Microsoft Entra ID w firmie – konfiguracja tożsamości krok po kroku

Czym jest Microsoft Entra ID – nie tylko logowanie do chmury

Microsoft Entra ID (do 2023 roku znane jako Azure Active Directory) to usługa zarządzania tożsamością i dostępem (Identity and Access Management – IAM) w chmurze Microsoft. Każda firma, która zakupiła Microsoft 365, korzysta z Entra ID – niezależnie od tego, czy jest tego świadoma.

W praktyce Entra ID kontroluje:

• Kto może się zalogować do Microsoft 365, Teams, SharePoint, Exchange i aplikacji firmowych
• Z jakich urządzeń i lokalizacji dozwolone jest logowanie
• Które aplikacje zewnętrzne mają dostęp do danych organizacji
• Jakie uprawnienia ma każdy użytkownik i administrator
• Kiedy wymagane jest dodatkowe uwierzytelnienie (MFA)

Entra ID to nie tylko rejestr kont pracowniczych – to centralny punkt kontroli bezpieczeństwa całego środowiska Microsoft 365. Błędna konfiguracja lub jej brak przekłada się bezpośrednio na ryzyko przejęcia kont, wycieku danych i naruszenia zgodności z RODO. Dlatego warto poświęcić kilka godzin na świadome uruchomienie tej usługi, zamiast polegać na ustawieniach domyślnych.

Pierwsze kroki – audyt stanu wyjściowego

Zanim cokolwiek zmienisz, sprawdź aktualny stan środowiska. Otwórz panel administracyjny pod adresem entra.microsoft.com i przejrzyj poniższe obszary:

1. Użytkownicy i konta – przejdź do sekcji Użytkownicy > Wszyscy użytkownicy. Sprawdź, ile kont jest aktywnych, ile ma przypisane licencje, a ile to konta gości (typ Guest). Konta pracowników, którzy odeszli z firmy, powinny być natychmiast dezaktywowane lub usunięte.
2. Role administratorów – w sekcji Role i administratorzy sprawdź, kto posiada rolę Administratora globalnego. Powinna ją mieć maksymalnie 2–3 osoby. Im mniej kont uprzywilejowanych, tym mniejsza powierzchnia ataku.
3. Security Defaults – w Właściwości > Zarządzaj ustawieniami domyślnymi zabezpieczeń sprawdź, czy funkcja jest włączona. Jeśli nie używasz jeszcze polityk Conditional Access, Security Defaults powinny być aktywne – to minimum, które warto mieć zawsze włączone.
4. Aplikacje firmowe – w sekcji Aplikacje firmowe przejrzyj, jakie aplikacje zewnętrzne mają autoryzację dostępu do danych organizacji. Usuń te, których nie rozpoznajesz lub które nie są już używane przez pracowników.
5. Metody uwierzytelniania – sprawdź, jakie metody MFA są zarejestrowane i czy wszyscy użytkownicy mają skonfigurowane uwierzytelnianie wieloskładnikowe. Konta bez MFA to otwarte drzwi dla atakujących.

Użytkownicy i grupy – jak to porządnie zorganizować

Prawidłowa organizacja kont i grup to podstawa sprawnego zarządzania dostępem i fundamentem polityki bezpieczeństwa. Kilka zasad, które warto wdrożyć od początku:

Nazewnictwo kont: Przyjmij jednolity schemat – np. imie.nazwisko@domena.pl. Unikaj kont generycznych w stylu biuro@ czy admin@ – są trudne do audytowania i często współdzielone przez kilka osób, co uniemożliwia rozliczalność działań.

Typy grup w Entra ID:

• Grupy zabezpieczeń (Security Groups) – służą do przydzielania uprawnień do zasobów: SharePoint, aplikacji, polityk Conditional Access. Stosuj czytelne nazwy, np. GRP-Ksiegowosc-Dostep-ERP lub GRP-Zarzad-Dostep-Poufne.
• Grupy Microsoft 365 – tworzone automatycznie przy zakładaniu Teamsa lub witryny SharePoint; mają wspólną skrzynkę mailową i kalendarz. Nie używaj ich do zarządzania uprawnieniami IT.
• Grupy dynamiczne (wymaga P1) – automatycznie dodają użytkowników na podstawie atrybutów konta, takich jak dział czy lokalizacja. Idealne dla firm z dużą rotacją pracowników.

Zasada najmniejszego przywileju: Każdy użytkownik powinien mieć dostęp wyłącznie do zasobów niezbędnych do wykonywania swojej pracy. Regularnie – co kwartał – przeglądaj członkostwo w grupach i przypisane role. To zadanie, które łatwo zaniedbać, a konsekwencje bywają poważne.

Konta serwisowe: Aplikacje i skrypty automatyczne nie powinny logować się na kontach zwykłych pracowników. Dla każdej aplikacji utwórz dedykowaną rejestrację aplikacji (App Registration) w Entra ID – otrzyma osobne uprawnienia i własny cykl życia niezależny od pracownika.

Synchronizacja z lokalnym Active Directory – kiedy i jak

Firmy posiadające lokalny serwer z Windows Server Active Directory (on-premises AD) stają przed ważnym pytaniem: zarządzać kontami wyłącznie w chmurze czy zsynchronizować oba środowiska?

Kiedy synchronizacja ma sens:

• Firma ma serwer plików lub aplikacje lokalne wymagające logowania domenowego
• Pracownicy logują się zarówno do zasobów lokalnych, jak i Microsoft 365
• Chcesz mieć jedno źródło prawdy dla wszystkich kont użytkowników

Kiedy wystarczy zarządzanie z chmury:

• Firma działa w 100% w chmurze i nie posiada serwerów lokalnych
• Wszyscy pracownicy korzystają wyłącznie z usług Microsoft 365 i aplikacji SaaS
• Firma dopiero startuje lub właśnie migruje całość infrastruktury do chmury

Do synchronizacji służy narzędzie Microsoft Entra Connect Sync (dawniej Azure AD Connect). Instalujesz je na serwerze lokalnym i konfigurujesz synchronizację jednostronną: z lokalnego AD do Entra ID w chmurze. Typowy model to synchronizacja skrótów haseł (Password Hash Sync) – bezpieczna, prosta i odpowiednia dla większości firm MŚP.

Ważne: Po włączeniu synchronizacji konta użytkowników stają się hybrydowe – zarządzasz nimi z lokalnego AD, a zmiany są automatycznie replikowane do chmury. Nie edytuj tych kont bezpośrednio w portalu Entra ID, bo zmiany zostaną nadpisane przez kolejną synchronizację.

Polityki bezpieczeństwa – od Security Defaults do Conditional Access

Entra ID oferuje kilka warstw ochrony tożsamości. Wybór odpowiedniej zależy od posiadanego planu licencyjnego oraz dojrzałości operacyjnej firmy.

Security Defaults (dostępne we wszystkich planach, w tym Free):

• Wymusza MFA dla wszystkich użytkowników podczas logowania
• Blokuje starsze protokoły uwierzytelniania (Basic Auth), które są podatne na ataki
• Wymaga MFA dla kont administratorów przy każdym logowaniu

Security Defaults włącz, jeśli dopiero zaczynasz i nie masz jeszcze aktywnych polityk Conditional Access. Pamiętaj: Security Defaults i Conditional Access nie mogą działać jednocześnie – po wdrożeniu polityk dostępu warunkowego wyłącz Security Defaults, by uniknąć konfliktów.

Conditional Access (wymaga Entra ID P1 lub Microsoft 365 Business Premium):

• Precyzyjne reguły: jeśli użytkownik loguje się spoza sieci firmowej, wymagaj MFA; jeśli z nieznanego kraju, zablokuj dostęp
• Wymuszanie zgodności urządzeń w integracji z Microsoft Intune
• Ograniczenie dostępu do konkretnych aplikacji lub wrażliwych zasobów

Podstawowe polityki Conditional Access, które warto wdrożyć w pierwszej kolejności:

1. Wymagaj MFA dla wszystkich użytkowników poza zaufaną siecią firmową
2. Zablokuj dostęp z krajów, z których firma nie prowadzi działalności
3. Wymagaj zgodnego urządzenia dla dostępu do danych w SharePoint i Exchange
4. Wymuszaj MFA zawsze dla kont administratorów – absolutnie bez wyjątków

Ochrona haseł (Password Protection): W sekcji Zabezpieczenia > Metody uwierzytelniania > Ochrona haseł skonfiguruj listę zakazanych haseł firmowych – np. nazwę firmy, rok i popularne ciągi znaków. Funkcja działa zarówno w Entra ID, jak i w lokalnym Active Directory po instalacji odpowiedniego agenta.

Monitorowanie i audyt – jak wiedzieć, kto loguje się do Twoich systemów

Entra ID rejestruje szczegółowe logi każdego logowania i każdej zmiany w katalogu. Regularne przeglądanie tych danych pozwala wykryć nieautoryzowany dostęp na długo przed wyrządzeniem poważnych szkód.

Kluczowe źródła informacji w portalu Entra ID:

• Dzienniki logowania (Sign-in logs) – każde logowanie z informacją o użytkowniku, lokalizacji, urządzeniu, aplikacji i wyniku (sukces, błąd, blokada przez MFA). Dostępne w Monitorowanie > Dzienniki logowania. Dane przechowywane są przez 30 dni w planie P1 i P2.
• Dzienniki audytu (Audit logs) – rejestrują zmiany w katalogu: nowe konta, zmiany uprawnień, dodanie aplikacji, resetowania haseł. Niezbędne przy wyjaśnianiu incydentów bezpieczeństwa i spełnianiu wymogów RODO.
• Ryzykowni użytkownicy (Risky users) – w sekcji Ochrona > Ryzykowni użytkownicy Microsoft automatycznie oznacza konta, których aktywność wskazuje na kompromitację – np. logowanie z dwóch krajów jednocześnie lub użycie haseł z publicznych wycieków danych.

Sygnały, na które warto reagować natychmiast:

• Logowania z krajów, w których firma nie ma pracowników ani partnerów
• Duża liczba nieudanych prób logowania do jednego konta – klasyczny atak brute force
• Nieoczekiwane zmiany ról administratorów lub uprawnień aplikacji firmowych
• Logowania poza normalnymi godzinami pracy, szczególnie na kontach uprzywilejowanych

Dla firm potrzebujących proaktywnego monitorowania warto rozważyć integrację Entra ID z Microsoft Sentinel lub zewnętrznym systemem SIEM, który automatycznie generuje alerty i koreluje zdarzenia z wielu źródeł jednocześnie. Więcej o całościowym podejściu do monitoringu przeczytasz w artykule Monitoring IT w firmie – co monitorować i jak zacząć.