Výchozí nastavení zabezpečení (Security Defaults) v Azure Active Directory

Stalo se vám, že na vás a ostatní uživatele Microsoft 365 při přihlášení na portal.office.com vyskočilo dialogové okno, že je třeba doplnit další informace? Přestal vám skener posílat naskenované dokumenty e-mailem? 

Pokud ano, tak vám Microsoft nejspíše v tenantu zapnul „Výchozí nastavení zabezpečení“ (anglicky Security Defaults). 

Microsoft avizuje již od začátku roku 2022, že MFA (MultiFactor Authentication, neboli  vícefaktorové ověřování) je nejlepší ochrana před prolomením uživatelského účtu. Vzhledem k vzrůstajícímu počtu phishingových útoků a s nimi spojených škod se Microsoft rozhodl vynutit používání MFA pro všechny uživatele v organizaci právě pomocí Security Defaults. 

Tato funkcionalita je v Azure AD implementovaná již delší dobu, ale doposud bylo její zapnutí dobrovolné. Není totiž bez rizika. 

• Méně zdatní uživatelé mají problém si sami MFA nastavit. 
• Občas jsou v organizaci účty, které se využívají k rozesílání e-mailů ze systémů jako je CRM, ERP, síťové skenery, které MFA neumožňují. 

Co všechno zapnutí této jedné volby ve vlastnostech Azure AD v tenantu udělá (odkazy vedou na oficiální dokumentaci): 

• Vyžaduje se, aby se všichni uživatelé zaregistrovali pro Azure AD Multi-Factor Authentication 
• Vyžadování vícefaktorového ověřování pro správce 
• V případě potřeby vyžadovat, aby uživatelé mohli provádět vícefaktorové ověřování 
• Blokování starších ověřovacích protokolů 
• Ochrana privilegovaných aktivit, jako je přístup k Azure Portal. 

Organizace, které potřebují řešit zabezpečení komplexněji a více granulovaně, mohou využít místo Security Defaults nastavení Podmíněného přístupu (Conditional Access). Budou však k tomu potřebovat vyšší licence, které obsahují Azure AD Premium P1 (například populární licenci Microsoft 365 Business Premium). 

Podmíněný přístup totiž dokáže vyřešit právě problém s tím, že některé účty MFA nemohou použít, protože e-mailový klient, který využívají (CRM, ERP, skener, …) MFA nepodporuje. Pro tyto účty lze s licencí Azure AD Premium P1 nastavit výjimku, což běžné Security Defaults nepodporují. 

Jak povolit nebo zakázat výchozí nastavení zabezpečení v tenantu popisuje oficiální Microsoft dokumentace v tomto článku: https://learn.microsoft.com/cs-cz/azure/active-directory/fundamentals/concept-fundamentals-security-defaults 

Zde si dovolíme citovat tento dokument: 

Povolení výchozích nastavení zabezpečení 

Povolení výchozích nastavení zabezpečení v adresáři: 

• Přihlaste se k Azure Portal jako správce zabezpečení, správce podmíněného přístupu nebo globální správce. 
• Přejděte na Vlastnosti Azure Active Directory. 
• Vyberte Spravovat výchozí nastavení zabezpečení. 
• Nastavte přepínač Povolit výchozí nastavení zabezpečení na Ano. 
• Vyberte Uložit. 

Všichni uživatelé ve vašem tenantu se musí zaregistrovat pro vícefaktorové ověřování (MFA) ve formě Azure AD Multi-Factor Authentication. Uživatelé mají 14 dnů na to, aby se zaregistrovali k Azure AD Multi-Factor Authentication pomocí aplikace Microsoft Authenticator nebo jakékoli aplikace podporující tokeny OATH. Po uplynutí 14 dnů se uživatel nemůže přihlásit, dokud se registrace nedokončí. 14denní období uživatele začíná po prvním úspěšném interaktivním přihlášení po povolení výchozích nastavení zabezpečení. 

Pokud potřebujete pomoci se zabezpečením vašeho prostředí Microsoft 365. Neváhejte se na nás obrátit.