Conditional Access w Microsoft 365 – konfiguracja krok po kroku

Czym jest Conditional Access i dlaczego warto go wdrożyć?

Conditional Access (Dostęp warunkowy) to mechanizm w Microsoft Entra ID (dawniej Azure Active Directory), który działa według logiki jeśli–to: jeśli użytkownik spełnia określone warunki (sygnały), system wymusza określoną kontrolę dostępu. To coś znacznie potężniejszego niż proste hasło.

Przykłady z życia firmy: jeśli pracownik loguje się z nieznanego urządzenia poza biurem – wymagaj dodatkowego potwierdzenia MFA. Jeśli ktoś próbuje zalogować się z kraju, w którym firma nie prowadzi działalności – zablokuj dostęp. Jeśli konto administratora jest aktywne – wymagaj urządzenia zgodnego z polityką firmową.

Według danych Microsoftu prawidłowo skonfigurowany Conditional Access blokuje ponad 99,9% ataków opartych na przejętych hasłach. Tymczasem większość firm MŚP posiadających Microsoft 365 Business Premium ma dostęp do tej funkcji i po prostu jej nie włącza – zostawiając otwarte drzwi dla atakujących.

Wymagania wstępne – co musisz mieć przed startem?

Zanim przejdziesz do konfiguracji, sprawdź, czy spełniasz poniższe wymagania:

• Licencja: Conditional Access wymaga co najmniej Microsoft 365 Business Premium lub Microsoft Entra ID P1 (zaawansowane funkcje oceny ryzyka wymagają Entra ID P2). Plany Microsoft 365 Business Basic i Standard nie zawierają tej funkcji – sprawdź sekcję Rozliczenia > Twoje produkty w centrum administracyjnym Microsoft 365.
• Rola administratora: Konfiguracją zajmuje się użytkownik z rolą Administrator dostępu warunkowego lub Administrator globalny w Entra ID.
• Skonfigurowane MFA: Przed wdrożeniem polityk upewnij się, że użytkownicy mają zarejestrowane metody uwierzytelniania wieloskładnikowego – aplikację Microsoft Authenticator, klucz FIDO2 lub numer telefonu. Bez tego polityki wymagające MFA zablokują użytkownikom dostęp.
• Konto awaryjne (break-glass): Utwórz co najmniej jedno konto administracyjne wykluczone ze wszystkich polityk CA. Bez niego ryzykujesz trwałą utratą dostępu do całego środowiska w przypadku błędnej konfiguracji. Hasło do tego konta przechowuj wyłącznie offline, w bezpiecznym miejscu.

Konto awaryjne to absolutna podstawa – nie zaczynaj konfiguracji Conditional Access bez jego wcześniejszego utworzenia.

Jak działa logika Conditional Access?

Każda polityka Conditional Access składa się z dwóch elementów: przypisań (warunków) określających, kiedy polityka ma zastosowanie, oraz kontroli dostępu określających, co wtedy następuje.

Sygnały wejściowe (przypisania):

• Użytkownicy i grupy – do kogo polityka ma zastosowanie: wszyscy, wybrane grupy, konkretne role administracyjne.
• Zasoby docelowe – które aplikacje obejmuje: Exchange Online, SharePoint, Teams, wszystkie aplikacje chmurowe lub wybrane.
• Warunki – lokalizacja (zaufane sieci IP, kraje), platforma urządzenia (Windows, iOS, Android, macOS), ryzyko logowania i ryzyko użytkownika, typ aplikacji klienckiej (nowoczesne uwierzytelnianie vs starsze protokoły).

Kontrole dostępu:

• Blokuj dostęp – całkowite uniemożliwienie logowania.
• Udziel dostępu z warunkami – wymagaj MFA, wymagaj urządzenia zgodnego z Intune, wymagaj urządzenia hybrydowo dołączonego do domeny.
• Kontrola sesji – ograniczenia w aplikacji po zalogowaniu, np. brak możliwości pobierania plików na niezarządzanych urządzeniach.

Polityki oceniane są w czasie rzeczywistym podczas każdego logowania. Jeśli logowanie pasuje do warunków wielu polityk jednocześnie, stosowane są kontrole ze wszystkich pasujących polityk łącznie – to ważne przy planowaniu architektury reguł.

Konfiguracja pierwszej polityki – krok po kroku

Poniżej znajdziesz instrukcję wdrożenia jednej z najważniejszych polityk: wymagaj MFA dla wszystkich użytkowników logujących się spoza zaufanej sieci.

1. Otwórz portal Entra – wejdź na entra.microsoft.com i zaloguj się jako administrator.
2. Przejdź do Conditional Access – w lewym menu wybierz Ochrona > Dostęp warunkowy > Zasady.
3. Utwórz nową politykę – kliknij Nowa zasada i nadaj jej czytelną nazwę, np. CA-001: Wymagaj MFA poza biurem.
4. Ustaw przypisania użytkowników – w sekcji Użytkownicy wybierz Wszyscy użytkownicy. W polu Wyklucz dodaj swoje konto awaryjne (break-glass).
5. Wybierz zasoby docelowe – w sekcji Zasoby docelowe wybierz Wszystkie aplikacje chmurowe.
6. Skonfiguruj warunki lokalizacji – w sekcji Warunki > Lokalizacje ustaw Uwzględnij: Dowolna lokalizacja, następnie Wyklucz: Wybrane lokalizacje i wskaż wcześniej zdefiniowaną zaufaną sieć biurową. Zaufaną lokalizację tworzysz przez Nazwane lokalizacje – podajesz publiczny zakres IP biura.
7. Ustaw kontrolę dostępu – w sekcji Udziel zaznacz Wymagaj uwierzytelniania wieloskładnikowego.
8. Włącz tryb Tylko raportowanie – przed aktywacją polityki przestaw stan na Tylko raportowanie. Przez kilka dni obserwuj logi, sprawdzając, czy nie blokujesz przypadkowo właściwych użytkowników.
9. Aktywuj politykę – po weryfikacji przestaw stan na Włączone i kliknij Utwórz.

Tryb Tylko raportowanie to absolutna podstawa przy wdrożeniu. Pozwala zobaczyć symulowane skutki polityki bez faktycznego blokowania użytkowników – nie pomijaj tego kroku.

Najważniejsze polityki Conditional Access dla firm MŚP

Po wdrożeniu pierwszej polityki warto rozbudować ochronę o kolejne reguły. Oto zestaw polityk rekomendowanych dla większości firm MŚP:

• Blokuj starsze protokoły uwierzytelniania – protokoły takie jak IMAP, POP3 czy SMTP AUTH nie obsługują MFA i są głównym wektorem ataków brute force na firmową pocztę. W warunkach aplikacji klienckiej zablokuj typ Inne klienty. To jedno z najważniejszych ustawień bezpieczeństwa.
• Wymagaj MFA dla administratorów zawsze – konta z rolami administracyjnymi powinny wymagać MFA przy każdym logowaniu, niezależnie od lokalizacji. Przejęcie konta admina bez MFA to katastrofa dla całej organizacji.
• Wymagaj zgodnego urządzenia lub MFA – dla użytkowników pracujących na urządzeniach zarządzanych przez Intune możesz wymagać urządzenia zgodnego z polityką jako alternatywy dla MFA. To wygodniejsze dla pracowników biurowych na firmowych komputerach.
• Blokuj dostęp z ryzykownych krajów – jeśli Twoja firma nie prowadzi działalności za granicą, możesz zablokować logowania ze wszystkich krajów poza Polską przez Nazwane lokalizacje > Kraje/regiony.
• Automatyczna reakcja na ryzykowne logowania – jeśli posiadasz licencję Entra ID P2, polityki oparte na ocenie ryzyka (Identity Protection) automatycznie wymagają MFA lub blokują dostęp, gdy system wykryje podejrzane logowanie.

Nie musisz wdrażać wszystkich polityk jednocześnie. Zacznij od blokady starszych protokołów i MFA dla adminów – te dwa kroki mają największy wpływ na bezpieczeństwo i można je wdrożyć nawet w jeden dzień roboczy.

Typowe błędy i dobre praktyki monitorowania

Wdrożenie Conditional Access to nie jest zadanie bez pułapek. Oto najczęstsze błędy, które popełniają firmy:

• Brak konta awaryjnego – to najpoważniejszy błąd. Błędna polityka może zablokować wszystkich administratorów i uniemożliwić dostęp do całego środowiska Microsoft 365. Zawsze twórz konto break-glass wykluczone ze wszystkich polityk, z silnym hasłem przechowywanym offline w sejfie lub kopercie.
• Pomijanie trybu Tylko raportowanie – włączenie polityki od razu w trybie aktywnym to przepis na chaos i zablokowanych użytkowników dzwoniących na pomoc techniczną. Zawsze testuj przez minimum 3–7 dni.
• Zbyt szerokie wykluczenia – każde wykluczone konto lub grupa to potencjalna luka. Minimalizuj liczbę wyjątków i regularnie przeglądaj listę wykluczeń – co kilka miesięcy warto przeprowadzić audyt.
• Brak dokumentacji polityk – stosuj czytelne nazwy (np. CA-001, CA-002) i dokumentuj, co dana polityka robi, kogo obejmuje i dlaczego istnieje. Ułatwia to zarządzanie, audyty i rozwiązywanie problemów.
• Ignorowanie logów logowania – regularnie przeglądaj sekcję Entra ID > Monitorowanie > Dzienniki logowania. Filtry po kodach błędów i politykach CA pozwalają szybko wykryć zarówno nieudane logowania spowodowane przez polityki, jak i próby obejścia zabezpieczeń przez atakujących.

Conditional Access to nie konfiguracja jednorazowa – to żywy element systemu bezpieczeństwa, który wymaga regularnych przeglądów w miarę jak zmienia się środowisko IT, licencje i schemat organizacyjny firmy.