Vícefázové ověřování s Office 365

Aktualizace 2021: Microsoft nyní u všech nových tenantů Microsoft 365 aktivuje tzv. Security Defaults nastavení v Azure Active Directory. Toto nastavení s sebou přináší automaticky povolené vícefázové ověření pro všechny uživatele.

Microsoft Security Defaults ve zkratce:

• Všichni uživatelé musí do 14 dnů od vzniku účtu zaregistrovat a používat MFA
• Správci musí používat MFA
• Starší přihlašovací protokol je blokován. Používá se pouze moderní ověřování.
• V určitých scénářích - přechod do nastavení apod. se vyžaduje potvrzení služby Multi Factor Authentication.
• Vyžadování MFA pro privilegované aktivity (např. přístup k Azure)

Určitě již znáte vícefázové ověřování z jiných aplikací. Jde o ověření vaší identity na základě hesla + dalšího zvoleného způsobu. V Office 365 toto zajišťuje služba MFA - Azure Multi-Factor Authentication.

Způsoby dvoufázového ověřování v Office 365 jsou:

1. Pomocí mobilní aplikace
   1. Oznámení
   2. Ověřovací kód
2. Pomocí textové zprávy
3. Telefonní hovor
4. Hardwarový token

Použitím více faktorového ověřování výrazně zvýšíte bezpečnost účtu, proto ho doporučuji používat všude, kde je to možné.

Ne všechny aplikace Office jsou momentálně kompatibilní s vícefázovým ověřováním. Pro tyto aplikace je potřeba vytvořit heslo aplikace.

Jak získat Aplikaci MFA (Azure Multi Factor Authentication)?

Azure více faktorové ověřování je součástí Office 365 a těchto služeb:

• Azure Active Directory Premium nebo Microsoft 365 Business 
• Azure AD Free nebo samostatné licence na Office 365
• Azure Active Directory globálních správců

Služba Azure Multi-Factor Authentication již nelze od 1. září 2018 pořídit samostatně. MFA ale nadále v licencích Azure AD Premium zůstává.

Nastavení MFA v Office 365

Začneme tím, že zjistíme, zda máme povolené moderní ověřování v Office 365.

• Přihlaste k vašmu účtu Office 365 na adrese https://portal.office.com
• Otevřeme správce Office 365 (https://admin.microsoft.com/)
• Přejdeme do karty Nastavení > Služby a doplňky
• V seznamu vybereme Azure‎ Multi-Factor Authentication a povolíme

Tímto povolíme v Azure Active Directory službu dvoufázového ověření.

Povolení vícefázového ověřování pro uživatele

Nyní musíme uživatelům nastavit možnost vícefázového ověřování. To uděláme opět ze správce Office 365.

• Přejdeme do karty Nastavení > Uživatelé.
• Nad seznamem uživatelů klikneme na Vícefaktorové ověřování.
• Nyní v seznamu vybereme uživatele, kterému chceme povolit nebo vynutit dvoufázové ověřování a v pravém sloupci uvidíme Povolit

• Zároveň můžete spravovat již povolené uživatele pomocí tlačítka Správa nastavení uživatelů
  • Vyžadovat, aby vybraní uživatelé znovu zadali způsoby kontaktování
  • Odstranit všechna existující hesla aplikací vygenerovaná vybranými uživateli
  • Obnovit vícefaktorové ověřování u všech zapamatovaných zařízení

• U uživatelů zároveň vidíte stav dvoufázového ověřování
  • Jakýkoliv = výchozí stav
  • Povoleno = uživatel je zaregistrován ve službě MFA, ale nedokončila registraci. Při příštím přihlášení bude uživatel vyzván k registraci.
  • Vynuceno = uživatel dokončil, nebo nedokončil registraci. Pokud ji dokončil, používá MFA, jinak bude při přihlášení vyzván k registraci.

Povolení vytvoření hesla aplikace

Pro některé aplikace Office, nefunguje dvoufaktorové ověřování. Je potřeba použít heslo aplikace, které si uživatel vytvoří zejména při povolení dvoufázového ověřování administrátorem. Pokud je Office 365 Tenant zřízen nově v roce 2019, je možné, že heslo aplikace nebude fungovat, kvůli nastavení Security Defaults v Azure Active Directory.

Postup pro přihlášení pomocí vícefaktorového ověření do Outlooku.

Pro povolení vytvoření hesla aplikace uživatelem je potřeba podniknout tyto kroky:

• Přejdeme do karty Nastavení > Uživatelé.
• Nad seznamem uživatelů klikneme na Vícefaktorové ověřování.
• Překlikneme se na Nastavení služby MFA pod hlavním nadpisem
• Nyní v nastavení zaškrtneme Povolit uživatelům vytvářet hesla aplikací pro přihlašování k neprohlížečovým aplikacím
• Další možná nastavení jsou:
  • Důvěryhodné IP adresy - ideální pro firemní síť, aby se uživatelé nemuseli stále ověřovat
  • Možnosti ověřování - povolení/zakázání jednotlivých metod
  • Zapamatovat multi-factor authentication - zde můžete povolit, či zakázat uživatelům uložení browseru pro opětovné přihlášení bez autentizace a nastavit dobu, po kterou zapamatování platí

Vytvoření hesla aplikace z pohledu uživatele

Pokud uživatel potřebuje vytvořit heslo aplikace, musí postupovat takto:

1. Přihlaste k vašmu účtu Office 365 na adrese https://portal.office.com
2. V pravém horním rohu klikneme na své jméno > Můj účet
3. V levém menu přejdeme na zabezpečení a ochrana osobních údajů
4. Klikneme na Doplňkové bezpečnostní ověřování a vybereme Vytvořit a spravovat hesla aplikací.
5. Po přesměrování kliknete na vytvořit heslo aplikace, pojmenujete si ho dle použití, abyste měli v heslech pořádek a v dalším kroku se heslo vygeneruje.

Hromadná aktualizace pomocí CSV souboru

Pokud máte mnoho uživatelů a chcete jim povolit vícefázové ověřování hromadně, můžete použít hromadnou aktualizaci pomocí souboru .CSV. Tímto souborem můžete vícefaktorové ověřování (MFA) pouze hromadně povolit nebo zakázat na základě uživatelských jmen. Soubor nelze použít k vytvoření nových uživatelů.

Stáhnout ukázkový soubor pro aktualizaci uživatelů pro vícefaktorové ověřování