Konfiguracja uwierzytelniania wieloskładnikowego (MFA) w usłudze Microsoft Office 365: co powinni wiedzieć administratorzy
W listopadzie 2024 roku firma Microsoft ogłosiła, że uwierzytelnianie wieloskładnikowe (MFA) stanie się obowiązkowe dla wszystkich kont administratorów w usługach Microsoft 365 (dawniej Office 365), Azure i Intune. Od 2025 r. administratorzy, którzy nie włączą uwierzytelniania wieloskładnikowego, nie będą już mieli dostępu do portali administracyjnych Microsoftu.
Wdrażanie to odbywa się etapami na poziomie dzierżawcy, a administratorzy, którzy jeszcze nie skonfigurowali uwierzytelniania wieloskładnikowego, będą musieli zaktualizować swoje ustawienia, aby zachować zgodność z przepisami. W tym poście wyjaśniono, jak skonfigurować uwierzytelnianie wieloskładnikowe w Office 365, aby spełnić nowe wymagania Microsoftu i zachować dostęp do kluczowych usług.
Czym jest uwierzytelnianie wieloskładnikowe (MFA) w usłudze Microsoft 365?
Uwierzytelnianie wieloskładnikowe (MFA) to proces zabezpieczający, który polega na uwierzytelnianiu użytkowników w systemie przy użyciu większej liczby czynników niż tylko hasło. MFA wymaga zastosowania wielu form uwierzytelniania, w tym:
- Coś, co znasz (hasło).
- Coś, co posiadasz (klucz bezpieczeństwa, telefon z kodem potwierdzającym wysłanym SMS-em lub smartfon z aplikacją uwierzytelniającą).
- Coś, czym jesteś (odcisk palca lub rozpoznawanie twarzy).
W przypadku uwierzytelniania wieloskładnikowego w usłudze Microsoft 365 wymagane jest hasło oraz aplikacja uwierzytelniająca na smartfonie. Kody SMS są wycofywane. Po wprowadzeniu hasła przez administratora należy zeskanować kod QR w aplikacji uwierzytelniającej. Aby zakończyć uwierzytelnianie, należy wprowadzić jednorazowy kod numeryczny na smartfonie.
Dlaczego firma Microsoft wymusza uwierzytelnianie wieloskładnikowe (MFA) dla kont administratorów
Firma Microsoft uważa, że uwierzytelnianie wieloskładnikowe może zmniejszyć liczbę przejętych kont. Konto administratora jest najważniejsze i stanowi główny cel cyberataków, ponieważ ma dostęp do wszystkich użytkowników i ustawień w organizacji (dzierżawcy). Jeśli konto administracyjne zostanie zhakowane, dane wszystkich użytkowników są narażone na niebezpieczeństwo. Uwierzytelnianie dwuskładnikowe w Microsoft 365 znacznie zmniejsza to ryzyko.
Uwierzytelnianie dwuskładnikowe w Office 365 może pomóc w zablokowaniu prawie 99,9% ataków. Techniki typu brute force, credential stuffing, phishing i inżynieria społeczna są znacznie mniej skuteczne, gdy włączone jest uwierzytelnianie dwuskładnikowe. Nawet jeśli osoba atakująca zdobędzie dane logowania administratora, nie będzie mogła się zalogować bez potwierdzenia drugiego składnika, które wymaga urządzenia administratora.
Oprócz Centrum administracyjne Microsoft 365, aplikacje w chmurze objęte tą polityką obejmują:
- Portal Azure
- Centrum administracyjne Microsoft Entra
- Centrum administracyjne Microsoft Intune
- Interfejs wiersza poleceń Azure (Azure CLI)
- Azure PowerShell
- Aplikacja mobilna Azure
- Narzędzia Infrastructure as Code (IaC)
- REST API (Control Plane)
- Azure SDK
Aby uzyskać dostęp do tych zasobów, administratorzy muszą włączyć uwierzytelnianie wieloskładnikowe i zakończyć konfigurację uwierzytelniania wieloskładnikowego w usłudze Microsoft 365.
Jak skonfigurować i zapewnić zgodność z obowiązkowym uwierzytelnianiem wieloskładnikowym w usłudze Microsoft 365
Administratorzy muszą włączyć uwierzytelnianie wieloskładnikowe w usłudze Microsoft 365 dla wszystkich kont organizacji (dzierżawców) utworzonych przed 2019 r. W przypadku dzierżawców, którzy rozpoczęli subskrypcję usługi Microsoft 365 po 2019 r., uwierzytelnianie wieloskładnikowe powinno być włączone w domyślnych ustawieniach zabezpieczeń (o ile nie zostało ręcznie wyłączone). Należy pamiętać, że po wdrożeniu obowiązkowego uwierzytelniania wieloskładnikowego (MFA) w usłudze Microsoft 365 dla wszystkich dzierżawców administratorzy nie będą mogli logować się bez uwierzytelniania wieloskładnikowego. Zwykli użytkownicy mogą korzystać z haseł jako tradycyjnej metody uwierzytelniania podczas logowania się do usług Microsoft 365.
Domyślne ustawienia zabezpieczeń to narzucone przez firmę Microsoft podstawowe zasady mające na celu ochronę wszystkich użytkowników, które obejmują uwierzytelnianie wieloskładnikowe dla administratorów. Ustawienia te są domyślnie włączone w nowych dzierżawach.
Kiedy faza wdrażania obowiązkowego uwierzytelniania wieloskładnikowego (MFA) w usłudze Microsoft 365 dotrze do Twojej organizacji, administrator otrzyma następujący komunikat ostrzegawczy podczas próby zalogowania się do centrum administracyjnego za pomocą interfejsu internetowego:
Aby zwiększyć bezpieczeństwo, firma Microsoft wymaga uwierzytelniania wieloskładnikowego (MFA) podczas logowania się do portalu Azure , centrum administracyjnego Microsoft Entra oraz centrum administracyjnego Microsoft Intune . Zostaniesz teraz przekierowany w celu zakończenia procesu logowania z uwierzytelnianiem wieloskładnikowym (MFA).
Jeśli nie jesteś gotowy do spełnienia wymagań MFA, możesz odroczyć egzekwowanie dla Organization_name (unikalny identyfikator organizacji) dzierżawcy.
Dostępne są dwie opcje:
Sign in with MFAPostpone MFA
Jeśli klikniesz Postpone MFA, data egzekwowania MFA w usłudze Microsoft 365 nastąpi za miesiąc lub 30 września 2025 r. (w zależności od tego, która data nastąpi wcześniej).
Komunikat ostrzegawczy jest również wysyłany za pośrednictwem e-maila do administratora usługi Microsoft 365 w organizacji.
Aby włączyć domyślne ustawienia zabezpieczeń dla wszystkich użytkowników Microsoft 365 w organizacji:
- Zaloguj się doPortal Azurejako administrator globalny, administrator zabezpieczeń lub administrator dostępu warunkowego.
- Przejdź do
Microsoft Entra IDi kliknijProperties. - Kliknij
Manage security defaults. - Ustaw
Security defaultsnaEnabled. - Kliknij
Save.
Aby włączyć uwierzytelnianie wieloskładnikowe (MFA) w usłudze Microsoft 365 tylko dla określonych użytkowników, takich jak administratorzy, możesz użyć metody MFA dla poszczególnych użytkowników w katalogu.
- Zaloguj się do Centrum administracyjne Microsoft Entra jako administrator (przynajmniej jako administrator administracji uwierzytelniania).
- Przejdź do
Identity > Users > All users. - Kliknij
Per-user MFA. - Poczekaj, aż otworzy się strona wyświetlająca stan użytkownika, a następnie zmień status uwierzytelniania wieloskładnikowego dla określonych użytkowników.
Aby włączyć uwierzytelnianie wieloskładnikowe w usłudze Microsoft 365 tylko dla określonych użytkowników tej usługi, a nie dla wszystkich usług chmurowych firmy Microsoft, wykonaj następujące czynności:
- Zaloguj się zaloguj się do serwisu Microsoft 365 centrum administracyjne jako administrator.
- Przejdź do ustawień uwierzytelniania wieloskładnikowego. Kliknij
Usersi wybierzActive Users. - Kliknij
Multi-Factor Authenticationu góry stronyActive Users, aby otworzyć ustawienia uwierzytelniania wieloskładnikowego w usłudze Microsoft 365. - Wybierz użytkowników, dla których chcesz włączyć uwierzytelnianie wieloskładnikowe (w tym przypadku użytkowników z uprawnieniami administracyjnymi), zaznaczając odpowiednie pola wyboru.
- Po zakończeniu kliknij
Enablew obszarzeQuick Steps. Potwierdź działanie, gdy pojawi się komunikat potwierdzający, aby włączyć uwierzytelnianie wieloskładnikowe dla administratorów Microsoft 365 i wybranych użytkowników.
Jeśli uwierzytelnianie wieloskładnikowe zostało już włączone dla kont administracyjnych, nie są wymagane żadne dalsze działania.
Jeśli włączyłeś uwierzytelnianie wieloskładnikowe dla określonych użytkowników, nie musisz zezwalać na domyślne ustawienia zabezpieczeń, aby włączyć uwierzytelnianie wieloskładnikowe dla administratorów (nie ma potrzeby stosowania obu metod jednocześnie).
Gdy firma Microsoft zakończy wdrażanie obowiązkowego uwierzytelniania wieloskładnikowego dla kont administracyjnych we wszystkich dzierżawcach, a okres przejściowy dobiegnie końca (pod koniec 2025 r.), administratorzy Microsoft 365 nie będą mogli zalogować się do portali administracyjnych bez uwierzytelniania wieloskładnikowego.
Korzyści z obowiązkowego uwierzytelniania wieloskładnikowego w usłudze Microsoft 365
Administratorzy i użytkownicy mogą napotkać pewne niedogodności podczas korzystania z uwierzytelniania wieloskładnikowego w usłudze Microsoft 365, jednak korzyści znacznie przeważają. Należy pamiętać, że skonfigurowanie uwierzytelniania wieloskładnikowego w usłudze Microsoft 365 nie wiąże się z dodatkowymi kosztami.
Uwierzytelnianie wieloskładnikowe w usłudze Microsoft 365 pozwala organizacjom i ich administratorom uniknąć następujących negatywnych konsekwencji:
- Naruszenia bezpieczeństwa danych . Kradzież danych organizacji może mieć katastrofalne skutki dla działalności. Jeśli złośliwi aktorzy uzyskają dostęp do wiadomości e-mail, informacji finansowych lub danych poszczególnych użytkowników, mogą wykorzystać je do bardziej spersonalizowanych ataków.
- Utrata dostępu . Po uzyskaniu uprawnień do administracji konta Microsoft osoba atakująca może zmienić dane logowania, uniemożliwiając prawdziwemu właścicielowi konta zalogowanie się i odzyskanie danych.
- Straty finansowe . Naruszenie bezpieczeństwa konta może spowodować przestoje (zakłócenia w działaniu), utratę danych, konieczność zapłaty okupu oraz problemy prawne (związane z przestrzeganiem przepisów). Utrata reputacji jest istotnym czynnikiem, który wpływa na relacje z klientami i zmniejsza przychody.
Obowiązkowe uwierzytelnianie wieloskładnikowe (MFA) w usłudze Microsoft 365 gwarantuje, że organizacje korzystające z usług w chmurze firmy Microsoft mogą spełniać wymagania regulacyjne i zgodnościowe (w tym RODO, HIPAA, ISO 27001, NIST SP 800-63 itp.). Większość przepisów zazwyczaj wymaga uwierzytelniania wieloskładnikowego.
Jak NAKIVO wspiera ochronę danych w Microsoft 365
NAKIVO Backup & Replication to dedykowane rozwiązanie do ochrony danych, które obsługuje Kopia zapasowa dla Microsoft 365. Umożliwia ono wykonanie kopii zapasowej danych, łatwe ich odzyskiwanie oraz szybkie wznowienie działalności w przypadku awarii, katastrofy lub ataku oprogramowania wymuszającego okup.
NAKIVO Backup & Replication oferuje następujące funkcje do wykonania kopii zapasowej i odzyskiwania danych w Microsoft 365:
- Kopie zapasowe usług Exchange Online, OneDrive dla Firm, SharePoint Online i Microsoft Teams.
- Pełne i szczegółowe odzyskiwanie (określone obiekty, takie jak konta użytkowników, wiadomości e-mail, pliki OneDrive, witryny SharePoint lub czaty Microsoft Teams). Możesz wybrać metodę odpowiednią dla konkretnego scenariusza odzyskiwania.
- Szyfrowanie danych jest używany podczas przesyłania danych kopii zapasowej Microsoft 365 przez sieć oraz podczas przechowywania ich w repozytorium kopii zapasowych.
- Kopia zapasowa Microsoft 365 można przechowywać lokalnie lub w chmurze.
- NAKIVO Backup & Replication obsługuje Uwierzytelnianie dwuskładnikowe podczas uzyskiwania dostępu do interfejsu internetowego rozwiązania. W połączeniu z uwierzytelnianiem wieloskładnikowym Microsoft 365 zwiększa to ogólne bezpieczeństwo.
- Niezmienne kopie zapasowe zapewniają, że oprogramowanie wymuszające okup nie może modyfikować ani usuwać danych Microsoft 365.
- Elastyczne ustawienia przechowywania w rozwiązaniu NAKIVO pozwalają na optymalne wykorzystanie pamięci masowej kopii zapasowej i zachowanie potrzebnych punktów odzyskiwania przez określone okresy.
Wnioski
Włączenie uwierzytelniania dwuskładnikowego w Office 365 nie jest już opcjonalne dla administratorów; jest to wymaganie niezbędne do utrzymania dostępu i ochrony kluczowych usług w chmurze. Konfigurując uwierzytelnianie dwuskładnikowe (MFA), administratorzy mogą zapewnić zgodność z nowymi zasadami bezpieczeństwa firmy Microsoft i zmniejszyć ryzyko nieautoryzowanego dostępu. Podjęcie działań już teraz zapewni płynne przejście przed pełnym wdrożeniem nowych zasad. Aby jeszcze bardziej wzmocnić swoje zabezpieczenia, warto rozważyć wdrożenie rozwiązania do tworzenia kopii zapasowych Microsoft 365 wraz z uwierzytelnianiem dwuskładnikowym (MFA).