Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Администратор Microsoft 365 может использовать параметры базового режима безопасности для защиты бизнес-среды от внешних угроз.
Базовый режим безопасности помогает:
- Защита бизнес-данных.
- Предотвращение прерывания работы в бизнесе.
- Блокировать небезопасные методы пользователей.
- Защита внутренних учетных записей.
- Обеспечьте безопасную совместную работу.
Базовый режим безопасности охватывает ключевые службы Microsoft 365, в том числе:
- Приложения Microsoft 365.
- SharePoint и OneDrive.
- Microsoft Teams.
- Exchange Online
- Microsoft Entra платформу удостоверений.
Используя базовый режим безопасности в Центр администрирования Microsoft 365, можно задать определенные параметры безопасности, которые ранее были доступны только в PowerShell.
Теперь, когда эти параметры доступны в Центре администрирования, ваша организация может тщательно оценить каждый из параметров базового режима безопасности перед развертыванием.
В этой статье содержатся сведения о параметрах базового режима безопасности, которые можно включить. Он также содержит ссылки на содержимое, которые помогают понять, что делает каждый параметр и почему следует включить этот параметр.
Подготовка к работе
Администраторы рабочей нагрузки могут управлять только собственными параметрами. Чтобы управлять параметрами, которые требуется настроить, войдите в систему с учетной записью с соответствующей ролью. Например, чтобы управлять параметрами, связанными с приложениями Microsoft 365, войдите с учетной записью с ролью администратора безопасности.
Базовые параметры режима безопасности поддерживают управление доступом на основе ролей (RBAC), поэтому следующие роли также могут просматривать эти параметры:
- Роль администратора Приложений Office.
- Роль администратора SharePoint.
- Роль администратора Exchange.
- Роль администратора Teams.
Дополнительные сведения см. в разделе Microsoft Entra встроенных ролей.
Важно!
Параметры базового режима безопасности можно настроить во всех подписках и планах Microsoft 365.
Рекомендации по параметрам базового режима безопасности
Базовые параметры режима безопасности обеспечивают гибкость и контроль, поэтому вы можете управлять каждым параметром независимо. Вы также можете поэкспериментировать, отключив параметр для определенного периода (например, несколько дней) для оценки зависимостей.
Запустите параметры базового режима безопасности следующим образом:
- Запуск отчетов о последствиях для каждого из параметров базового режима безопасности.
- Если параметр не влияет, включите этот параметр.
- Если существуют критические зависимости, не включайте параметр . Запланируйте устранение этих зависимостей, прежде чем сделать изменения постоянными. Этот интуитивно понятный поэтапный подход обеспечивает плавный переход на безопасные конфигурации по умолчанию.
Доступ к параметрам базового режима безопасности
Чтобы получить доступ к параметрам базового режима безопасности , выполните следующие действия.
Войдите в Центр администрирования Microsoft 365.
На панели навигации слева выберите ... Показать все, а затем выберите Параметры, чтобы развернуть его.
В разделе Параметры выберите Параметры организации.
На странице Параметры организации выберите вкладку Безопасность и конфиденциальность .
На вкладке Безопасность и конфиденциальность выберите Базовый режим безопасности.
Проверка подлинности
В этом разделе описываются параметры, доступные для блокировки небезопасных методов проверки подлинности в Центр администрирования Microsoft 365.
Важно!
Клиенты, которые обращались к базовому режиму безопасности в Microsoft 365 в период с ноября 2025 г. по начало февраля 2026 г., могут увидеть две черновики Microsoft Entra ID политик условного доступа, созданных в клиенте в отключенном состоянии. Эти политики связаны с базовым режимом безопасности и могут отображаться как созданные администратором, выполнившим вход на страницу Базовый режим безопасности (Майкрософт).
Это поведение не представляет собой инцидент безопасности и не влияет на безопасность клиента. Политики находятся в отключенном черновике. Выполняется исправление, гарантирующее, что политики создаются только с помощью явного действия администратора. Корпорация Майкрософт удаляет все непреднамеренно созданные черновики политики и заранее уведомляет клиентов.
| Setting | Дополнительная информация |
|---|---|
| Защита доступа администраторов к порталам администрирования Майкрософт с помощью проверки подлинности, устойчивой к фишингу | Учетные записи, которым назначены определенные привилегированные административные роли , часто становятся объектами злоумышленников. Требование устойчивой к фишингу многофакторной проверки подлинности (MFA) для этих учетных записей — это простой способ снизить риск компрометации этих учетных записей. Дополнительные сведения см. в статье Требование отказоустойчивой к фишингу многофакторной проверки подлинности для администраторов. Для выполнения этой задачи необходимо быть членом роли администратора безопасности или администратора условного доступа . |
| Блокировка устаревших потоков проверки подлинности | Блокировать запросы проверки подлинности, использующие устаревшие протоколы, которые не поддерживают многофакторную проверку подлинности. На основе анализа большинство атак с заполнением учетных данных используют устаревшую проверку подлинности, а большинство атак с распылением паролей используют устаревшие протоколы проверки подлинности. Вы можете помочь остановить эти атаки, отключив или заблокировав обычную проверку подлинности. Дополнительные сведения см. в статье Блокировка устаревшей проверки подлинности с помощью условного доступа. Для выполнения этой задачи необходимо быть членом роли администратора безопасности или администратора условного доступа . |
| Блокировать добавление новых учетных данных паролей в приложения | Чтобы повысить безопасность, заблокируйте добавление учетных данных пароля в приложениях. Пароли являются одним из самых слабых методов проверки подлинности службы и уязвимы для компрометации злоумышленников. Переход на более безопасный метод повышает безопасность и снижает затраты на управление. Дополнительные сведения см. в разделе Ограничение использования паролей в приложениях Microsoft Entra. Для выполнения этой задачи необходимо быть членом роли администратора безопасности, администратора приложений или администратора облачных приложений . |
| Ограничьте согласие конечных пользователей сертифицированными приложениями Microsoft 365 и приложениями с одним клиентом с разрешениями с низким риском | Обновите параметры Microsoft Entra согласия пользователей, чтобы ограничить доступ пользователей к приложениям, созданным в клиенте или из списка сертифицированных microsoft 365. Корпорация Майкрософт сотрудничает с партнерами разработчиков Microsoft 365, чтобы предоставить эту информацию, чтобы организации могли ускорить принятие решений о приложениях и надстройках, которые могут использовать их пользователи. Дополнительные сведения см. в разделе Настройка согласия пользователей для приложений. Для выполнения этой задачи необходимо быть членом роли администратора безопасности или администратора привилегированной роли . |
| Блокировать обычную проверку подлинности | Обычная проверка подлинности — это устаревший и небезопасный метод, который передает учетные данные пользователя таким образом, который можно легко перехватить и украсть. При блокировке базовых запросов проверки подлинности этот параметр помогает защитить пользователей от кражи учетных данных, особенно во время фишинговых атак или при доступе к службам через небезопасные сети. Если этот параметр включен, пользователи больше не будут видеть запросы на обычную проверку подлинности. Этот параметр снижает риск кражи учетных данных и применяет более безопасные методы проверки подлинности. Дополнительные сведения см. в разделе Блокировка обычной проверки подлинности в приложениях Microsoft 365. |
| Блокировать небезопасные протоколы для открытия файлов | Когда пользователи открывают файлы из расположений с помощью небезопасных протоколов, таких как HTTP или FTP, конфиденциальные данные могут быть предоставлены, так как эти протоколы передают информацию в виде обычного текста. Блокировка этих протоколов помогает предотвратить перехват учетных данных или других конфиденциальных данных во время доступа к файлам. Если этот параметр включен, пользователям запрещается открывать файлы из расположений, использующих ПРОТОКОЛ HTTP или FTP. Этот параметр помогает применять безопасные методы передачи данных и снижает уязвимость к атакам типа "злоумышленник в середине". Дополнительные сведения см. в разделе Блокировать небезопасные протоколы для открытия файлов. |
| Протокол block FrontPage Remote Procedure Call (FPRPC) для открытия файла | FrontPage Remote Procedure Call (FPRPC) — это устаревший протокол, который использовался для удаленного создания веб-страниц. Хотя злоумышленники больше не используются широко, они по-прежнему могут использовать FPRPC для выполнения произвольных команд или компрометации системы с помощью специально созданных файлов или сетевого трафика. Приложения Microsoft 365 теперь по умолчанию блокируют FPRPC в пользу HTTPS. Включение этого параметра гарантирует, что пользователи в вашей среде не смогут переопределить конфигурацию по умолчанию. Дополнительные сведения см. в статье Об удаленном вызове процедуры расширений сервера FrontPage (FPRPC) для файлов, открытых в Microsoft 365. |
| Блокировка устаревших подключений проверки подлинности браузера к SharePoint и OneDrive с помощью устаревшего протокола RPS | Устаревшие протоколы более восприимчивы к атакам методом подбора и фишингу. Корпорация Майкрософт сообщает, что организации, которые отключают устаревшую проверку подлинности, меньше компрометации учетных записей. Применение этого параметра запрещает приложениям (в том числе приложениям сторонних корпораций) использовать устаревшие протоколы проверки подлинности для доступа к ресурсам SharePoint и OneDrive в браузере. Отчеты по этому параметру показывают, какие пользователи обращаются к SharePoint или OneDrive с проверкой подлинности RPS. Отчет также позволяет узнать дату и время, а также, к какому сайту SharePoint, файлу или папке OneDrive они обращались. Примечание. Изменение не является мгновенным. Для его применения может потребоваться до 24 часов. Дополнительные сведения см. в разделе Set-SPOTenant -LegacyBrowserAuthProtocolsEnabled. Примечание. По состоянию на октябрь 2025 г. устаревшая проверка подлинности браузера была устаревшей для корпоративных клиентов. Этот параметр дольше доступен для задания значения true. Протокол RPS больше не работает. |
| Блокировка устаревших подключений проверки подлинности клиента к SharePoint и OneDrive с помощью устаревшего протокола IDCRL | Устаревшие протоколы более восприимчивы к атакам методом подбора и фишингу. Корпорация Майкрософт сообщает, что организации, которые отключают устаревшую проверку подлинности, меньше компрометации учетных записей. Применение этого параметра запрещает клиентам использовать устаревшие протоколы проверки подлинности для доступа к ресурсам SharePoint и OneDrive. Отчеты по этому параметру показывают, какие пользователи обращаются к SharePoint с проверкой подлинности IDCRL. Отчеты также сообщают о дате и времени, а также о том, к какому сайту SharePoint, файлу или папке OneDrive они обращались. Примечание. Изменение не является мгновенным. Для его применения может потребоваться до 24 часов. Дополнительные сведения см. в разделе Set-SPOTenant -LegacyAuthProtocolsEnabled. |
| Запретить новые пользовательские скрипты на сайтах SharePoint | Пользовательские скрипты используются для изменения поведения сайта SharePoint. Если разрешить пользователям запускать пользовательский скрипт, вы больше не сможете применять управление, область возможности вставленного кода, блокировать определенные части кода или блокировать весь развернутый пользовательский код. Этот параметр окончательно удаляет возможность добавления новых пользовательских скриптов на сайтах OneDrive и SharePoint. Вместо разрешения пользовательского скрипта используйте SharePoint Framework. Дополнительные сведения см. в разделе Разрешить или запретить настраиваемый скрипт. |
| Отключение доступа к Microsoft Store для SharePoint | Пользователи могут устанавливать определенные приложения из Microsoft Store. Иногда эта возможность может идти в соответствие с политиками организации и может увеличить затраты на управление. Этот параметр позволяет конечным пользователям устанавливать приложения непосредственно из Microsoft Store. Дополнительные сведения см. в разделе Настройка параметров для хранилища SharePoint. |
| Отключение доступа всей организации к веб-службам Exchange (EWS) | Веб-службы Exchange (EWS) предоставляют кроссплатформенный доступ API к конфиденциальным Exchange Online данным, таким как сообщения электронной почты, собрания и контакты. В случае компрометации злоумышленники могут получить доступ к конфиденциальным данным, отправлять фишинговые сообщения электронной почты, подделать удостоверения и, возможно, получить контроль над системой. При отключении доступа к EWS вы также сокращаете использование устаревших приложений и сводите к минимуму количество конечных точек, на которые могут ориентироваться злоумышленники. EWS также используется в некоторых функциях сторонних разработчиков как в Outlook, так и на платформе веб-надстройки. Веб-надстройки для Word, Excel, PowerPoint и Outlook не работают в некоторых сборках. Дополнительные сведения см. в разделе Управление доступом к EWS. |
Требования к веб-службам Exchange
Прежде чем отключить EWS, убедитесь, что у вас есть необходимая сборка, чтобы избежать прерывания работы надстроек Office. Сборка 16.0.19725 — это первая сборка с базовым режимом безопасности.
Вот, когда эта сборка достигает различных каналов обновления:
- Текущий канал (CC): доступно в настоящее время.
- Ежемесячный корпоративный канал (MEC): в настоящее время доступен.
- Semi-Annual Enterprise Channel (SAC): июль 2026 г.
- Панели Teams. Чтобы избежать сбоев, обновите приложение Teams для устройств версии 1449/1.0.97.2025120101, которое было отправлено в сентябре 2025 г.
Примечание.
Эти инструкции и требования к сборке предназначены только для Win32.
Влияние базовых параметров режима безопасности на проверку подлинности
В настоящее время при включении базовых параметров режима безопасности следующая функция не работает:
- Проверка подлинности на основе сертификатов для Exchange ActiveSync (устаревший поток Exchange, а не поток Microsoft Entra CBA).
Влияние базовых параметров режима безопасности на соединитель Exchange на Power Query поддерживаемых узлах
В настоящее время при включении базовых параметров режима безопасности следующие функции не работают:
- Excel для Windows.
- Excel для Интернета.
- Power BI и Microsoft Fabric — Power BI Desktop, потоки данных (1-го и 2-го поколения), веб-моделирование Power BI Сервер отчетов Power BI.
- Microsoft Power Platform — потоки данных Power Platform (Standard и аналитические), Dynamics 365 Customer Insights.
Влияние базовых параметров режима безопасности на функции между клиентами
В настоящее время при включении базовых параметров режима безопасности следующие функции не работают:
- Calendar совместного использования и доступности (между клиентами и облаком).
- Подсказки (между клиентами или облаком).
Влияние базового режима безопасности на гибридные развертывания
Отключите доступ EWS только после того, как гибридная настройка Microsoft Exchange поддерживает REST API. Это изменение помогает сократить использование устаревших приложений и снижает риск раскрытия данных.
Синхронизация на стороне сервера между локальной средой Dynamics и Exchange Online не работает с этим параметром. Чтобы продолжать использовать функции синхронизации, Exchange Online подключиться к Dynamics 365 Customer Engagement (локально).
Файлы
В этом разделе описаны параметры, доступные в OneDrive и SharePoint для отключения базовых параметров режима безопасности в Центр администрирования Microsoft 365.
Для выполнения этих задач необходимо быть членом роли администратора SharePoint .
| Setting | Дополнительная информация |
|---|---|
| Открытие устаревших форматов в защищенном представлении и запрет редактирования | Устаревшие форматы файлов в приложениях Microsoft 365 (прежнее название — Office) подвержены повреждению памяти. Когда пользователи открывают эти устаревшие форматы в защищенном представлении с отключенным редактированием, вы предотвращаете потенциальные эксплойты, по-прежнему позволяя пользователям просматривать содержимое без риска. Дополнительные сведения см. в разделе Открытие устаревших форматов в защищенном представлении и запрет редактирования. |
| Открытие старых устаревших форматов в защищенном представлении и разрешение редактирования | Многие устаревшие форматы файлов в приложениях Microsoft 365 (например, старые файлы Word, Excel и PowerPoint) подвержены уязвимостям повреждения памяти. Открыв устаревшие форматы в защищенном представлении, вы снижаете риск выполнения вредоносного кода, позволяя пользователям безопасно редактировать свое содержимое. Дополнительные сведения см. в разделе Открытие старых устаревших форматов в защищенном представлении и запрет редактирования. |
| Блокировать элементы ActiveX | Элементы activeX — это небольшие программы, используемые для добавления интерактивных функций в документы и веб-страницы Microsoft 365. Они очень уязвимы к эксплуатации. Злоумышленники часто используют ActiveX для запуска вредоносного кода, установки вредоносных программ или управления системой, особенно когда пользователи открывают скомпрометированные файлы или посещают небезопасные веб-сайты. Из-за истории проблем с безопасностью и снижения использования приложения Microsoft 365 по умолчанию блокируют ActiveX. Применение этого параметра гарантирует, что пользователи в вашей среде не смогут переопределить конфигурацию по умолчанию. Дополнительные сведения см. в разделе Блокировка элементов ActiveX в документах приложений Microsoft 365. |
| Блок объектов OLE graph и OrgChart | Блокировать объекты OLE Graph и OrgChart. Если этот параметр включен, приложения Microsoft 365 блокируют загрузку объектов OLE Graph и OrgChart, чтобы защитить пользователей от известных методов эксплуатации. Дополнительные сведения см. в разделе Блокировать объекты OLE Graph и OrgChart. |
| Запуски сервера Динамического обмена данными (DDE) заблокированы в Excel | Windows Dynamic Data Exchange (DDE) позволяет Excel извлекать данные из внешних источников в режиме реального времени. Однако если источник является вредоносным, он может отправить вредоносный код в Excel и потенциально скомпрометировать систему, не требуя макросов или другого активного содержимого. Злоумышленники используют этот метод в целевых фишинговых атаках для выполнения произвольных команд. Блокировка запуска сервера DDE снижает этот риск. Если этот параметр включен, Excel блокирует запуски DDE-серверов, что помогает предотвратить внедрение вредоносных внешних источников в электронные таблицы вредоносного кода. Дополнительные сведения см. в разделе Блокировать запуски сервера динамического обмена данными (DDE) в Excel. |
| Блокировать издателя Майкрософт | Издатель имеет большую атакуемую область и не будет включен в Microsoft 365 с октября 2026 г. Блокировка издателя теперь снижает риск безопасности и соответствует стратегии поддержки Майкрософт. Если этот параметр включен, Microsoft Publisher не запускается. Дополнительные сведения см. в разделе Блокировать microsoft Publisher. |
Устройства комнаты
В этом разделе описываются доступные в Teams параметры отключения базовых параметров режима безопасности в Центр администрирования Microsoft 365.
Для выполнения этих задач необходимо быть членом роли администратора Teams .
| Setting | Дополнительная информация |
|---|---|
| Запретить учетным записям ресурсов на Комнаты Teams устройствах доступ к файлам Microsoft 365 | Чтобы повысить безопасность, удалите доступ к учетным записям ресурсов, которые Комнаты Teams и устройства используют для доступа к ресурсам Microsoft 365 для собраний и совместной работы. Дополнительные сведения см. в разделах Set-SPOTenant и параметр ограничения доступа к учетной записи ресурсов. |
| Разрешить вход только управляемым конечным точкам и совместимым устройствам | Чтобы повысить безопасность, только соответствующие требованиям, управляемые организацией устройства Комнаты Teams могут входить в приложения Microsoft 365, и учетные записи ресурсов не могут использоваться неправильно для проверки подлинности с неуправляемых устройств. Дополнительные сведения см. в статье Блокировка входа учетной записи ресурсов Teams в клиенты Microsoft 365. |
| Блокировка входа неуправляемых устройств и учетных записей ресурсов в приложениях Microsoft 365 | Чтобы повысить безопасность, запретить использование учетных записей ресурсов, используемых для устройств Teams, для входа в клиенты Microsoft 365. Дополнительные сведения см. в статье Блокировка входа учетной записи ресурсов Teams в клиенты Microsoft 365. |
Блокировка входа неуправляемых устройств и учетных записей ресурсов в приложениях Microsoft 365
| Setting | Дополнительная информация |
|---|---|
| Запретить учетным записям ресурсов на Комнаты Teams устройствах доступ к файлам Microsoft 365 | Чтобы повысить безопасность, удалите доступ к учетным записям ресурсов, которые Комнаты Teams и устройства используют для доступа к ресурсам Microsoft 365 для собраний и совместной работы. Дополнительные сведения см. в статье Set-SPOTenant. |
Запретить учетным записям ресурсов на Комнаты Teams устройствах доступ к файлам Microsoft 365
| Setting | Дополнительная информация |
|---|---|
| Запретить учетным записям ресурсов на Комнаты Teams устройствах доступ к файлам Microsoft 365 | Чтобы повысить безопасность, запретить использование учетных записей ресурсов, используемых для устройств Teams, для входа в клиенты Microsoft 365. Дополнительные сведения см. в статье Блокировка входа учетной записи ресурсов Teams в клиенты Microsoft 365. |
Связанные материалы
- Узнайте, как по умолчанию иполитики условного доступа, управляемые Корпорацией Майкрософт , помогают защитить проверку подлинности.