Heslo zná dnes kdekdo – a bohužel často i útočník. Uniklá databáze přihlašovacích údajů, povedený phishing nebo prosté „mám stejné heslo všude“ stačí k tomu, aby se do firemního Microsoft 365 dostal někdo cizí. Podmíněný přístup (anglicky Conditional Access) je přesně ta vrstva, která tomu zabrání: nestaví na tom, že někdo zná heslo, ale na tom, kdo se přihlašuje, odkud a z jakého zařízení.

Dobrá zpráva pro malé firmy je, že pokud používáte Microsoft 365 v plánu Business Premium, máte podmíněný přístup k dispozici a stačí ho jen správně nastavit. V tomto průvodci vysvětlíme, co podmíněný přístup v Microsoft 365 je, jak funguje, jaké politiky se vyplatí zapnout jako první a jak se vyhnout typickým chybám. Vycházíme z praxe nasazování zabezpečení Microsoft 365 u pražských malých a středních firem.

Co je podmíněný přístup (Conditional Access)

Podmíněný přístup je bezpečnostní funkce Microsoft Entra ID (dříve Azure AD), která rozhoduje, za jakých podmínek smí uživatel získat přístup k firemním aplikacím a datům. Funguje na jednoduchém principu „pokud–pak“: pokud jsou splněné určité podmínky, pak systém přihlášení povolí, podmíní dalším ověřením, nebo zablokuje.

Místo toho, aby bylo heslo jedinou bránou do firmy, posuzuje podmíněný přístup celý kontext přihlášení. Zaměstnanci v kanceláři na firemním notebooku přihlášení usnadní, zatímco u pokusu o přihlášení z neznámého zařízení v zahraničí uprostřed noci vyžádá další ověření – nebo ho rovnou odmítne. Je to digitální obdoba ostrahy, která nehlídá jen klíč, ale i to, kdo s ním přichází a jak se chová.

Proč samotné heslo a ani MFA nestačí

Vícefaktorové ověření (MFA) je dnes základ a podle dat Microsoftu zablokuje drtivou většinu útoků na účty. Přesto má svoje slepá místa: útočníci umí přihlašovací kódy vylákat phishingem, „unavit“ uživatele opakovanými výzvami (tzv. MFA fatigue), nebo MFA úplně obejít krádeží přihlašovací relace.

Podmíněný přístup tahle slabá místa zužuje. Umožňuje například vynutit MFA jen tam, kde to dává smysl, povolit přístup pouze ze spravovaných firemních zařízení nebo zablokovat přihlášení z rizikových zemí. Tím se z jediné brány (heslo) stává vrstvená kontrola, která je jádrem moderního přístupu Zero Trust pro malé firmy – tedy „nikomu nedůvěřuj automaticky, vždy ověřuj“.

Jak podmíněný přístup v Microsoft 365 funguje

Při každém přihlášení Microsoft Entra ID v reálném čase vyhodnotí sadu signálů a porovná je s vašimi pravidly. Celý proces stojí na třech krocích.

Nejdřív systém posbírá signály o přihlášení. Mezi nejdůležitější patří:

• Uživatel nebo skupina – kdo se přihlašuje (např. jednatel, účetní, externista).
• Zařízení – jde o spravovaný firemní počítač, nebo o neznámý soukromý mobil?
• Lokalita – odkud přihlášení přichází podle IP adresy (Česko, zahraničí, firemní síť).
• Aplikace – ke které službě se uživatel hlásí (e-mail, SharePoint, účetní systém).
• Míra rizika – Entra ID umí podle chování označit přihlášení jako rizikové (nemožné cestování, únik hesla z darkwebu).

Následně se signály porovnají s politikou podmíněného přístupu, kterou jste nastavili – například „pokud se kdokoli hlásí mimo firemní síť, vyžaduj MFA“. Nakonec přijde rozhodnutí: přístup se buď povolí, podmíní dalším krokem (MFA, ověření přes passkey, jen spravované zařízení), nebo zcela zablokuje. To vše proběhne během zlomku vteřiny, takže běžný zaměstnanec na firemním notebooku nic nepozná.

Které politiky zapnout jako první

Podmíněný přístup nabízí desítky kombinací, ale malé firmě stačí pro výrazné zvýšení bezpečnosti několik osvědčených pravidel. Doporučujeme začít těmito:

• MFA pro všechny uživatele. Základ základů – vícefaktorové ověření vynucené napříč firmou. Ideálně v kombinaci s odolnějšími metodami, jako je přihlašování bez hesla (passkeys).
• Blokace starých protokolů (legacy authentication). Zastaralé způsoby přihlášení neumí MFA a útočníci je milují. Jejich vypnutí je jeden z nejúčinnějších kroků vůbec.
• Přístup jen ze spravovaných zařízení. Citlivé aplikace zpřístupníte pouze z počítačů, které firma spravuje přes Microsoft Intune.
• Omezení podle lokality. Přihlášení mimo Česko a okolní země buď zablokujete, nebo podmíníte dalším ověřením.
• Ochrana podle rizika. Při rizikovém přihlášení (únik hesla, neobvyklá lokalita) systém automaticky vyžádá změnu hesla nebo přístup odmítne.

Tyto politiky se navíc skvěle doplňují s ostatními bezpečnostními nástroji Microsoft 365 – identity řeší Microsoft Entra ID, koncová zařízení pak Defender a Intune.

Jakou licenci Microsoft 365 potřebujete

Tohle je nejčastější dotaz, a odpověď je naštěstí přímočará. Plnohodnotný podmíněný přístup je součástí licence Microsoft 365 Business Premium (a vyšších plánů E3/E5). Právě Business Premium je pro malé firmy nejrozumnější volbou – obsahuje totiž kromě podmíněného přístupu i Intune, Defender for Business a další zabezpečení v jednom balíčku.

Pokud máte jen základní plány (Business Basic nebo Standard), máte k dispozici tzv. security defaults – zjednodušenou ochranu, která plošně vynutí MFA, ale neumožní jemné nastavení politik. Pro firmu, která to s bezpečností myslí vážně, se proto vyplatí přejít na Business Premium. Rozdíly mezi plány jsme rozebrali v článku o srovnání Microsoft 365 Business Premium a Standard.

Jak nasadit podmíněný přístup krok za krokem

Nasazení podmíněného přístupu není o jednom velkém zapnutí, ale o postupném a kontrolovaném zavádění. Osvědčil se nám tento postup:

• 1. Zmapujte uživatele a zařízení. Zjistěte, kdo, odkud a z čeho se do firmy hlásí. Bez tohoto přehledu hrozí, že politika někoho neplánovaně zablokuje.
• 2. Zaveďte nouzový („break-glass“) účet. Vytvořte jeden záložní administrátorský účet vyňatý z politik. Ochrání vás před situací, kdy by se chybným pravidlem zamkli ven úplně všichni.
• 3. Testujte v režimu „pouze report“. Každou novou politiku nejdřív spusťte v testovacím režimu, kdy se jen zaznamenává, koho by ovlivnila – ale reálně nic neblokuje.
• 4. Vyhodnoťte dopady. Po pár dnech zkontrolujte logy přihlášení a doladěte výjimky pro legitimní případy (např. účetní systém s pevnou IP).
• 5. Zapněte politiku naostro. Teprve po odladění přepněte pravidlo do ostrého režimu a sledujte, zda vše funguje.
• 6. Pravidelně revidujte. Firma se mění – přibývají lidé, zařízení i aplikace. Politiky proto kontrolujte alespoň každého půl roku.

Časté chyby, kterým se vyhnout

Podmíněný přístup je mocný nástroj, a právě proto se vyplatí znát jeho úskalí. V praxi nejčastěji narážíme na tyto chyby:

• Žádný nouzový účet. Nejnebezpečnější chyba – jedna špatná politika a do firmy se nedostane nikdo, ani správce.
• Zapnutí blokování bez testu. Politika spuštěná rovnou naostro umí během minuty zastavit práci celé firmě.
• Příliš mnoho výjimek. Každá výjimka je díra v ochraně. Udělujte je střídmě a dočasně.
• Nastavit a zapomenout. Bez pravidelné revize politiky zastarají a přestanou odpovídat realitě firmy.

Příklad z praxe: jak podmíněný přístup zachytí útok

Ukažme si to na typickém scénáři, se kterým se u malých firem setkáváme. Účetní v pražské firmě naletí na phishingový e-mail a vyplní své heslo na podvodné stránce. Útočník má teď platné přihlašovací údaje a zkusí se přihlásit do firemního Microsoft 365 – jenže ze serveru kdesi v zahraničí.

Bez podmíněného přístupu by mu stačilo zadat ukradené heslo a je uvnitř. S nastavenou politikou se ale spustí řetězec kontrol: systém zjistí, že přihlášení přichází z neobvyklé lokality, z neznámého a nespravovaného zařízení, a vyhodnotí ho jako rizikové. Podle pravidla proto přístup buď rovnou zablokuje, nebo vyžádá ověření přes MFA či passkey, které útočník nemá. Skutečné účetní mezitím dorazí upozornění, že se někdo pokusil přihlásit – a firma má čas heslo změnit dřív, než dojde ke škodě.

Stejné pravidlo přitom legitimní práci nijak nebrání. Když se účetní přihlásí ráno v kanceláři na firemním notebooku, podmínky jsou splněné a do systému se dostane bez jediného kliknutí navíc.

Podmíněný přístup a home office

Práce z domova a z cest dělá z podmíněného přístupu prakticky nutnost. Hranice firemní sítě dnes nekončí u dveří kanceláře – zaměstnanci se připojují z domácích wifi, z kaváren i z mobilních dat. Právě tady podmíněný přístup vyniká: umožní bezpečný přístup odkudkoli, ale jen za podmínky, že je zařízení důvěryhodné a uživatel se ověří. Firma tak získá flexibilitu home officu bez toho, aby otevřela dveře útočníkům.

Nejste si jistí, jak na podmíněný přístup ve vaší firmě, nebo vůbec netušíte, jak je na tom zabezpečení vašeho Microsoft 365? Ozvěte se nám na bezplatný IT audit nebo zavolejte na 228 222 752 – projdeme spolu vaše prostředí a nastavíme přihlašování tak, aby bylo bezpečné, ale zaměstnance nezdržovalo.

Časté otázky

Co je podmíněný přístup v Microsoft 365 jednoduše řečeno?

Je to sada pravidel, která rozhodují, kdy a za jakých podmínek se uživatel dostane k firemním datům. Pravidlo funguje na principu „pokud platí X, vyžaduj Y“ – třeba „pokud se někdo hlásí mimo firmu, vyžaduj MFA“. Místo aby branou do firmy bylo jen heslo, posuzuje se i zařízení, lokalita a míra rizika.

Jakou licenci pro podmíněný přístup potřebuji?

Plnohodnotný podmíněný přístup je v licenci Microsoft 365 Business Premium (a v plánech E3/E5). Nižší plány (Basic, Standard) nabízejí jen zjednodušené security defaults s plošným MFA, ale bez možnosti detailně nastavovat vlastní politiky.

Nebude podmíněný přístup zaměstnance zdržovat?

Při rozumném nastavení ne. Zaměstnanec na firemním notebooku v kanceláři často nic nepozná. Další ověření se vyžádá jen v rizikových situacích – třeba při přihlášení z nového zařízení nebo ze zahraničí. Klíčem je politiky před spuštěním otestovat v režimu „pouze report“.

Co je nouzový (break-glass) účet a proč ho potřebuji?

Je to záložní administrátorský účet vyňatý z politik podmíněného přístupu. Slouží jako pojistka pro případ, že by chybně nastavené pravidlo zamklo ven všechny ostatní účty včetně správců. Bez něj riskujete úplné uzamčení firmy z vlastního Microsoft 365.

Jak souvisí podmíněný přístup se Zero Trust a MFA?

MFA je jeden z nástrojů, které podmíněný přístup umí vynutit. Samotný podmíněný přístup je pak praktickým motorem strategie Zero Trust – nikomu nedůvěřuje automaticky a každé přihlášení posuzuje podle aktuálního kontextu a rizika.

---

Autor: tým IT Doma – specialisté na správu firemního IT a zabezpečení Microsoft 365 pro malé a střední firmy v Praze a okolí. Zdroje: oficiální dokumentace Microsoft Learn – Podmíněný přístup, přehled běžných politik podmíněného přístupu a doporučení Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).