Często po zakupie licencji Microsoft 365 Basic lub Standard, gdy organizacja dopiero zaczyna swoją przygodę z chmurą, administratorzy nie przywiązują szczególnej wagi do konfiguracji Microsoft Entra. Wiedzą, że takie rozwiązanie istnieje i służy jako dostawca tożsamości dla wszystkich usług chmurowych Microsoftu, jednak wraz z licencjami otrzymali Entra ID w wersji Free (o ograniczonej funkcjonalności), a całość wydaje się skonfigurowana „out of the box”, przechodzą więc od razu do tworzenia użytkowników i grup.
To błąd. Prawdą jest, że Microsoft domyślnie narzuca pewną konfigurację i każdy nowy tenant ma uruchomione tzw. „Security Defaults”, które:
- wymuszają Multi-Factor Authentication (MFA) dla wszystkich użytkowników w organizacji,
- blokują przestarzałe (legacy) protokoły uwierzytelniania (np. POP3, IMAP czy SMTP AUTH).
Niemniej jednak, nawet w darmowej wersji mamy dostęp do ustawień, które warto zmodyfikować, aby jeszcze bardziej podnieść poziom ochrony naszego świeżo utworzonego środowiska.
User settings
Ścieżka w GUI: Microsoft Entra ID > Users > User settings
Ustawienia globalne użytkowników w Microsoft Entra ID pozwalają zdefiniować domyślne uprawnienia dla nowych kont, zasady dostępu dla gości oraz ograniczyć dostęp do panelu administracyjnego dla standardowych użytkowników.
Oto kluczowe parametry, które powinniśmy skonfigurować w pierwszej kolejności:
- Users can register applications (Użytkownicy mogą rejestrować aplikacje) – funkcję tę należy ustawić na „Nie”. Standardowi użytkownicy nie powinni mieć możliwości samodzielnego rejestrowania aplikacji. Wszelkiego rodzaju integracje SSO czy nadawanie uprawnień do API powinny być procesowane i zatwierdzane wyłącznie przez administratorów.
- Restrict non-admin users from creating tenants (Ogranicz tworzenie tenantów przez użytkowników niebędących administratorami) – ustawiamy na „Tak”. Tworzenie nowych tenantów (środowisk) to krytyczna operacja, która powinna pozostawać pod całkowitą kontrolą działu IT.
- Users can create security groups (Użytkownicy mogą tworzyć grupy bezpieczeństwa) – ustawiamy na „Nie”. Grupy bezpieczeństwa służą stricte do zarządzania uprawnieniami i dostępem do zasobów, dlatego ich struktura powinna być kontrolowana przez uprawnione do tego osoby.
- Restrict access to Microsoft Entra admin center (Ogranicz dostęp do centrum administracyjnego Microsoft Entra) – ustawiamy na „Tak”. Nie ma powodu, aby standardowi użytkownicy mogli przeglądać konfigurację tenanta w panelu administracyjnym. Wszystkie operacje niezbędne do codziennej pracy mogą oni wykonać bezpośrednio z poziomu aplikacji, takich jak Microsoft Teams czy SharePoint.
Group settings
Ścieżka w GUI: Microsoft Entra ID > Groups > General
Ustawienia globalne grup określają, w jaki sposób zarządzane są grupy w Twoim tenancie. W większości przypadków domyślna konfiguracja jest wystarczająca, jednak jeśli chcesz jeszcze bardziej „dokręcić śrubę”, możesz ograniczyć możliwość tworzenia Grup Microsoft 365.
Grupy te służą do współpracy – automatycznie tworzą zespół w MS Teams, witrynę w SharePoint oraz mailową grupę dystrybucyjną. Jeśli chcesz mieć pełną kontrolę nad ich powstawaniem, możesz ustawić opcję „Users can create Microsoft 365 groups in Azure portals, API or PowerShell” na „No”.
Kiedy warto to zrobić?
- Duże organizacje: Tutaj warto zachować ostrożność. Całkowita blokada może spowolnić pracę. Lepiej pozostawić tę możliwość Team Leaderom lub Managerom, a samemu skupić się na monitorowaniu i utrzymaniu porządku w środowisku.
- Małe środowiska: Możesz samodzielnie zarządzać tworzeniem grup, dbając o ich nazewnictwo i strukturę.
Device settings
Ścieżka w GUI: Microsoft Entra ID > Devices > Device settings
Ustawienia globalne urządzeń określają zasady, na jakich użytkownicy mogą dołączać swoje sprzęty do organizacji. Pozwalają one również zdefiniować podstawowe uprawnienia lokalne na tych urządzeniach.
Ważna uwaga: Aby w pełni zarządzać bezpieczeństwem końcówek (endpointów) i wymuszać zaawansowane polityki, niezbędna jest licencja na rozwiązanie klasy MDM, takie jak Microsoft Intune.
Zanim przejdziesz do konfiguracji, musisz zrozumieć różnicę między dwoma typami powiązań urządzeń z chmurą:
1. Microsoft Entra ID Joined
To rozwiązanie dedykowane dla komputerów należących do organizacji. Urządzenie jest w pełni zintegrowane z Twoim środowiskiem.
- Logowanie: Użytkownik loguje się do Windowsa danymi służbowymi (e-mail i hasło).
- Kontrola: Możemy wymuszać konfigurację (tzw. baseliny bezpieczeństwa), instalować aplikacje czy blokować porty USB (wymaga Intune).
- SSO (Single Sign-On): Po zalogowaniu do systemu użytkownik ma automatyczny dostęp do wszystkich usług M365 i aplikacji firmowych bez ponownego wpisywania hasła.
- Windows Hello for Business: Możliwość korzystania z biometrii (twarz, odcisk palca) powiązanej bezpośrednio z kontem służbowym.
2. Microsoft Entra ID Registered
Model stosowany głównie w scenariuszach BYOD (Bring Your Own Device), gdy pracownik korzysta z prywatnego sprzętu.
- Logowanie: Użytkownik pracuje na swoim koncie lokalnym lub prywatnym, a konto służbowe służy jedynie do dostępu do aplikacji (Outlook, Teams).
- Prywatność: Organizacja nie ma pełnego wglądu w to, co użytkownik robi na komputerze.
- Bezpieczeństwo: Możemy wymagać jedynie podstawowych parametrów, takich jak szyfrowanie dysku, aby zezwolić na dostęp do danych firmowych.
Sama konfiguracja powinna opierać się na zasadzie ograniczonego zaufania. Oto kluczowe kroki, które warto podjąć:
1. Kto może dołączać urządzenia? (Users may join devices)
Warto ograniczyć tę listę wyłącznie do administratorów (jeśli to IT przygotowuje sprzęt) lub do wybranej grupy pracowników wewnętrznych. Goście nigdy nie powinni mieć możliwości pełnego dołączania urządzeń (Join) – dla ich prywatnych sprzętów zarezerwowana jest jedynie rejestracja (Register).
2. Wymuś MFA (Require MFA to register or join devices)
Zawsze ustawiaj tę opcję na „Yes”. Dzięki temu masz pewność, że tożsamość osoby dołączającej nowy komputer do organizacji została w pełni zweryfikowana drugim składnikiem.
3. Zarządzanie uprawnieniami lokalnymi
To tutaj zapadają najważniejsze decyzje dotyczące bezpieczeństwa endpointów:
- Registering user is added as local administrator on the device during Microsoft Entra join – tę opcję zdecydowanie warto ustawić na „No”. Standardowy użytkownik nie powinien mieć uprawnień administratora na swoim komputerze. Nie chodzi tylko o ryzyko błędów pracownika, ale przede wszystkim o ochronę przed malwarem – złośliwe oprogramowanie uruchomione z prawami admina może przejąć pełną kontrolę nad systemem.
- Wskazówka: Taka zmiana może budzić opór, dlatego warto ją wcześniej dobrze zakomunikować w firmie.
- Global Administrator role is added as local administrator on the device during Microsoft Entra join – ustawienie na „Yes” pozwala Twojemu zespołowi IT na zarządzanie stacjami i pomoc techniczną.
- Enable Microsoft Entra Local Administrator Password Solution (LAPS) – bardzo przydatna funkcja. Pozwala bezpiecznie zarządzać hasłami lokalnych administratorów, przechowywać ich kopie w Entra ID i automatycznie je rotować (resetować).
Consent and permissions for Enterprise apps
Ścieżka w GUI: Enterprise Applications > Consent and permissions
Konfiguracja zgód użytkowników (User Consent) jest kluczowa, ponieważ odpowiada za integrację kont służbowych z zewnętrznymi aplikacjami SaaS (np. narzędziami do zarządzania czasem czy edytorami online).
Domyślnie, jeśli użytkownik wybierze opcję „Zaloguj przez konto Microsoft” i poda e-mail służbowy, Entra ID sprawdzi aplikację w bazie Microsoftu. Jeśli program jest uznany za bezpieczny i zgodny z wymogami (np. RODO/GDPR), użytkownik zostanie zalogowany, a aplikacja otrzyma dostęp do jego danych (np. kalendarza Outlook czy plików).
Dlaczego warto to zmienić? Fakt, że Microsoft uznaje daną aplikację za bezpieczną technicznie, nie oznacza, że Twój dział IT/Security zgadza się na udostępnianie w niej newralgicznych danych firmowych. Aby odzyskać nad tym kontrolę, zalecam zmianę ustawienia User consent for applications na:
„Do not allow user consent. An administrator will be required for all apps”
Dzięki temu użytkownik nie będzie mógł samodzielnie połączyć swojego konta z zewnętrznym oprogramowaniem. Każda próba integracji będzie wymagała akceptacji administratora, co pozwoli na przeprowadzenie procesu weryfikacji zgodnie z polityką bezpieczeństwa Twojej firmy.
Jeśli zablokowałeś użytkownikom możliwość samodzielnego udzielania zgód aplikacjom, musisz dać im oficjalną ścieżkę wnioskowania o taki dostęp. W przeciwnym razie otrzymają oni jedynie suchy komunikat o blokadzie, co wygeneruje niepotrzebne zgłoszenia do helpdesku.
W sekcji Admin consent settings warto skonfigurować następujące opcje:
- Users can request admin consent to apps they are unable to consent to – ustawiamy na „Yes”. Dzięki temu w oknie logowania do zewnętrznej aplikacji pojawi się przycisk pozwalający użytkownikowi wysłać prośbę o zatwierdzenie wraz z uzasadnieniem.
- Who can review admin consent requests – tutaj wskazujemy konkretne osoby (administratorów IT lub zespół Security), które będą miały prawo oceniać i zatwierdzać te zgłoszenia.
- Notifications – warto włączyć powiadomienia e-mail, aby osoby decyzyjne mogły szybko reagować na prośby pracowników.
- Consent request expiration – domyślnie wnioski wygasają po 30 dniach. Jest to optymalny czas, ale w razie potrzeby możesz go zmodyfikować w tym panelu.
Pro-tip: Jeśli Twoja firma korzysta z zewnętrznego systemu zgłoszeniowego (np. Jira lub ServiceNow), możesz zamiast natywnego workflow Entra ID, poinstruować użytkowników w komunikacie, aby tam kierowali swoje prośby. Jednak dla większości organizacji wbudowany mechanizm Microsoftu jest najwygodniejszy. Jeżeli nie skonfigurowaliśmy powiadomień mailowych, requesty na dostęp możemy wyświetlić w Enterprise applications > Admin consent requests.
Authentication methods
Ścieżka w GUI: Microsoft Entra ID > Authentication methods > Policies
W bezpłatnej wersji Microsoft Entra ID nie mamy możliwości konfigurowania zaawansowanych polityk dostępu warunkowego (Conditional Access) czy złożonych workflowów uwierzytelniania. Jak wspomniałem wcześniej, MFA jest tutaj wymuszane domyślnie przez mechanizm Security Defaults.
Możemy jednak zdecydować, które metody autoryzacji udostępnimy naszym użytkownikom spośród szerokiej puli wspieranej przez Microsoft. Najbezpieczniejsze opcje dostępne w wersji darmowej to:
- Passkey (FIDO2) – fizyczne klucze bezpieczeństwa (np. YubiKey) wpinane do portu USB, zapewniające najwyższy poziom ochrony.
- Microsoft Authenticator – aplikacja mobilna pozwalająca na szybkie potwierdzanie tożsamości przy pomocy biometrii lub powiadomień push.
Pamiętaj, że im wyższy pakiet licencyjny (np. Entra ID P1 lub P2), tym szerszy wachlarz metod i większa kontrola nad ich zachowaniem.
Zasada metody pomocniczej Wybierając główny sposób logowania dla pracowników, musimy zadbać o metodę pomocniczą (zapasową). Jest ona niezbędna w przypadku awarii lub utraty dostępu do głównego narzędzia (np. zgubienia telefonu). Warto jednak pamiętać, że w wersji Free niektóre ustawienia są zablokowane do edycji, ponieważ ich bezpieczeństwo gwarantują wspomniane wcześniej ustawienia Security Defaults.wników w przypadku awarii głównej metody. W darmowej wersji nie mozemy tez wyłączyć niektórych metod np. MFA, gdyż są one zarządzane przez „Security defaults”.
External collaboration settings
Ścieżka w GUI: Microsoft Entra ID > External Identities > External collaboration settings
Ostatnim panelem, w którym możemy znacząco podnieść poziom bezpieczeństwa darmowego tenanta, są ustawienia współpracy zewnętrznej. Dotyczą one relacji z zewnętrznymi dostawcami tożsamości, czyli po prostu kont gości w Twojej domenie.
Kluczową zmianą, jaką należy wprowadzić, jest modyfikacja sekcji Guest invite settings. Domyślnie Microsoft Entra ID pozwala standardowym użytkownikom na samodzielne zapraszanie gości. Zdecydowanie zalecam zmianę tego ustawienia na:
„Only users assigned to specific admin roles can invite guest users”
Dlaczego to ważne? Proces zapraszania osób spoza organizacji powinien odbywać się wyłącznie oficjalnymi kanałami, zgodnie z procedurami IT. Choć nowy użytkownik w Entra ID domyślnie nie posiada uprawnień do wykonywania krytycznych działań, pozostawienie furtki do swobodnego zapraszania osób trzecich do tenanta jest niepotrzebnym ryzykiem. Przejęcie kontroli nad tym procesem pozwala na lepszy nadzór nad tym, kto ma dostęp do zasobów Twojej firmy.
