Aktualizace 2021: Microsoft nyní u všech nových tenantů Microsoft 365 aktivuje tzv. Security Defaults nastavení v Azure Active Directory. Toto nastavení s sebou přináší automaticky povolené vícefázové ověření pro všechny uživatele.
Microsoft Security Defaults ve zkratce:
Všichni uživatelé musí do 14 dnů od vzniku účtu zaregistrovat a používat MFA
Správci musí používat MFA
Starší přihlašovací protokol je blokován. Používá se pouze moderní ověřování.
V určitých scénářích - přechod do nastavení apod. se vyžaduje potvrzení služby Multi Factor Authentication.
Vyžadování MFA pro privilegované aktivity (např. přístup k Azure)
Určitě již znáte vícefázové ověřování z jiných aplikací. Jde o ověření vaší identity na základě hesla + dalšího zvoleného způsobu. V Office 365 toto zajišťuje služba MFA - Azure Multi-Factor Authentication.
Způsoby dvoufázového ověřování v Office 365 jsou:
Pomocí mobilní aplikace
Oznámení
Ověřovací kód
Pomocí textové zprávy
Telefonní hovor
Hardwarový token
Použitím více faktorového ověřování výrazně zvýšíte bezpečnost účtu, proto ho doporučuji používat všude, kde je to možné.
Ne všechny aplikace Office jsou momentálně kompatibilní s vícefázovým ověřováním. Pro tyto aplikace je potřeba vytvořit heslo aplikace.
Jak získat Aplikaci MFA (Azure Multi Factor Authentication)?
Azure více faktorové ověřování je součástí Office 365 a těchto služeb:
Azure Active Directory Premium nebo Microsoft 365 Business
Azure AD Free nebo samostatné licence na Office 365
Azure Active Directory globálních správců
Služba Azure Multi-Factor Authentication již nelze od 1. září 2018 pořídit samostatně. MFA ale nadále v licencích Azure AD Premium zůstává.
Nastavení MFA v Office 365
Začneme tím, že zjistíme, zda máme povolené moderní ověřování v Office 365.
V seznamu vybereme Azure Multi-Factor Authentication a povolíme
Tímto povolíme v Azure Active Directory službu dvoufázového ověření.
Povolení vícefázového ověřování pro uživatele
Nyní musíme uživatelům nastavit možnost vícefázového ověřování. To uděláme opět ze správce Office 365.
Přejdeme do karty Nastavení > Uživatelé.
Nad seznamem uživatelů klikneme na Vícefaktorové ověřování.
Nyní v seznamu vybereme uživatele, kterému chceme povolit nebo vynutit dvoufázové ověřování a v pravém sloupci uvidíme Povolit
Zároveň můžete spravovat již povolené uživatele pomocí tlačítka Správa nastavení uživatelů
Vyžadovat, aby vybraní uživatelé znovu zadali způsoby kontaktování
Odstranit všechna existující hesla aplikací vygenerovaná vybranými uživateli
Obnovit vícefaktorové ověřování u všech zapamatovaných zařízení
U uživatelů zároveň vidíte stav dvoufázového ověřování
Jakýkoliv = výchozí stav
Povoleno = uživatel je zaregistrován ve službě MFA, ale nedokončila registraci. Při příštím přihlášení bude uživatel vyzván k registraci.
Vynuceno = uživatel dokončil, nebo nedokončil registraci. Pokud ji dokončil, používá MFA, jinak bude při přihlášení vyzván k registraci.
Povolení vytvoření hesla aplikace
Pro některé aplikace Office, nefunguje dvoufaktorové ověřování. Je potřeba použít heslo aplikace, které si uživatel vytvoří zejména při povolení dvoufázového ověřování administrátorem. Pokud je Office 365 Tenant zřízen nově v roce 2019, je možné, že heslo aplikace nebude fungovat, kvůli nastavení Security Defaults v Azure Active Directory.
Pro povolení vytvoření hesla aplikace uživatelem je potřeba podniknout tyto kroky:
Přejdeme do karty Nastavení > Uživatelé.
Nad seznamem uživatelů klikneme na Vícefaktorové ověřování.
Překlikneme se na Nastavení služby MFA pod hlavním nadpisem
Nyní v nastavení zaškrtneme Povolit uživatelům vytvářet hesla aplikací pro přihlašování k neprohlížečovým aplikacím
Další možná nastavení jsou:
Důvěryhodné IP adresy - ideální pro firemní síť, aby se uživatelé nemuseli stále ověřovat
Možnosti ověřování - povolení/zakázání jednotlivých metod
Zapamatovat multi-factor authentication - zde můžete povolit, či zakázat uživatelům uložení browseru pro opětovné přihlášení bez autentizace a nastavit dobu, po kterou zapamatování platí
Vytvoření hesla aplikace z pohledu uživatele
Pokud uživatel potřebuje vytvořit heslo aplikace, musí postupovat takto:
Po přesměrování kliknete na vytvořit heslo aplikace, pojmenujete si ho dle použití, abyste měli v heslech pořádek a v dalším kroku se heslo vygeneruje.
Nastavení zabezpečení účtuVytvoření hesla aplikace Office 365
Hromadná aktualizace pomocí CSV souboru
Pokud máte mnoho uživatelů a chcete jim povolit vícefázové ověřování hromadně, můžete použít hromadnou aktualizaci pomocí souboru .CSV. Tímto souborem můžete vícefaktorové ověřování (MFA) pouze hromadně povolit nebo zakázat na základě uživatelských jmen. Soubor nelze použít k vytvoření nových uživatelů.