Aktualizováno: 13.8.2019, Vytvořeno: 13.8.2019 | V kategorii:

Vícefázové ověřování s Office 365

Aktualizace 2021: Microsoft nyní u všech nových tenantů Microsoft 365 aktivuje tzv. Security Defaults nastavení v Azure Active Directory. Toto nastavení s sebou přináší automaticky povolené vícefázové ověření pro všechny uživatele.

Microsoft Security Defaults ve zkratce:

  • Všichni uživatelé musí do 14 dnů od vzniku účtu zaregistrovat a používat MFA
  • Správci musí používat MFA
  • Starší přihlašovací protokol je blokován. Používá se pouze moderní ověřování.
  • V určitých scénářích - přechod do nastavení apod. se vyžaduje potvrzení služby Multi Factor Authentication.
  • Vyžadování MFA pro privilegované aktivity (např. přístup k Azure)

Určitě již znáte vícefázové ověřování z jiných aplikací. Jde o ověření vaší identity na základě hesla + dalšího zvoleného způsobu. V Office 365 toto zajišťuje služba MFA - Azure Multi-Factor Authentication.

Způsoby dvoufázového ověřování v Office 365 jsou:

  1. Pomocí mobilní aplikace
    1. Oznámení
    2. Ověřovací kód
  2. Pomocí textové zprávy
  3. Telefonní hovor
  4. Hardwarový token
Metody vícefaktorového ověření

Použitím více faktorového ověřování výrazně zvýšíte bezpečnost účtu, proto ho doporučuji používat všude, kde je to možné.

Ne všechny aplikace Office jsou momentálně kompatibilní s vícefázovým ověřováním. Pro tyto aplikace je potřeba vytvořit heslo aplikace.

Jak získat Aplikaci MFA (Azure Multi Factor Authentication)?

Azure více faktorové ověřování je součástí Office 365 a těchto služeb:

  • Azure Active Directory Premium nebo Microsoft 365 Business 
  • Azure AD Free nebo samostatné licence na Office 365
  • Azure Active Directory globálních správců

Služba Azure Multi-Factor Authentication již nelze od 1. září 2018 pořídit samostatně. MFA ale nadále v licencích Azure AD Premium zůstává.

Nastavení MFA v Office 365

Začneme tím, že zjistíme, zda máme povolené moderní ověřování v Office 365.

Doplněk Office 365 vícefaktorové ověřování

Tímto povolíme v Azure Active Directory službu dvoufázového ověření.

Povolení vícefázového ověřování pro uživatele

Nyní musíme uživatelům nastavit možnost vícefázového ověřování. To uděláme opět ze správce Office 365.

  • Přejdeme do karty Nastavení > Uživatelé.
  • Nad seznamem uživatelů klikneme na Vícefaktorové ověřování.
  • Nyní v seznamu vybereme uživatele, kterému chceme povolit nebo vynutit dvoufázové ověřování a v pravém sloupci uvidíme Povolit
Povolení vícefaktorového ověřování v Office 365
  • Zároveň můžete spravovat již povolené uživatele pomocí tlačítka Správa nastavení uživatelů
    • Vyžadovat, aby vybraní uživatelé znovu zadali způsoby kontaktování
    • Odstranit všechna existující hesla aplikací vygenerovaná vybranými uživateli
    • Obnovit vícefaktorové ověřování u všech zapamatovaných zařízení
Správa více faktorového ověřování uživatele
  • U uživatelů zároveň vidíte stav dvoufázového ověřování
    • Jakýkoliv = výchozí stav
    • Povoleno = uživatel je zaregistrován ve službě MFA, ale nedokončila registraci. Při příštím přihlášení bude uživatel vyzván k registraci.
    • Vynuceno = uživatel dokončil, nebo nedokončil registraci. Pokud ji dokončil, používá MFA, jinak bude při přihlášení vyzván k registraci.
Stav vícefaktorového ověření Office 365

Povolení vytvoření hesla aplikace

Pro některé aplikace Office, nefunguje dvoufaktorové ověřování. Je potřeba použít heslo aplikace, které si uživatel vytvoří zejména při povolení dvoufázového ověřování administrátorem. Pokud je Office 365 Tenant zřízen nově v roce 2019, je možné, že heslo aplikace nebude fungovat, kvůli nastavení Security Defaults v Azure Active Directory.

Postup pro přihlášení pomocí vícefaktorového ověření do Outlooku.

Pro povolení vytvoření hesla aplikace uživatelem je potřeba podniknout tyto kroky:

  • Přejdeme do karty Nastavení > Uživatelé.
  • Nad seznamem uživatelů klikneme na Vícefaktorové ověřování.
  • Překlikneme se na Nastavení služby MFA pod hlavním nadpisem
  • Nyní v nastavení zaškrtneme Povolit uživatelům vytvářet hesla aplikací pro přihlašování k neprohlížečovým aplikacím
  • Další možná nastavení jsou:
    • Důvěryhodné IP adresy - ideální pro firemní síť, aby se uživatelé nemuseli stále ověřovat
    • Možnosti ověřování - povolení/zakázání jednotlivých metod
    • Zapamatovat multi-factor authentication - zde můžete povolit, či zakázat uživatelům uložení browseru pro opětovné přihlášení bez autentizace a nastavit dobu, po kterou zapamatování platí
Vlastnosti vícefaktorového ověření Office 365

Vytvoření hesla aplikace z pohledu uživatele

Pokud uživatel potřebuje vytvořit heslo aplikace, musí postupovat takto:

  1. Přihlaste k vašmu účtu Office 365 na adrese https://portal.office.com
  2. V pravém horním rohu klikneme na své jméno > Můj účet
  3. V levém menu přejdeme na zabezpečení a ochrana osobních údajů
  4. Klikneme na Doplňkové bezpečnostní ověřování a vybereme Vytvořit a spravovat hesla aplikací.
  5. Po přesměrování kliknete na vytvořit heslo aplikace, pojmenujete si ho dle použití, abyste měli v heslech pořádek a v dalším kroku se heslo vygeneruje.
Doplňkové zabezpečení účtu Office 365
Nastavení zabezpečení účtu
Vytvoření hesla aplikace Office 365
Vytvoření hesla aplikace Office 365

Hromadná aktualizace pomocí CSV souboru

Pokud máte mnoho uživatelů a chcete jim povolit vícefázové ověřování hromadně, můžete použít hromadnou aktualizaci pomocí souboru .CSV. Tímto souborem můžete vícefaktorové ověřování (MFA) pouze hromadně povolit nebo zakázat na základě uživatelských jmen. Soubor nelze použít k vytvoření nových uživatelů.

Stáhnout ukázkový soubor pro aktualizaci uživatelů pro vícefaktorové ověřování

Máte nějaké dotazy nebo připomínky? Zanechte komentář a neváhejte se s námi spojit na facebooku!