Microsoft 365 Apps for enterprise のセキュリティ ベースライン
Microsoft 365 Apps for enterprise のセキュリティ ベースラインは、年に 2 回 (通常は 6 月と 12 月) に発行されます。 最新バージョンは 、2023 年 6 月 29 日にリリースされたバージョン 2306 です。
Microsoft 365 Apps for enterprise のセキュリティ ベースラインを取得するには、 セキュリティ コンプライアンス ツールキットをダウンロードします。
注:
このセキュリティ ベースラインは、Microsoft 365 Apps for enterprise 用です。 一部のポリシーは、Office LTSC 2021、Office 2019、Office 2016 など、他のバージョンの Office に適用される場合があります。 ただし、これらのバージョンに適用できるポリシーを決定する必要があります。
セキュリティ ベースラインの概要
セキュリティ ベースラインは、企業のお客様が組織に展開するための Microsoft 推奨構成設定です。 IT 管理者がセキュリティ上の利点を評価し、ユーザーの生産性のニーズとバランスを取り、それに応じて調整するための出発点として機能することを目的としています。 これらの設定は、Microsoft セキュリティ エンジニアリング チーム、製品グループ、パートナー、顧客からのフィードバックに基づいています。
セキュリティ ベースラインは、次の Microsoft 製品で使用できます。
- Windows 11、Windows 10、および Windows Server 2022
- Microsoft 365 Apps for enterprise
- Microsoft Edge
最新のセキュリティ ベースラインの一覧については、この バージョン マトリックスを参照してください。
セキュリティ コンプライアンス ツールキットの概要
セキュリティ コンプライアンス ツールキットは、エンタープライズ セキュリティ管理者が Microsoft 製品の Microsoft 推奨のセキュリティ構成基準をダウンロード、分析、テスト、編集、保存できる一連のツールです。
管理者はツールキットを使用して、現在の GPO と Microsoft 推奨の GPO ベースラインまたはその他のベースラインを比較し、それらを編集し、GPO バックアップ ファイル形式で保存し、Active Directory またはローカル ポリシーを通じて個別に適用できます。
詳細については、「 Microsoft Security Compliance Toolkit 1.0」を参照してください。
Microsoft 365 Apps for enterprise のセキュリティ ベースラインの内容
Microsoft 365 Apps for enterprise のセキュリティ ベースラインのダウンロードには、ドキュメント、GP レポート、GPO、スクリプト、および "MS セキュリティ ガイド" 管理テンプレートが含まれています。 次のセクションでは、これらの領域の一部に関する追加情報を提供します。
グループ ポリシー オブジェクト (GPO)
Microsoft 365 Apps for enterprise のセキュリティ ベースラインのダウンロードには、事前構成済みのグループ ポリシー オブジェクト (GPO) がいくつか含まれています。
ほとんどの組織は、 コンピューター と ユーザー GPO に含まれる推奨設定を問題なく実装できます。
ただし、一部の組織で運用上の問題が発生する設定がいくつかあります。 このような設定の関連グループを独自の GPO に分割して、組織がこれらの制限をセットとして追加または削除しやすくしました。 これらの設定は、次の 4 つの個別の GPO に含まれています。
DDE ブロック - ユーザー。これは、DDE を使用して既存の DDE サーバー プロセスを検索したり、新しいサーバー プロセスを開始したりすることをブロックするユーザー構成 GPO です。
レガシ ファイル ブロック - ユーザー。これは、Office アプリケーションが従来のファイル形式を開いたり保存したりできないようにするユーザー構成 GPO です。
レガシ JScript ブロック - コンピューター構成 GPO。これは、インターネット ゾーンと制限付きサイト ゾーン内の Web サイトに対する従来の JScript 実行を無効にするコンピューター構成 GPO です。
マクロ署名が必要 - ユーザー。これは、各 Office アプリケーションで署名されていないマクロを無効にするユーザー構成 GPO です。
Baseline-LocalInstall.ps1 という名前のローカル ポリシー スクリプトには、これらの GPO がインストールされているかどうかを制御するコマンド ライン オプションが用意されています。
"MS セキュリティ ガイド" 管理用テンプレート
Microsoft 365 Apps for enterprise のセキュリティ ベースラインのダウンロードには、"MS セキュリティ ガイド" 管理用テンプレートが含まれています。 SecGuide ADMX/ADML ファイルには、Office 管理者が関心を持つ 2 つの設定が含まれています。
- Office ドキュメントでの Flash ライセンス認証をブロックする
- Office の従来の JScript 実行を制限する
[Office ドキュメントでのフラッシュのアクティブ化をブロックする] 設定は、[MS セキュリティ ガイド] 管理用テンプレートでのみ使用できます。 前のセクションで説明したように、[Office のレガシ JScript 実行を制限する] 設定は、セキュリティ ベースラインのダウンロードで GPO としても使用できます。
これらの設定は、グループ ポリシー管理コンソールの [コンピューターの構成]、[ポリシー]、[管理用テンプレート]、[MS セキュリティ ガイド] の下に表示されます。
使用可能なポリシーとセキュリティ ベースラインの推奨事項の一覧を示すドキュメント
Microsoft 365 Apps for enterprise のセキュリティ ベースラインのダウンロードには、使用可能なコンピューター構成ポリシーとユーザー構成ポリシーの一覧を示す Excel ファイルが含まれています。 ファイルには、"MS セキュリティ ガイド" 管理用テンプレートで使用できる設定も含まれています。
セキュリティ ベースラインの [領域 ] 列をフィルター処理して、 セキュリティ ベースライン の一部であるポリシーを確認できます。 これらの各ポリシーのセキュリティ ベースラインで設定がどのように構成されているかも確認できます。
[ 領域カテゴリ ] 列をフィルター処理して、関連するポリシーのグループを見つけることもできます。 たとえば、 FileBlock または マクロでフィルター処理できます。
さらに、 MSFT Office 365 ベースライン 列には色分けがあり、前述の 4 つの個別の GPO でどのポリシーがカバーされているかを示します。 色を説明する凡例については、Excel ファイルの 情報 シートを参照してください。
Excel ファイルには、次の列が含まれています。
列名 | コンテンツの説明 |
---|---|
ポリシー パス | グループ ポリシー管理コンソールのポリシーの場所。 |
ポリシー設定名 | ポリシーの名前。 |
MSFT Office 365 ベースライン | ポリシーを設定する必要がある推奨されるセキュリティ ベースラインの状態または値。 |
分野 | ポリシーの領域。 "セキュリティ ベースライン" を持つポリシーをお勧めします。 手記: "セキュリティ" を持つポリシーは、セキュリティ ベースラインの推奨事項には含まれません。 より制限の厳しいセキュリティ ポリシーです。 |
エリア カテゴリ | ポリシーが制御するテクノロジ カテゴリ。 |
レジストリ情報 | ポリシーの状態が格納されているレジストリ内の場所。 |
ヘルプ テキスト | ポリシーの説明。 |
これらのポリシーに関する追加情報の一部は、 Office 用グループ ポリシー管理テンプレート ファイル (ADMX/ADML) のダウンロードに含まれている Excel ファイルにあります。