Vícefaktorové ověřování (MFA) představuje významný krok ke zvýšení bezpečnosti a my ho vždy doporučujeme. Administrátoři Office 365 mají možnost vynutit MFA pro všechny uživatele, což posiluje ochranu všech, kteří sdílí firemní předplatné Office 365.
Pro aktivaci této funkce je nutné disponovat administrátorskými právy v rámci Office 365, která jsou obvykle dostupná v podnikových plánech. Pokud je vaše předplatné součástí hostingového balíčku domény, máte automaticky přístup do administrátorské konzole. Osobní a domácí předplatné tuto možnost nenabízejí; u nich si MFA můžete nastavit pouze pro sebe. Pro ověření přístupu do administrátorské konzole, klikněte na spouštěč aplikací Office 365 a vyhledejte dlaždici „Správce“.
Pokud se dlaždice zobrazí, máte přístup k administrátorské konzoli. Po kliknutí na ni, v levém menu vyberte „Nastavení“ a následně „Služby a doplňky“.
Otevře se rozhraní „Služby a doplňky“, kde můžete spravovat nastavení na úrovni tenanta. Zde najdete položku „Azure vícefaktorové ověřování“.
Kliknutím na tuto položku se v pravé části zobrazí panel. Na něm klikněte na „Spravovat vícefaktorové ověřování“.
Nyní jste přesměrováni na stránku správy vícefaktorového ověřování. Než začnete aktivovat MFA pro všechny uživatele, doporučuje se zkontrolovat a případně upravit výchozí nastavení. To provedete kliknutím na „Nastavení služby“.
Zde máte možnost upravit různá nastavení, případně je ponechat v defaultním stavu. Jedním z klíčových nastavení je možnost zapamatování si zařízení. Ve výchozím stavu je tato funkce deaktivována, ale její aktivace umožní uživatelům se vyhnout nutnosti procházet procesem MFA při každém přihlášení k e-mailu či dokumentům.
Pokud aktivujete možnost zapamatování zařízení, standardní doba platnosti je 14 dní. Po uplynutí této doby bude telefon/tablet/počítač vyžadovat nové ověření MFA. Tuto dobu lze nastavit až na 60 dní, což může být pohodlnější pro uživatele, kterým se 14 dní zdá příliš krátkých.
Po provedení změn v nastaveních klikněte na „Uložit“ a poté na „uživatelé“ pro návrat k aktivaci MFA.
Když máte ověřena nastavení, můžete nyní aktivovat MFA pro jednotlivé uživatele. Vyberte uživatele, u kterých chcete vynutit MFA.
Vpravo od tabulky uživatelů se objeví možnost „Povolit“. Klikněte na ni.
V potvrzovacím okně zvolte „Povolit vícefaktorové ověřování“.
Tím aktivujete MFA pro vybrané uživatele. Při dalším přihlášení do Office 365 budou muset projít procesem nastavení MFA. Pokud se uživatelé nepřihlašují často, můžete jim zaslat odkaz na nastavení, aby si MFA aktivovali v jim vyhovujícím čase. Odkaz je https://aka.ms/MFASetup a je stejný pro všechny uživatele.
Po kliknutí na „Povolit vícefaktorové ověřování“ se zobrazí zpráva o úspěchu. Můžete ji zavřít.
MFA je nyní povoleno, uživatelé si jej nyní musí nastavit. Nastavení MFA je pro všechny uživatele stejné, ať už čekají na další přihlášení, nebo použijí výše uvedený odkaz.
Při běžném přihlášení do Office 365 se zobrazí zpráva, že „vaše organizace vyžaduje další informace pro zabezpečení vašeho účtu“.
Kliknutím na „Další“ se dostanete k panelu „Ověření dodatečného zabezpečení“, kde si uživatel může zvolit metodu MFA. Doporučuje se ověřovací aplikace, a pro Office 365 je ideální Microsoft Authenticator. Nicméně i MFA prostřednictvím SMS je lepší než žádná ochrana. Vyberte si tedy metodu, která vám nejvíce vyhovuje.
Pokud zvolíte mobilní aplikaci, nabídnou se vám dvě varianty konfigurace. „Přijímat upozornění k ověření“ (v aplikaci Microsoft Authenticator se zobrazí výzva ke schválení nebo zamítnutí přihlášení) nebo „Použít ověřovací kód“ (budete muset zadat kód generovaný aplikací). Obě možnosti jsou stejně funkční. Po zvolení preferované metody klikněte na tlačítko „Nastavit“.
Zobrazí se panel s instrukcemi k instalaci aplikace Microsoft Authenticator a naskenování QR kódu. Pokud skenování není možné, můžete zadat kód a URL. Po provedení těchto kroků se kliknutím na „Další“ vrátíte zpět k oknu Dodatečné ověření zabezpečení, kde probíhá kontrola stavu aktivace.
Po několika sekundách se zpráva změní na potvrzení o nakonfigurování MFA.
Klikněte na „Další“ a Office 365 ověří funkčnost. V závislosti na zvolené metodě ověření, se buď v aplikaci zobrazí výzva ke schválení nebo zamítnutí, případně budete požádáni o zadání kódu. V tomto příkladu se objevila výzva ke schválení/zamítnutí.
Po ověření funkčnosti MFA budete vyzváni k zadání telefonního čísla jako zálohy pro případ ztráty přístupu k aplikaci.
Toto telefonní číslo je alternativní způsob pro SMS nebo hlasové hovory, pokud nemůžete použít Microsoft Authenticator (například při nedostupnosti Wi-Fi). Také je nápomocné, pokud ztratíte telefon. Můžete zde uvést číslo člena rodiny místo svého. Po zadání čísla klikněte na „Další“.
Na této stránce najdete heslo, které Microsoft vygeneroval pro použití s MFA. Toto heslo budete muset používat namísto svého obvyklého hesla v následujících aplikacích:
- Desktopová aplikace Outlook pro váš PC nebo Mac
- E-mailové aplikace (kromě aplikace Outlook) na zařízeních se systémem iOS, Android nebo BlackBerry
- Office 2010, Office pro Mac 2011 nebo starší
- Windows Essentials (Fotogalerie, Movie Maker, Mail)
- Desktopová aplikace Zune
- Xbox 360
- Windows Phone 8 nebo starší
Při pokusu o otevření některé z těchto aplikací budete vyzváni k zadání tohoto vygenerovaného hesla. Kopírujte heslo a použijte ho, když se zobrazí výzva. Je zvláštní, že například desktopový Outlook vyžaduje toto heslo, ale mobilní aplikace Outlook už ne. Nicméně to není velký problém.
Klikněte na „Dokončeno“ a budete přesměrováni zpět na přihlašovací obrazovku, kde se můžete přihlásit jako obvykle, ale tentokrát s MFA. Je to jednoduchý a rychlý proces, který nabízí cennou vrstvu zabezpečení a my v How-To Geek ho důrazně doporučujeme.