Microsoft 365: 7 bezpečnostních nastavení k prověření
Conditional Access, blokování legacy auth, DMARC, audit log. Sedm nastavení Microsoft 365, která bývají nejčastější mezerou ve firemním tenantu.
Microsoft 365 default tenant je optimalizovaný pro rychlé zprovoznění, ne pro bezpečnost. Sedm nastavení v tomto článku vychází z CIS Microsoft 365 Foundations Benchmark ↗ a doporučení Microsoft Secure Score. Zároveň jde o oblasti, kde naše Entra healthcheck reporty nejčastěji odhalují mezery i u firem, které věří, že na M365 mají „pořádek“.
Proč právě tato sedmička?
Existuje přes sto kontrol, které lze v M365 tenantu zlepšovat. Tato sedmička je výběr s nejlepším poměrem dopadu k pracnosti. Pokrývá tři vrstvy:
- Identita: kdo se může přihlásit a s jakými právy
- Email a kolaborace: jak se k uživateli dostane škodlivý obsah
- Detekce: jestli a jak rychle si všimnete, že se něco stalo
Žádná z vrstev sama nestačí, ale každá je samostatně řešitelná v řádu týdnů a má měřitelný dopad. Pokud tenantu spravujete sami a nemáte všech sedm pokryto, máte mezery, které dnes útočníci aktivně zneužívají.
Identita a přístup
1. Conditional Access pro všechny uživatele
Conditional Access (CA) ↗ v Microsoft Entra ID vyhodnocuje při každém přihlášení signály (uživatel, lokace, zařízení, riziko) a podle nich přihlášení povolí, zablokuje nebo si vyžádá další ověření. Bez CA stojí Microsoft 365 prakticky na samotném heslu. MFA bývá k dispozici, ale není centrálně vynucené, a útočník po phishingu hesla má přístup okamžitě. Doporučená baseline: vyžadovat MFA pro všechny uživatele včetně guestů, blokovat přihlášení z neočekávaných zemí a vyžadovat compliant device pro citlivé aplikace.
2. Blokování legacy authentication
Legacy auth jsou protokoly, které neumí MFA: POP, IMAP, SMTP AUTH, Exchange ActiveSync s basic auth. Útočníci je systematicky zneužívají k password spray a credential stuffing útokům, protože MFA samotnou volbou protokolu obejdou. Vypnutí jde přes CA politiku „Block legacy authentication“ nebo přes Authentication Policies v Exchange Online. Před zapnutím spusťte sign-in log report a ověřte, kdo legacy auth ještě používá: typicky multifunkční tiskárny pro scan-to-mail nebo staré IMAP klienty. Migrace zabere 1–3 týdny, ale po jejím dokončení útočná plocha viditelně klesá.
3. PIM pro Global Admin a další privilegované role
Privileged Identity Management (PIM) přepíná admin role z trvale aktivních (standing access) na časově omezené aktivace. Admin si roli aktivuje na 1 až 8 hodin, doloží důvod, projde MFA a po skončení aktivace o roli automaticky přijde. Bez PIM je Global Administrator role dostupná 24/7, takže útočník po úspěšném phishingu má kompletní kontrolu okamžitě. PIM předpokládá Entra ID P2 licenci, ale pokrývá Global Admin, Privileged Role Administrator, User Administrator i další citlivé role. Aktivace s důvodem zároveň generují audit stopu, kterou jinak nemáte.
MFA samotné už útočníky nebrzdí. Conditional Access, blokování legacy auth a PIM jsou tři vrstvy, které spolu reálně ohraničí útočnou plochu identitního perimetru.
Email a kolaborace
4. SPF, DKIM a DMARC
Tři DNS-úrovňové standardy chrání vaši doménu před spoofingem (kdy útočník posílá maily „jako vy“ s vaší doménou ve From). SPF určuje, které servery smí ze jména vaší domény odesílat. DKIM podepisuje hlavičky kryptografickým klíčem. DMARC ↗ navazuje a říká přijímacím serverům, co dělat při neshodě SPF nebo DKIM (kvarantena, reject) a kam reportovat. Cílový stav je DMARC v módu p=reject s alespoň 99 % alignmentem. Implementace probíhá ve fázích (none → quarantine → reject), kompletní nasazení trvá typicky 2 až 4 měsíce na doménu, podle počtu legitimních odesilatelů třetích stran (CRM, marketingová platforma, fakturační systém).
5. Defender for Office 365: Safe Links a Safe Attachments
Defender for Office 365 (komponenta Microsoft 365 E5 nebo samostatný doplněk) přidává dvě hlavní vrstvy nad výchozí EOP. Safe Links přepisuje URL v doručených mailech na proxy, která je v okamžiku kliknutí znovu vyhodnotí, čímž chrání proti time-of-click útokům, kdy se URL po doručení změní z neškodné na malware. Safe Attachments otevírá přílohy v sandboxu před doručením a blokuje ty, které vykazují malware chování, i když nemají známou signaturu. U AI-generovaných phishingových kampaní, které jsme rozebrali v samostatném článku, už čistě signaturová detekce stačí stále méně.
6. External sharing v SharePoint a OneDrive
Výchozí nastavení SharePoint a OneDrive umožňuje sdílení „Anyone with the link“, tedy anonymní přístup bez přihlášení. Pro většinu firem to není akceptovatelné. Doporučená baseline: omezit sdílení na „New and existing guests“ (vyžaduje login externího uživatele přes Entra B2B), vypnout anonymní linky a nastavit expiraci guest účtů na maximálně 30 dnů. Per-site nastavení dovolí výjimky (např. veřejný download centre). Pravidelně audituje guest accounts: typicky firma během 1 až 2 let nasbírá stovky neaktivních guestů, kteří mají dál přístup k dokumentům dlouho po skončení projektu.
Viditelnost a detekce
7. Unified Audit Log a alerting
Microsoft 365 generuje detailní audit log napříč službami: přihlášení, správa rolí, sdílení dokumentů, mail flow i admin akce. Default retence je 180 dnů, lze rozšířit na 1 rok (E5) nebo 10 let (samostatný doplněk Purview Audit Premium). Bez aktivního logu a alertingu nemáte forenzní stopu pro incident response: víte, že někdo data ukradl, ale ne odkud, kdo a kdy. Doporučená baseline: aktivovat Unified Audit Log, nasadit alert policies na vysoko-rizikové události (přiřazení admin role, mass download, podezřelé přihlášení) a exportovat log do SIEM nebo Sentinelu. NIS2 i ZoKB očekávají dohledatelnost incidentu, audit log je primární důkaz.
Souhrnná kontrolní tabulka
| # | Nastavení | Co řeší | Min. licence | Implementace |
|---|---|---|---|---|
| 1 | Conditional Access (MFA, geofence) | Phishing hesla, neoprávněné přihlášení | Entra ID P1 | 1–2 týdny |
| 2 | Blokování legacy auth | Password spray, credential stuffing | Entra ID P1 / EXO | 1–3 týdny (nutný audit) |
| 3 | PIM pro admin role | Standing privilege exposure | Entra ID P2 | 2–4 týdny |
| 4 | SPF, DKIM, DMARC (p=reject) | Spoofing vaší domény | Žádná licence (DNS) | 2–4 měsíce |
| 5 | Safe Links + Safe Attachments | Phishing URL, malware v příloze | Defender for Office 365 | 1 týden |
| 6 | Pravidla pro external sharing | Únik dat z OneDrive a SharePoint | Žádná dodatečná | 1–2 týdny |
| 7 | Unified Audit Log + alerting | Forenzní stopa, detekce | Purview / E3+ | 2–3 týdny |
Jak na výsledky navázat?
Pokud na M365 stojí vaše kritické procesy a tato sedmička není pokrytá, doporučujeme začít Microsoft Entra healthcheckem, který do 2 až 3 týdnů zmapuje aktuální stav napříč identitou, conditional access, Exchange a Defender konfigurací. Z výstupu vznikne prioritizovaný plán nápravy. Implementaci pak vedeme buď bodově (jeden konkrétní problém) nebo v rámci cyber security governance jako součást širšího bezpečnostního programu. Pokud zaměstnanci ještě neprošli aktuálním tréninkem moderních phishingových technik, doporučujeme doplnit phishingovou kampaň s reálným měřením připravenosti. Účinnost baseline pak periodicky ověřujte penetračním testem perimetru a klíčových aplikací. Kdy zvolit pentest a kdy stačí skenování zranitelností, jsme rozebrali v samostatném článku. Souvislost mezi M365 baseline a regulačními povinnostmi (NIS2, ZoKB) jsme rozebrali v článku o povinnostech NIS2.
