Microsoft 365 dla firmy – bezpieczna konfiguracja krok po kroku

Dlaczego domyślna konfiguracja M365 nie wystarczy?

Wielu administratorów kupuje licencje Microsoft 365, tworzy skrzynki e-mail i uznaje zadanie za wykonane. Tymczasem Microsoft dostarcza dziesiątki funkcji bezpieczeństwa, które domyślnie są wyłączone lub ustawione zbyt liberalnie.

Atakujący nie muszą łamać zabezpieczeń, jeśli drzwi są szeroko otwarte. Najczęstsze problemy w nowo wdrożonych środowiskach M365 to:

• Brak MFA dla wszystkich kont – w tym kont administracyjnych
• Nadmierne uprawnienia – pracownicy mają dostęp do zasobów, których nie potrzebują
• Wyłączone lub nieprzejrzane logi audytowe
• Brak zasad retencji i archiwizacji wiadomości
• Żadna ochrona przed wyciekiem danych (DLP)
• Aplikacje zewnętrzne z szerokim dostępem do tenanta – bez wiedzy administratora

Dobra wiadomość: większość z tych problemów możesz naprawić bez dodatkowych kosztów. Wystarczy wiedzieć, gdzie szukać i w jakiej kolejności działać.

Krok 1: Porządek w kontach, grupach i licencjach

Zacznij od centrum administracyjnego Microsoft 365 pod adresem admin.microsoft.com. To tutaj zarządzasz kontami użytkowników, grupami i przypisanymi licencjami – i to tutaj najczęściej panuje największy bałagan.

Co zrobić w pierwszej kolejności:

1. Usuń lub zablokuj nieaktywne konta – odejście pracownika to moment, kiedy jego konto powinno zostać natychmiast zablokowane. Konto byłego pracownika z aktywną licencją to otwarte drzwi do firmowych danych.
2. Ogranicz liczbę globalnych administratorów – zasada minimalnych uprawnień mówi, że tylko osoby, które naprawdę potrzebują pełnego dostępu, powinny go mieć. Optymalnie: 2–3 konta z rolą Global Admin, używane wyłącznie do zadań administracyjnych.
3. Przypisuj licencje przez grupy – zamiast ręcznie przypisywać licencje każdemu użytkownikowi, użyj grup dynamicznych w Azure AD (Entra ID). Zmniejsza to ryzyko błędów i przyspiesza onboarding nowych pracowników.
4. Przeprowadź audyt licencji co kwartał – w panelu Rozliczenia > Licencje znajdziesz zestawienie wykupionych planów i ich faktycznego wykorzystania. W większości firm ujawnia to kilka nieużywanych licencji, za które firma płaci bez sensu.

Pamiętaj też o kontach współdzielonych (np. recepcja@firma.pl) – powinny mieć ograniczone uprawnienia i nigdy nie powinny służyć do logowania interaktywnego przez zwykłych użytkowników.

Krok 2: MFA i dostęp warunkowy – absolutna podstawa

Włączenie MFA blokuje według danych Microsoftu ponad 99,9% zautomatyzowanych ataków na konta. To nie jest opcja – to obowiązek w każdym środowisku firmowym.

Jak włączyć MFA w M365:

1. Przejdź do Azure Active Directory (Entra ID) > Właściwości > Zarządzaj ustawieniami domyślnymi zabezpieczeń
2. Włącz Security Defaults – to najprostszy sposób na wymuszenie MFA dla wszystkich użytkowników, zalecany dla mniejszych firm bez planu Business Premium
3. Jeśli masz plan Business Premium lub wyższy, skonfiguruj zasady dostępu warunkowego (Conditional Access) – dają znacznie więcej kontroli

Dostęp warunkowy pozwala określić dokładnie, kto, skąd i z jakiego urządzenia może logować się do zasobów firmowych. Warto wdrożyć co najmniej cztery zasady:

• Wymagaj MFA dla wszystkich użytkowników – bez wyjątków, włącznie z administratorami
• Blokuj logowania z ryzykownych lokalizacji – np. krajów, z których Twoja firma nie prowadzi działalności
• Wymagaj zgodnego urządzenia – tylko sprzęt zarejestrowany w Intune może uzyskać dostęp do danych firmowych
• Blokuj starsze protokoły uwierzytelniania – Basic Auth i SMTP Auth to popularne wektory ataku, które warto wyłączyć

Zasady Conditional Access są dostępne w planie Microsoft 365 Business Premium lub wyższym, ewentualnie jako dodatek Azure AD P1.

Krok 3: Ochrona poczty i zapobieganie wyciekom danych (DLP)

Poczta elektroniczna pozostaje w 2026 roku głównym wektorem ataku na firmy. Microsoft 365 oferuje kilka warstw ochrony w ramach Microsoft Defender for Office 365:

• Safe Links – każdy link w wiadomości jest weryfikowany w czasie rzeczywistym, zanim użytkownik go otworzy. Nawet jeśli link był bezpieczny w momencie wysyłki, a potem zmieniono go na złośliwy – Safe Links to wychwyta.
• Safe Attachments – załączniki są otwierane w izolowanym środowisku (tzw. detonation chamber) przed dostarczeniem do skrzynki odbiorczej.
• Anti-phishing policies – ochrona przed podszywaniem się pod domenę firmową, znanych nadawców i ataki spear-phishingowe ukierunkowane na konkretnych pracowników.

Równie ważna jest konfiguracja DLP (Data Loss Prevention) – mechanizmu zapobiegającego wyciekowi wrażliwych danych. W centrum zgodności Microsoft Purview możesz tworzyć zasady, które:

• Wykrywają numery PESEL, dane kart płatniczych lub inne wrażliwe informacje w wiadomościach i plikach
• Blokują wysyłanie takich treści poza organizację lub wymagają zatwierdzenia przez przełożonego
• Generują alert dla administratora przy próbie wycieku danych

Wdrożenie DLP jest szczególnie istotne dla firm przetwarzających dane osobowe – to jedno z narzędzi realnie wspierających zgodność z RODO w codziennej pracy.

Krok 4: Logi audytowe i alerty – wiedz, co się dzieje w Twoim M365

Czy wiesz, kto i kiedy logował się do firmowego Microsoft 365 o 3 w nocy? Kto pobrał 500 plików ze SharePoint? Kto zmienił uprawnienia w Teams? Bez włączonego audytu – nie masz pojęcia, a to poważny problem.

Jak włączyć unified audit log:

1. Przejdź do Microsoft Purview > Rozwiązania > Audyt
2. Kliknij Rozpocznij rejestrowanie aktywności użytkowników i administratorów
3. Logi są przechowywane przez 90 dni w planach standardowych lub do 365 dni w planach Enterprise

Po włączeniu audytu skonfiguruj alerty bezpieczeństwa w Microsoft Defender. Najważniejsze do ustawienia:

• Wielokrotne nieudane próby logowania (np. powyżej 10 prób w ciągu 10 minut)
• Logowanie z nieznanej lokalizacji geograficznej lub nowego urządzenia
• Masowe pobieranie lub usuwanie plików ze SharePoint lub OneDrive
• Zmiana roli globalnego administratora
• Konfiguracja przekierowania poczty na zewnętrzny adres – to szczególnie ważny alert. Atakujący po przejęciu konta bardzo często ustawiają ciche przekierowanie wiadomości, by przez miesiące szpiegować korespondencję bez wiedzy ofiary.

Regularne przeglądanie logów i reagowanie na alerty zamienia M365 z pasywnego narzędzia w aktywną tarczę bezpieczeństwa Twojej firmy.

Typowe błędy przy konfiguracji M365 i jak ich unikać

Konfiguracja Microsoft 365 to nie jednorazowe zadanie – to proces wymagający regularnych przeglądów. Oto najczęstsze błędy, które obserwujemy u klientów NovaSys:

• Ignorowanie Microsoft Secure Score – Microsoft oblicza dla każdej organizacji wynik bezpieczeństwa wraz z konkretnymi rekomendacjami. Znajdziesz go w portalu Microsoft Defender. Warto sprawdzać go co miesiąc i systematycznie wdrażać sugestie.
• Nieaktualne uprawnienia po zmianie struktury firmy – pracownik zmienił dział, ale nadal ma dostęp do plików poprzedniego zespołu. Przegląd uprawnień powinien odbywać się minimum raz na kwartał.
• Zbyt wiele aplikacji zewnętrznych z dostępem do M365 – integracje z narzędziami HR, CRM czy automatyzacji wymagają zgody na dostęp do danych Twojego tenanta. Regularnie przeglądaj listę aplikacji w Entra ID > Aplikacje dla przedsiębiorstw i usuwaj te nieużywane.
• Brak planu reagowania na przejęcie konta – co robisz, gdy konto pracownika zostanie przejęte? Procedura powinna być gotowa zanim dojdzie do incydentu, a nie w jego trakcie.
• Pomijanie ochrony urządzeń mobilnych – smartfony i tablety mają dostęp do firmowej poczty i plików, a często nie są objęte żadną polityką bezpieczeństwa. Wdrożenie Intune rozwiązuje ten problem kompleksowo.

Jeśli nie masz pewności, czy Twoje środowisko M365 jest prawidłowo skonfigurowane, rozważ profesjonalny audyt IT – pozwoli szybko zidentyfikować luki i ustalić priorytety naprawczych działań bez zbędnych kosztów.