Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli amministratori di Microsoft 365 possono usare le impostazioni della modalità di sicurezza baseline per proteggere e proteggere l'ambiente aziendale da minacce esterne.
La modalità di sicurezza di base consente di:
- Proteggere i dati aziendali.
- Evitare interruzioni aziendali.
- Bloccare le procedure per gli utenti finali non sicuri.
- Proteggere gli account interni.
- Garantire la collaborazione sicura.
La modalità di sicurezza di base copre i principali servizi di Microsoft 365, tra cui:
- App di Microsoft 365.
- SharePoint e OneDrive.
- Microsoft Teams.
- Exchange Online.
- Microsoft Entra identity platform.
Usando la modalità sicurezza di base nel interfaccia di amministrazione di Microsoft 365, è possibile impostare determinate impostazioni di sicurezza disponibili in precedenza solo in PowerShell.
Ora che queste impostazioni sono disponibili nell'interfaccia di amministrazione, l'organizzazione può valutare attentamente ognuna delle impostazioni della modalità di sicurezza di base prima della distribuzione.
Questo articolo fornisce informazioni sulle impostazioni della modalità di sicurezza baseline che è possibile attivare. Include anche collegamenti al contenuto che consentono di comprendere le attività di ogni impostazione e il motivo per cui è necessario attivare l'impostazione.
Prima di iniziare
Gli amministratori specifici del carico di lavoro possono gestire solo le proprie impostazioni. Per gestire le impostazioni da configurare, assicurarsi di accedere con un account con il ruolo appropriato. Ad esempio, per gestire le impostazioni relative alle app di Microsoft 365, accedere con un account con il ruolo di amministratore della sicurezza.
Le impostazioni della modalità di sicurezza di base supportano il controllo degli accessi in base al ruolo, in modo che i ruoli seguenti possano visualizzare anche queste impostazioni:
- Ruolo di amministratore di Office Apps.
- Ruolo di amministratore di SharePoint.
- Ruolo amministratore di Exchange.
- Ruolo di amministratore di Teams.
Per altre informazioni, vedere Microsoft Entra ruoli predefiniti.
Importante
È possibile configurare le impostazioni della modalità di sicurezza di base in tutte le sottoscrizioni e i piani di Microsoft 365.
Raccomandazione per le impostazioni della modalità di sicurezza di base
Le impostazioni della modalità di sicurezza di base offrono flessibilità e controllo, in modo da poter gestire ogni impostazione in modo indipendente. È anche possibile sperimentare disabilitando un'impostazione per un periodo definito , ad esempio alcuni giorni, per valutare le dipendenze.
Eseguire le impostazioni della modalità di sicurezza baseline in questo modo:
- Eseguire report sull'impatto per ognuna delle impostazioni della modalità di sicurezza baseline.
- Se l'impostazione visualizza zero effetti, attivare tale impostazione.
- Se esistono dipendenze critiche, non attivare l'impostazione. Pianificare la risoluzione di tali dipendenze prima di rendere permanenti le modifiche. Questo approccio intuitivo e graduale garantisce una transizione uniforme alle configurazioni sicure per impostazione predefinita.
Come accedere alle impostazioni della modalità di sicurezza di base
Per accedere alle impostazioni della modalità di sicurezza di base , seguire questa procedura:
Accedere all'interfaccia di amministrazione di Microsoft 365.
Dalla barra di spostamento a sinistra selezionare ... Mostra tutto e quindi seleziona Impostazioni per espanderlo.
In Impostazioni selezionare Impostazioni organizzazione.
Nella pagina Impostazioni organizzazione selezionare la scheda Sicurezza e privacy .
Nella scheda Sicurezza e privacy selezionare Modalità di sicurezza di base.
Autenticazione
Questa sezione descrive le opzioni disponibili per bloccare i metodi di autenticazione non sicuri nel interfaccia di amministrazione di Microsoft 365.
Importante
I clienti che hanno eseguito l'accesso alla modalità sicurezza di base in Microsoft 365 tra novembre 2025 e l'inizio di febbraio 2026 potrebbero visualizzare due bozze Microsoft Entra ID criteri di accesso condizionale creati nel tenant in uno stato Disabilitato. Questi criteri sono associati alla modalità di sicurezza di base e potrebbero essere visualizzati come creati dall'amministratore che ha eseguito l'accesso alla pagina Modalità di sicurezza di base Microsoft.
Questo comportamento non rappresenta un evento imprevisto di sicurezza e non ha alcun effetto sulla sicurezza del tenant. I criteri sono in uno stato bozza disabilitato. È in corso una correzione per garantire che i criteri vengano creati solo tramite un'azione esplicita di amministratore. Microsoft rimuoverà eventuali bozze di criteri create involontariamente e informerà i clienti in anticipo.
| Impostazione | Ulteriori informazioni |
|---|---|
| Proteggere l'accesso amministratore ai portali di amministrazione Microsoft con l'autenticazione resistente al phishing | Gli account a cui sono assegnati ruoli amministrativi con privilegi specifici sono destinazioni frequenti di utenti malintenzionati. Richiedere l'autenticazione a più fattori resistente al phishing per tali account è un modo semplice per ridurre il rischio di compromissione di tali account. Per altre informazioni, vedere Richiedere l'autenticazione a più fattori resistente al phishing per gli amministratori Per eseguire questa attività, è necessario essere membri dell'amministratore della sicurezza o dell'amministratore dell'accesso condizionale . |
| Bloccare i flussi di autenticazione legacy | Blocca le richieste di autenticazione che usano protocolli legacy che non supportano l'autenticazione a più fattori. In base all'analisi, la maggior parte degli attacchi di ripieno delle credenziali usa l'autenticazione legacy e la maggior parte degli attacchi con spray password usa protocolli di autenticazione legacy. È possibile arrestare questi attacchi disabilitando o bloccando l'autenticazione di base. Per altre informazioni, vedere Bloccare l'autenticazione legacy con l'accesso condizionale Per eseguire questa attività, è necessario essere membri dell'amministratore della sicurezza o dell'amministratore dell'accesso condizionale . |
| Bloccare l'aggiunta di nuove credenziali password alle app | Per aumentare la sicurezza, bloccare l'aggiunta di credenziali password nelle applicazioni. Le password sono uno dei metodi più deboli di autenticazione del servizio e sono vulnerabili alla compromissione da parte di attori non validi. Il passaggio a un metodo più sicuro migliora la sicurezza e riduce il sovraccarico di gestione. Per eseguire questa attività, è necessario essere membri dei ruoli Amministratore sicurezza, Amministratore applicazioni o Amministratore applicazione cloud . |
| Limitare il consenso dell'utente finale alle app certificate e a tenant singolo di Microsoft 365 con autorizzazioni a basso rischio | Aggiornare le impostazioni di consenso dell'utente Microsoft Entra per limitare gli utenti a concedere l'accesso alle applicazioni create nel tenant o dall'elenco microsoft 365 certified. Microsoft collabora con i partner per sviluppatori di Microsoft 365 per fornire queste informazioni in modo che le organizzazioni possano accelerare e informare le decisioni sulle app e sui componenti aggiuntivi che gli utenti possono usare. Per altre informazioni, vedere Configurare il consenso degli utenti alle applicazioni Per eseguire questa attività, è necessario essere membri dei ruoli Amministratore della sicurezza o Amministratore ruolo con privilegi . |
| Bloccare l'autenticazione di base | L'autenticazione di base è un metodo obsoleto e non sicuro che trasmette le credenziali utente in modo che possano essere facilmente intercettate e rubate. Quando si bloccano le richieste di autenticazione di base, questa impostazione consente di proteggere gli utenti dal furto di credenziali, in particolare durante gli attacchi di phishing o quando si accede ai servizi su reti non sicure. Quando si abilita questa impostazione, gli utenti non visualizzano più richieste di autenticazione di base. Questa impostazione riduce il rischio di furto di credenziali e applica metodi di autenticazione più sicuri. Per altre informazioni, vedere Bloccare l'autenticazione di base nelle app di Microsoft 365. |
| Si apre il blocco dei protocolli non sicuri per il file | Quando gli utenti aprono file da posizioni che usano protocolli non sicuri come HTTP o FTP, i dati sensibili possono essere esposti perché questi protocolli trasmettono informazioni in testo normale. Il blocco di questi protocolli consente di impedire agli utenti malintenzionati di intercettare credenziali o altri dati riservati durante l'accesso ai file. Quando si abilita questa impostazione, agli utenti viene impedito di aprire file da percorsi che usano HTTP o FTP. Questa impostazione consente di applicare procedure di trasmissione dei dati sicure e di ridurre l'esposizione ad attacchi man-in-the-middle. Per altre informazioni, vedere Blocca protocolli non sicuri per l'apertura di file. |
| Si apre il protocollo FPRPC (Block FrontPage Remote Procedure Call) per il file | FrontPage Remote Procedure Call (FPRPC) è un protocollo obsoleto usato per la creazione remota di pagine Web. Anche se non più ampiamente usato, gli utenti malintenzionati possono comunque sfruttare FPRPC per eseguire comandi arbitrari o compromettere un sistema tramite file appositamente creati o traffico di rete. Le app di Microsoft 365 ora bloccano FPRPC per impostazione predefinita a favore di HTTPS. L'abilitazione di questa impostazione garantisce che gli utenti nell'ambiente non possano eseguire l'override della configurazione predefinita. Per altre informazioni, vedere Block FrontPage Server Extensions Remote Procedure Call (FPRPC) for file opens in Microsoft 365 .For more information, see Block FrontPage Server Extensions Remote Procedure Call (FPRPC) for file opens in Microsoft 365.For more information, see Block FrontPage Server Extensions Remote Procedure Call (FPRPC) for file opens in Microsoft 365. |
| Bloccare le connessioni di autenticazione del browser legacy a SharePoint e OneDrive con il protocollo Legacy Relying Party Suite (RPS) | I protocolli legacy sono più soggetti agli attacchi di forza bruta e phishing. Microsoft segnala che le organizzazioni che disabilitano l'autenticazione legacy subiscono meno compromissioni dell'account. L'applicazione di questa impostazione impedisce alle applicazioni (incluse le applicazioni non Microsoft) di usare protocolli di autenticazione legacy per accedere alle risorse di SharePoint e OneDrive in un browser. La creazione di report su questa impostazione mostra quali utenti accedono a SharePoint o OneDrive con l'autenticazione RPS. Il report consente inoltre di conoscere la data e l'ora e il sito di SharePoint o il file o la cartella di OneDrive a cui hanno eseguito l'accesso. Nota: la modifica non è immediata. L'applicazione potrebbe richiedere fino a 24 ore. Per altre informazioni, vedere Set-SPOTenant -LegacyBrowserAuthProtocolsEnabled. |
| Bloccare le connessioni di autenticazione client legacy a SharePoint e OneDrive con il protocollo IDCRL (Identity Client Runtime Library) legacy | I protocolli legacy sono più soggetti agli attacchi di forza bruta e phishing. Microsoft segnala che le organizzazioni che disabilitano l'autenticazione legacy subiscono meno compromissioni dell'account. L'applicazione di questa impostazione impedisce ai client di usare protocolli di autenticazione legacy di accedere alle risorse di SharePoint e OneDrive. La creazione di report su questa impostazione mostra quali utenti accedono a SharePoint con l'autenticazione IDCRL. I report consentono inoltre di conoscere la data e l'ora e il sito di SharePoint o il file o la cartella di OneDrive a cui hanno eseguito l'accesso. Nota: la modifica non è immediata. L'applicazione potrebbe richiedere fino a 24 ore. Per altre informazioni, vedere Set-SPOTenant -LegacyAuthProtocolsEnabled. |
| Non consentire nuovi script personalizzati nei siti di SharePoint | Gli script personalizzati vengono usati per modificare i comportamenti del sito di SharePoint. Quando si consente agli utenti di eseguire script personalizzati, non è più possibile applicare la governance, definire l'ambito delle funzionalità del codice inserito, bloccare parti specifiche del codice o bloccare tutto il codice personalizzato distribuito. Questa impostazione rimuove definitivamente la possibilità di aggiungere nuovi script personalizzati nei siti di OneDrive e SharePoint. Anziché consentire lo script personalizzato, usare il SharePoint Framework. Per altre informazioni, vedere Consenti o impedisci script personalizzati. |
| Disabilitare l'accesso a Microsoft Store per SharePoint | Gli utenti possono installare determinate applicazioni da Microsoft Store. A volte, questa funzionalità può andare contro i criteri dell'organizzazione e può aumentare i costi di governance. Questa impostazione rimuove la possibilità per gli utenti finali di installare le applicazioni direttamente da Microsoft Store. Per altre informazioni, vedere Configurare le impostazioni per l'archivio SharePoint |
| Disabilitare l'accesso a livello di organizzazione a Exchange Web Services (EWS) | Exchange Web Services (EWS) offre l'accesso API multipiattaforma ai dati di Exchange Online sensibili, ad esempio messaggi di posta elettronica, riunioni e contatti. In caso di compromissione, gli utenti malintenzionati possono accedere ai dati riservati, inviare messaggi di posta elettronica di phishing, spoofing identity e potenzialmente ottenere il controllo del sistema. Quando si disabilita l'accesso a EWS, si riduce anche l'utilizzo di app legacy e si riduce al minimo il numero di endpoint a cui possono essere destinati gli utenti malintenzionati. EWS viene usato anche in alcune funzionalità di prima parte sia in Outlook che nella piattaforma del componente aggiuntivo Web. I componenti aggiuntivi Web per Word, Excel, PowerPoint e Outlook non funzionano in alcune compilazioni. Per altre informazioni, vedere Controllare l'accesso a EWS. |
Requisiti di Servizi Web Exchange
Prima di disabilitare EWS, assicurarsi di avere la build necessaria per evitare interruzioni dei componenti aggiuntivi di Office. La build 16.0.19127 è la prima build con la funzionalità della modalità di sicurezza di base.
Ecco quando la compilazione raggiunge i vari canali di aggiornamento:
- Canale corrente (CC): attualmente disponibile.
- Canale Enterprise mensile (MEC): ottobre 2025.
- Semi-Annual Enterprise Channel (SAC): gennaio 2026.
- Pannelli di Teams: per evitare interruzioni, aggiornare i dispositivi Versione dell'app Teams 1449/1.0.97.2025120101, che è stata distribuita a settembre 2025.
Nota
Queste istruzioni e i requisiti di compilazione sono solo per Win32.
Impatto delle impostazioni della modalità di sicurezza di base sull'autenticazione
Attualmente, la funzionalità seguente non funziona quando si abilitano le impostazioni della modalità di sicurezza di base:
- Autenticazione basata su certificati per Exchange ActiveSync (flusso di Exchange legacy, non Microsoft Entra flusso CBA).
Impatto delle impostazioni della modalità di sicurezza di base sul connettore Exchange in Power Query host supportati
Attualmente, le funzionalità seguenti non funzionano quando si abilitano le impostazioni della modalità di sicurezza di base:
- Excel per Windows.
- Excel per il web.
- Power BI e Microsoft Fabric: Power BI Desktop, flussi di dati (Gen1 e Gen2), modellazione Web di Power BI Server di report di Power BI.
- Microsoft Power Platform - Flussi di dati di Power Platform (Standard e analitici), Dynamics 365 Customer Insights.
Impatto delle impostazioni della modalità di sicurezza di base sulle funzionalità tra tenant
Attualmente, le funzionalità seguenti non funzionano quando si abilitano le impostazioni della modalità di sicurezza di base:
- Calendar condivisione e disponibilità (tra tenant/cloud).
- Suggerimenti messaggio (tra tenant/cloud).
Impatto della modalità di sicurezza di base sulle distribuzioni ibride
Disattivare l'accesso EWS solo dopo che la configurazione ibrida di Microsoft Exchange supporta le API REST. Questa modifica consente di ridurre l'utilizzo delle app legacy e di ridurre il rischio di esposizione ai dati.
La sincronizzazione lato server tra Dynamics locale e Exchange Online non funziona con questa impostazione. Per continuare a usare le funzionalità di sincronizzazione, connettersi Exchange Online a Dynamics 365 Customer Engagement (locale).To keep using sync features, Connect Exchange Online to Dynamics 365 Customer Engagement (on-premise).
File
Questa sezione descrive le opzioni disponibili in OneDrive e SharePoint per disattivare le impostazioni della modalità di sicurezza baseline nel interfaccia di amministrazione di Microsoft 365.
Per eseguire queste attività, è necessario essere membri del ruolo di amministratore di SharePoint .
| Impostazione | Ulteriori informazioni |
|---|---|
| Aprire formati legacy antichi in Visualizzazione protetta e non consentire la modifica | I formati di file legacy antichi nelle app di Microsoft 365 (in precedenza Office) sono vulnerabili al danneggiamento della memoria. Quando gli utenti aprono questi formati obsoleti in Visualizzazione protetta con la modifica disabilitata, si impediscono potenziali exploit consentendo comunque agli utenti di visualizzare il contenuto senza rischi. Per altre informazioni, vedere Aprire formati legacy antichi in Visualizzazione protetta e non consentire la modifica. |
| Aprire i formati legacy precedenti in Visualizzazione protetta e consentire la modifica | Molti formati di file legacy nelle app di Microsoft 365 (ad esempio file di Word, Excel e PowerPoint meno recenti) sono soggetti a vulnerabilità di danneggiamento della memoria. Aprendo i formati legacy in Visualizzazione protetta, si riduce al minimo il rischio di esecuzione di codice dannoso, consentendo comunque agli utenti di modificare il contenuto in modo sicuro. Per altre informazioni, vedere Aprire i formati legacy precedenti in Visualizzazione protetta e non consentire la modifica. |
| Blocca controlli ActiveX | I controlli ActiveX sono piccoli programmi usati per aggiungere funzionalità interattive a documenti e pagine Web di Microsoft 365. Sono altamente vulnerabili allo sfruttamento. Gli attori malintenzionati usano spesso ActiveX per eseguire codice dannoso, installare malware o assumere il controllo di un sistema, soprattutto quando gli utenti aprono file compromessi o visitano siti Web non sicuri. A causa della cronologia dei problemi di sicurezza e del calo dell'utilizzo, le app di Microsoft 365 bloccano ActiveX per impostazione predefinita. L'applicazione di questa impostazione garantisce che gli utenti nell'ambiente non possano eseguire l'override della configurazione predefinita. Per altre informazioni, vedere Bloccare i controlli ActiveX nei documenti delle app di Microsoft 365. |
| Blocca oggetti OLE Graph e OrgChart | Blocca oggetti OLE Graph e OrgChart. Quando si attiva questa impostazione, le app di Microsoft 365 bloccano il caricamento di oggetti OLE Graph e OrgChart per proteggere gli utenti da tecniche di sfruttamento note. Per altre informazioni, vedere Bloccare oggetti OLE Graph e OrgChart. |
| Gli avvii del server DDE (Dynamic Data Exchange) sono bloccati in Excel | Windows Dynamic Data Exchange (DDE) consente a Excel di eseguire il pull di dati da origini esterne in tempo reale. Tuttavia, se l'origine è dannosa, può inviare codice dannoso a Excel e potenzialmente compromettere il sistema senza richiedere macro o altro contenuto attivo. Gli utenti malintenzionati usano questa tecnica negli attacchi di phishing mirati per eseguire comandi arbitrari. Il blocco dell'avvio del server DDE riduce questo rischio. Quando si abilita questa impostazione, Excel blocca l'avvio del server DDE, impedendo a origini esterne dannose di inserire codice dannoso nei fogli di calcolo. Per altre informazioni, vedere Avvio del server DDE (Block Dynamic Data Exchange) in Excel. |
| Blocca Microsoft Publisher | Publisher ha una superficie di attacco di grandi dimensioni e non verrà incluso in Microsoft 365 a partire da ottobre 2026. Il blocco di Publisher ora riduce i rischi per la sicurezza e si allinea alla strategia di supporto di Microsoft. Quando si abilita questa impostazione, Microsoft Publisher non viene avviato. Per altre informazioni, vedere Bloccare Microsoft Publisher. |
Dispositivi della sala
Questa sezione descrive le opzioni disponibili in Teams per disattivare le impostazioni della modalità di sicurezza baseline nel interfaccia di amministrazione di Microsoft 365.
Per eseguire queste attività, è necessario essere membri del ruolo di amministratore di Teams .
| Impostazione | Ulteriori informazioni |
|---|---|
| Non consentire agli account delle risorse nei dispositivi Teams Rooms di accedere ai file di Microsoft 365 | Per aumentare la sicurezza, rimuovere l'accesso agli account delle risorse che Teams Rooms e i dispositivi usano per accedere agli asset di Microsoft 365 per riunioni e collaborazione. Per altre informazioni, vedere Set-SPOTenant. |
| Consentire l'accesso solo ai dispositivi conformi gestiti dall'endpoint | Per aumentare la sicurezza, solo i dispositivi Teams Rooms gestiti dall'organizzazione e conformi possono accedere alle applicazioni Microsoft 365 e gli account delle risorse non possono essere usati in modo improprio per l'autenticazione da dispositivi non gestiti. Per altre informazioni, vedere Bloccare l'accesso dell'account delle risorse di Teams ai client Microsoft 365. |
| Bloccare i dispositivi non gestiti e gli accessi dell'account delle risorse alle app di Microsoft 365 | Per aumentare la sicurezza, impedire l'uso degli account delle risorse usati per i dispositivi Teams per accedere ai client Microsoft 365. Per altre informazioni, vedere Bloccare l'accesso dell'account delle risorse di Teams ai client Microsoft 365. |
Bloccare i dispositivi non gestiti e gli accessi dell'account delle risorse alle app di Microsoft 365
| Impostazione | Ulteriori informazioni |
|---|---|
| Non consentire agli account delle risorse nei dispositivi Teams Rooms di accedere ai file di Microsoft 365 | Per aumentare la sicurezza, rimuovere l'accesso agli account delle risorse che Teams Rooms e i dispositivi usano per accedere agli asset di Microsoft 365 per riunioni e collaborazione. Per altre informazioni, vedere Set-SPOTenant. |
Non consentire agli account delle risorse nei dispositivi Teams Rooms di accedere ai file di Microsoft 365
| Impostazione | Ulteriori informazioni |
|---|---|
| Non consentire agli account delle risorse nei dispositivi Teams Rooms di accedere ai file di Microsoft 365 | Per aumentare la sicurezza, impedire l'uso degli account delle risorse usati per i dispositivi Teams per accedere ai client Microsoft 365. Per altre informazioni, vedere Bloccare l'accesso dell'account delle risorse di Teams ai client Microsoft 365. |
Contenuto correlato
- Informazioni su come le impostazioni predefinite di sicurezza e icriteri di accesso condizionale gestiti da Microsoft consentono di proteggere l'autenticazione.