Deep Dive: Microsoft Baseline Security Mode (BSM)

Auf der Ignite 2025 angekündigt, ist der Baseline Security Mode (BSM) nun in den meisten Tenants verfügbar. Microsoft positioniert ihn als den "Nachfolger" der Security Defaults. Doch was macht er wirklich im Backend? Wir haben die Logs analysiert.

01. Architektur & Funktionsweise

Im Gegensatz zu den starren "Security Defaults" (An/Aus) ist BSM ein Configuration Overlay. Zu finden unter M365 Admin Center > Settings > Org settings > Security & privacy, fungiert er als Orchestrator.

Wenn Sie BSM aktivieren, führt der Dienst im Hintergrund Graph-API-Calls aus, um Einstellungen in verschiedenen Workloads zu ändern:

Entra ID: Erstellt/Aktiviert Conditional Access Policies (mit dem Namensschema Microsoft managed: ...).
Exchange Online: Setzt `Set-OrganizationConfig` Parameter.
SharePoint/Teams: Modifiziert Sharing-Settings.

⚙️

Drift Detection: Ein Kernfeature von BSM ist die Überwachung. Ändern Sie eine dieser Policies manuell (z.B. Re-Aktivierung von Legacy Auth), meldet das BSM-Dashboard den Status "At risk". Es ist also nicht nur ein "Set & Forget", sondern ein Compliance-Monitor.

02. Vergleich: BSM vs. Security Defaults vs. Custom CA

Wo ordnet sich BSM ein? Hier die Entscheidungshilfe für Architekten:

Feature	Security Defaults	Baseline Security Mode	Custom CA (Flowbotics)
Lizenzierung	Free / Basic	Business Premium / E3+	Business Premium / E3+
Flexibilität	Null (Alles oder nichts)	Mittel (Exclusions möglich)	Maximal (Granular)
Legacy Auth	Blockiert alles	Blockiert (mit Impact Report)	Granular steuerbar
Zielgruppe	Micro-Business (< 10 User)	KMU ohne IT-Security-Team	Enterprise & Regulated

03. Policy Inventory (Technical)

Microsoft dokumentiert "grob", was passiert. Hier ist die technische Realität, was im Tenant umgestellt wird:

A. Identity & Access (Entra ID)

MFA Enforcement: Erzwingt MFA für alle Admin-Rollen (Global, Security, Exchange, SharePoint, Helpdesk).
Legacy Authentication: Blockiert Protokolle, die kein MFA unterstützen.
Technisch: CA Policy, die Clients wie ExchangeActiveSync, OtherClients blockiert.
Admin Protection: Erzwingt Phishing-Resistant MFA (FIDO2/Certificate) für High-Privilege Roles (optional aktivierbar).

B. Exchange Online Protection

External Forwarding: Setzt `AutoForwardingMode` auf RemoteDomains auf Off oder SystemManaged.
Malware Filter: Aktiviert "Common Attachment Types Filter" (Blockiert .exe, .vbs, .ps1).
SMTP Auth: Deaktiviert SmtpClientAuthenticationDisabled global auf Tenant-Ebene (Ausnahmen müssen per Mailbox gesetzt werden).

C. Office & Apps Hardening

Dies ist der Teil, der oft übersehen wird. BSM setzt Sicherheitsstandards für die Apps selbst:

Macros: Setzt Policies, um Makros aus dem Internet zu blockieren (Mark-of-the-Web).
DDE: Deaktiviert Dynamic Data Exchange (beliebter Angriffsvektor für Malware in Excel).
OLE: Blockiert die Aktivierung von OLE-Objekten in Office.

04. Das Killer-Feature: Impact Analysis

Das größte Risiko bei Security-Härtung ist der "Scream Test" (Wir schalten ab und warten, wer schreit). BSM integriert eine Impact Analysis Engine.

Bevor eine Policy aktiv wird, scannt BSM die Sign-In Logs und Mail-Flow-Logs der letzten 30 Tage.

📊

Der Vorteil: Sie sehen im Dashboard: "Aktivierung von 'Block Legacy Auth' wird 3 Service-Accounts und den CEO (iPhone Mail App) betreffen." Das ermöglicht proaktive Migration vor dem Enforcing.

05. Risiken für Enterprise-Tenants

Warum wir bei Flowbotics in Enterprise-Umgebungen dennoch vorsichtig sind:

Black Box Policies: Die von Microsoft verwalteten CA-Policies lassen sich oft nicht editieren. Wenn Sie eine komplexe "Break Glass" Account-Logik haben, könnte BSM diese überschreiben oder ignorieren.
Konflikte: Wenn Sie bereits eigene CA-Policies haben (z.B. "Block Legacy Auth except IP x.x.x.x"), kann BSM zu unerwarteten Überlappungen führen.
False Sense of Security: BSM deckt die "Baseline" ab. Es ersetzt keine Zero-Trust-Architektur mit Device Compliance, Sensitivity Labels und Data Loss Prevention.

06. Audit-Skript: Sind Sie bereit für BSM?

Bevor Sie den Schalter umlegen, sollten Sie wissen, ob Ihre Umgebung "sauber" ist. Dieses Skript prüft den kritischsten Faktor: Aktive Legacy Authentication.


# Prerequisites: Install-Module Microsoft.Graph.Reports
Connect-MgGraph -Scopes "AuditLog.Read.All"

# Zeitraum: Letzte 30 Tage (Maximum für Interactive Logs via Graph)
$StartDate = (Get-Date).AddDays(-30).ToString("yyyy-MM-dd")

Write-Host "Analysiere Sign-Ins auf Legacy Protocols (POP/IMAP/SMTP)..."

$LegacySignIns = Get-MgAuditLogSignIn -Filter "createdDateTime ge $StartDate and clientAppUsed eq 'Legacy Authentication'" -All

if ($LegacySignIns.Count -gt 0) {
    $LegacySignIns | Group-Object UserPrincipalName, AppDisplayName | 
    Select-Object Name, Count | 
    Sort-Object Count -Descending |
    Format-Table -AutoSize
    
    Write-Warning "ACHTUNG: Legacy Auth gefunden! BSM würde diese Verbindungen blockieren."
} else {
    Write-Host "Clean! Keine Legacy Auth Aktivität gefunden."
}

Unsicher, ob BSM oder Custom Policies für Sie richtig sind?

Architektur-Review buchen

← Zurück zum Engineering Log