Vícefaktorová autentizace (MFA) v Microsoft 365

 

 

  • Důrazně doporučujeme nastavit si pro Microsoft 365 více než jednu metodu MFA ověření (optimálně přes SMS a Microsoft Authenticator).
  • Nastavený účet v ověřovací aplikaci na Vašem mobilním telefonu nemažte a aplikaci neodinstalovávejte, budete je potřebovat opakovaně.
  • MFA nastavené v rámci M365 lze využít i pro přihlášení do InSISu (kliknutím na tlačítko „Účet Microsoft 365 (VŠE)“ na přihlašovací stránce InSISu), opačně ale nikoli.

1. Obecné informace

Vícefaktorová autentizace (Multi-factor authentication) představuje způsob jak u Vašeho účtu efektivně zvýšit zabezpečení a zabránit tak úniku a ztrátě dat v případě, že jsou Vaše přístupové údaje kompromitovány (útočníkovi nestačí k přihlášení znát pouze Vaše heslo a uživatelské jméno). V rámci informační infastruktury VŠE navíc rozšiřujeme možnosti tzv. Jednotného přihlášení ( Single sign-on ), což v praxi znamená, že na konkrétním zařízení se přihlásíte do jednoho ze systémů a následně již není nutné zadávat Vaše přístupové údaje pro přihlášení do jiného systému (netýká se ale všech).

Vícefaktorová autentizace je příslušná vašemu účtu (nikoliv zařízení), nastavit ji lze na jakémkoliv počítači (i mimo síť VŠE), a toto nastavení pak bude zohledněno při vašem dalším přihlašování ke školnímu účtu, kdekoliv se budete hlásit. Pokud si nastavíte více metod MFA, budete si moci při přihlašování vybrat kteroukoliv vámi nastavenou metodu (a budete mít zálohu pro případ, že si např. zapomenete mobilní telefon).

Podporované metody:

metoda popis kdy použít
Microsoft Authenticator potvrdíte přihlášení (nutné datové spojení)
či opíšete kód z aplikace (ověřovací aplikace)		 nejčastější způsob; nutno nainstalovat aplikaci na mobil (Android či iPhone); lze nastavit passwordless přihlášení (přihlašování bez hesla)
Telefon (SMS) dostanete SMS s kódem pokud nemáte chytrý mobil či nouzově při výměně mobilu
Ověřovací aplikace opíšete kód z mobilní aplikace (např. Google Authenticator či Authy) používáte jinou ověřovací aplikaci či jako záloha na druhém mobilu
Klíč zabezpečení (FIDO2) vložíte klíč zabezpečení do počítače, zadáte PIN ke klíči; nemusíte zadávat jméno a heslo musíte si zakoupit klíč zabezpečení a spárovat se svým účtem v M365
Windows Hello do Windows se hlásíte pomocí obličeje, otisku prstů; poté pro přihlášení do M365/InSIS není potřeba zadávat jméno a heslo potřebujete certifikovanou kameru či čtečku otisku prstů, a nutný je i TPM čip; nejdříve spárujete Windows s účtem v M365

Na stránce https://mysignins.microsoft.com/security-info
 si můžete zobrazit a nastavit většinu metod vícefaktorové autentizace. Výjimkou je Windows Hello, kterou nastavíte nejdříve na svém počítači a poté se přihlásíte na uvedenou stránku. Pokud nějakou metodu MFA máte nastavenu, tak uvedená stránka je dostupná pouze přes MFA ověření.

2. Nastavení vícefaktorové autentizace (MFA) [menu]

2.1 Ověřování přes SMS [menu]

  • předpoklady: mobilní telefon schopný přijímat SMS, k účtu lze zadat pouze jedno telefonní číslo
  • postup přihlašování: zadání uživ. jména a hesla a následné opsání 6-ti znakového kódu z SMS zprávy
>> nastavení MFA ověřování přes SMS (klikněte pro rozbalení návodu) <<

 

1. Přejděte na stránku https://mysignins.microsoft.com/security-info a pokud již nejste v prohlížeči přihlášeni Vaším školním účtem, učiňte tak (budete přesměrováni na přihlašovací okno VŠE a po přihlášení zpět na správu Vašeho školního účtu Microsoft):

ALT NAME
ALT NAME
2. Na seznamu v levé části stránky přejděte na řádek Bezpečnostní údaje:
ALT NAME
3. Klikněte na Přidat metodu přihlašování, z rozbalovací nabídky vyberte metodu Telefon a potvrďte tlačítkem Přidat :
ALT NAME
ALT NAME
4. Zadejte telefonní číslo na které chcete dostávat ověřovací kódy, (upozornění: není možné použít telefonní číslo, které již v rámci organizace využívá k ověřování jiný uživatel):
ALT NAME
5. Pro ověření Vašeho telefonního čísla opište 6-ti místný kód, který Vám byl zaslán v textové zprávě:
ALT NAME
6. Úspěšné přidání Vašeho telefonního čísla:
ALT NAME
7. V přehledu bezpečnostních údajů se Vám nyní zobrazí Vámi nastavené přihlašování přes SMS (Telefon), zde je také možné změnit telefonní číslo, případně vícefaktorové přihlašování přes SMS odebrat:
ALT NAME

2.2 Microsoft Authenticator [menu]

  • předpoklady: chytrý mobilní telefon s operačním systémem Android nebo iOS; instalace aplikace Microsoft Authenticator.
  • postup přihlašování: zadání uživ. jména a hesla a následné potvrzení přihlášení v aplikaci Microsoft Authenticator, příležitostně můžete být ještě vyzváni k zadání dvoumístného kódu, který Vám přihlašovací stránka vygeneruje. Z mobilu musí být přístup na internet (datové spojení). Pokud není, tak zvolte Ověřovací aplikaci a poté opište kód z aplikace.
  • poznámka: ověření přes Microsoft Authenticator si můžete nastavit na více zařízeních s operačním systémem Android nebo iOS a mít tak k dispozici i záložní řešení ověření pro případ ztráty, zapomenutí nebo rozbití Vašeho chytrého telefonu/tabletu
>> nastavení MFA ověřování přes aplikaci Microsoft Authenticator (klikněte pro rozbalení návodu) <<

 

1. Nainstalujte si aplikaci Microsoft Authenticator na mobil buď z Google Play (Android) nebo z App Store (Apple). Přejděte na stránku https://mysignins.microsoft.com/security-info a pokud již nejste v prohlížeči přihlášeni Vaším školním účtem, učiňte tak (budete přesměrováni na přihlašovací okno VŠE a po přihlášení zpět na správu Vašeho školního účtu Microsoft):

ALT NAME
ALT NAME
2. Na seznamu v levé části stránky přejděte na řádek Bezpečnostní údaje:
ALT NAME
3. Klikněte na Přidat metodu přihlašování, z rozbalovací nabídky vyberte metodu Ověřovací aplikace a potvrďte tlačítkem Přidat :
ALT NAME
ALT NAME
4. Pokud chcete nastavit ověřování přes aplikaci Microsoft Authenticator, pokračujte nainstalováním aplikace na Váš chytrý telefon přes odkaz Stáhnout hned, aplikaci nainstalujte a pokračujte kliknutím na Další.
ALT NAME
5. Přejděte dle instrukcí do aplikace Microsoft Authenticator ve svém chytrém telefonu, tam zvolte Přidat účet, poté vyberte Pracovní nebo školní účet a nakonec Naskenovat kód QR:
ALT NAME
ALT NAME
6. Naskenujte telefonem QR kód, který se Vám zobrazí v průvodci nastavení vícefaktorového ověřování:
ALT NAME
7. Po úspěšném naskenování QR kódu Vám bude na telefon odesláno testovací oznámení, potvrďte jej přes Schválit, po úspěšném schválení testovacího oznámení pokračujte přes Další, čímž proces nastavení Microsoft Authenticatoru dokončíte :
ALT NAME
ALT NAME
ALT NAME
8. V přehledu bezpečnostních údajů se Vám nyní zobrazí Vámi nastavené přihlašování přes ověřovací aplikaci (Microsoft Authenticator) společně s označením Vašeho telefonu, zde je také možné tento typ MFA ověřování z Vašeho účtu odebrat:
ALT NAME
9. Pokud na mobilu nemáte aktivní připojení na internet (nemáte datové spojení či připojení na WiFi), tak při přihlašování zvolte Použít ověřovací kód z mé mobilní aplikace, v Microsoft Authenticatoru klikněte na detaily u účtu, zobrazí se Vám 6-místné jednorázové heslo a to opište.

 

Pomocí Microsoft Authenticatoru lze také nastavit passwordless přihlášení (přihlašování bez hesla).

2.3 Jiné ověřovací aplikace (Google authenticator apod.) [menu]

  • předpoklady: chytrý mobilní telefon s operačním systémem Android nebo iOS; instalace aplikace Google Authenticator případně jiné, Vámi zvolené, ověřovací aplikace; lze přiřadit více ověřovacích aplikací (více mobilů)
  • postup přihlašování: zadání uživ. jména a hesla a následné opsání 6-ti znakového kódu z ověřovací aplikace
>> nastavení MFA ověřování přes jiné ověřovací aplikace (klikněte pro rozbalení návodu) <<

 

1. Přejděte na stránku https://mysignins.microsoft.com/security-info a pokud již nejste v prohlížeči přihlášeni Vaším školním účtem, učiňte tak (budete přesměrováni na přihlašovací okno VŠE a po přihlášení zpět na správu Vašeho školního účtu Microsoft):

ALT NAME
ALT NAME
2. Na seznamu v levé části stránky přejděte na řádek Bezpečnostní údaje:
ALT NAME
3. Klikněte na Přidat metodu přihlašování, z rozbalovací nabídky vyberte metodu Ověřovací aplikace a potvrďte tlačítkem Přidat :
ALT NAME
ALT NAME
4. Klikněte na Chci použít jinou ověřovací aplikaci a pokračujte dle zobrazených instrukcí. Zbytek tohoto návodu popisuje nastavení pomocí aplikace Google Authenticator:
ALT NAME
ALT NAME
5. Přejděte dle instrukcí do aplikace Google Authenticator ve svém chytrém telefonu, tam klikněte na tlačítko „+“ a vyberte Naskenovat QR kód:
ALT NAME
ALT NAME
6. Naskenujte telefonem QR kód, který se Vám zobrazí v průvodci nastavení vícefaktorového ověřování, v aplikaci Google Authenticator by se Vám měl nyní objevit nový záznam Microsoft (Vysoká škola ekonomická v P… :
ALT NAME
ALT NAME
7. Opište do průvodce nastavení 6-ti místný kód, který Vám zobrazuje Google Authenticator a klikněte na Další – tím proces nastavení ověřování přes Google Authenticator dokončíte :
ALT NAME
8. V přehledu bezpečnostních údajů se Vám nyní zobrazí Vámi nastavené přihlašování přes ověřovací aplikaci, zde je také možné tento typ MFA ověřování z Vašeho účtu odebrat:
ALT NAME

2.4 Bezpečnostní klíč [menu]

  • předpoklady: Windows 10 verze 1903 nebo novější; bezpečnostní klíč s certifikací FIDO2, který je Microsoft kompatibilní
  • postup přihlašování: lze se přihlásit bez zadání hesla či jako druhý faktor po zadání hesla
  • varování: bezpečnostní klíč momentálně není možné použít k přístupu k Office365 na staničkách v učebnách nebo na školních virtuálních desktopech. Na problému pracujeme.
>> nastavení MFA ověřování přes klíč zabezpečení (klikněte pro rozbalení návodu) <<

 

1. Přejděte na stránku https://mysignins.microsoft.com/security-info a pokud již nejste v prohlížeči přihlášeni Vaším školním účtem, učiňte tak (budete přesměrováni na přihlašovací okno VŠE a po přihlášení zpět na správu Vašeho školního účtu Microsoft):

ALT NAME
ALT NAME
2. Na seznamu v levé části stránky přejděte na řádek Bezpečnostní údaje:
ALT NAME
3. Klikněte na Přidat metodu přihlašování, z rozbalovací nabídky vyberte metodu Klíč zabezpečení a potvrďte tlačítkem Přidat, následně zvolte Zařízení USB:
ALT NAME
ALT NAME
4. Pokračujte dle zobrazených instrukcí:
ALT NAME
ALT NAME
ALT NAME
ALT NAME
5. Následně budete vyzváni k nastavení PIN kódu :
ALT NAME
6. Přiložte prst na biometrické pole Vašeho bezpečnostního klíče:
ALT NAME
7. Zadejte název Vašeho bezpečnostního klíče, pod tímto jménem se Vám pak bude zobrazovat i v metodách zabezpečení :
ALT NAME
ALT NAME
8. V přehledu bezpečnostních údajů se Vám nyní zobrazí Vámi nastavené přihlašování přes Klíč zabezpečení, zde je také možné tento typ MFA ověřování z Vašeho účtu odebrat:
ALT NAME
9. Použití při přihlášení jako druhý faktor – přihlásíte se jménem a heslem. Při volbě druhého faktoru zvolíte Použít Windows Hello nebo klíč zabezpečení.

A poté Vás prohlížeč vyzve k vložení klíče (pokud ho již nemáte vložen) a k zadání PINu ke klíči.
10. Přihlášení bez zadání hesla. Tato možnost je dostupná při zobrazení následující přihlašovací obrazovky a na ní zvolíte Možnosti přihlášení (Sign-in options)


Další postup závisí částečně na prohlížeči a na konkrétním typu klíče (některé mají v sobě např. čtečku otisku prstů). Obvykle se zobrazí dotaz na zadání PINu ke klíči:

A poté se ještě musíte dotknout klíče (prokázání fyzické přítomnosti u klíče):

 

2.5 Ověřování přes Windows Hello [menu]

  • předpoklady: OS Windows 10 nebo vyšší; webkamera s certifikací pro Windows Hello nebo čtečka otisků prstů.
    Přihlašování pomocí Windows Hello by mělo být funkční na většině soukromých počítačů s Windows 10/11. V případě Windows začleněných do Active Directory (počítače ve škole, počítače se školním image Windows) je funkční zatím jen částečně: přihlášení do Windows pomocí otisku je funkční, MFA přihlášení do InSIS je funkční, MFA přihlášení do Moodle ne.
    V případě školní image Windows bude pravděpodobně potřeba přeinstalace počítače – i tato částečná podpora je instalována od února 2022. Pokud máte na svém zařízení starší verzi image a chcete využívat přihlašování pomocí Windows Hello, je nutné zařízení přeinstalovat – kontaktujte helpdesk.
  • postup přihlašování: následuje stručný postup, podrobné návody doplníme později
    1. registrace počítače do Azure AD – spusťte např. Word, nahoře vpravo se přihlaste účtem do Microsoft 365. Počítače zaregistrované ke svému účtu vidíte ve správě zařízení u Vašeho účtu v Microsoft 365.
    2. spárování Windows Hello s Vašim účtem – ve Windows vyberte Start > Nastavení > Účty > Možnosti přihlášení. A nastavte přihlašování otiskem prstu či pomocí obličeje. Též budete muset nastavit PIN. Pokud již máte přihlašování nastaveno z dřívějška, tak nastavte PIN znovu (klidně na stejnou hodnotu). Při nastavení po Vás bude chtít přihlašovací údaje do Microsoft 365 – a pokud jste si nastavili i jinou metodu MFA, tak včetně MFA ověření.
    3. vlastní přihlášení – podobně jako v případě Bezpečnostního klíče zvolíte Možnosti přihlášení a poté Přihlásit pomocí Windows Hello nebo klíče zabezpečení.

Upozornění: Windows Hello se nastavuje na konkrétní zařízení, pokud jej chcete využívat na více zařízeních je nutné toto nastavení provést na každém z nich zvlášť.

3. Nemám nastavené MFA a nyní je již vyžadováno – co s tím? [menu]

Pokud nemáte v rámci účtu Microsoft 365 vícefaktorovou autentizaci nastavenou, tak se objeví výzva pro její nastavení. Nabízejí se pouze některé metody, primárně poslání SMS či autentizační aplikace. Chcete-li využít jinou metodu, nastavte si nejprve vícefaktorovou autentizaci dle postupů výše. Informace k tomuto tématu naleznete také v samostatném článku.
ALT NAME
ALT NAME

4. Často kladené dotazy

Mohu používat vícero metod vícefaktorového ověření?
Ano a je to doporučené řešení. K účtu můžete sice nakonfigurovat pouze jedno telefonní číslo, ale můžete mít více (max. 5) aplikací Microsoft Authenticator (na různých zařízeních) či aplikací s ověřovacím kódem. Můžete mít také více klíčů zabezpečení či více počítačů s Windows Hello. Přemýšlejte nad tím, jak se přihlásíte, když zapomenete mobil či se Vám rozbije.

Jak postupovat při ztrátě nebo zapomenutí telefonu/klíče zabezpečení?
Pokud máte nastaveno nějakou záložní variantu MFA a máte ji dostupnou, tak máte problém vyřešen. Např. vedle Microsoft Authenticator jste si nakonfigurovali i posílání SMS a SIM kartu si přendáte do jiného mobilu. A nebo Vaše aplikace na správu hesel podporuje generování ověřovacích kódu a Vy jste si ověřovací kód do ní nastavili.
Záložní variantu většinou ani nebudete potřebovat – ověření pomocí druhého faktoru se na důvěryhodném počítači zaznamenává 90 dní, takže by to byla opravdu smůla, pokud při zapomenutí mobilu bude po Vás vyžadován druhý faktor.

V případě, že nemáte nastavenou žádnou záložní metodu přihlašování a nemáte ani jinou možnost přihlášení, kontaktujte helpdesk

Jaká platí pravidla pro přihlašování na veřejných počítačích, tj. počítačů na počítačových učebnách, staničkách a virtuálních desktopech?
Pro přihlašování na tyto typy veřejných počítačů je z bezpečnostních důvodů vyžadováno MFA při každém přihlašování do Office 365.

Jak změním výchozí metodu vícefaktorového ověřování?
Po přihlášení na stránce https://mysignins.microsoft.com/security-info -> karta „ Bezpečnostní údaje “ -> „ Nastavit výchozí metodu přihlašování “ (případně „ Výchozí metoda přihlašování -> Změnit “ ).

Za předpokladu, že máte nastaveno více metod ověřování, lze způsob přihlášení jednorázově změnit i ve vlastním přihlašovacím dialogu přes nabídku „Možnosti přihlášení.“

Který bezpečnostní klíč si mám koupit?
Bezheslové přihlášení jsme otestovali s bezpečnostními klíči GoTrust Idem Key a Yubikey řady 5. GoTrust Idem Key můžete použít i pro přihlašování ke státní správě s úrovní záruky vysoká.

Mohu koupit čtečku otisku prstů pro Windows Hello?
Ano, nastavení Windows Hello v prostředí informační infrastruktury VŠE bylo otestováno s různými modely USB čteček Kensington VeriMark či s myší Dell Wired Mouse MS819, která má čtečku otisků prstů.

Jak vybrat webkameru pro Windows Hello?
Webkamera musí mít certifikaci na použití s Windows Hello, lze samozřejmě dokoupit i externí webkameru. Nastavení Windows Hello v prostředí informační infrastruktury VŠE bylo otestováno s webkamerami Logitech Brio a Lenovo 500 FHD (upozorňujeme, že kamera Lenovo není vybavena integrovanými mikrofony).

Pro jaké služby musím mít nastaveno MFA v M365?
Povinné MFA v M365 se zatím týká menšího počtu služeb. Musí ho používat správci prostředí Microsoft 365. Musí ho používat správci aplikací s autentizací vůči M365 – např. moodle.vse.cz či Apple School Manager. A také všichni uživatelé, kteří se chtějí do InSIS přihlašovat pomocí ověření vůči Microsoft 365.
Od června 2022 plánujeme povinné MFA při rizikových přihlášeních – neobvyklá cesta, neznámé vlastnosti přihlášení, použití anonymních IP adres, apod.

Mohu si nastavit povinné MFA pro přihlášení do M365?
Ano. V MS Teams se připojte do týmu mandatory-MFA pomocí kódu 8zi2hcg. Přibližně za 5 minut se bude vyžadovat MFA při přihlášení z nového zařízení do Microsoft 365.
Teprve toto vynucení MFA Vám zabezpečí Váš účet v Microsoft 365 před velkým množstvím hrozeb. Pokud to neuděláte, tak při úniku Vašeho hesla si bude moci útočník přečíst např. Vaši poštu ve školním Office 365.

Jak použiji dočasný přístupový kód vygenerovaný Helpdeskem?
Jednoduchý návod naleznete zde.