Microsoft 365 Secure Score to liczbowy wskaźnik poziomu zabezpieczeń środowiska Microsoft 365, dostępny w portalu Microsoft Defender XDR. Wyższy wynik oznacza, że organizacja wdrożyła więcej zalecanych przez Microsoft działań ochronnych, a tym samym ograniczyła powierzchnię ataku. Podniesienie wyniku nie wymaga zaawansowanego zespołu SOC — wiele kluczowych akcji można wdrożyć w ciągu jednego dnia, zdobywając kilkadziesiąt punktów i realnie chroniąc firmę przed ransomware, phishingiem i przejęciem kont.
W skrócie
- Wynik wyrażany w procentach — im więcej punktów zdobytych z puli dostępnych, tym wyższy procent
- Akcje podzielone na 4 kategorie: Tożsamość (Identity), Urządzenia (Device), Aplikacje (Apps) i Dane (Data)
- Od marca 2026 niektóre rekomendacje z kategorii Cloud Apps zostały przeklasyfikowane do kategorii Identity
- Pojedyncza akcja warta jest do 10 punktów; punkty przyznawane proporcjonalnie do stopnia wdrożenia
- Zmiany odzwierciedlane w wyniku w ciągu 24–48 godzin
- Można śledzić historię wyniku, porównywać się z organizacjami podobnej wielkości i planować przyszły wzrost
- Secure Score nie gwarantuje braku incydentu — mierzy poziom wykorzystania dostępnych kontroli bezpieczeństwa
Czym dokładnie jest Microsoft 365 Secure Score
Microsoft Secure Score to bezpłatne narzędzie analityczne wbudowane w portal Microsoft Defender XDR (https://security.microsoft.com/securescore). Analizuje ono konfigurację całego najemcy Microsoft 365 — od ustawień Microsoft Entra ID (dawniej Azure AD), przez Exchange Online, SharePoint, Microsoft Teams, Microsoft Defender for Endpoint i Defender for Office 365, aż po Microsoft Purview Information Protection.
Wynik nie jest statyczny. Codziennie synchronizuje się z danymi z systemów Microsoft, a w przypadku rekomendacji dotyczących Microsoft Entra ID — odświeża się co tydzień. Oznacza to, że efekt wdrożonych zmian widać najpóźniej po 48 godzinach.
Bezpieczny wynik (tzw. secure score) nie jest gwarancją braku włamania — to pomiar stopnia wykorzystania dostępnych mechanizmów ochronnych, a nie absolutna miara ryzyka. Jak podkreśla sam Microsoft: „żadna usługa online nie jest odporna na naruszenia bezpieczeństwa, a secure score nie powinien być interpretowany jako gwarancja ochrony przed włamaniami” [źródło: docs.microsoft.com].
Jak działa punktacja — mechanizm krok po kroku
Każda rekomendowana akcja ma przypisaną maksymalną wartość punktową, zazwyczaj do 10 punktów. Mechanizm przyznawania punktów różni się w zależności od typu akcji:
| Typ punktacji | Jak działa | Przykład |
|---|---|---|
| Binarna | 100% punktów po pełnym wdrożeniu | Włącz blokowanie starszych protokołów uwierzytelniania |
| Proporcjonalna | Punkty = (zakres wdrożenia / pełny zakres) × maks. punktów | 50 ze 100 użytkowników objętych MFA → 5 z 10 pkt |
| Security defaults | Automatyczne pełne punkty za 3 akcje przy włączonych ustawieniach domyślnych zabezpieczeń | MFA dla adminów, MFA dla wszystkich, blokada legacy auth |
Wynik można analizować w trzech dodatkowych perspektywach dostępnych po kliknięciu przycisku Include na kafelku Secure Score:
- Planned score — prognoza wyniku po realizacji zaplanowanych akcji
- Current license score — maksymalny wynik osiągalny przy obecnych licencjach
- Achievable score — wynik możliwy do osiągnięcia z uwzględnieniem zaakceptowanego ryzyka
Panel pokazuje także porównanie z medianą organizacji o podobnym profilu — to pomaga ustalić realistyczny cel (np. „chcemy być w górnych 25% firm z naszej branży”).
Cztery filary — kategorie rekomendacji
1. Tożsamość (Identity) — fundament bezpieczeństwa
Kategoria Identity odpowiada za największą pulę punktów i dotyczy Microsoft Entra ID. Najważniejsze akcje:
- Wymuś uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich użytkowników (do 10 pkt)
- Wymuś MFA dla ról administracyjnych (10 pkt)
- Zablokuj starsze protokoły uwierzytelniania (legacy authentication) — 7 pkt
- Włącz zasady ochrony tożsamości (Identity Protection) — ryzyko logowania i ryzyko użytkownika
- Wyznacz maksymalnie 5 administratorów globalnych (Global Administrator)
- Usuń konta gości, które nie były używane przez 90 dni
Od marca 2026 Microsoft wprowadził także oddzielny Identity Security Dashboard (w wersji Preview), który pokazuje poziom dojrzałości zabezpieczeń tożsamości w czterech etapach: Connected → Protected → Fortified → Resilient.
2. Urządzenia (Device) — ochrona endpointów
Rekomendacje opierają się na danych z Microsoft Defender for Endpoint i Microsoft Defender Vulnerability Management. Przykładowe akcje:
- Wdróż Microsoft Defender for Endpoint na wszystkich urządzeniach
- Włącz Windows Defender Exploit Guard (ASR — Attack Surface Reduction)
- Aktualizuj systemy operacyjne do najnowszych wersji
- Włącz Microsoft Defender SmartScreen
- Skonfiguruj szyfrowanie BitLocker na wszystkich dyskach
Inaczej niż w przypadku Identity, dla akcji Device nie można ręcznie zmienić statusu na „resolved through third party” — Secure Score deleguje ocenę do Defender Vulnerability Management.
3. Aplikacje (Apps) — Exchange Online, Teams, SharePoint i chmura
Kategoria obejmuje konfigurację Exchange Online, SharePoint, Teams oraz aplikacji SaaS integrowanych przez Microsoft Defender for Cloud Apps. Kluczowe akcje:
- Włącz DKIM i DMARC dla domen poczty (ochrona przed spoofingiem)
- Skonfiguruj Safe Links i Safe Attachments w Defender for Office 365
- Wyłącz automatyczne przekazywanie poczty na adresy zewnętrzne
- Ogranicz udostępnianie w SharePoint i OneDrive tylko do domen organizacji
- Oznacz aplikacje OAuth z wysokim poziomem uprawnień jako zweryfikowane
4. Dane (Data) — klasyfikacja i ochrona informacji
Ta kategoria korzysta z Microsoft Purview Information Protection (dawniej Microsoft Information Protection). Rekomendacje:
- Wdróż etykiety poufności (sensitivity labels) i automatyczne etykietowanie
- Skonfiguruj zasady DLP (Data Loss Prevention) dla danych wrażliwych
- Włącz szyfrowanie wiadomości e-mail (OME)
- Monitoruj nietypową aktywność związaną z dostępem do plików
Szybkie wygrane — 5 działań, które podniosą wynik w jeden dzień
| Priorytet | Działanie | Kategoria | Szacunkowe punkty | Trudność |
|---|---|---|---|---|
| 🔴 1 | Włącz security defaults w Microsoft Entra ID | Identity | ~26 pkt (3 akcje) | ⭐ Niska |
| 🔴 2 | Zablokuj legacy authentication (jeśli nie używasz security defaults) | Identity | 7 pkt | ⭐ Niska |
| 🟡 3 | Skonfiguruj DKIM + DMARC dla wszystkich domen | Apps | 5-10 pkt | ⭐⭐ Średnia |
| 🟡 4 | Włącz Safe Links + Safe Attachments w Office 365 | Apps | 10 pkt | ⭐ Niska |
| 🟢 5 | Wdróż etykiety poufności — przynajmniej „Poufne” i „Publiczne” | Data | 5-8 pkt | ⭐⭐ Średnia |
Uwaga: Security defaults to najszybsza droga — jednym przełącznikiem zdobywasz punkty za MFA dla wszystkich, MFA dla adminów i blokadę legacy auth. Minus: nie można ich dostosować. Średnie i duże firmy zazwyczaj wybierają Conditional Access zamiast security defaults, by zachować kontrolę nad wyjątkami.
Strategia długoterminowa — jak utrzymać wysoki wynik
Secure Score to nie jednorazowa akcja, tylko ciągły proces. Oto ramowy plan podnoszenia i utrzymywania wyniku:
- Miesiąc 1 — Fundament tożsamości: MFA dla wszystkich, blokada legacy auth, redukcja adminów globalnych, wyłączenie kont nieaktywnych.
- Miesiąc 2 — Poczta i współpraca: DKIM/DMARC, Safe Links/Attachments, ograniczenie udostępniania zewnętrznego, wyłączenie autoforwardingu.
- Miesiąc 3 — Urządzenia i dane: Defender for Endpoint na wszystkich endpointach, BitLocker, etykiety poufności, DLP.
- Miesiąc 4+ — Utrzymanie i iteracja: cotygodniowy przegląd nowych rekomendacji, analiza trendu wyniku, porównanie z benchmarkiem branżowym.
W praktyce organizacje, które systematycznie raz w tygodniu poświęcają 30 minut na przegląd panelu Secure Score i realizację 1-2 nowych rekomendacji, osiągają wyniki w przedziale 70-85% w ciągu 3-6 miesięcy.
Najczęstsze pułapki przy podnoszeniu Secure Score
- Włączanie wszystkiego bez analizy wpływu na użytkowników — każda akcja ma wskaźnik User Impact. Przykład: wyłączenie legacy authentication może zablokować starsze klienty poczty (Outlook 2010, Thunderbird bez nowoczesnego OAuth).
- Brak licencji — wiele akcji (szczególnie w kategorii Apps i Data) wymaga Microsoft 365 E5, Microsoft Defender for Office 365 Plan 2 lub Microsoft Purview. Jeśli nie masz tych licencji, Secure Score pokazuje akcje jako niemożliwe do realizacji w perspektywie Current license score.
- Oznaczanie akcji jako „risk accepted” bez dokumentacji — dopuszczalne, ale audytorzy i ubezpieczyciele cybernetyczni coraz częściej pytają o uzasadnienie każdego zaakceptowanego ryzyka.
- Zapominanie o synchronizacji — zmiany w wynikach odzwierciedlane są po 24-48 godzinach. Niektóre akcje, jak włączenie MFA dla użytkowników gościnnych w Microsoft Entra, mogą być odświeżane dopiero po tygodniu.
Jak Microsoft Secure Score zmienił się w latach 2024-2026
W ostatnich dwóch latach Microsoft znacząco rozbudował Secure Score:
- Identity Security Dashboard (Preview, marzec 2026) — nowy pulpit pokazujący dojrzałość zabezpieczeń tożsamości, integrujący rekomendacje z Active Directory, Microsoft Entra ID i aplikacji SaaS (Google Workspace, Salesforce).
- Identity Risk Score (Preview, 2026) — osobny wskaźnik ryzyka dla każdej tożsamości w skali 0-100, wykorzystywany m.in. w Conditional Access.
- Reklasyfikacja kategorii (marzec 2026) — wybrane rekomendacje z Cloud Apps przeniesiono do Identity, co może zmienić indywidualne wyniki w tych kategoriach przy niezmienionym wyniku całkowitym.
- Non-human identities (Preview, 2026) — monitorowanie tożsamości nie-ludzkich (service principals, managed identities, konta serwisowe Active Directory).
- Predictive shielding (Preview, listopad 2025) — proaktywne hartowanie środowiska na podstawie predykcyjnej analizy ryzyka.
Częste pytania
Jaki wynik Secure Score jest dobry dla mojej organizacji?
Nie ma jednej odpowiedzi — wszystko zależy od wielkości firmy, branży i posiadanych licencji. Dla małych firm (poniżej 50 użytkowników) wynik 60-70% to solidny poziom. Średnie przedsiębiorstwa z licencjami E5 powinny celować w 75-85%. Organizacje z sektora finansowego i ochrony zdrowia często osiągają 85-95%. Warto porównywać się z medianą dla podobnych organizacji — tę informację znajdziesz bezpośrednio w panelu Secure Score.
Czy włączenie security defaults zastępuje potrzebę dalszych działań?
Nie. Security defaults daje solidną podstawę (~26 punktów za 3 akcje), ale pokrywa tylko podstawową ochronę tożsamości. Nie obejmuje ochrony poczty (Safe Links/Attachments), urządzeń (Defender for Endpoint) ani danych (DLP, etykiety poufności). Po włączeniu security defaults nadal warto realizować kolejne rekomendacje.
Czy mogę podnieść Secure Score bez kupowania licencji E5?
Częściowo tak. Wiele akcji z kategorii Identity (MFA, blokada legacy auth, ograniczenie adminów globalnych) nie wymaga licencji E5. Akcje Device wymagają co najmniej Microsoft Defender for Endpoint Plan 1 (dostępny m.in. w Microsoft 365 Business Premium). Akcje z kategorii Data (DLP, zaawansowane etykietowanie) zazwyczaj wymagają E5. W panelu Secure Score możesz przełączyć widok na Current license score, aby zobaczyć maksymalny wynik osiągalny przy twoich obecnych licencjach.
Jak długo trzeba czekać na odzwierciedlenie zmian w wyniku?
Większość zmian jest widoczna w ciągu 24-48 godzin. Rekomendacje związane z Microsoft Entra ID mogą odświeżać się raz w tygodniu. Rekomendacje dla Microsoft Teams — po zmianie stanu konfiguracji. Jeśli po 48 godzinach wynik się nie zmienił, sprawdź, czy akcja została wdrożona dla wszystkich użytkowników (niektóre wymagają 100% pokrycia dla pełnych punktów).
Czy Secure Score działa tylko dla produktów Microsoft?
Nie. Secure Score umożliwia oznaczenie akcji jako Resolved through third party — np. jeśli używasz Okta zamiast MFA Microsoft, możesz oznaczyć rekomendację MFA jako zrealizowaną przez zewnętrzne narzędzie i otrzymać pełne punkty. Microsoft nie weryfikuje kompletności wdrożenia po stronie trzeciej — odpowiedzialność za zgodność ze stanem faktycznym spoczywa na organizacji.
Czy mogę zignorować rekomendację i nie stracić punktów?
Tak — wybierz status Risk accepted. Nie otrzymasz punktów, ale rekomendacja nie będzie obniżać wyniku. Pamiętaj, aby udokumentować powód akceptacji ryzyka (np. „starszy system CRM nie wspiera nowoczesnego uwierzytelniania — migracja zaplanowana na Q3 2026”).
Czy Secure Score uwzględnia bezpieczeństwo kont serwisowych i tożsamości nie-ludzkich?
Od marca 2026 — tak, w wersji Preview. Nowa zakładka Non-human identities w Identity Inventory obejmuje aplikacje Microsoft Entra ID, konta serwisowe Active Directory, Google Workspace apps i Salesforce apps. Na razie jest to głównie widoczność i monitoring — oczekuje się, że w przyszłości pojawią się także dedykowane rekomendacje punktowane w Secure Score.
Niezależnie od wyniku Secure Score, podstawą bezpieczeństwa środowiska Microsoft 365 są legalne, w pełni aktualne licencje. W KluczeSoft.pl znajdziesz oryginalne klucze Microsoft 365 Business Standard, Business Premium oraz Microsoft 365 E3/E5 w cenach niższych niż sugerowana cena detaliczna — z fakturą VAT i natychmiastową dostawą. Sprawdź ofertę: https://kluczesoft.pl/21-microsoft-365.