teams Rooms 资源账户访问会议文件：禁止/收敛Teams Rooms设备上的资源账户访问会议中展示的M365文件，避免敏感内容被未授权读取或下载。

实施以上配置可显著提升会议室环境的安全性，并保护会议资料与敏感信息。

微软BSM功能介绍

微软BSM的未来规划

微软BSM的第一波发布 —— 微软BSM 2025，已在5大核心应用中推出了20项基线配置。微软 Digital 协助在企业范围内完成这些功能的验证与部署。而下一波功能更新也已经启动。下一波更新规模更大，包含46项功能，是第一轮的两倍以上。微软BSM产品团队正在扩展覆盖范围，重点包括：更深入的协议限制、更广泛的应用控制，以及更细粒度的身份验证策略。

三、部署安全基线的常见痛点 vs 微软BSM 如何应对

微软BSM并不替代完整的安全体系（如威胁检测、响应、数据治理等），而是优先把“地基”打牢：以更强的默认配置减少攻击者可利用的入口，并用影响模拟和诊断数据支撑企业以业务可接受的节奏推进整改。

部署安全基线的痛点 & 微软BSM 对应能力

四、微软BSM适用的典型场景

结合企业数字化办公全流程的安全防护实际需求，微软BSM的能力可精准落地于多类核心业务与操作场景中。其针对办公场景中各类高频安全风险打造的防护方案，能在账户、验证、脚本、传输、控件、设备登录等关键环节形成有效防护，各类典型适用场景也充分贴合企业日常办公的安全管控痛点。

五、微软BSM与微软其他安全产品的区别：避免常见误区

很多企业已部署微软Secure Score、微软Entra Access、微软Defender系列服务与各类基线脚本，因此常会问“微软BSM是否重复建设”。我们的建议是：从定位理解差异，避免功能混淆。

微软安全产品核心对比一览

六、从“配置”到“落地”：普华永道自身的落地经验

由于规模庞大、架构复杂，普华永道自身同样长期面临“历史遗留配置”带来的潜在风险，随着威胁环境变化，可能逐步变成新的攻击入口。正因如此，同时依托普华永道与微软的 Inner Circle Partnership 战略合作关系所带来的更高层级协作与实践对齐能力，我们在近期作为全球企业中第一批试点启用微软 Baseline Security Mode (BSM) 的组织之一，以“先行验证、先行沉淀”的方式，为后续面向企业的规模化推广提供可复用的方法论与交付路径。

我们在试点中收获了什么？

首先，微软BSM提供了一个更集中、可操作的控制与管理界面。过去同类配置往往分散在多个控制台与位置，需要分别梳理、逐项设置；而通过微软BSM，我们可以在一个视图里集中识别组织内仍在使用的遗留配置，并在必要时通过简单的“开关式”策略，在全局范围快速收敛、阻断高风险能力，把风险从“点状治理”变成“体系化治理”。

需要强调的是，微软BSM输出的并非“可一键照单全收”的配置清单。我们在试点中观察到，其中相当一部分建议属于对当前业务环境影响较大的调整项：一旦启用，往往会牵动既有应用依赖、身份验证方式以及历史协议的使用习惯。基于这一判断，我们将相关建议纳入既有的变更管理与风险评估流程，制定分阶段的整改路线图：一方面定期复盘微软BSM提供的影响数据，提前识别可能受影响的用户与应用；另一方面同步与业务负责人对齐替代方案、过渡窗口与定制化的例外策略，确保建议项能够在组织内部以可控的节奏平滑推进，在提升安全基线的同时兼顾业务连续性。

我们的价值正是体现在能基于对企业业务流程与系统依赖的理解，把微软BSM的“安全建议”落到可执行的整改路线图、变更节奏与责任机制上，最终实现既提升基线安全，又不牺牲业务连续性的落地效果。

我们如何把它运营起来？

虽然微软BSM能够直接生成所需数据，但我们意识到，用户需要的是清晰、可落地的实施方案。基于自身实践经验，我们开发了多项配套能力：

自动化技术方案：定制工具与仪表盘，帮助组织解读微软BSM数据、划分整改优先级并跟踪风险消减进度；

周期支持中心：设立支持中心，提供从规划到落地的资源与技术支持；

标准化操作手册：编制基于实践的操作流程，指导微软BSM建议的高效实施。

依托上述方案及实践经验，普华永道可帮助企业将微软BSM等安全功能转化为实际成效，实现从数据洞察到风险管控的闭环管理。

普华永道的微软BSM落地服务全景图

普华永道开发的BSM加速器（Accelerator）把微软BSM里分散、需要逐项点击下载的影响报告集中收集，并结合Microsoft Entra的用户与应用元数据，把原本只有应用 ID、缺少责任人/业务归属的影响信息，转化为包含业务线、应用、责任人、受影响范围的一张图。这样，安全团队可以在同一视图下按业务部门/应用/责任人员维度打通多项设置的影响面，避免同一应用跨多条控制被反复沟通；同时用可视化的变更跟踪，持续衡量风险消减进度、支撑对管理层的周期性汇报，让微软BSM的落地从一次性配置动作升级为“可协同、可追踪、可闭环”的推进项目。

七、结语：用微软BSM把“默认安全”变成组织的共同语言

企业如今可快速识别历史遗留的配置和协议漏洞。以微软BSM为例，该功能为安全团队提供主动阻断机制，从源头防止高风险遗留组件的使用。随着审计机构与监管部门对企业安全防护的审查日趋严格，此类投入不仅能满足合规要求，更能转化为企业的战略优势。

在当下高度互联的环境中，一家企业的安全短板可能引发系统性风险。投资微软BSM等主动防御措施至关重要 —— 基础安全防护已不仅是企业内部事务，更是全行业的共同责任。整个生态系统的安全强度，取决于每一个环节的牢固程度，唯有全生态共同优化，才能推动整体安全基线的提升。

普华永道网络安全团队深耕网络安全、数据合规与数字信任领域，以微软BSM相关安全理念与实践为核心，融合全球前沿经验与本土落地能力，为各行业客户打造从战略规划到落地运营的全生命周期安全服务，助力企业在数字化转型中筑牢安全根基。