některá tajemství jsou příliš důležitá na to, aby byla chráněna pouze heslem.
problém s hesly je, že jsou příliš snadno ukradena, hádal, nebo phishingu. Špatný člověk, který získá vaše uživatelské jméno a heslo, může tyto přihlašovací údaje použít k tomu, aby se za vás vydával v přidružené službě, s potenciálně katastrofálními výsledky.
vaše organizace si nemůže dovolit, aby hesla byla jedinou překážkou chránící vaše obchodní soubory a e-maily před vnějšími útočníky. Potřebujete další vrstvu zabezpečení nazvanou vícefaktorová autentizace. Funguje tak, že vyžaduje alespoň dvě formy autentizace, z libovolné kombinace následujících prvků:
- „Něco, co víš,“ jako je například heslo nebo PIN
- „Něco, co jste,“ jako je otisk prstu nebo jiné biometrické ID
- „Něco,“ jako důvěryhodné smartphone, který může generovat nebo přijímat potvrzovací kódy
Moderní business-grade on-line služeb umožní přidat druhou formu ověřování uživatelských účtů, konfigurace se často označuje jako dvoufaktorová autentizace (2FA). Klasickým příkladem 2FA je bankovní ATM karta, která je zajištěna druhým faktorem ve formě číselného PIN. Pokud je vaše karta ATM ukradena, je to zbytečné, protože zloděj nemá váš PIN. A ukradený nebo phished PIN je k ničemu, pokud zloděj může také přejet magnetickým proužkem na vaší fyzické kartě.
Enterprise edice sady Office 365 zahrnují možnost přidat 2FA do libovolného uživatelského účtu. (Tento příspěvek na blogu Office vysvětluje, jak tato funkce funguje, s úplným návodem k nasazení zde.) Po konfiguraci uživatelského účtu, požadovat, 2FA, uživatel zadá své uživatelské jméno a heslo jako obvykle při návštěvě Office365.com. Po úspěšném absolvování této výzvy se však zobrazí výzva zobrazená na obrázku A.
Obrázek
V tomto příkladu, Office 365 je nakonfigurován tak, aby odeslat ověřovací kód jako textovou zprávu na mobilní telefonní číslo spojené s uživatelským účtem (tam je, že „něco máte“). Zloděj může mít své heslo uživatele, ale nemá telefon spojen s přístrojem, takže nemůže zadejte náhodně vygenerovaný číselný kód, který byl poslán do, že důvěryhodné zařízení. A nemá moc času na práci, buď, protože kód vyprší asi minutu po odeslání.
problémy s ověřením možnosti, které se spoléhají na textové (SMS) zprávy je, že nemůžete vždy spolehnout na obdržení těchto zpráv, když je potřebujete. Pokud máte vysokorychlostní připojení k síti v hotelu nebo vzdálené kanceláři, ale vaše sluchátko čte „žádná služba“, máte smůlu.
řešením je použít alternativní možnosti ověření, vybraných ze seznamu je znázorněno na Obrázku B.
Obrázek B
první volbou na seznamu bude fungovat, i pokud nejste schopni přijímat textové zprávy nebo kód dodané robotický hlas, aby váš hlas line. To předpokládá, že jste nainstalovali Azure Multi-Factor Authentication aplikaci, která je k dispozici pro zařízení se systémem iOS (iPhone a iPad), prostřednictvím App Store; Android zařízení přes Google Play store, a Windows Phone.
protože Office 365 je postaven na Microsoft Azure, můžete pomocí této aplikace generovat potvrzovací kódy na základě tajného klíče a aktuálního data a času. Nezáleží na tom, zda má váš telefon aktivní datové připojení. Pokud můžete aplikaci otevřít, můžete načíst kód, který bude fungovat jako platný druhý ověřovací faktor.
obrázek C ukazuje, jak aplikace vypadá na smartphonu Android.
Obrázek C
Pokud máte více než jeden účet, uvidíte samostatné kódy pro každý účet. Každý kód je dobrý po dobu 30 sekund, přičemž ukazatel průběhu v horní části aplikace ukazuje, jak dlouho bude vygenerován další kód.
Když vidíte řádku ve vašem webovém prohlížeči zadejte ověřovací kód, zadejte aktuální hodnotu z aplikace, a budete získat přístup k Office 365.
stojí za zmínku, že 2FA chrání váš účet před neoprávněným přístupem. Nechrání jednotlivé soubory nebo zprávy.
Chcete-li nastavit 2FA v sadě Office 365, musíte se přihlásit jako správce, navštívit Centrum správy Office 365 a kliknout na Users | Active Users. Na panelu aktivních uživatelů klikněte na možnost na obrázku D a spusťte proces nastavení. Tímto krokem se dostanete na seznam aktivních uživatelů, kde můžete vybrat jeden nebo více účtů a poté povolit nebo zakázat 2FA.
Obrázek D
Po dokončení nastavení, každý uživatel je vyzván, aby nastavit další bezpečnostní ověření kroky. Pokud zvolíte možnost Nastavení Aplikace pro smartphone, nainstalujte ji nejprve do zařízení. Poté během instalace pomocí QR kódu na obrazovce nakonfigurujte aplikaci pro bezpečné použití (Obrázek E).
obrázek E
jako uživatel můžete kdykoli změnit nastavení 2FA. Můžete například změnit výchozí chování tak, aby aplikace zobrazovala výzvu k potvrzení, kterou můžete klepnutím schválit. Do Nastavení můžete také přidat alternativní mobilní telefon.
pro přístup K těmto nastavení, přihlaste se k Office 365, klepněte na tlačítko, nebo klepněte na ikonu ozubeného kola v pravém horním rohu, zvolte Nastavení sady Office 365 a pak zvolte Další Bezpečnostní Ověření. Chcete-li zobrazit všechny Dostupné možnosti, musíte zvolit Aktualizovat moje telefonní čísla používaná pro zabezpečení účtu.
jedna poslední důležitá poznámka o používání Office 365 s Office 2FA. Zapnutí této další úrovně zabezpečení znamená, že pověření účtu Office 365 již nebudou fungovat v poštovních aplikacích v telefonu nebo počítači, včetně Microsoft Outlook a Lync. Pro každé takové zařízení budete muset vygenerovat samostatné heslo aplikace a zadat jej jako součást počátečního nastavení. Ovládací panel hesel aplikací je na samostatné kartě vedle dalších možností ověření zabezpečení.
když se v zařízení poprvé přihlásíte k účtu, můžete toto zařízení označit jako důvěryhodné („znovu mě na tomto zařízení nežádejte o kód“). To eliminuje faktor obtěžování na zařízeních, která pravidelně používáte.
pokud si myslíte, že zařízení bylo odcizeno nebo ohroženo, můžete přejít do režimu online a odstranit seznam důvěryhodných zařízení, abyste museli opakovat ověření pro každé z nich. Znovu, protože se jedná o jediný krok, je to jen hádka jednou za zařízení. Pokud se přihlašujete na nedůvěryhodném zařízení (řekněme vypůjčeném počítači), zjevně nedovolíte, aby byl na vašem seznamu důvěryhodných zařízení.