Vícefaktorové ověřování pro Microsoft 365
Hesla jsou nejběžnější metodou ověřování přihlášení k počítači nebo online službě, ale jsou také nejzranitelnější. Lidé si můžete zvolit jednoduchá hesla a používat stejná hesla pro více přihlášení k různým počítačům a službám.
Pokud chcete zajistit vyšší úroveň zabezpečení pro přihlášení, musíte použít vícefaktorové ověřování (MFA), které používá jak heslo, které by mělo být silné, tak další metodu ověřování založenou na:
- Něco, co máte s sebou, co se nedá snadno duplikovat, například chytrý telefon.
- Něco, co jedinečně a biologicky máte, například otisky prstů, obličej nebo jiný biometrický atribut.
Další metoda ověření se používá až po ověření hesla uživatele. V případě vícefaktorového ověřování útočník nemá k dokončení přihlášení váš chytrý telefon ani otisk prstu, a to i v případě ohrožení silného uživatelského hesla.
Podpora vícefaktorového ověřování v Microsoftu 365
Microsoft 365 i Office 365 ve výchozím nastavení podporují vícefaktorové ověřování pro uživatelské účty pomocí:
- Textová zpráva odeslaná na telefon, která vyžaduje, aby uživatel zadal ověřovací kód.
- Telefonní hovor.
- Aplikace Microsoft Authenticator pro chytrý telefon.
V obou případech se k přihlášení vícefaktorového ověřování používá metoda "něco, co máte s sebou, které se nedá snadno duplikovat". Existuje několik způsobů, jak povolit vícefaktorové ověřování pro Microsoft 365 a Office 365:
- S výchozím nastavením zabezpečení
- Se zásadami podmíněného přístupu
- Pro každý jednotlivý uživatelský účet (nedoporučuje se)
Tyto způsoby jsou založené na vašem plánu Microsoft 365.
Plán | Doporučení | Typ zákazníka |
---|---|---|
Všechny plány Microsoftu 365 | Použijte výchozí hodnoty zabezpečení, které vyžadují vícefaktorové ověřování pro všechny uživatelské účty. Můžete také nakonfigurovat vícefaktorové ověřování pro jednotlivé uživatelské účty, ale nedoporučuje se to. |
Malá firma |
Microsoft 365 Business Premium Microsoft 365 E3 licence s ID Microsoft Entra P1 |
Pokud chcete vyžadovat vícefaktorové ověřování pro uživatelské účty na základě členství ve skupině, aplikací nebo jiných kritérií, použijte výchozí nastavení zabezpečení nebo zásady podmíněného přístupu . | Od malých firem k podnikům |
Microsoft 365 E5 licence Microsoft Entra S ID P2 |
Pomocí Microsoft Entra ID Protection můžete vyžadovat vícefaktorové ověřování na základě kritérií rizik přihlašování. | Enterprise |
Výchozí hodnoty zabezpečení
Výchozí nastavení zabezpečení je nová funkce pro Microsoft 365 a Office 365 placená nebo zkušební předplatná vytvořená po 21. říjnu 2019. Tato předplatná mají zapnuté výchozí nastavení zabezpečení, které:
- Vyžaduje, aby všichni uživatelé používali vícefaktorové ověřování s aplikací Microsoft Authenticator.
- Blokuje starší ověřování.
Uživatelé mají 14 dní na to, aby se v aplikaci Microsoft Authenticator zaregistrovali k vícefaktorovém ověřování ze svých chytrých telefonů, což začíná od prvního přihlášení po povolení výchozího nastavení zabezpečení. Po uplynutí 14 dnů se uživatel nebude moct přihlásit, dokud se nedokončí registrace vícefaktorového ověřování.
Výchozí nastavení zabezpečení zajišťuje, že všechny organizace mají základní úroveň zabezpečení pro přihlašování uživatelů, která je ve výchozím nastavení povolená. Pomocí zásad podmíněného přístupu můžete zakázat výchozí nastavení zabezpečení ve prospěch vícefaktorového ověřování.
Výchozí nastavení zabezpečení povolíte nebo zakážete v podokně Vlastnosti pro id Microsoft Entra v Azure Portal.
Výchozí nastavení zabezpečení můžete použít u libovolného plánu Microsoftu 365.
Další informace najdete v tomto přehledu výchozích hodnot zabezpečení.
Zásady podmíněného přístupu
Zásady podmíněného přístupu jsou sada pravidel, která určují podmínky, za kterých se vyhodnocují a povolují přihlášení. Můžete například vytvořit zásadu podmíněného přístupu, která uvádí:
- Pokud je název uživatelského účtu členem skupiny pro uživatele, kteří mají přiřazené role Exchange, uživatele, hesla, zabezpečení, SharePointu nebo globálního správce, před povolením přístupu vyžadovat vícefaktorové ověřování.
Tato zásada umožňuje vyžadovat vícefaktorové ověřování na základě členství ve skupinách a nepokoušejte se konfigurovat jednotlivé uživatelské účty pro vícefaktorové ověřování, když jsou přiřazené nebo nepřiřazené z těchto rolí správce.
Zásady podmíněného přístupu můžete použít také pro pokročilejší funkce, jako je vyžadování vícefaktorového ověřování pro konkrétní aplikace nebo přihlášení ze vyhovujícího zařízení, jako je přenosný počítač s Windows 10.
Zásady podmíněného přístupu nakonfigurujete v podokně Zabezpečení pro id Microsoft Entra v Azure Portal.
Zásady podmíněného přístupu můžete použít s:
- Microsoft 365 Business Premium
- Microsoft 365 E3 a E5
- licence Microsoft Entra ID P1 a Microsoft Entra ID P2
Pro malé firmy s Microsoft 365 Business Premium můžete zásady podmíněného přístupu snadno použít pomocí následujících kroků:
- Vytvořte skupinu, která bude obsahovat uživatelské účty, které vyžadují vícefaktorové ověřování.
- Povolte zásadu Vyžadovat vícefaktorové ověřování pro globální správce .
- Vytvořte zásadu podmíněného přístupu na základě skupiny s těmito nastaveními:
- > Přiřazení Uživatelé a skupiny: Název vaší skupiny z kroku 1 výše.
- > Přiřazení Cloudové aplikace nebo akce: Všechny cloudové aplikace.
- Řízení > přístupu Udělit > přístup > Vyžaduje vícefaktorové ověřování.
- Povolte zásadu.
- Přidejte uživatelský účet do skupiny vytvořené v kroku 1 výše a otestujte ho.
- Pokud chcete vyžadovat vícefaktorové ověřování pro další uživatelské účty, přidejte je do skupiny vytvořené v kroku 1.
Tyto zásady podmíněného přístupu umožňují zavést požadavky na vícefaktorové ověřování pro uživatele vlastním tempem.
Podniky by měly ke konfiguraci následujících zásad použít běžné zásady podmíněného přístupu :
- Vyžadovat vícefaktorové ověřování pro správce
- Vyžadovat vícefaktorové ověřování pro všechny uživatele
- Blokovat starší verzi ověřování
Další informace najdete v tomto přehledu podmíněného přístupu.
Microsoft Entra ID Protection
S Microsoft Entra ID Protection můžete vytvořit další zásady podmíněného přístupu, které budou vyžadovat vícefaktorové ověřování, když je střední nebo vysoké riziko přihlášení.
Zásady podmíněného přístupu na základě Microsoft Entra ID Protection a rizik můžete použít s:
- Microsoft 365 E5
- licence Microsoft Entra S ID P2
Další informace najdete v tomto přehledu Microsoft Entra ID Protection.
Starší verze vícefaktorového ověřování na uživatele (nedoporučuje se)
K vyžadování vícefaktorového ověřování pro přihlášení k uživatelským účtům byste měli používat výchozí nastavení zabezpečení nebo zásady podmíněného přístupu. Pokud ale některé z těchto možností nejde použít, Microsoft důrazně doporučuje vícefaktorové ověřování pro uživatelské účty, které mají role správce, zejména roli globálního správce, pro předplatné libovolné velikosti.
Vícefaktorové ověřování pro jednotlivé uživatelské účty povolíte v podokně Aktivní uživatelé Centrum pro správu Microsoftu 365.
Po povolení se uživateli při příštím přihlášení zobrazí výzva k registraci vícefaktorového ověřování a k výběru a otestování další metody ověření.
Použití těchto metod společně
Tato tabulka ukazuje výsledky povolení vícefaktorového ověřování s výchozími nastaveními zabezpečení, zásadami podmíněného přístupu a nastavením účtu pro jednotlivé uživatele.
Položka | Povoleno | Zakázáno | Sekundární metoda ověřování |
---|---|---|---|
Výchozí hodnoty zabezpečení | Nejde použít zásady podmíněného přístupu | Může používat zásady podmíněného přístupu | Aplikace Microsoft Authenticator |
Zásady podmíněného přístupu | Pokud jsou některé povolené, nemůžete povolit výchozí nastavení zabezpečení. | Pokud jsou všechny zakázané, můžete povolit výchozí nastavení zabezpečení. | Uživatel zadaný při registraci vícefaktorového ověřování |
Starší verze vícefaktorového ověřování na uživatele (nedoporučuje se) | Přepisuje výchozí nastavení zabezpečení a zásady podmíněného přístupu vyžadující vícefaktorové ověřování při každém přihlášení. | Přepsáno výchozími nastaveními zabezpečení a zásadami podmíněného přístupu | Uživatel zadaný při registraci vícefaktorového ověřování |
Pokud jsou povolené výchozí hodnoty zabezpečení, zobrazí se při příštím přihlášení všem novým uživatelům výzva k registraci vícefaktorového ověřování a k použití aplikace Microsoft Authenticator.
Způsoby správy nastavení MFA
Nastavení vícefaktorového ověřování můžete spravovat dvěma způsoby.
V Azure Portal můžete:
- Povolení a zakázání výchozích nastavení zabezpečení
- Konfigurace zásad podmíněného přístupu
V Centrum pro správu Microsoftu 365 můžete nakonfigurovat nastavení vícefaktorového ověřování pro jednotlivé uživatele a služby.
Další kroky
Nastavení vícefaktorového ověřování pro Microsoft 365
Související obsah
Zapnutí vícefaktorového ověřování (video)
Zapnutí vícefaktorového ověřování pro telefon (video)