Úvod
Microsoft v posledních dnech plošně nasazuje a vynucuje zabezpečení účtů pomocí takzvané dvoufaktorové/vícefaktorové autentizace (2FA/MFA).
Jedná se o dramatické zvýšení zabezpečení, zejména vzhledem k tomu, že se najdou lidé, kteří si heslo odloží třeba na monitor, nebo do pouzdra k tabletu.
Protože se jedná o zařízení, pomocí kterého se můžete snadno dostat k citlivým datům, nebudeme se tento proces pokoušet oddalovat, namísto toho nastavení aplikujeme napříč celou organizací.
Jedinou výjimkou je přítomnost a připojení pomocí infrastruktury úřadu nebo školy, kde 2FA záměrně obcházím tak, abyste se v případě jednání nemuseli zdržovat.
Navíc, obě místa mámě chráněna a technicky zabezpečená dalšími prostředky.
V tomto krátkém manuálu se zaměřím na průvodce nastavením 2FA ověření pomocí mobilní aplikace Microsoft Authenticator, která je dostupná jak pro telefony a iOS (Apple) tak pro telefony s Androidem (Google) a pomocí SMS, tedy nastavení telefonního čísla, kam dorazí autorizační kódy.
Průvodce nastavením aplikace Microsoft Authenticator demonstruji na jednom ze zastupitelských tabletů, tedy tak, aby jste mohli krok po kroku procesem projít a úspěšně dokončit nastavení 2FA.
Průvodce nastavením SMS kódů jako 2FA demonstruji na telefonu s Androidem.
Postup je však vždy stejný ve kterémkoli případě. Tedy, pokud by jste chtěli kombinovat obě tato nastavení, průvodce je identický pro všechny platformy – telefon/tablet/počítač.
Dokonce takový postup doporučuji. Pokud např. dojde ke ztrátě mobilního telefonu, přijdete o přístup do firemních dat, stačí ale u operátora zařídit novou SIM a nechat si kód dorazit formou SMS – toto popíši v poslední části tohoto manuálu.
Pokud dojde k selhání všech metod ověření MFA, prosím, kontaktujte svého správce, který zařídí vyresetování nastavení v systému Microsoft 365, po kterém bude možné nastavit MFA znovu.
Nastavení 2FA na iPadu – aplikace Microsoft Authenticator
Potřebu nastavení 2FA bohužel pocítíte velmi nešťastně, a to neschopností aplikací Microsoft načítat data mimo síť úřadu. V takovém případě prosím věnujte pozornost hlášce „Přihlaste se prosím ke svému účtu“, případně tlačítku „Přihlásit se“:
Po kliknutí na fialový banner se vám zobrazí přihlašovací web identický přihlášení v libovolné webové aplikaci, pokračujte prosím zadáním přiděleného hesla a pokračujte stisknutím tlačítka [Přihlásit se]:
Po přihlášení budete informováni o potřebě dalšího nastavení, pokračujte tlačítkem [Další]:
Načte se průvodce nastavení MFA, v tomto případě budeme pokračovat doporučenou možností, tedy nastavení pomocí aplikace Microsoft Authenticator, pokračujte tedy tlačítkem [Další]:
Budete informováni, že další nastavení musíte provést v mobilní aplikaci:
Vezměte do ruky mobilní telefon se staženou aplikací Microsoft Authenticator
iOS: https://apps.apple.com/us/app/microsoft-authenticator/id983156458
Android: https://play.google.com/store/apps/details?id=com.azure.authenticator&hl=en_US
Po spuštění (aplikace vás formou průvodce vyzve k dalšímu nastavení, pečlivě si přečtěte co po vás požaduje, všechna nastavení ovšem doporučuji povolit/potvrdit) najděte v pravém horním rohu symbol + pomocí kterého přidáte nový účet:
Vyberte „Pracovní nebo školní účet“:
Vyberte „Skenovat kód QR“:
Vraťte se zpět k tabletu, kde pomocí tlačítka [Další] vygenerujete QR kód k naskenování:
Na QR kód zobrazený na tabletu/monitoru najeďte kamerou (nejprve bude potřeba přístup ke kameře povolit):
Ve chvíli, kdy se QR kód naskenuje, vyberte na tabletu/PC „Další“, proběhne kontrola nastavení 2FA.
Zobrazí se dvoumístný kód který je potřeba zadat do aplikace v telefonu:
Na telefonu se zobrazí informace o pokusu o přihlášení, kam přepíšete kód zobrazený na tabletu/PC:
Pokud kód opíšete správně (ne jako v tomto demu), systém vás hláškou „Aplikace Microsoft Authenticator se úspěšně zaregistrovala“ informuje o úspěchu.
V tuto chvíli je vše nastavené, můžete průvodce ukončit tlačítkem „Hotovo“.
Vzhledem k tomu, že vyžadujeme pouze jednu možnosti MFA, průvodce se tímto ukončí a vrátí vás zpět do aplikace.
Od teď se v nepravidelných intervalech, mimo úřad/školu, budete ověřovat aplikací, jako dalším prvkem kaskády zabezpečení.
Nastavení 2FA na telefonu – SMS ověření
Podobně jako v předchozím případě, průvodce nastavením začíná pokusem o ověření účtu – zadáním hesla:
Po zadání hesla budete vyzvání k nastavení MFA, nepokračujte tlačítkem [Další], ale vyberte možnost „Chci nastavit jinou metodu“:
Vyberte „Telefon“:
A potvrďte tlačítkem [Potvrdit]:
Zobrazí se další okno průvodce, kde vyberete předvolbu země +420 a vyplníte vaše telefonní číslo ve formátu XXXXXXXXX:
Vyberete možnost „Poslat kód textovou zprávou“ a pokračujete tlačítkem [Další]:
Po obdržení SMS opíšete kód do připraveného rámečku a potvrďte:
To je vše, budete upozorněni na úspěšné nastavení a průvodce vás vrátí zpět do aplikace.
Přihlášení, resp. 2FA ověření pak probíhá následovně.
Po zadání hesla se zobrazí další okno, ve kterém vyberete „Poslat SMS na…“:
Opíšete kód z SMS (volitelně zaškrtnete, aby dalších 30 dní nebylo 2FA vyžadováno) a pokračujete tlačítkem [Ověřit]:
Pokud byl kód opsaný správně, přihlášení bude úspěšné.
Nastavení další možnosti MFA
V případě zájmu o nastavení další možnosti MFA lze nastavení provést pomocí webové aplikace office.com.
Přihlaste se prosím v prohlížeči do office.com.
Po přihlášení se zobrazí tato stránka:
Pokud bude Microsoft otravovat s průzkumem, můžete je vyplnit, nebo zavřít křížkem:
Klepněte na své iniciály vpravo nahoře a vyberte „Zobrazit účet“:
V sekci „Bezpečnostní údaje“ pokračujte klepnutím na „INFORMACE O AKTUALIZACI >“:
A na další stránce „+ Přidat metodu přihlašování“:
Zobrazí se možnosti, ze kterých vás zajímá „Ověřovací aplikace“ nebo „Telefon“:
Postup je již popsaný v předchozích kapitolách.
Shrnutí
Výše popsanými způsoby je možné nastavit více-faktorové ověření (Multi-Factor Authentication – MFA) a tím zvýšit zabezpečení účtu přiděleného organizací.
Vyžadována je vždy jedna metoda, doporučuji však zabezpečit si tu první ještě další, pro případ ztráty zařízení nebo provozu bez signálu mobilního operátora.