V dnešním díle téhle obsáhlé kuchařky se podíváme na zabezpečení uživatelů nebo tedy lépe řečeno jejich účtů. Protože za ně vystupovat nemůžete a stát za zády jim také nemůžete, tak je dobré je nějak chránit, většinou hlavně před nimi samotnými.
První věc, na kterou se podíváme je nastavení Authentication methods. Zde povolíme všechny silné metody autentifikace (Email OTP samozřejmě používat můžete, ale já ho osobně nemusím). Nezapomeňte si přidat všechny stávající FIDO2 klíče, které používáte do nastavení FIDO2.
Další, na co se podíváme je Password Protection. Toto je velmi zajímavá věc, která vám umožňuje nastavit list zablokovaných hesel, můžete jich mít až 1000, velká a malá písmena se nezohledňují a rovnou blokuje substituce jako je 0 za o nebo 5 za s. Toto vám umožňuje vyhnout se velké části slovníkových útoků. Abyste se neupsali, tak na vygenerování hesel, které zakážete použijte ChatGPT. (ChatGPT dotaz pro inspiraci: Ahoj snažím se zabezpečit svoji firmu pomocí Password protection v Microsoft Entra ID. Budu od tebe potřebovat pomoct vygenerovat list 1000 jednoduchých hesel, které by lidé mohli v mojí firmě „Jméno firmy“ použít. Lokalizuj tyto hesla pro Českou republiku, neřeš velká a malá písmena a substituce).
Pozor na Enable password protection on Windows Server Active Directory je možné, že bude kolidovat s Group policy v AD. Nemělo by, ale Windows se občas zblázní.
A pro dnešek se na závěr podíváme na Authentication strengths a rovnou si jednu vytvoříme, tu potom použijeme na připojování zařízení do systému Entra ID. Otevřete si Authentication methods | Authentication strengths v Entra admin portálu a klikněte na New authentication strength. Potom vyberte Temporary Access Pass (one time i multi-use jsou v pohodě, jde spíš o preferenci). Pak už stačí dát jen vytvořit a máte to!