Dvoufaktorová autentizace v rámci Office 365/Microsoft 365

Dvoufaktorová autentizace (2FA) je bezpečnostní opatření, které přidává další vrstvu ochrany k vašemu účtu. Kromě hesla vyžaduje druhý faktor, který může být například kód zaslaný na váš mobilní telefon. Tím se výrazně snižuje riziko neoprávněného přístupu, protože útočník by musel získat nejen vaše heslo, ale i druhý faktor. V prostředí firem a škol, kde jsou často zpracovávány citlivé informace, je 2FA klíčovým nástrojem pro ochranu dat. Minimálně u administrátorů a účtů, které pracují s citlivými informacemi by vícefaktorové ověření mělo být v současné době nutnou podmínkou. Naopak u žáků na nižších stupních základní školy může být problém s tím, že nemají možnost druhý faktor využít, protože například nemají možnost použít mobilní telefon nebo do něj nainstalovat potřebnou aplikaci.

V rámci O365 (M365) je několik míst, kde se vícefaktorové ověření dá nastavit. Jednotlivá nastavení se mezi sebou mohou přepisovat. Je tedy potřeba dobře rozumět tomu jaká nastavení zapnout a jaká vypnout.

Globální nastavení organizace (Security Defaults):

Toto nastavení má nejvyšší prioritu a je určeno pro základní zabezpečení celé organizace. Pokud je povoleno, automaticky zapne MFA pro všechny uživatele. Pokud je vypnuto, tak je možné jej povolit na nižších úrovních, například jen pro některé uživatele.

Toto nastavení naleznete v portálu Entra ID – Identita\Přehled\Vlastnosti\Spravovat výchozí nastavení zabezpečení (na stránce úplně dole)

Nastavení konkrétních uživatelů (Per-user MFA):

Toto nastavení umožňuje zapnout nebo vypnout MFA pro jednotlivé uživatele. V případě, že globální nastavení vypnete, můžete zde vynutit vícefaktorové ověření jen u konkrétních uživatelů. Například jen Globálních administrátorů či uživatelů pracujících s citlivými daty.

Toto nastavení naleznete v admin portálu O365 – Uživatelé\Aktivní uživatelé\Vícefaktorové ověření

Nastavení metod ověřování v Entra ID (Azure AD):

V Entra ID můžete nastavit různé metody ověřování, jako jsou SMS, telefonní hovory nebo aplikace Authenticator. Tyto metody mohou být specifikovány na úrovni uživatele nebo skupiny. Vícefaktorové ověřování preferované systémem (MFA) v Entra ID je specifické nastavení (ale spadá pod nastavení metod ověřování v Entra ID / Azure AD), které vyzve uživatele k přihlášení pomocí nejbezpečnější metody, kterou zaregistrovali. Toto nastavení může být součástí širšího nastavení zabezpečení, ale má svou vlastní prioritu a může být v konfliktu s jinými nastaveními, pokud nejsou správně nakonfigurována Vícefaktorové ověřování upřednostňované systémem (MFA) – Microsoft Entra ID | Microsoft Learn.

Toto nastavení naleznete v portálu Entra ID – Ochrana\Metody ověřování\Nastavení

Podmíněné ověřování (Conditional Access):

Conditional Access poskytuje největší flexibilitu a kontrolu. Umožňuje vytvářet zásady, které reagují na konkrétní události přihlášení a vyžadují další ověřovací kroky. Tyto zásady mohou přepsat per-user MFA a globální nastavení. Na této úrovni musíte vydefinovat konkrétní zásady (nastavení), které pak přiřazujete konkrétním uživatelům nebo skupinám.

Můžete si například ve škole nastavit takové podmínky, že po žácích není vyžadována dvoufaktorová autentizace, ale také se nepřihlásí mimo ČR. U učitelů je vyžadována dvoufaktorová autentizace pokud se přihlašují mimo školu. U administrátorů je vyžadován 2FA vždy.

Podmíněný přístup lze nastavit pouze v následujících licencích:

• Microsoft 365 Business Premium
• Office 365 E3 a E5
• Microsoft 365 E3 a E5
• Azure Active Directory Premium P1 a P2
• Microsoft 365 A1, A3 a A5 (u školních licencí)

Toto nastavení naleznete v portálu Entra ID – Ochrana\Podmíněný přístup\Zásady

Konflikty mezi nastaveními: Pokud jsou zapnuty různé úrovně MFA (např. per-user MFA a Conditional Access), může to vést k nekonzistencím a problémům s přihlášením.

Priorita nastavení: Conditional Access má vyšší prioritu než per-user MFA a globální nastavení. Pokud je povolen Podmíněný přístup, mělo by být per-user MFA vypnuto, aby se předešlo konfliktům.