MFA v Microsoft 365: praktičen vodnik za uvedbo brez panike

MFA (večstopenjska avtentikacija) je najcenejši in najučinkovitejši varnostni ukrep v večini podjetij. Ustavi veliko večino napadov z ukradenimi gesli. Pa vendar je v marsikateri ekipi še vedno opcijska — ker je ‘nadležna‘ ali ‘smo to že planirali za naslednje četrtletje‘.

Pred vklopom

1. Preverite, kdo ima aktivne račune (in jih očistite)
2. Določite metode: Authenticator aplikacija je primarna, SMS rezerva
3. Pripravite kratko interno navodilo s slikami
4. Najavite vklop vsaj nekaj dni vnaprej
5. Določite čas izven kritičnih ur

Vklop po fazah

Najprej IT in vodstvo (kot pilot), nato ostali oddelki postopno. S Conditional Access pravili lahko izvzamete service račune in posebne primere, ostalo pa zahtevate enotno.

Pogojni dostopi, ki se najbolj izplačajo

• Blokada prijav iz držav, kjer nimate uporabnikov
• Zahteva MFA za vse, razen za zaupanja vredne lokacije (po želji)
• Blokada starih protokolov (POP, IMAP, basic auth)
• Posebna pravila za administratorske račune

Kaj pogosto pozabljamo

• Service računi (skener-na-pošto, ERP integracije) brez MFA — vsaj pogojni dostop iz IP
• Mobilne naprave bivših zaposlenih ostanejo registrirane
• Backup MFA naprave (kaj če uporabnik izgubi telefon)

Ali se da MFA vklopiti brez prekinitve dela?

Da, če je izveden po fazah in z najavo. Pomembno je imeti pripravljeno rezervno metodo (npr. SMS ali backup kodo) in jasno navodilo za uporabnike.

Ali je SMS dovolj kot MFA?

Bolje kot nič, a šibkejši od aplikacije. Priporočamo Microsoft Authenticator kot primarno metodo, SMS kot rezervo.

Kaj če uporabnik izgubi telefon?

Vnaprej določite postopek — kdo ponovno registrira napravo, kako preveri identiteto in koliko časa traja. To ne sme biti improvizacija.