Makros in Microsoft Office mit Cloud Policies sperren

    , 13.06.2023
    Tags: , ,

    Office SecurityAdmins können die Office Apps for Enterprise zentral mit Hilfe des Cloud-Richt­linien­dienstes konfigurieren. Die Policies greifen, sobald sich Benutzer an Microsoft 365-Apps mit ihrem Azure-AD-Konto anmelden. Sie bieten im Wesentlichen die von den Gruppen­richt­linien bekannten Einstellungen, darunter auch solche zum Blockieren von Makros.

    Damit sich die Cloud-Richtlinien auf einen Computer anwenden lassen, muss dieser nicht Mitglied in einer Domäne sein. Die Anwender melden sich mit einem Benutzerkonto aus dem Azure AD an. Daher lassen sich auch Microsoft 365-Gruppen und Azure AD-Sicherheitsgruppen für die Zuordnung der Richtlinien nutzen.

    Die Cloud-Richtlinien stehen nicht nur im Microsoft 365 Apps Admin Center, sondern auch im Microsoft Intune Admin Center unter Apps => Richtlinie für Office-Apps zur Verfügung. Die Oberflächen dafür sind identisch. Die Richtlinien lassen sich unter Windows, macOS, iOS und Android einsetzen.

    Die Cloud Policies lassen sich auch in Intune konfigurieren.

    Microsoft 365 wendet die Richtlinien auch an, wenn sich Benutzer mit den Web-basierten Online-Apps von Office verbinden.

    Voraussetzungen für Cloud-Richtlinien

    Die Cloud Policies erfordern Microsoft 365 Apps for Enterprise (früher "Office 365 ProPlus"). Um Richtlinien zu erstellen, müssen Benutzer globale Administratoren der Umgebung sein oder die Rollen Sicherheits­administrator bzw. Office Apps-Administrator innehaben.

    Die Zuweisung der Rollen erfolgt im Microsoft 365 Admin Center unter Rollen => Rollenzuweisungen.  Über den Tab Zugewiesen in den Eigenschaften einer Rolle wählt man dazu die gewünschten Benutzerkonten bei Benutzer hinzufügen aus.

    Rolle für die Verwaltung der Cloud-Richtlinien zuweisen

    Richtlinien erstellen und zuweisen

    Im Microsoft 365 Apps Admin Centers legt man über die Schaltfläche Erstellen bei Anpassung => Richtlinienverwaltung eine neue Richtlinie an. Danach gibt man einen Namen und eine optionale Beschreibung ein.

    Richtlinie für die Office-Apps im Microsoft 365 Admin Center erstellen

    Anschließend wählt man bei Bereich aus, für welche Benutzer die Richtlinie gelten soll. Dafür gibt es diese drei Optionen:

    • Diese Richtlinienkonfiguration gilt für alle Benutzer;
    • Diese Richtlinienkonfiguration gilt für Benutzer in der angegebenen Gruppe;
    • Die Richtlinienkonfiguration gilt für Benutzer, die mit Office im Web anonym auf Dokumente zugreifen.

    Festlegen, für welche Benutzer eine Richtlinie gelten soll

    Nun erfolgt die Konfiguration der Einstellungen, in unserem Beispiel für das Einschränken von Makros in den Office-Apps.

    Dazu kann man oben rechts nach dem Begriff Makro suchen, um alle diesbezüglichen Einstellungen zu erhalten.

    Liste der Einstellungen, die Makros in den Office-Apps regeln

    Um zum Beispiel das Ausführen von Makros in Office-Dokumenten zu verhindern, die von extern stammen, klickt man auf die Richtlinie Blockieren der Ausführung von Makros in Office-Dateien aus dem Internet. Danach wählt man Manuell konfiguriert => Aktiviert aus.

    Makros in Dokumenten aus dem Internet blockieren

    Ebenfalls wichtig ist Sicherheits­einstellung für Makros. Diese Option sollte auf Manuell konfiguriert => Aktiviert und dann mit Sicherheitsstufe => Immer warnen gesetzt sein.

    Alternativ zur Verwendung von Microsofts Baseline kann man die Sicherheit von Makros manuell steuern.

    Sinnvoll ist darüber hinaus die Suche nach VBA. Hier lassen sich anschließend mit VBA für Office-Anwendungen deaktivieren alle VBA-Makros auf einmal blockieren. Diese Einschränkung könnte allerdings in vielen Umgebungen zu strikt sein, weil dann etwa auch im Unternehmen entwickelte Excel-Makros nicht mehr laufen.

    Die Ausführung von Visual Basic for Applications (VBA) komplett unterbinden

    Wenn alle Einstellungen für die Richtlinie gesetzt sind, speichert man sie mit der Schaltfläche Erstellen am Ende des Assistenten.

    Die Policy ist danach unter Anpassung => Richtlinien­verwaltung zu finden. Durch das Anklicken der Richtlinie lassen sich jederzeit Einstellungen hinzufügen, ändern oder entfernen. Sind mehrere Richtlinien im Einsatz, dann kann man die Prioritäten über die Schaltflächen am oberen Rand des Fensters anpassen.

    Die Priorität der Richtlinien ändert man durch Umsortieren ihrer Reihenfolge.

    Zusammenfassung

    Mit den Cloud Policies bietet Microsoft ein Äquivalent zu den Gruppenrichtlinien, allerdings nur für die Apps for Enterprise. Bei Office 365 Business muss man sich etwa mit Group Policy Preferences behelfen.

    Die Cloud-Richtlinien bieten im Wesentlichen die gleichen Einstellungen für die zentrale Konfiguration der Office-Apps wie die Gruppenrichtlinien, darunter auch für das Blockieren von Makros. Die Rechner müssen dafür aber nicht Mitglied in einer AD-Domäne sein.

    Die Konfiguration der Cloud-Richtlinien erfolgt wahlweise über das Microsoft 365 Admin Center oder Intune. Sie lassen sich dort entweder allen Benutzern oder ausgewählten Gruppen zuweisen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Joos

    Thomas Joos ist Consultant für mittlere und große Unternehmen im Bereich Security, Active Directory, Cloud und KI.

    Er hat über 100 Fachbücher zu IT-Themen für verschiedene Verlage geschrieben und veröffentlicht regelmäßig bei verschiedenen Portalen und Zeitschriften wie IT-Administrator, Computerwoche, Heise und vielen weiteren.

    Darüber hinaus ist er als Trainer für LinkedIn Learning tätig.

    // Kontakt: Web, E-Mail, Twitter //

    Verwandte Beiträge

    Weitere Links