Vícefaktorové přihlášení

Přihlášení správců do administrace je možné zabezpečit pomocí vícefaktorového ověření. Správce pak kromě jména a hesla musí pro přihlášení použít i USB klíčenku, FaceID, otisk prstu nebo jiný bezpečnostní prvek.

Vícefaktorové zabezpečení se nastavuje pro jednotlivé správce a jakmile je nastaveno, tak se správce nemůže nijak přihlásit bez dodatečného bezpečnostního prvku, dokud tento režim nevypne hlavní správce.

Způsoby využití

Vícefaktorové přihlášení doporučujeme používat minimálně pro hlavního správce. U ostatních správců pak lze zvolit různé postupy. Můžete například použití nechat zcela dobrovolné a každý správce si může nastavit způsob přihlašování sám. Nebo je možné přiřadit ověřující zařízení spolu s vytvořením účtu a správci zablokovat změny. Také je možné předregistrovat si klíčenky/zařízení předem, distribuovat je mezi středisky a až v případě potřeby je centrálně v administraci přiřadit ke konkrétnímu správci.

Speciální případ pak jsou sdílená zařízení. Můžete přidat ověřující zařízení (třeba klíčenku nebo konkrétní počítač přes Windows Hello) a přiřadit ho k více účtům. Například pro pokladnu na prodejně může být přidělená jedna USB klíčenka zapojená napevno v klávesnici a přidělená ke všem pokladním. Všichni na prodejně se pak ověřují přes jednu klíčenku, ale nemůžou se přihlásit z žádného jiného počítače kromě pokladny.

Podporovaná zařízení

  • USB klíčenky podporující FIDO2 (napříkad Yubikey)
  • NFC klíčenky podporující FIDO2 (napříkad Yubikey)
  • Windows Hello (přihlášení přes PIN, otisk prstu nebo kameru ve Windows)
  • FaceID/TouchID (Apple zařízení)

Aktivace konkrétním správcem

Pokud nemá konkrétní správce zakázáno měnit nastavení vícefaktorového ověření, může si sám bezpečnější ověřování zapnout/vypnout nebo přidat nové zařízení přes menu v pravém horním rohu administrace:

Přidělení hlavním správcem

Hlavní správce může spravovat vícefaktorové ověření v detailu konkrétního správce. Kvůli zabezpečení je při každé změně nastavení vyžadováno heslo hlavního správce - heslo konkrétní správce, kterého právě nastavujete, není potřeba

Centrální správa

Ve výpisu správců na záložce 2FA je možné registrovat zařízení/klíčenky předem a až dodatečně je přiřadit konkrétním správcům. Tento postup lze použít například pokud chcete mít ve firmě zásobu rezervních klíčenek a přidělit je v případě potřeby. Nebo pokud potřebujete jednu klíčenku sdílet mezi více správci.