// ENGINEERING_LOG

Microsoft Baseline
Security Mode (BSM)
Die technische Analyse.

Ignite 2025 Deep Dive: Was macht der Baseline Security Mode wirklich im Backend? Wir haben die Logs analysiert.

Përparim Kastrati - Autor
Përparim Kastrati Senior M365 Architect • 23. Dez 2025
⏱️ 12 min Lesedauer 🛡️ Level: Advanced
Microsoft Baseline Security Mode: Architecture Deep Dive

Auf der Ignite 2025 angekündigt, ist der Baseline Security Mode (BSM) nun in den meisten Tenants verfügbar. Microsoft positioniert ihn als den "Nachfolger" der Security Defaults. Doch was macht er wirklich im Backend? Wir haben die Logs analysiert.

01. Architektur & Funktionsweise

Im Gegensatz zu den starren "Security Defaults" (An/Aus) ist BSM ein Configuration Overlay. Zu finden unter M365 Admin Center > Settings > Org settings > Security & privacy, fungiert er als Orchestrator.

Wenn Sie BSM aktivieren, führt der Dienst im Hintergrund Graph-API-Calls aus, um Einstellungen in verschiedenen Workloads zu ändern:

  • Entra ID: Erstellt/Aktiviert Conditional Access Policies (mit dem Namensschema Microsoft managed: ...).
  • Exchange Online: Setzt Set-OrganizationConfig Parameter.
  • SharePoint/Teams: Modifiziert Sharing-Settings.
⚙️
Drift Detection: Ein Kernfeature von BSM ist die Überwachung. Ändern Sie eine dieser Policies manuell (z.B. Re-Aktivierung von Legacy Auth), meldet das BSM-Dashboard den Status "At risk". Es ist also nicht nur ein "Set & Forget", sondern ein Compliance-Monitor.

02. Vergleich: BSM vs. Security Defaults vs. Custom CA

Wo ordnet sich BSM ein? Hier die Entscheidungshilfe für Architekten:

Feature Security Defaults Baseline Security Mode Custom CA (Flowbotics)
Lizenzierung Free / Basic Business Premium / E3+ Business Premium / E3+
Flexibilität Null (Alles oder nichts) Mittel (Exclusions möglich) Maximal (Granular)
Legacy Auth Blockiert alles Blockiert (mit Impact Report) Granular steuerbar
Zielgruppe Micro-Business (< 10 User) KMU ohne IT-Security-Team Enterprise & Regulated

03. Policy Inventory (Technical)

Microsoft dokumentiert "grob", was passiert. Hier ist die technische Realität, was im Tenant umgestellt wird:

A. Identity & Access (Entra ID)

  • MFA Enforcement: Erzwingt MFA für alle Admin-Rollen (Global, Security, Exchange, SharePoint, Helpdesk).
  • Legacy Authentication: Blockiert Protokolle, die kein MFA unterstützen.
    Technisch: CA Policy, die Clients wie ExchangeActiveSync, OtherClients blockiert.
  • Admin Protection: Erzwingt Phishing-Resistant MFA (FIDO2/Certificate) für High-Privilege Roles (optional aktivierbar).

B. Exchange Online Protection

  • External Forwarding: Setzt AutoForwardingMode auf RemoteDomains auf Off oder SystemManaged.
  • Malware Filter: Aktiviert "Common Attachment Types Filter" (Blockiert .exe, .vbs, .ps1).
  • SMTP Auth: Deaktiviert SmtpClientAuthenticationDisabled global auf Tenant-Ebene (Ausnahmen müssen per Mailbox gesetzt werden).

C. Office & Apps Hardening

Dies ist der Teil, der oft übersehen wird. BSM setzt Sicherheitsstandards für die Apps selbst:

  • Macros: Setzt Policies, um Makros aus dem Internet zu blockieren (Mark-of-the-Web).
  • DDE: Deaktiviert Dynamic Data Exchange (beliebter Angriffsvektor für Malware in Excel).
  • OLE: Blockiert die Aktivierung von OLE-Objekten in Office.

04. Das Killer-Feature: Impact Analysis

Das größte Risiko bei Security-Härtung ist der "Scream Test" (Wir schalten ab und warten, wer schreit). BSM integriert eine Impact Analysis Engine.

Bevor eine Policy aktiv wird, scannt BSM die Sign-In Logs und Mail-Flow-Logs der letzten 30 Tage.

📊
Der Vorteil: Sie sehen im Dashboard: "Aktivierung von 'Block Legacy Auth' wird 3 Service-Accounts und den CEO (iPhone Mail App) betreffen." Das ermöglicht proaktive Migration vor dem Enforcing.

05. Risiken für Enterprise-Tenants

Warum wir bei Flowbotics in Enterprise-Umgebungen dennoch vorsichtig sind:

  1. Black Box Policies: Die von Microsoft verwalteten CA-Policies lassen sich oft nicht editieren. Wenn Sie eine komplexe "Break Glass" Account-Logik haben, könnte BSM diese überschreiben oder ignorieren.
  2. Konflikte: Wenn Sie bereits eigene CA-Policies haben (z.B. "Block Legacy Auth except IP x.x.x.x"), kann BSM zu unerwarteten Überlappungen führen.
  3. False Sense of Security: BSM deckt die "Baseline" ab. Es ersetzt keine Zero-Trust-Architektur mit Device Compliance, Sensitivity Labels und Data Loss Prevention.

06. Audit-Skript: Sind Sie bereit für BSM?

Bevor Sie den Schalter umlegen, sollten Sie wissen, ob Ihre Umgebung "sauber" ist. Dieses Skript prüft den kritischsten Faktor: Aktive Legacy Authentication.

PowerShell - Legacy Auth Audit 
# Prerequisites: Install-Module Microsoft.Graph.Reports
Connect-MgGraph -Scopes "AuditLog.Read.All"

# Zeitraum: Letzte 30 Tage (Maximum für Interactive Logs via Graph)
$StartDate = (Get-Date).AddDays(-30).ToString("yyyy-MM-dd")

Write-Host "Analysiere Sign-Ins auf Legacy Protocols (POP/IMAP/SMTP)..."

$LegacySignIns = Get-MgAuditLogSignIn -Filter "createdDateTime ge $StartDate and clientAppUsed eq 'Legacy Authentication'" -All

if ($LegacySignIns.Count -gt 0) {
    $LegacySignIns | Group-Object UserPrincipalName, AppDisplayName | 
    Select-Object Name, Count | 
    Sort-Object Count -Descending |
    Format-Table -AutoSize
    
    Write-Warning "ACHTUNG: Legacy Auth gefunden! BSM würde diese Verbindungen blockieren."
} else {
    Write-Host "Clean! Keine Legacy Auth Aktivität gefunden."
}

Unsicher, ob BSM oder Custom Policies für Sie richtig sind?

Architektur-Review buchen
Zurück zum Engineering Log