MFA: Porovnání verzí

Z Wiki JU
Podstránky:
 
(Není zobrazeno 98 mezilehlých verzí od 4 dalších uživatelů.)
Řádek 1: Řádek 1:
{{Template:OdkazGoogleTranslate}}
<div class="noautonum">__TOC__</div>
<div class="noautonum">__TOC__</div>


= 1 Multi Factor Authentication (MFA) =
== 1 Multi Factor Authentication (MFA) ==
== 1.1 Co je to MFA? ==
=== 1.1 Co je to MFA? ===
Zkratka MFA pochází z anglického slovního spojení Multi Factor Authentication. Do češtiny se toto slovní spojení často překládá jako vícefaktorové ověřování nebo vícefaktorová autentizace. MFA jistě znáte například z přihlášení do své banky.
Zkratka MFA pochází z anglického slovního spojení Multi Factor Authentication. Do češtiny se toto slovní spojení často překládá jako vícefaktorové ověřování nebo vícefaktorová autentizace. MFA jistě znáte například z přihlášení do své banky.


== 1.2 Jak MFA funguje? ==
=== 1.2 Jak MFA funguje? ===
Vícefaktorové ověřování (MFA) přidává do procesu přihlašování další vrstvu ochrany. Při přístupu k účtům nebo aplikacím provádějí uživatelé dodatečné ověření identity, například nasnímají otisk prstu nebo zadají kód, který jim přijde na telefon.
Vícefaktorové ověřování (MFA) přidává do procesu přihlašování další vrstvu ochrany. Při přístupu k účtům nebo aplikacím provádějí uživatelé dodatečné ověření identity, například nasnímají otisk prstu nebo zadají kód, který jim přijde na telefon.


== 1.3 Proč MFA? ==
=== 1.3 Proč MFA? ===
Technologie MFA přináší mnohonásobně vyšší zabezpečení uživatelských účtů a dat proti zcizení a zneužití. Pro případného narušitele je tento způsob zabezpečení často neřešitelným problémem, a i v případě zcizení hesla jsou uživatelský účet a data pro útočníka nedostupné. Z pohledu uživatele se jedná o minimální zásah do jeho práce, přitom zabezpečení uživatelského účtu a dat vzroste několikanásobně.
Technologie MFA přináší mnohonásobně vyšší zabezpečení uživatelských účtů a dat proti zcizení a zneužití. Pro případného narušitele je tento způsob zabezpečení často neřešitelným problémem, a i v případě zcizení hesla jsou uživatelský účet a data pro útočníka nedostupné. Z pohledu uživatele se jedná o minimální zásah do jeho práce, přitom zabezpečení uživatelského účtu a dat vzroste několikanásobně.


== 1.4 MFA na Jihočeské univerzitě ==
=== 1.4 MFA na Jihočeské univerzitě ===
Na JU bude MFA nasazeno při přihlášení do cloudu Microsoft 365 (dále jen M365) a v rámci jednotného přihlášení (SSO) následně i na další služby jako je například Service Desk, spisová služba atd.. MFA je v prostředí M365 zajišťováno pomocí Azure AD. Vzhledem k tomu, že na JU studuje velké množství zahraničních studentů, kteří se do M365 často hlásí z domovských států není možné aplikovat regionální ochranu přístupu do M365 a MFA je jedinou logickou volbou ochrany.
Na JU bude MFA nasazeno při přihlášení do cloudu [[Microsoft 365]] (dále jen M365) a v rámci jednotného přihlášení (SSO) následně i na další služby jako je například [[Servicedesk|Service Desk]], spisová služba atd.. MFA je v prostředí M365 zajišťováno pomocí Azure AD. Vzhledem k tomu, že na JU studuje velké množství zahraničních studentů, kteří se do M365 často hlásí z domovských států není možné aplikovat regionální ochranu přístupu do M365 a MFA je jedinou logickou volbou ochrany.


=== 1.4.1 Registrace sekundárního způsobu ověření MFA v prostředí M365 ===
==== 1.4.1 Registrace sekundárního způsobu ověření MFA v prostředí M365 ====
* Povinná pro všechny studenty i zaměstnance JU
* Povinná pro všechny studenty i zaměstnance JU
* Lhůta pro registraci je 14 dnů od prvního přihlášení do M365
* Lhůta pro registraci je 14 dnů od prvního přihlášení do M365
*Po uplynutí lhůty bude registrace vynucena a bez jejího nastavení nebude možné se do M365 a navázaných služeb přihlásit
* Po uplynutí lhůty bude registrace vynucena a bez jejího nastavení nebude možné se do M365 a navázaných služeb přihlásit
=== 1.4.2 Ověřování přístupu pomocí MFA v prostředí M365 ===
* Bude vyžadováno vždy pro správce s jakoukoli přidělenou rolí v M365
* Bude vyžadováno vždy při přihlašování ze zařízení mimo vnitřní síť JU
* Bude vyžadováno vždy v případě rizikového nebo podezřelého chování uživatele
* Nebude vyžadováno při standardním chování uživatele při přihlašování z vnitřní sítě JU
* Nebude vyžadováno při standardním chování uživatele při přihlašování z vnitřní sítě JU s požitím VPN


= 2 Registrace sekundárního ověření MFA =
==== 1.4.2 Ověřování přístupu pomocí MFA v prostředí M365 ====
* Bude vyžadováno vždy pro správce s jakoukoli přidělenou rolí v M365
* Bude vyžadováno vždy v případě rizikového nebo podezřelého chování uživatele
* Bude vyžadováno průběžně pro všechny uživatele JU v případě nutnosti ověření (zaměstnanci, studenti)


== 2.1 Co je registrace sekundárního ověření  MFA? ==
== 2 Registrace sekundárního ověření MFA ==
 
=== 2.1 Co je registrace sekundárního ověření  MFA? ===
Registrace sekundárního ověření MFA (dále jen registrace) je pouze výběr a nastavení jednoho z možných způsobů sekundárního ověření. Jednotlivé možné způsoby budou podrobně vysvětleny dále.
Registrace sekundárního ověření MFA (dále jen registrace) je pouze výběr a nastavení jednoho z možných způsobů sekundárního ověření. Jednotlivé možné způsoby budou podrobně vysvětleny dále.


== 2.2 Kolik je na registraci MFA času? ==
=== 2.2 Kolik je na registraci MFA času? ===
Registrovat způsob ověření je potřeba po dobu přechodné lhůty tj. 14 dnů od prvního přihlášení od aktivace administrátorem, po uplynutí této přechodné lhůty bude registrace MFA vynucena a bez ní nebude možné se do M365 přihlásit. Například pokud se uživatel přihlásí do M365 až za 30 dnů po aktivaci MFA správce, bude lhůta pro registraci 30 + 14 dnů po aktivaci MFA správcem.
{{Note|type=warn|text=Registrovat způsob ověření je potřeba po dobu přechodné lhůty tj. 14 dnů od prvního přihlášení od aktivace administrátorem, po uplynutí této přechodné lhůty bude registrace MFA vynucena a bez ní nebude možné se do M365 přihlásit.}} Například pokud se uživatel přihlásí do M365 až za 30 dnů po aktivaci MFA správce, bude lhůta pro registraci 30 + 14 dnů po aktivaci MFA správcem.


Pozor, pokud je ověření pomocí MFA z nějakého důvodu vynuceno je potřeba registrovat sekundární způsob ověření ihned a přechodná lhůta není poskytována.
{{Note|type=error|text=Pozor, pokud je ověření pomocí MFA z nějakého důvodu vynuceno je potřeba registrovat sekundární způsob ověření ihned a přechodná lhůta není poskytována.}}


== 2.3 Jak poznám, že se mám registrovat ověřovací metodu MFA? ==
=== 2.3 Jak poznám, že sI mám registrovat ověřovací metodu MFA? ===
Pokud se uživateli po přihlášení objeví následující obrazovka na obrázku vlevo, jedná se o spuštění procesu registrace, který je možné v prvních 14 dnech přeskočit Pokud se zobrazí obrazovka vpravo, nelze již registraci odkládat a musí být provedena okamžitě.
Pokud se uživateli po přihlášení objeví následující obrazovka na obrázku vlevo, jedná se o spuštění procesu registrace, který je možné v prvních 14 dnech přeskočit.
 
Pokud se zobrazí obrazovka vpravo, nelze již registraci odkládat a musí být provedena okamžitě.


[[Soubor:MFA 1.png]]
[[Soubor:MFA 1.png]]


= 3 Způsoby sekundárního ověření =
{{Note|type=error|text=Pokud se vám žádná z těchto dvou obrazovek nezobrazuje, znamená to, že registrace sekundárního ověření není u vás zatím vynucena. Přesto doporučujeme nastavit sekundární ověření v předstihu.<br> [[#4 Návody nastavení sekundárního ověření|'''Pokud chcete přejít ihned k nastavení pokračujte bodem 4.''']]}}
M365 - Azure AD nabízí širokou škálu flexibilních metod vícefaktorového ověřování (MFA) založených na těchto principech:


* '''Něco, co víte''': Heslo, PIN nebo odpověď na bezpečnostní otázku.
== 3 Způsoby sekundárního ověření ==
* '''Něco, co máte''': Fyzický předmět, jako je telefon nebo USB token, který vám poskytne jednorázový kód.
M365 - Azure AD vícefaktorové ověřování (MFA) je založeno na kombinaci těchto způsobů:  
* '''Něco, co jste''': Biometrická data, jako je otisk prstu nebo rozpoznání obličeje.
* Každý uživatel si může zvolit jednu nebo více metod, které mu budou nejvíce vyhovovat. Je jen na uživateli, zda dá přednost zaslání číselného kódu, tak jak je zvyklý například z banky, nebo zda se rozhodne využít pro ověření mobilní aplikaci.
* Velmi doporučujeme registrovat si minimálně dva způsoby ověřování a předejít tak možnému výpadku možnosti ověření. Pokud z nějakého důvodu nebudete schopni přihlášení ověřit kontaktujte nás a my vám pomůžeme.
* Níže naleznete podrobné návody krok za krokem, jak si jednotlivé způsoby ověření přidat při první aktivaci MFA. Další možnosti je možné přidat v nastavení účtu na adrese <nowiki>https://mysignins.microsoft.com/security-info</nowiki>


== 3.1 Základní způsoby sekundárního ověřování ==
* '''Něco, co víte''': většinou je to heslo
* '''Něco, co máte''': nějaký fyzický předmět, jako je telefon nebo USB token, který vám poskytne jednorázový kód.
* '''Něco, co jste''': Biometrická data, jako je otisk prstu nebo rozpoznání obličeje.
 
Každý uživatel si ke způsobu „Něco, co víte“(heslo) bude muset zvolit jednu nebo více metod typu „Něco, co máte“ nebo „Něco, co jste“. Je jen na uživateli, zda dá přednost zaslání číselného kódu formou SMS, tak jak je zvyklý například z banky, nebo zda se rozhodne využít pro ověření mobilní aplikaci.
 
Velmi doporučujeme registrovat si minimálně dva způsoby ověřování a předejít tak možnému výpadku možnosti ověření. Pokud z nějakého důvodu nebudete schopni přihlášení ověřit [[#Kontakt na administrátora|kontaktujte nás]] a my vám pomůžeme.
 
Níže naleznete podrobné návody krok za krokem, jak si jednotlivé způsoby ověření přidat při první aktivaci MFA.
 
{{Šablona:MFA/Další_způsoby_sekundárního_ověření}}
 
=== 3.1 Základní způsoby sekundárního ověřování ===
Jedná se o základní metody, které si může uživatel sám nastavit kdykoli.
Jedná se o základní metody, které si může uživatel sám nastavit kdykoli.


* Microsoft Authenticator 3.4
* [[#4.1 Microsoft Authenticator|Microsoft Authenticator]]
* Ověřovací aplikace generující softwarové tokeny – OATH OTP kódy
* Ověřovací aplikace generující softwarové tokeny – OATH OTP kódy
** Google Authenticator 3.5
** [[#4.2 OATH OTP kód -Google Authenticator|Google Authenticator]]
** Interní nastavení v zařízeních Apple 3.6
** [[#4.3 OATH OTP kód – Interní nastavení Apple zařízení|Interní nastavení v zařízeních Apple]]
** Mnoho dalších aplikací podporujících generování OATH OTP
** Mnoho dalších aplikací podporujících generování OATH OTP
*** Authy 2-Factor Authentication
*** Authy 2-Factor Authentication
Řádek 63: Řádek 73:
*** Sophos Authenticator
*** Sophos Authenticator
*** LastPass Authenticator
*** LastPass Authenticator
* SMS 3.7
* [[#4.4 SMS|SMS]]


== 3.2 Doplňkové způsoby sekundárního ověřování ==
=== 3.2 Doplňkové způsoby sekundárního ověřování ===
Doplňkovou metodu lze v současné době nastavit jako jediné sekundární ověření pouze po dobu přechodné lhůty. Pokud jste tuto lhůtu promeškali nebo vám nebyla poskytnuta je potřeba nejprve registrovat některý ze základních způsobů sekundárního ověření a teprve poté registrovat doplňkovou metodu. Jakoukoli metodu lze kdykoli odstranit.
Doplňkovou metodu lze v současné době nastavit jako jediné sekundární ověření pouze po dobu přechodné lhůty. Pokud jste tuto lhůtu promeškali nebo vám nebyla poskytnuta je potřeba nejprve registrovat některý ze základních způsobů sekundárního ověření a teprve poté registrovat doplňkovou metodu. Jakoukoli metodu lze kdykoli odstranit.
* Klíče zabezpečení tzv. klíčenka s podporou FIDO2
* Klíče zabezpečení tzv. klíčenka s podporou FIDO2
* Windows Hello pro firmy
* Windows Hello pro firmy
 
=== 3.3 Nouzový způsob sekundárního ověření TAP ===
Jedná se o kód s limitovanou platností, o který můžete zažádat pomocí emailu z univerzitní nebo ověřené soukromé emailové adresy zadané v IDM.&nbsp;
 
{{Note|type=reminder|inline=1|O tento kód žádejte pokud si zapomenete zařízení zajišťující sekundární ověření MFA a potřebujete se přihlásit do systémů JU.}}Podrobný návod, jak získat kód s limitovanou platností naleznete [[Microsoft 365/MFA/TAP|zde]].


== 3.3 Nouzový způsob sekundárního ověření ==
=== 3.4 Jaký způsob sekundárního ověření si mám vybrat? ===
Jedná se o kód limitovanou platností na jedno použití, o který můžete zažádat pomocí emailu z univerzitní nebo ověřené soukromé emailové adresy mfa@rt.jcu.cz. Tento kód vám bude zaslán, pokud dojde například ke ztrátě zařízení.
{| class="wikitable"
|+
|Máte chytrý telefon a nebojíte se ho použít?
|Doporučujeme [[Microsoft 365/MFA#4.1 Microsoft Authenticator|Microsoft Authenticator]]
|-
|Máte jen obyčejný tlačítkový telefon?
|Vaší volbou je [[Microsoft 365/MFA#4.4 SMS|SMS]]
|-
|Chcete záložní aplikaci?
|Co třeba [[Microsoft 365/MFA#4.2 OATH OTP kód -Google Authenticator|Google Authenticator]]
|-
|Nechcete zadávat login a heslo?
|Zkuste Security Key s podporou FIDO2
|}
{{Note|type=reminder|text=Pokud si nejste jistí nebo si nevíte si rady, můžeme sekundární ověření pomocí SMS nastavit za vás. Zašlete nám svoje telefonní číslo z univerzitního emailu nebo z vašeho ověřeného soukromého emailu, který máte zadaný v [[IDM - Správa identit, Identity Management|IDM]] ([https://idm.jcu.cz idm.jcu.cz]), na adresu [http://mailto:mfa@rt.jcu.cz mfa@rt.jcu.cz] a my vám tento způsob ověření přidáme za vás.}}


== 3.4 Microsoft Authenticator ==
== 4 Návody nastavení sekundárního ověření ==
{{Note|type=reminder|
# Nejprve se přihlaste do nastavení sekundárního ověření na adrese https://mysignins.microsoft.com/security-info.
# Klikněte tlačítko '''Přidat metodu přihlašování'''.
# Vyberte vámi preferovaný způsob sekundárního ověřování a '''postupujte podle příslušného návodu'''.
<br>
'''Dostupné návody'''<br>
[[#4.1.2 Registrace MFA v Microsoft Authenticator|Microsoft Authenticator]] • [[#4.2.2 Registrace MFA v Google Authenticator|Google Authenticator]] • [[#4.3 OATH OTP kód – Interní nastavení Apple zařízení|Interní nastavení v zařízeních Apple]] • [[#4.4.1 Registrace MFA s využitím SMS zpráv|SMS]]
}}
 
=== 4.1 Microsoft Authenticator ===
[[Soubor:MFA_2_Microsoft_Authenticator.png|vlevo|121x121pixelů]]
[[Soubor:MFA_2_Microsoft_Authenticator.png|vlevo|121x121pixelů]]
Jedná se o aplikaci pro mobilní telefony, tablety nebo jiná zařízení s OS Android nebo iOS přímo od firmy Microsoft. Aplikace uživateli nabídne pohodlný způsob ověření s vysokou mírou zabezpečení, umožňuje ověření pomocí oznámení (doporučeno), ale i pomocí OATH kódu.
Jedná se o aplikaci pro mobilní telefony, tablety nebo jiná zařízení s OS Android nebo iOS přímo od firmy Microsoft. Aplikace uživateli nabídne pohodlný způsob ověření s vysokou mírou zabezpečení, umožňuje ověření pomocí oznámení (doporučeno), ale i pomocí OATH kódu.
Řádek 81: Řádek 120:
Pokud z nějakého důvodu tuto aplikaci nemůžete nebo nechcete použít, naleznete níže i další možnosti.
Pokud z nějakého důvodu tuto aplikaci nemůžete nebo nechcete použít, naleznete níže i další možnosti.


=== 3.4.1 Instalace Microsoft Authenticator ===
==== 4.1.1 Instalace Microsoft Authenticator ====
Pokud jste se rozhodli využít jako způsob ověření tuto aplikaci bude potřeba si ji stáhnout a nainstalovat. Přímo na úvodní obrazovce registrace MFA je možné prokliknout odkaz „Stáhnout hned“.
Pokud jste se rozhodli využít jako způsob ověření tuto aplikaci bude potřeba si ji stáhnout a nainstalovat. Přímo na úvodní obrazovce registrace MFA je možné prokliknout odkaz „Stáhnout hned“.
==== 3.4.1.1 Instalace Microsoft Authenticator z Google Play ====
===== 4.1.1.1 Instalace Microsoft Authenticator z Google Play =====
Instalační balíček pro telefony s operačním systémem Android 6.0 a vyšší naleznete na této adrese:
Instalační balíček pro telefony s operačním systémem Android naleznete na této adrese:


<nowiki>https://play.google.com/store/apps/details?id=com.azure.authenticator</nowiki>
https://play.google.com/store/apps/details?id=com.azure.authenticator


[[Soubor:MFA 4 Android logo.png|150x150pixelů]]
[[Soubor:MFA 4 Android logo.png|150x150pixelů|link=https://play.google.com/store/apps/details?id=com.azure.authenticator]]
[[Soubor:MFA 3 QR.png|150x150pixelů]]
[[Soubor:MFA 3 QR.png|150x150pixelů|link=https://play.google.com/store/apps/details?id=com.azure.authenticator]]


==== 3.4.1.2 Instalace Microsoft Authenticator z App Store ====
===== 4.1.1.2 Instalace Microsoft Authenticator z App Store =====
Instalační balíček pro telefony s operačním systémem iOS 12.0 a vyšší naleznete na této adrese:
Instalační balíček pro telefony s operačním systémem iOS naleznete na této adrese:


<nowiki>https://apps.apple.com/cz/app/microsoft-authenticator/id983156458?l=cs&culture=cs-cz&country=CZ</nowiki>
https://apps.apple.com/cz/app/microsoft-authenticator/id983156458?l=cs&culture=cs-cz&country=CZ


[[Soubor:MFA 5 Apple logo.png|150x150pixelů]][[Soubor:MFA 6 QR Apple.png|150x150pixelů]]
[[Soubor:MFA 5 Apple logo.png|150x150pixelů|link=https://apps.apple.com/cz/app/microsoft-authenticator/id983156458?l=cs&culture=cs-cz&country=CZ]][[Soubor:MFA 6 QR Apple.png|150x150pixelů|link=https://apps.apple.com/cz/app/microsoft-authenticator/id983156458?l=cs&culture=cs-cz&country=CZ]]
 
==== 4.1.2 Registrace MFA v Microsoft Authenticator ====
{{Šablona:MFA/Další_způsoby_sekundárního_ověření}}


=== 3.4.2 Registrace MFA v Microsoft Authenticator ===
Cílem této části je vás krok po kroku provést celým procesem registrace aplikace Microsoft Authenticator. Pro účely tohoto návodu předpokládejme, že přihlašování do M365 probíhá na počítači a ověřovací aplikaci Microsoft Authenticator si instalujete na mobilním telefonu.  
Cílem této části je vás krok po kroku provést celým procesem registrace aplikace Microsoft Authenticator. Pro účely tohoto návodu předpokládejme, že přihlašování do M365 probíhá na počítači a ověřovací aplikaci Microsoft Authenticator si instalujete na mobilním telefonu.  


<gallery>
<gallery>
Soubor:MFA 7 Uvodni obrazovka registrace.png|Pokud máte aplikaci Microsoft Authenticator nainstalovanou klikněte na úvodní obrazovce „Další“. V případě, že aplikaci Microsoft Authenticator ještě nemáte nainstalovanou postupujte podle návodu zde 3.4.1.
Soubor:MFA 7 Uvodni obrazovka registrace.png|Pokud máte aplikaci Microsoft Authenticator nainstalovanou klikněte na úvodní obrazovce „Další“. V případě, že aplikaci Microsoft Authenticator ještě nemáte nainstalovanou postupujte podle návodu [[Microsoft 365/MFA#4.1.1 Instalace Microsoft Authenticator|zde 4.1.1]].
Soubor:MFA 8 Informace o nastavení účtu v M365.png|Na této informativní obrazovce zvolte opět „Další“.
Soubor:MFA 8 Informace o nastavení účtu v M365.png|Na této informativní obrazovce zvolte opět „Další“.
Soubor:MFA 9 Párovací QR kód pro ověřovací aplikaci z M365.png|Na této obrazovce naleznete QR kód pro spárování účtu s aplikací Microsoft Authenticator. '''POZOR tento QR kód s nikým nesdílejte!''' Přestože má tento kód dočasnou platnost, není vhodné jej sdílet.
Soubor:MFA 9 Párovací QR kód pro ověřovací aplikaci z M365.png|Na této obrazovce naleznete QR kód pro spárování účtu s aplikací Microsoft Authenticator. '''POZOR tento QR kód s nikým nesdílejte!''' Přestože má tento kód dočasnou platnost, není vhodné jej sdílet.
Řádek 115: Řádek 156:
</gallery>
</gallery>


== 3.5 OATH OTP kód -Google Authenticator ==
=== 4.2 OATH OTP kód - Google Authenticator ===
[[Soubor:MFA 18 Google Authenticator.png|vlevo|bezrámu|101x101pixelů]]
[[Soubor:MFA 18 Google Authenticator.png|vlevo|bezrámu|101x101pixelů]]
Jedná se o aplikaci pro mobilní telefony, tablety nebo jiná zařízení s OS Android nebo iOS od firmy Google. Aplikace Google Authenticator umožňuje ověřování pomocí tzv. OATH OTP kódů/tokenů s omezenou časovou platností, které mají podobu šestimístného čísla.
Jedná se o aplikaci pro mobilní telefony, tablety nebo jiná zařízení s OS Android nebo iOS od firmy Google. Aplikace Google Authenticator umožňuje ověřování pomocí tzv. OATH OTP kódů/tokenů s omezenou časovou platností, které mají podobu šestimístného čísla.
Řádek 122: Řádek 163:
Pokud z nějakého důvodu tuto aplikaci nemůžete nebo nechcete použít, naleznete níže i další možnosti.
Pokud z nějakého důvodu tuto aplikaci nemůžete nebo nechcete použít, naleznete níže i další možnosti.


=== 3.5.1 Instalace Google Authenticator ===
==== 4.2.1 Instalace Google Authenticator ====
Pokud jste se rozhodli využít jako způsob ověření tuto aplikaci bude potřeba si ji stáhnout a nainstalovat.
Pokud jste se rozhodli využít jako způsob ověření tuto aplikaci bude potřeba si ji stáhnout a nainstalovat.


==== 3.5.1.1 Instalace Google Authenticator z Google Play ====
===== 4.2.1.1 Instalace Google Authenticator z Google Play =====
Instalační balíček pro telefony s operačním systémem Android (verze se liší podle zařízení) naleznete na této adrese:
Instalační balíček pro telefony s operačním systémem Android naleznete na této adrese:


<nowiki>https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2</nowiki>
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2


[[Soubor:MFA_4_Android_logo.png|176x176pixelů]][[Soubor:MFA 19 QR Android Google Authenticator.png|bezrámu|150x150pixelů]]
[[Soubor:MFA_4_Android_logo.png|150x150pixelů|link=https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2]][[Soubor:MFA 19 QR Android Google Authenticator.png|bezrámu|150x150pixelů|link=https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2]]


==== 3.5.1.2 Instalace Google Authenticator z App Store ====
===== 4.2.1.2 Instalace Google Authenticator z App Store =====
Instalační balíček pro telefony s operačním systémem iOS 13.0 a vyšší naleznete na této adrese:
Instalační balíček pro telefony s operačním systémem iOS naleznete na této adrese:


<nowiki>https://apps.apple.com/cz/app/microsoft-authenticator/id983156458?l=cs&culture=cs-cz&country=CZ</nowiki>
[https://apps.apple.com/us/app/google-authenticator/id388497605 https://apps.apple.com/us/app/google-authenticator/id388497605]


[[Soubor:MFA_5_Apple_logo.png|150x150pixelů]][[Soubor:MFA 20 QR Apple Google Authenticator.png|bezrámu|150x150pixelů]]
[[Soubor:MFA_5_Apple_logo.png|150x150pixelů|link=https://apps.apple.com/us/app/google-authenticator/id388497605]][[Soubor:MFA 20 QR Apple Google Authenticator.png|bezrámu|150x150pixelů|link=https://apps.apple.com/us/app/google-authenticator/id388497605]]
 
==== 4.2.2 Registrace MFA v Google Authenticator ====
{{Šablona:MFA/Další_způsoby_sekundárního_ověření}}


=== 3.5.2 Registrace MFA v Google Authenticator ===
Cílem této části je vás krok po kroku provést celým procesem registrace aplikace Google Authenticator. Pro účely tohoto návodu předpokládejme, že přihlašování do M365 probíhá na počítači a ověřovací aplikaci Google Authenticator máte na mobilním telefonu.
Cílem této části je vás krok po kroku provést celým procesem registrace aplikace Google Authenticator. Pro účely tohoto návodu předpokládejme, že přihlašování do M365 probíhá na počítači a ověřovací aplikaci Google Authenticator máte na mobilním telefonu.


Tato část předpokládá, že máte již nainstalovanou aplikaci Google Authenticator na svém mobilním telefonu. V případě, že aplikaci Google Authenticator ještě nemáte nainstalovanou postupujte podle návodu zde 3.5.1.<gallery>
Tato část předpokládá, že máte již nainstalovanou aplikaci Google Authenticator na svém mobilním telefonu. V případě, že aplikaci Google Authenticator ještě nemáte nainstalovanou postupujte podle návodu [[Microsoft 365/MFA#4.2.1 Instalace Google Authenticator|zde 4.2.1]].<gallery>
Soubor:MFA 20 Úvodní obrazovka registrace M365 – volba jiné ověřovací aplikace.png|Na úvodní obrazovce nabízející Microsoft Authenticator klikněte na „CHCI POUŽÍT JINOU OVĚŘOVACÍ APLIKACI“.
Soubor:MFA 20 Úvodní obrazovka registrace M365 – volba jiné ověřovací aplikace.png|Na úvodní obrazovce nabízející Microsoft Authenticator klikněte na „CHCI POUŽÍT JINOU OVĚŘOVACÍ APLIKACI“.
Soubor:MFA 21 Nastavení účtu v ověřovací aplikaci.png|Na této informativní obrazovce zvolte „DALŠÍ“.
Soubor:MFA 21 Nastavení účtu v ověřovací aplikaci.png|Na této informativní obrazovce zvolte „DALŠÍ“.
Řádek 151: Řádek 194:
Soubor:MFA 26 Pokračování po naskenování QR kódu v M365.png|Po naskenování QR kódu mobilním telefonem a propojení aplikace s vaším účtem v M365 klikněte na tlačítko „DALŠÍ“.
Soubor:MFA 26 Pokračování po naskenování QR kódu v M365.png|Po naskenování QR kódu mobilním telefonem a propojení aplikace s vaším účtem v M365 klikněte na tlačítko „DALŠÍ“.
Soubor:MFA 27 První ověřovací použití MFA s pomocí Google Authenticator v M365.png|Na obrazovce se objeví následující sdělení a je očekáváno zadání šestimístného číselného kódu, který naleznete v aplikaci Google Authenticator a stiskněte „Další“.
Soubor:MFA 27 První ověřovací použití MFA s pomocí Google Authenticator v M365.png|Na obrazovce se objeví následující sdělení a je očekáváno zadání šestimístného číselného kódu, který naleznete v aplikaci Google Authenticator a stiskněte „Další“.
Soubor:MFA 28 Informace o úspěšné registraci Google Authenticator pro ověřování přístupu v M365.png|Na obrazovce se objeví následující sdělení a je očekáváno zadání šestimístného číselného kódu, který naleznete v aplikaci Google Authenticator a stiskněte „Další“.
Soubor:MFA 28 Informace o úspěšné registraci Google Authenticator pro ověřování přístupu v M365.png|Následně budete informováni o úspěšném přidání MFA ověřování pomocí Google Authenticator.
</gallery>
</gallery>


== 3.6 OATH OTP kód – Interní nastavení Apple zařízení ==
=== 4.3 OATH OTP kód – Interní nastavení Apple zařízení ===
[[Soubor:MFA_5_Apple_logo.png|vlevo|bezrámu|70x70pixelů]]
[[Soubor:MFA_5_Apple_logo.png|vlevo|bezrámu|70x70pixelů]]
Jedná se interní nastavení zařízení od firmy Apple, které vám umožní používat ověřovací OATH OTP kód bez nutnosti instalovat do vašeho mobilního telefonu nějakou další aplikaci.
Jedná se interní nastavení zařízení od firmy Apple, které vám umožní používat ověřovací OATH OTP kód bez nutnosti instalovat do vašeho mobilního telefonu nějakou další aplikaci.


 
{{Šablona:MFA/Další_způsoby_sekundárního_ověření}}


<gallery>
<gallery>
Řádek 173: Řádek 216:
</gallery>
</gallery>


== 3.7 SMS ==
=== 4.4 SMS ===
[[Soubor:MFA_33_SMS.png|vlevo|bezrámu|100x100pixelů]]
[[Soubor:MFA_33_SMS.png|vlevo|bezrámu|100x100pixelů]]
Ověřování pomocí SMS patří mezi ty nejznámější a nejstarší způsoby dvoufázového ověřování. Pro využití tohoto způsobu bude potřeba zadat vaše telefonní číslo, na které vám bude zasílán šestimístný ověřovací číselný kód.
Ověřování pomocí SMS patří mezi ty nejznámější a nejstarší způsoby dvoufázového ověřování. Pro využití tohoto způsobu bude potřeba zadat vaše telefonní číslo, na které vám bude zasílán šestimístný ověřovací číselný kód.


Tento způsob zvolte, pokud nechcete nebo nemůžete z technických důvodů použít pro ověření ověřovací aplikace (3.4, 3.5).
Tento způsob zvolte, pokud nechcete nebo nemůžete z technických důvodů použít pro ověření ověřovací aplikace ([[Microsoft 365/MFA#4.1 Microsoft Authenticator|4.1]], [[Microsoft 365/MFA#4.2 OATH OTP kód -Google Authenticator|4.2]]).


{{Note|type=reminder|text=Pokud si nejste jistí nebo si nevíte si rady, můžeme sekundární ověření pomocí SMS nastavit za vás. Zašlete nám svoje telefonní číslo z univerzitního emailu nebo z vašeho ověřeného soukromého emailu, který máte zadaný v [[IDM - Správa identit, Identity Management|IDM]] ([https://idm.jcu.cz idm.jcu.cz]), na adresu [http://mailto:mfa@rt.jcu.cz mfa@rt.jcu.cz] a my vám tento způsob ověření přidáme za vás.}}
==== 4.4.1 Registrace MFA s využitím SMS zpráv ====
{{Šablona:MFA/Další_způsoby_sekundárního_ověření}}


=== 3.7.1 Registrace MFA s využitím SMS zpráv ===
Cílem této části je vás krok po kroku provést celým procesem registrace MFA s využitím SMS zpráv na mobilním telefonu.
Cílem této části je vás krok po kroku provést celým procesem registrace MFA s využitím SMS zpráv na mobilním telefonu.


Řádek 195: Řádek 242:
Soubor:MFA 43 Informace o úspěšné registraci ověřování pomocí SMS.png|Následně budete informováni o úspěšném přidání MFA ověřování pomocí SMS zaslaných na telefonní číslo, které bude na této obrazovce zobrazeno. Pro dokončení registrace stiskněte tlačítko „HOTOVO“.  
Soubor:MFA 43 Informace o úspěšné registraci ověřování pomocí SMS.png|Následně budete informováni o úspěšném přidání MFA ověřování pomocí SMS zaslaných na telefonní číslo, které bude na této obrazovce zobrazeno. Pro dokončení registrace stiskněte tlačítko „HOTOVO“.  
</gallery>
</gallery>
== Kontakt na administrátora ==
V případě problémů s MFA kontaktujte správce na [mailto:mfa@rt.jcu.cz mfa@rt.jcu.cz].
[[Kategorie:Student]]
[[Kategorie:Zaměstnanec]]
[[Kategorie:MFA]]
[[Kategorie:Microsoft 365]]
[[Kategorie:IT správce]]

Aktuální verze z 18. 11. 2024, 12:31

English

1 Multi Factor Authentication (MFA)

1.1 Co je to MFA?

Zkratka MFA pochází z anglického slovního spojení Multi Factor Authentication. Do češtiny se toto slovní spojení často překládá jako vícefaktorové ověřování nebo vícefaktorová autentizace. MFA jistě znáte například z přihlášení do své banky.

1.2 Jak MFA funguje?

Vícefaktorové ověřování (MFA) přidává do procesu přihlašování další vrstvu ochrany. Při přístupu k účtům nebo aplikacím provádějí uživatelé dodatečné ověření identity, například nasnímají otisk prstu nebo zadají kód, který jim přijde na telefon.

1.3 Proč MFA?

Technologie MFA přináší mnohonásobně vyšší zabezpečení uživatelských účtů a dat proti zcizení a zneužití. Pro případného narušitele je tento způsob zabezpečení často neřešitelným problémem, a i v případě zcizení hesla jsou uživatelský účet a data pro útočníka nedostupné. Z pohledu uživatele se jedná o minimální zásah do jeho práce, přitom zabezpečení uživatelského účtu a dat vzroste několikanásobně.

1.4 MFA na Jihočeské univerzitě

Na JU bude MFA nasazeno při přihlášení do cloudu Microsoft 365 (dále jen M365) a v rámci jednotného přihlášení (SSO) následně i na další služby jako je například Service Desk, spisová služba atd.. MFA je v prostředí M365 zajišťováno pomocí Azure AD. Vzhledem k tomu, že na JU studuje velké množství zahraničních studentů, kteří se do M365 často hlásí z domovských států není možné aplikovat regionální ochranu přístupu do M365 a MFA je jedinou logickou volbou ochrany.

1.4.1 Registrace sekundárního způsobu ověření MFA v prostředí M365

  • Povinná pro všechny studenty i zaměstnance JU
  • Lhůta pro registraci je 14 dnů od prvního přihlášení do M365
  • Po uplynutí lhůty bude registrace vynucena a bez jejího nastavení nebude možné se do M365 a navázaných služeb přihlásit

1.4.2 Ověřování přístupu pomocí MFA v prostředí M365

  • Bude vyžadováno vždy pro správce s jakoukoli přidělenou rolí v M365
  • Bude vyžadováno vždy v případě rizikového nebo podezřelého chování uživatele
  • Bude vyžadováno průběžně pro všechny uživatele JU v případě nutnosti ověření (zaměstnanci, studenti)

2 Registrace sekundárního ověření MFA

2.1 Co je registrace sekundárního ověření  MFA?

Registrace sekundárního ověření MFA (dále jen registrace) je pouze výběr a nastavení jednoho z možných způsobů sekundárního ověření. Jednotlivé možné způsoby budou podrobně vysvětleny dále.

2.2 Kolik je na registraci MFA času?

Registrovat způsob ověření je potřeba po dobu přechodné lhůty tj. 14 dnů od prvního přihlášení od aktivace administrátorem, po uplynutí této přechodné lhůty bude registrace MFA vynucena a bez ní nebude možné se do M365 přihlásit.

Například pokud se uživatel přihlásí do M365 až za 30 dnů po aktivaci MFA správce, bude lhůta pro registraci 30 + 14 dnů po aktivaci MFA správcem.

Pozor, pokud je ověření pomocí MFA z nějakého důvodu vynuceno je potřeba registrovat sekundární způsob ověření ihned a přechodná lhůta není poskytována.

2.3 Jak poznám, že sI mám registrovat ověřovací metodu MFA?

Pokud se uživateli po přihlášení objeví následující obrazovka na obrázku vlevo, jedná se o spuštění procesu registrace, který je možné v prvních 14 dnech přeskočit.

Pokud se zobrazí obrazovka vpravo, nelze již registraci odkládat a musí být provedena okamžitě.

Pokud se vám žádná z těchto dvou obrazovek nezobrazuje, znamená to, že registrace sekundárního ověření není u vás zatím vynucena. Přesto doporučujeme nastavit sekundární ověření v předstihu.
Pokud chcete přejít ihned k nastavení pokračujte bodem 4.

3 Způsoby sekundárního ověření

M365 - Azure AD vícefaktorové ověřování (MFA) je založeno na kombinaci těchto způsobů:

  • Něco, co víte: většinou je to heslo
  • Něco, co máte: nějaký fyzický předmět, jako je telefon nebo USB token, který vám poskytne jednorázový kód.
  • Něco, co jste: Biometrická data, jako je otisk prstu nebo rozpoznání obličeje.

Každý uživatel si ke způsobu „Něco, co víte“(heslo) bude muset zvolit jednu nebo více metod typu „Něco, co máte“ nebo „Něco, co jste“. Je jen na uživateli, zda dá přednost zaslání číselného kódu formou SMS, tak jak je zvyklý například z banky, nebo zda se rozhodne využít pro ověření mobilní aplikaci.

Velmi doporučujeme registrovat si minimálně dva způsoby ověřování a předejít tak možnému výpadku možnosti ověření. Pokud z nějakého důvodu nebudete schopni přihlášení ověřit kontaktujte nás a my vám pomůžeme.

Níže naleznete podrobné návody krok za krokem, jak si jednotlivé způsoby ověření přidat při první aktivaci MFA.

Další způsoby sekundárního ověření je možné přidat v nastavení účtu na adrese https://mysignins.microsoft.com/security-info.
Postupujte dle návodu, který naleznete zde.

3.1 Základní způsoby sekundárního ověřování

Jedná se o základní metody, které si může uživatel sám nastavit kdykoli.

3.2 Doplňkové způsoby sekundárního ověřování

Doplňkovou metodu lze v současné době nastavit jako jediné sekundární ověření pouze po dobu přechodné lhůty. Pokud jste tuto lhůtu promeškali nebo vám nebyla poskytnuta je potřeba nejprve registrovat některý ze základních způsobů sekundárního ověření a teprve poté registrovat doplňkovou metodu. Jakoukoli metodu lze kdykoli odstranit.

  • Klíče zabezpečení tzv. klíčenka s podporou FIDO2
  • Windows Hello pro firmy

3.3 Nouzový způsob sekundárního ověření TAP

Jedná se o kód s limitovanou platností, o který můžete zažádat pomocí emailu z univerzitní nebo ověřené soukromé emailové adresy zadané v IDM. 

O tento kód žádejte pokud si zapomenete zařízení zajišťující sekundární ověření MFA a potřebujete se přihlásit do systémů JU.

Podrobný návod, jak získat kód s limitovanou platností naleznete zde.

3.4 Jaký způsob sekundárního ověření si mám vybrat?

Máte chytrý telefon a nebojíte se ho použít? Doporučujeme Microsoft Authenticator
Máte jen obyčejný tlačítkový telefon? Vaší volbou je SMS
Chcete záložní aplikaci? Co třeba Google Authenticator
Nechcete zadávat login a heslo? Zkuste Security Key s podporou FIDO2
Pokud si nejste jistí nebo si nevíte si rady, můžeme sekundární ověření pomocí SMS nastavit za vás. Zašlete nám svoje telefonní číslo z univerzitního emailu nebo z vašeho ověřeného soukromého emailu, který máte zadaný v IDM (idm.jcu.cz), na adresu mfa@rt.jcu.cz a my vám tento způsob ověření přidáme za vás.

4 Návody nastavení sekundárního ověření

  1. Nejprve se přihlaste do nastavení sekundárního ověření na adrese https://mysignins.microsoft.com/security-info.
  2. Klikněte tlačítko Přidat metodu přihlašování.
  3. Vyberte vámi preferovaný způsob sekundárního ověřování a postupujte podle příslušného návodu.


Dostupné návody
Microsoft AuthenticatorGoogle AuthenticatorInterní nastavení v zařízeních AppleSMS

4.1 Microsoft Authenticator

Jedná se o aplikaci pro mobilní telefony, tablety nebo jiná zařízení s OS Android nebo iOS přímo od firmy Microsoft. Aplikace uživateli nabídne pohodlný způsob ověření s vysokou mírou zabezpečení, umožňuje ověření pomocí oznámení (doporučeno), ale i pomocí OATH kódu.

Microsoft Authenticator je primární/výchozí způsob ověření pro M365, ale jej použít i pro ověřování přístupu do jiných aplikací a systémů.

Pokud z nějakého důvodu tuto aplikaci nemůžete nebo nechcete použít, naleznete níže i další možnosti.

4.1.1 Instalace Microsoft Authenticator

Pokud jste se rozhodli využít jako způsob ověření tuto aplikaci bude potřeba si ji stáhnout a nainstalovat. Přímo na úvodní obrazovce registrace MFA je možné prokliknout odkaz „Stáhnout hned“.

4.1.1.1 Instalace Microsoft Authenticator z Google Play

Instalační balíček pro telefony s operačním systémem Android naleznete na této adrese:

https://play.google.com/store/apps/details?id=com.azure.authenticator

4.1.1.2 Instalace Microsoft Authenticator z App Store

Instalační balíček pro telefony s operačním systémem iOS naleznete na této adrese:

https://apps.apple.com/cz/app/microsoft-authenticator/id983156458?l=cs&culture=cs-cz&country=CZ

4.1.2 Registrace MFA v Microsoft Authenticator

Další způsoby sekundárního ověření je možné přidat v nastavení účtu na adrese https://mysignins.microsoft.com/security-info.
Postupujte dle návodu, který naleznete zde.

Cílem této části je vás krok po kroku provést celým procesem registrace aplikace Microsoft Authenticator. Pro účely tohoto návodu předpokládejme, že přihlašování do M365 probíhá na počítači a ověřovací aplikaci Microsoft Authenticator si instalujete na mobilním telefonu.

4.2 OATH OTP kód - Google Authenticator

Jedná se o aplikaci pro mobilní telefony, tablety nebo jiná zařízení s OS Android nebo iOS od firmy Google. Aplikace Google Authenticator umožňuje ověřování pomocí tzv. OATH OTP kódů/tokenů s omezenou časovou platností, které mají podobu šestimístného čísla.

Google Authenticator můžete použít i pro ověřování přístupu do jiných aplikací a systémů. Pokud z nějakého důvodu tuto aplikaci nemůžete nebo nechcete použít, naleznete níže i další možnosti.

4.2.1 Instalace Google Authenticator

Pokud jste se rozhodli využít jako způsob ověření tuto aplikaci bude potřeba si ji stáhnout a nainstalovat.

4.2.1.1 Instalace Google Authenticator z Google Play

Instalační balíček pro telefony s operačním systémem Android naleznete na této adrese:

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

4.2.1.2 Instalace Google Authenticator z App Store

Instalační balíček pro telefony s operačním systémem iOS naleznete na této adrese:

https://apps.apple.com/us/app/google-authenticator/id388497605

4.2.2 Registrace MFA v Google Authenticator

Další způsoby sekundárního ověření je možné přidat v nastavení účtu na adrese https://mysignins.microsoft.com/security-info.
Postupujte dle návodu, který naleznete zde.

Cílem této části je vás krok po kroku provést celým procesem registrace aplikace Google Authenticator. Pro účely tohoto návodu předpokládejme, že přihlašování do M365 probíhá na počítači a ověřovací aplikaci Google Authenticator máte na mobilním telefonu.

Tato část předpokládá, že máte již nainstalovanou aplikaci Google Authenticator na svém mobilním telefonu. V případě, že aplikaci Google Authenticator ještě nemáte nainstalovanou postupujte podle návodu zde 4.2.1.

4.3 OATH OTP kód – Interní nastavení Apple zařízení

Jedná se interní nastavení zařízení od firmy Apple, které vám umožní používat ověřovací OATH OTP kód bez nutnosti instalovat do vašeho mobilního telefonu nějakou další aplikaci.

Další způsoby sekundárního ověření je možné přidat v nastavení účtu na adrese https://mysignins.microsoft.com/security-info.
Postupujte dle návodu, který naleznete zde.

4.4 SMS

Ověřování pomocí SMS patří mezi ty nejznámější a nejstarší způsoby dvoufázového ověřování. Pro využití tohoto způsobu bude potřeba zadat vaše telefonní číslo, na které vám bude zasílán šestimístný ověřovací číselný kód.

Tento způsob zvolte, pokud nechcete nebo nemůžete z technických důvodů použít pro ověření ověřovací aplikace (4.1, 4.2).

Pokud si nejste jistí nebo si nevíte si rady, můžeme sekundární ověření pomocí SMS nastavit za vás. Zašlete nám svoje telefonní číslo z univerzitního emailu nebo z vašeho ověřeného soukromého emailu, který máte zadaný v IDM (idm.jcu.cz), na adresu mfa@rt.jcu.cz a my vám tento způsob ověření přidáme za vás.


4.4.1 Registrace MFA s využitím SMS zpráv

Další způsoby sekundárního ověření je možné přidat v nastavení účtu na adrese https://mysignins.microsoft.com/security-info.
Postupujte dle návodu, který naleznete zde.

Cílem této části je vás krok po kroku provést celým procesem registrace MFA s využitím SMS zpráv na mobilním telefonu.

Kontakt na administrátora

V případě problémů s MFA kontaktujte správce na mfa@rt.jcu.cz.