Microsoft 365 Apps 企業版的安全基線

Microsoft 365 Apps 企業版的安全基準每年發布兩次，通常在六月和十二月。最新版本為 2412，於 2024 年 12 月 13 日發布。

要取得 Microsoft 365 Apps 企業版的安全基準，請下載安全合規工具包。

注意事項

此安全基準是針對 Microsoft 365 Apps 企業版。部分政策可能適用於其他版本的 Office，例如 Office 長期服務頻道 (LTSC) 2024、LTSC 2021、Office 2019 或 Office 2016。但你必須判斷哪些政策適用於這些版本。

安全基線概述

安全基線是 Microsoft 建議企業客戶在其組織中部署的設定。它們旨在作為 IT 管理員評估並平衡安全效益與使用者生產力需求，並據此調整的起點。這些設定是根據 Microsoft 安全工程團隊、產品團隊、合作夥伴及客戶的回饋而來。

以下 Microsoft 產品提供安全基線：

有關最新安全基準清單，請參閱此版本矩陣。

安全合規工具包是一組工具，允許企業安全管理員下載、分析、測試、編輯及儲存 Microsoft 推薦的安全設定基線，適用於 Microsoft 產品。

利用此工具包，管理員可以將目前的 GPO 與 Microsoft 推薦的 GPO 基線或其他基線比較，編輯它們，儲存為 GPO 備份檔案格式，並透過 Active Directory 廣泛應用，或透過本地政策個別應用。

欲了解更多資訊，請參閱 Microsoft 安全合規工具包 1.0。

Microsoft 365 Apps 企業版安全基線的下載包含文件、GP 報告、GPO、腳本，以及「微軟安全指南」管理範本。以下章節提供部分相關領域的額外資訊。

Microsoft 365 Apps 企業版的安全基線下載包含多個預先設定的群組原則物件 (GPOs) 。

大多數組織都能順利實作電腦與使用者 GPO 中所包含的建議設定。

然而，有些環境會對某些組織造成營運問題。我們已將相關群組的這些設定拆分成各自的 GPO，方便組織作為一組新增或移除這些限制。這些設定包含在以下四個獨立的 GPO：

DDE 區塊 - 使用者，是一個使用者設定 GPO，阻擋使用 DDE 搜尋現有 DDE 伺服器程序或啟動新伺服器程序。
舊有檔案區塊 - 使用者，是一個使用者設定 GPO，防止 Office 應用程式開啟或儲存舊有檔案格式。
Legacy JScript Block - 電腦，是一個電腦配置 GPO，能停用位於網際網路區域（Internet Zone）及受限網站區域（Restricted Sites Zone）網站的舊有 JScript 執行。
要求巨集簽署 - 使用者，這是一個使用者設定 GPO，用來停用每個 Office 應用程式中的未簽署巨集。

名為 Baseline-LocalInstall.ps1 的本地政策腳本提供命令列選項，以控制這些 GPO 是否安裝。

Microsoft 365 Apps 企業版安全基線的下載包含「MS 安全指南」管理範本。 SecGuide ADMX/ADML 檔案包含兩個對 Office 管理員感興趣的設定：

「在 Office 文件中封鎖閃存啟用」設定僅在「微軟安全指南」管理範本中提供。「限制 Office 的舊有 JScript 執行」設定也可在安全基線下載中作為 GPO，如前一節所述。

這些設定會出現在群組原則管理主控台的「電腦設定\政策\管理範本\MS安全指南」中。

Microsoft 365 Apps 企業版安全基線的下載包含一個 Excel 檔案，列出可用的電腦設定與使用者設定政策。該檔案也包含「MS 安全指南」管理範本中可用的設定。

你可以在安全基線中篩選區域欄位，查看屬於安全基線的政策。你也可以在安全基線中看到這些政策的設定配置。

您也可以篩選區域類別欄位，以尋找相關保單的群組。例如，你可以在 FileBlock 或巨集上篩選。

此外，微軟 Office 365 基準欄位中也有顏色編碼，用以標示上述四個獨立 GPO 涵蓋哪些保單。關於說明顏色的圖例，請參閱 Excel 檔案中的資訊表。

Excel 檔案包含以下欄位。

資料行名稱	內容說明
政策路徑	政策在群組原則管理主控台中的位置。
政策設定名稱	保單名稱。
微軟 Office 365 基準	建議的安全性基線狀態或值應該設定為該政策。
區域	保單的範圍。建議採用帶有「安全基線」的政策。便條：帶有「安全性」的政策並未包含在安全基準建議中。它們是更嚴格的安全政策。
區域類別	政策所控制的技術類別。
登錄資訊	在登記處中存放保單狀態的位置。
說明文字	原則的描述。

此頁面對您有幫助嗎？