Administrace MFA

7. 7. 2020 Azure, IT Pro

MFA v kombinaci s heslem poskytuje mnohem silnější zabezpečení než samotné heslo. V tomto článku si popíšeme, jak MFA nasadit a ukážeme si, jak tuto ochranu spravovat.

Proč byste ale měli zvážit nasazení MFA oproti klasickému přihlašování pouze heslem? Odpověď je v celku jednoduchá – bezpečnost. Buďme k sobě upřímní, většina uživatelů nemění svá hesla pravidelně. Dalším velkým problémem je, že uživatelé používají stejné heslo na více stránek. Poté se ale může stát, že některá z těchto stránek je napadena. Útočníci pak do rukou dostávají nejen heslo na danou stránku. V tomto případě bývá právě vícefaktorová autentizace poslední obrannou linií, která zabrání přihlášení útočníka a zamezení přístupu k citlivým datům.

Existuje několik metod, kterými lze autentizovat uživatele a je jen na vás, jakou z nich si zvolíte. Asi nejpohodlnější metodou je mobilní aplikace, ve které kliknete na notifikaci, nebo opíšete klíč vygenerovaný touto aplikací. Další metody zahrnují například automatizovaný hovor, nebo ověřovací kód zaslaný SMS zprávou.

Pokud chcete MFA nasadit, je zde více možností. Tou nejzákladnější (také zadarmo) je Výchozí nastavení zabezpečení. K této volbě se dostaneme skrze Active Directory a záložku Vlastnosti. Zde lze po kliknutí na Spravovat výchozí nastavení zabezpečení aktivovat doporučená nastavení Microsoftu. Tato nastavení, mimo jiné, aktivují i vícefaktorové ověřování pro všechny uživatele. Samotní uživatelé budou po přihlášení vyzváni k přidání zařízení a ověření jejich identity.

Další informace o Výchozím nastavení zabezpečení v Microsoft Docs

Povolení výchozích nastavení
Povolení výchozích nastavení | zdroj: Azure Active Directory

Dále se podíváme na spuštění MFA skrze Azure Active Directory. Nejprve je nutné přejít na stránku uživatelé a poté kliknout na Multi-Factor Authentication.

Záložka uživatelů | zdroj: Azure Active Directory

Po kliknutí na toto se ocitnete na stránce, kde můžete vybrat uživatele a jednotlivě jim povolit nebo vynutit vícefaktorové ověření. Tato varianta je dostupná s jakoukoli licencí Office 365, Microsoft 365 nebo placenou licencí Azure AD.

Stránka konfigurace MFA | zdroj: Azure Active Directory

Další z nich je podmíněný přístup, který mimo jiné poskytuje i mnohem větší kontrolu nad tím, kdy bude po uživateli požadováno ověření. Nastavení tímto způsobem se provádí přes vytvoření/upravení zásady v podmíněném přístupu. K nastavení je vyžadována licence Azure AD Premium (P1 nebo P2).

Nastavení skrze podmíněný přístup
Nastavení skrze podmíněný přístup | zdroj: Azure Active Directory

V zásadě lze vybrat uživatele, kterých se to bude týkat. Samozřejmě se dají zahrnout všichni. Poté lze vybrat přímo aplikace, kterých se bude ověřování týkat. V neposlední řadě lze nastavit také podmínky, při kterých bude požadováno ověření (OS zařízení, umístění v síti, či stav zařízení).

Přiřazení aplikací
Přiřazení aplikací | zdroj: Azure Active Directory

Po specifikování podmínek je nutné říci, co má zásada udělat. Pokud chceme ověřit uživatele pomocí MFA, je nutné na stránce Udělení zvolit „Vyžadovat vícefaktorové ověření“.

Vyžadování MFA
Vyžadování MFA | zdroj: Azure Active Directory

Poslední možností, jak povolit MFA je skrze Azure AD Identity Protection. Tato volba je nejjednodušší, ale dostupná pouze pro předplatné Azure AD P2, nebo Microsoft 365 E5/A5. Nejprve se musíte dostat na stránku Identity Protection a na Zásady registrace MFA.

Stránka zásady registrace MFA | zdroj: Identity Protectiom

Zde poté vyberete uživatele, kterých se zásada bude týkat a nakonec povolíte vynucení zásady.

Vybrání uživatelů pro povolení Azure MFA | zdroj: Identity Protectiom

Jaké možnosti nastavení ale toto MFA poskytuje a jaká mají tato nastavení možnosti? Začneme na úvodní stránce pro MFA. Zde můžete buď začít s implementací MFA, nebo diagnostikovat a řešit problémy, které mohou nastat.

Občas se může například stát, že uživatel, který má přístup k citlivým datům ztratí telefon nebo je mu odcizen. V tomto případě je určitě důležité znepřístupnit účet a také zablokovat žádosti přicházející na toto zařízení. Blokace trvá 90 dnů, ale lze jej manuálně odblokovat.

Zablokování uživatele
Zablokování uživatele | zdroj: Azure Multi-Factor Authentication

Další velmi důležitou záložkou je „Upozornění na podvod“. Podvodem je zde myšlena situace, kdy vám jako uživateli přijde žádost o schválení přístupu, ale vy jste se nikde nepřihlašovali. Zde lze nastavit, jestli bude tato možnost uživateli zpřístupněna, nebo zdali se mají automaticky blokovat uživatelé, kteří podvod nahlásili.

Nahlášení podvodu
Nahlášení podvodu | zdroj: Azure Multi-Factor Authentication

Poslední důležité nastavení je uzamčení účtu. Uzamčení účtu slouží k automatickému dočasnému zablokování přístupu na účet, když dojde k velkému počtu zamítnutí za sebou. Lze zde nastavit dobu, po které se účet odblokuje, nebo i počet špatných pokusů, po kterém dojde k zablokování.

Uzamčení účtu
Uzamčení účtu | zdroj: Azure Multi-Factor Authentication

Nastavení souborů Cookies

1. Co jsou soubory cookies

Soubory cookies jsou krátké textové soubory, které internetová stránka odešle do vašeho prohlížeče. Umožňují internetové stránce zaznamenat informace o vaší návštěvě, například zvolený jazyk a podobně. Následující návštěva stránek tak pro vás může být snazší a příjemnější. Soubory cookies jsou důležité, neboť bez nich by procházení sítě Internet bylo mnohem složitější. Soubory cookies umožňují lepší využití naší internetové stránky a přizpůsobení jejího obsahu vašim potřebám. Soubory cookies používá téměř každá internetová stránka na světě.

2. Druhy souborů cookies

Relační (tedy dočasné) soubory cookies nám umožňují propojovat vaše jednotlivé aktivity po dobu prohlížení těchto internetových stránek. V okamžiku otevření okna vašeho prohlížeče se tyto soubory vytvoří a po zavření okna vašeho prohlížeče se odstraní.

Trvalé soubory cookies nám pomáhají váš počítač identifikovat, jestliže opětovně navštívíte naši internetovou stránku.

3. Využívání souborů cookies

V souladu s ustanovením § 89 odst. 3 zák. č. 127/2005 Sb., o elektronických komunikacích, v účinném znění, si vás tímto dovolujeme informovat, že naše internetové stránky využívají pro svoji činnost soubory cookies, tedy vaše soubory cookies, včetně trvalých, zpracováváme.

Internetové prohlížeče obvykle obsahují správu souborů cookies. V rámci nastavení vašeho prohlížeče tak pravděpodobně můžete jednotlivé soubory cookies ručně mazat, blokovat či zcela zakázat jejich používání. Pro více informací použijte nápovědu vašeho internetového prohlížeče. Jsou-li cookies povoleny, lze toto nastavení internetového prohlížeče považovat za souhlas se zpracováním osobních údajů.

4. Účel použití souborů cookies

K personalizaci obsahu a reklam, poskytování funkcí sociálních médií a analýze naší návštěvnosti využíváme soubory cookies. Informace o tom, jak náš web používáte, sdílíme se svými partnery působícími v oblasti sociálních médií, inzerce a analýz. Používáním internetových stránek vyjadřujete souhlas propojením následujících služeb: Google Analytics, Google Tag Manager, Facebook Pixel, Microsoft Clarity.

Soubory cookies využíváme, kromě účelu uvedeného v předchozím odstavci, pouze pro měření návštěvnosti webové stránky.

5. Správce osobních údajů

Provozovatelem webové stránky studuj.digital a správcem osobních údajů je společnost: pg-sec s.r.o., sídlem Rybná 716/24, Staré Město, 110 00 Praha 1, identifikační číslo 09580905, zapsaná v obchodním rejstříku Městského soudu v Praze, oddíl C, vložka 338028.

​6. Zásady ochrany osobních údajů

Podrobnější informace o souborech cookies a zpracování tvých osobních údajů najdete v našich Zásadách ochrany osobních údajů.

Nezbytné

Tyto soubory cookie jsou nutné pro základní funkce stránky, a jsou proto vždy povolené. Mezi ně patří soubory cookie, které stránce umožňují si vás zapamatovat při procházení stránky v rámci jedné relace nebo, pokud o ně požádáte, mezi relacemi.

Volitelné

Výkon

Tyto soubory cookie nám pomáhají vylepšovat funkce stránek sledováním využití této webové stránky. V některých případech zrychlují zpracování vašeho požadavku a umožňují nám zapamatovat si vaše vybrané předvolby na stránce. Pokud soubory cookie zakážete, může se tím zhoršit přesnost našich doporučení a zpomalit funkčnost stránek.

Sociální média a relamy

Díky souborům cookies sociálních médií si můžete připojit ke svým sociálním sítím a prostřednictvím sociálních médií sdílet obsah z naší webové stránky. Reklamní soubory cookie (třetích stran) shromažďují informace pro lepší přizpůsobení reklamy tvým zájmům, a to na webových stránkách studuj.digital i mimo ně. V některých případech tyto soubory cookies zpracovávají vaše osobní údaje. Pokud chcete získat více informací o zpracování osobních údajů, přečtěte si naše Zásady ochrany osobních údajů. Pokud zakážete soubory cookies, mohou se zobrazovat reklamy, které méně souvisejí s vašimi zájmy, nebo nebudete moci účinně používat odkazy na Facebook, Instagram či jiné sociální sítě anebo nebudete moci sdílet obsah na sociálnch médiích.