Base de référence de sécurité pour Microsoft 365 Apps for enterprise
La base de référence de sécurité pour Microsoft 365 Apps for enterprise est publiée deux fois par an, généralement en juin et décembre. La version la plus récente est la version 2306, publiée le 29 juin 2023.
Pour obtenir la base de référence de sécurité de Microsoft 365 Apps for enterprise, téléchargez le Kit de ressources de conformité de la sécurité.
Remarque
Cette base de référence de sécurité concerne Microsoft 365 Apps for enterprise. Certaines stratégies peuvent s’appliquer à d’autres versions d’Office, comme Office LTSC 2021, Office 2019 ou Office 2016. Toutefois, vous devez déterminer quelles stratégies sont applicables à ces versions.
Vue d’ensemble des bases de référence de sécurité
Une base de référence de sécurité est un paramètre de configuration recommandé par Microsoft que les clients d’entreprise doivent déployer dans leur organisation. Ils sont destinés à servir de point de départ aux administrateurs informatiques pour évaluer et équilibrer les avantages de la sécurité avec les besoins de productivité de leurs utilisateurs et s’adapter en conséquence. Ces paramètres sont basés sur les commentaires des équipes d’ingénierie de sécurité Microsoft, des groupes de produits, des partenaires et des clients.
Les bases de référence de sécurité sont disponibles pour les produits Microsoft suivants :
- Windows 11, Windows 10 et Windows Server 2022
- Microsoft 365 Apps for enterprise
- Microsoft Edge
Pour obtenir la liste des bases de référence de sécurité les plus actuelles, consultez cette matrice de version.
Vue d’ensemble du Kit de ressources de conformité de la sécurité
Le Kit de ressources de conformité de la sécurité est un ensemble d’outils qui permet aux administrateurs de sécurité d’entreprise de télécharger, d’analyser, de tester, de modifier et de stocker les bases de référence de configuration de sécurité recommandées par Microsoft pour les produits Microsoft.
À l’aide du kit de ressources, les administrateurs peuvent comparer leurs objets de stratégie de groupe actuels avec les bases de référence d’objets de stratégie de groupe recommandées par Microsoft ou d’autres bases de référence, les modifier, les stocker au format de fichier de sauvegarde d’objet de stratégie de groupe et les appliquer globalement via Active Directory ou individuellement via une stratégie locale.
Pour plus d’informations, consultez Microsoft Security Compliance Toolkit 1.0.
Contenu de la base de référence de sécurité pour Microsoft 365 Apps for enterprise
Le téléchargement de la base de référence de sécurité pour Microsoft 365 Apps for enterprise inclut la documentation, les rapports gp, les objets de stratégie de groupe, les scripts et le modèle d’administration « Ms Security Guide ». Les sections suivantes fournissent des informations supplémentaires sur certains de ces domaines.
Objets de stratégie de groupe (GPO)
Le téléchargement de la base de référence de sécurité pour Microsoft 365 Apps for enterprise inclut plusieurs objets de stratégie de groupe (GPO) préconfigurés.
La plupart des organisations peuvent implémenter, sans problème, les paramètres recommandés qui sont inclus dans les objets de stratégie de groupe Ordinateur et Utilisateur .
Toutefois, certains paramètres entraînent des problèmes opérationnels pour certaines organisations. Nous avons divisé les groupes associés de ces paramètres dans leurs propres objets de stratégie de groupe pour permettre aux organisations d’ajouter ou de supprimer plus facilement ces restrictions en tant qu’ensemble. Ces paramètres sont inclus dans les quatre objets de stratégie de groupe distincts suivants :
Bloc DDE : utilisateur, qui est un objet de stratégie de groupe de configuration utilisateur qui bloque l’utilisation de DDE pour rechercher des processus de serveur DDE existants ou en démarrer de nouveaux.
Bloc de fichiers hérité : utilisateur, qui est un objet de stratégie de groupe de configuration utilisateur qui empêche les applications Office d’ouvrir ou d’enregistrer des formats de fichiers hérités.
Bloc JScript hérité : ordinateur, qui est un objet de stratégie de groupe Configuration ordinateur qui désactive l’exécution JScript héritée pour les sites web dans la zone Internet et la zone Sites restreints.
Exiger la signature de macro - Utilisateur, qui est un objet de stratégie de groupe de configuration utilisateur qui désactive les macros non signées dans chacune des applications Office.
Le script de stratégie locale, nommé Baseline-LocalInstall.ps1, offre des options de ligne de commande pour contrôler si ces objets de stratégie de groupe sont installés.
Modèle d’administration « Ms Security Guide »
Le téléchargement de la base de référence de sécurité pour Microsoft 365 Apps for enterprise inclut le modèle d’administration « Ms Security Guide ». Les fichiers SecGuide ADMX/ADML incluent deux paramètres d’intérêt pour les administrateurs Office :
- Bloquer l’activation Flash dans les documents Office
- Restreindre l’exécution JScript héritée pour Office
Le paramètre « Bloquer l’activation flash dans les documents Office » est disponible uniquement dans le modèle d’administration « Guide de sécurité MS ». Le paramètre « Restreindre l’exécution JScript héritée pour Office » est également disponible en tant qu’objet de stratégie de groupe dans le téléchargement de la base de référence de sécurité, comme indiqué dans la section précédente.
Ces paramètres apparaissent sous Configuration ordinateur\Stratégies\Modèles d’administration\Guide de sécurité MS dans la console de gestion des stratégies de groupe.
Documentation répertoriant les stratégies disponibles et les recommandations relatives à la base de référence de sécurité
Le téléchargement de la base de référence de sécurité pour Microsoft 365 Apps for enterprise inclut un fichier Excel, qui répertorie les stratégies Configuration ordinateur et Configuration utilisateur disponibles. Le fichier inclut également les paramètres disponibles dans le modèle d’administration « Guide de sécurité MS ».
Vous pouvez filtrer la colonne Zone sur base de référence de la sécurité pour voir les stratégies qui font partie de la base de référence de sécurité. Vous pouvez également voir comment le paramètre est configuré dans la base de référence de sécurité pour chacune de ces stratégies.
Vous pouvez également filtrer la colonne Catégorie de zone pour rechercher des regroupements de stratégies associées. Par exemple, vous pouvez filtrer sur FileBlock ou sur Macros.
En outre, il existe un codage couleur dans la colonne MsfT Office 365 Baseline pour indiquer les stratégies couvertes par les quatre objets de stratégie de groupe distincts mentionnés précédemment. Pour obtenir la légende expliquant les couleurs, voir la feuille d’informations dans le fichier Excel.
Le fichier Excel inclut les colonnes suivantes.
Nom de colonne | Description du contenu |
---|---|
Chemin d’accès de la stratégie | Emplacement de la stratégie dans la console de gestion des stratégies de groupe. |
Nom du paramètre de stratégie | Nom de la stratégie. |
Base de référence d’Office 365 MSFT | État ou valeur de la base de référence de sécurité recommandé sur laquelle la stratégie doit être définie. |
Zone | Domaine de la stratégie. Les stratégies avec « Base de référence de sécurité » sont recommandées. Note: Les stratégies avec « Sécurité » ne sont pas incluses dans les recommandations de la base de référence de sécurité. Il s’agit de stratégies de sécurité plus restrictives. |
Catégorie de zone | Catégorie de technologie que la stratégie contrôle. |
Informations de Registre | Emplacement dans le Registre où l’état de la stratégie est stocké. |
Texte d’aide | Description de la stratégie. |
Vous trouverez des informations supplémentaires sur ces stratégies dans le fichier Excel inclus dans le téléchargement des fichiers de modèle d’administration de stratégie de groupe (ADMX/ADML) pour Office.