TL;DR: Group Policies blokkeren het uitvoeren van macro's NIET in een flink aantal MS Office versies. Uit https://docs.microsoft.com/en-us/office365/servicedescriptions/office-applications-service-description/office-applications-service-description (90 graden gedraaid en anders gesorteerd door mij, bron: [1]):


Systeembeheerders zouden dus -onterecht- kunnen veronderstellen dat hun gebruikers geen kwaadaardige macro's in e-mail bijlagen of downloads kunnen uitvoeren!

Macro's wel/niet gescand door antivirus
Uit de tabel in bovengenoemde pagina kan ik niet opmaken of alle Office versies AMSI (Antimalware Scan Interface) voor virusscanners ondersteunen. In https://www.microsoft.com/security/blog/2018/09/12/office-vba-amsi-parting-the-veil-on-malicious-macros/ (bronnen: [2]) lees ik echter:
Als iemand weet dat dit niet (meer) klopt, hoe je kunt forceren dat alle macro's gescand worden en/of AMSI niet werkt op sommige Office versies, lees ik dat graag.

Gedeeltelijke fix om macro's te blokkeren
In [1] kun je lezen hoe je, met een heel stel registerwijzigingen, toch macro's per Office applicatie (Word, Excel, ...) enigzins kunt blokkeren. Echter, naar verluidt kan de gebruiker zelf deze wijziging (voor 90 minuten?) ongedaan maken.
Het artikel wijst er ook op dat instellingen in het register onder "Software\Policies\Microsoft\Office\..." worden genegeerd (ik vermoed alleen bij de software waar bovenaan deze pagina "No" staat): je zou deze instellingen moeten maken onder "HKCU\Software\Microsoft\Office\...", gevolgd door het Office versienummer en de bedoelde applicatie.

Overigens zag ik zojuist dat het wijzigen van de instellingen in het Trust Center van de betreffende Office applicatie voor de betreffende gebruiker hetzelfde effect heeft als het wijzigen van bedoelde registerinstellingen (de gebruiker kan dit dus ook relatief eenvoudig zelf permament ongedaan maken).

Details: als de value name "VBAWarnings" ontbreekt (key bij mij: HKCU\Software\Microsoft\Office\16.0\Word\Security\), gaat bijv. Word ervan uit dat deze de waarde 2 heeft; als je in (de Engelstalige versie van) Word eenmalig kiest voor "Disable all macro's without notification" en het Trust Center sluit, wordt de value name "VBAWarnings" aangemaakt met waarde 4. Als je in Trust Center daarna kiest voor "Disable all macro's without notification" en weer sluit, heeft die value name de waarde 2 gekregen.

Conclusie
Microsoft maakt het organisaties veel te moeilijk om malware buiten de deur te houden. Ik vind het ontverantwoordelijk dat group policies slechts voor een deel van de Microsoft Office pakketten werken. Ook in thuisversies hoor je kinderen en andere huisgenoten -geforceerd en onveranderbaar- te kunnen beschermen tegen kwaadaardige macro's, met name omdat gebruikers vaak (steeds vaker?) gevraagd worden om kwaadaardige bestanden te downloaden van ogenschijnlijk betrouwbare cloud sites, waaronder *.sharepoint.com, onedrive.com etc. Allemaal sites die zijn voorzien van een https certificaat: security-aware mensen weten dat dit niets zegt, maar de meeste gewone gebruikers is altijd verteld dat een slotje betekent dat iets veilig is.

Bronnen
[1] (Duitstalig) https://www.heise.de/security/artikel/Microsoft-und-Emotet-Makroschutz-in-Office-365-nur-fuer-Konzerne-4664218.html?seite=all. Nb. In https://www.heise.de/security/ heeft Heise dat artikel bovenaan gezet (dat kennelijk al op 2020-02-24 is gepubliceerd, ik heb dat toen gemist). Ook op security.nl kan ik hier zo snel niets over terugvinden, maar wellicht kijk ik eroverheen.

[2] https://www.security.nl/posting/646802/Microsoft%3A+infecties+door+ransomware+zijn+prima+te+voorkomen
-> https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/: "Turn on AMSI for Office VBA if you have Office 365".