Baseline Security Mode in Microsoft 365: il nuovo standard per la sicurezza enterprise

Negli ultimi anni la gestione della sicurezza in Microsoft 365 è diventata sempre più complessa: tantissime impostazioni, molte dislocate in portali diversi, e la necessità di bilanciare protezione e produttività. Per rispondere a queste esigenze, Microsoft ha introdotto Baseline Security Mode (BSM), una suite di impostazioni consigliate di sicurezza centralizzate, pensata per fornire un livello minimo di protezione forte e moderno su più workload Microsoft 365. In questo articolo vedremo cosa è BSM, quali impostazioni comprende, perché rappresenta un cambiamento importante nella gestione della sicurezza cloud e come puoi sfruttarlo da subito nei tuoi tenant.

Michele Ariis

2/27/20263 min read

Cos’è Baseline Security Mode

Baseline Security Mode è una collezione di configurazioni di sicurezza raccomandate da Microsoft per importanti servizi Microsoft 365 come Entra ID, Exchange Online, SharePoint/OneDrive, Teams e Microsoft 365 Apps.

Queste impostazioni non sono “regole punitive”: sono configurazioni pensate per chiudere gap di sicurezza noti, bloccare protocolli obsoleti e standardizzare protezioni che spesso sono trascurate nei tenant esistenti.

La grande innovazione è che ora queste configurazioni non sono più distribuite in modo sparso tramite PowerShell o policy isolate, ma sono visibili e gestibili da un’unica interfaccia nel Microsoft 365 admin center.

Obiettivi principali

  • Standard minimo di security per ogni tenant Microsoft 365.

  • Visibilità immediata su configurazioni non ottimali o potenzialmente critiche.

  • Report di impatto prima di applicare modifiche che potrebbero avere effetti sul business.

  • Centralizzazione delle raccomandazioni di sicurezza in un unico dashboard.

Che tipi di impostazioni include BSM

Baseline Security Mode raggruppa le configurazioni consigliate in diverse aree chiave:

Autenticazione e accesso

Una parte consistente delle impostazioni riguarda la sicurezza dell’autenticazione:

  • blocco di metodi legacy e insicuri;

  • richiesta di Multi-Factor Authentication (MFA resistente al phishing) per i ruoli amministrativi;

  • abolizione di protocolli obsoleti come POP/IMAP/Basic Authentication (ove possibile).

Queste configurazioni elevano il livello di difesa contro attacchi di compromissione degli account, uno dei vettori di attacco più utilizzati.

Protezioni per i file e i documenti

BSM include controlli per:

  • bloccare comportamenti rischiosi nell’apertura/salvataggio di file;

  • rifiutare formati legacy vulnerabili;

  • abilitare modalità protette in Office e disabilitare componenti insicuri come ActiveX.

Questi accorgimenti riducono l’esposizione ad attacchi basati su documenti malevoli e sfruttamenti di formati storici.

Sicurezza per dispositivi e riunioni

Baseline Security Mode non si limita ai soli account e file:

  • include controlli che limitano l’accesso ai dispositivi non gestiti;

  • protegge gli endpoint di riunione (Teams Rooms, dispositivi sala) per evitare accessi non autorizzati.

Come si usa Baseline Security Mode

Tutto parte da un’unica sezione nel Microsoft 365 admin center:

  1. Entra in Impostazioni → Impostazioni dell'organizzazione

  2. Vai a Sicurezza e Privacy

  3. Seleziona Modalità di sicurezza di base

  4. Selezioniamo Apri Modalità di sicurezza di base

Da qui puoi:

Abilitare subito impostazioni di default sicure che Microsoft considera a basso impatto;

Eseguire report di impatto per comprendere quali utenti, app o servizi saranno influenzati

Pianificare la progressiva attivazione delle restanti configurazioni

Report di impatto: perché sono importanti

Un elemento chiave di BSM è la possibilità di simulare l’impatto prima di applicare una modifica.

Questo significa che:

  • puoi vedere quali utenti/app verranno toccati;

  • puoi individuare dipendenze critiche;

  • puoi decidere di attivare alcune impostazioni solo dopo un periodo di valutazione.

Questa funzionalità è essenziale per bilanciare sicurezza e continuità operativa, soprattutto in ambienti enterprise con workflow complessi.

Come integrare BSM nei tuoi processi

Baseline Security Mode non è un “set-and-forget”. È uno strumento che puoi usare come parte di un processo di gestione della sicurezza più ampio:

  • Assessment periodico: esegui report di impatto e rivedili con il team di sicurezza;

  • Segmentazione graduale: applica controlli a gruppi pilota prima di estenderli a tutta l’organizzazione;

  • Allineamento con policy esistenti: integra le raccomandazioni BSM con le tue policy di sicurezza interne e con framework come Zero Trust.

Questo approccio ti permette di sfruttare le configurazioni raccomandate da Microsoft senza compromettere la produttività.

Conclusione

Baseline Security Mode è una evoluzione significativa nel modo in cui Microsoft consiglia di gestire la sicurezza dei tenant Microsoft 365.
Con un set di impostazioni predefinite, report di impatto e un’esperienza centralizzata, BSM ti aiuta a portare il tuo ambiente a un livello di protezione moderno e coerente, riducendo l’area di attacco e uniformando le configurazioni critiche.

Non è uno strumento da temere, ma un framework da adottare con consapevolezza, utile sia per chi parte da zero sia per chi vuole consolidare una postura di sicurezza già matura.