Každý tenant by měl mít alespoň tyto tři věci nastavené:
1. Zapni MFA (vícefaktorové ověření)
- Minimálně pro všechny administrátory
- Doporučeno pro všechny uživatele
Nastavení:
Entra ID → Protection → Authentication methods
2. Zablokuj „legacy authentication“
- Zakázat IMAP, POP3, SMTP Basic Auth
- Tyto protokoly MFA nepodporují = bezpečnostní díra
Nejjednodušeji přes CA politiku:
„Blokovat staré protokoly“
3. Vytvoř jednoduchou CA politiku
Např.:
- Vyžaduj MFA mimo firemní IP adresy
- Blokuj přístup z rizikových zemí
Nastavení:
Entra ID → Conditional Access → Policies
Shrnutí
✅ MFA zapnuto
✅ Staré protokoly zablokovány
✅ Jednoduchá CA politika nasazená
Pozor: Conditional Access (CA) vyžaduje vyšší licenci než standardní Microsoft 365 Business Basic/Standard. Tady je přehled:
Licenční požadavky pro Conditional Access:
| Funkce | Minimální licence |
|---|---|
| Conditional Access (CA) | ✅ Microsoft Entra ID P1 (dříve Azure AD P1) |
| CA + Risk-Based Policies | ✅ Entra ID P2 (Azure AD P2) |
| PIM (Privileged Identity Mgmt) | ✅ Entra ID P2 |
Kde je Entra ID P1 už zahrnuto?
- Microsoft 365 Business Premium
- Microsoft 365 E3
- Enterprise Mobility + Security E3 (EMS E3)
Pokud máš M365 Business Standard nebo Basic → CA není dostupné.
MFA bez CA?
- MFA jako takové jde povolit i bez P1 přes tzv. Security Defaults (zdarma)
- Omezené možnosti (např. nelze výjimky, nelze kombinace podmínek)
- Aktivuje MFA pro všechny
Doporučení
Pokud chceš plně řídit přístup podle lokace, aplikace, compliance, atd., potřebuješ minimálně Entra ID P1.
Pro malé firmy se vyplatí přejít z Business Standard na Business Premium – rozdíl je malý, přínos velký.