Vícefaktorová autentizace na VŠE

Tři úrovně zabezpečení pomocí MFA ve VŠE pro běžné uživatele:
minimální – nastavit MFA v O365 – přihlašování k systémům, kde máte zvýšená práva, možnost přihlašování z „problematických“ lokací,
studijní systém – MFA v O365 a v InSIS – navíc zabezpečení účtu ve studijním systému,
úplné – vynucení MFA v O365 a v InSIS – ve všech podporovaných inf. systémech se při přihlášení z nového počítače musí použít MFA,

doplňkové – přihlašování do VPN pomocí certifikátu

Vícefaktorová autentizace na VŠE

Vícefaktorová autentizace (Multi-factor authentication) představuje způsob jak u Vašeho účtu efektivně zvýšit zabezpečení a zabránit tak úniku a ztrátě dat v případě, že jsou Vaše přístupové údaje kompromitovány (útočníkovy nestačí k přihlášení znát pouze Vaše heslo a uživatelské jméno). Často se používá dvoufaktorové ověření (též dvoukrokové) – zadáte heslo a následně opíšete kód ze SMS či z mobilní aplikace, popř. na mobilu potvrdíte přihlášení. Na důvěryhodném zařízení druhý faktor obvykle stačí zadat jednou za měsíc či za několik měsíců.

Jinou variantou je většina ověřování pomocí privátního klíče – máte privátní klíč v souboru či na kartě/tokenu a musíte znát heslo k privátnímu klíči. Začíná se používat i kombinace znalosti (hesla) či klíče (souboru) s biometrii (otisk prstu či faceid).

Azure AD (Microsoft 365)

  1. Nastavte metodu vícefaktorové autentizace v Microsoft 365.

  2. Ověřte přihlášením do InSIS pomocí „Microsoft 365“.

  3. Nastavte záložní metodu vícefaktorové autentizace v Microsoft 365.


Třetí krok

V následující tabulce je základní přehled podporovaných způsobů vícefaktorové autentizace ve školní síti. Vícefaktorovou autentizaci mohou používat všichni uživatelé, kteří mají účet v cílovém systému (u prvních dvou variant to znamená všichni zaměstnanci a všichni studenti). Někteří ji musí používat povinně.

systém MFA přihlášení do jakých systémů metody MFA povinné kdy
Azure AD Microsoft 365 (Outlook, OneDrive, MS Teams, …),
studijní systém (insis.vse.cz),
LMS (moodle.vse.cz), …		 Microsoft Authenticator,
TOTP,
SMS,
FIDO2/WebAuth,
Windows Hello		 studijní systém – všichni,
ostatní systémy – osoby s vyšším oprávněním
InSIS studijní systém (insis.vse.cz) TOTP osoby s vyšším oprávněním
osobní certifikát VPN certifikáty správci sítě
SSH klíče správa souborů na webhosting,
správa unixových serverů		 ssh osobní klíče při přístupu z Internetu uživatel musí použít SSH klíč
VPN zam.vse.cz,
úpravy informačních webů (wordpress),
spisová služba, ..		 nepatří mezi MFA, spíše security by obscurity při přístupu z Internetu nutno použít VPN

V seznamu je uveden i přístup s využitím VPN – striktně vzato to není vícefaktorová autentizace, ale některými vlastnostmi se jí blíží.