Uwierzytelnianie MFA dla pracowników

Wprowadzenie

• Zgodnie z rekomendacją Microsoft oraz wytycznymi dyrektywy NIS2 pragniemy poinformować o konieczności wdrożenia zabezpieczenia Państwa kont logowaniem dwuskładnikowym do aplikacji chmurowych Microsoft 365, w których znajduje się m.in. Microsoft OneDrive oraz Microsoft Teams.
• Usługa logowania dwuskładnikowego (Multi-Factor Authentication) to metoda zabezpieczenia konta, która wymaga od użytkownika potwierdzenia swojej tożsamości przy użyciu dodatkowej metody:
  • Podstawowa: numer telefonu do jednorazowych kodów SMS lub wykonania połączenia telefonicznego (kod podany głosowo) lub aplikacja autoryzująca na urządzeniu mobilnym;
  • Opcjonalna: klucz sprzętowy zabezpieczeń.
• Rekomendujemy ustawienie alternatywnej metody do wcześniej wybranego drugiego składnika logowania.
• Są to znane rozwiązania wykorzystywane np. w aplikacjach bankowych w celu ochrony przed nieautoryzowanym dostępem.
• Komunikat o logowaniu dwuskładnikowym będzie pojawiał się każdorazowo przy pierwszym logowaniu do usług Microsoft na nowym urządzeniu oraz co 90 dni na wcześniej zalogowanych urządzeniach.
• Od 14 lutego 2025 roku zostanie uruchomiona reguła wymagająca skonfigurowanie drugiego składnika logowania na każdym koncie @pw.edu.pl (w tym również konta gości).

Instrukcja

Pełna instrukcja do skonfigurowania drugiego składnika znajduje się w linku podanym poniżej:

Samodzielna aktywacja/dezaktywacja MFA

• Zalecamy samodzielne uruchomienie MFA wcześniej w celu swobodnego przetestowania działania usług Microsoft po uruchomieniu MFA przed trwałym wdrożeniem usługi w dniu 14 lutego 2025.
• Przed aktywacją drugiego składnika zaleca się w pierwszym kroku konfigurację drugiego składnika MFA na stronie https://mysignins.microsoft.com/security-info
• Jeżeli nie zostanie skonfigurowany przez użytkownika drugi składnik MFA na koncie, po aktywacji MFA zostaniesz poproszony o jego konfigurację.
• Następnie prosimy o skorzystanie z formularza dostępnego pod adresem https://forms.office.com/e/B2jjfjNd7c
• Poniżej przedstawiamy proces działania formularza: 

1. Przejdź do aktywacji drugiego składnika MFA, wybierz "Zgadzam się, chcę aktywować MFA", kliknij przycisk "Prześlij/Submit".
2. Oczekuj na wiadomość email informującą o rozpoczęciu procesu aktywacji MFA.
3. Po włączeniu MFA oczekuj na wiadomość email informującą o zakończeniu procesu aktywacji MFA. Wiadomość zawiera także możliwość dezaktywacji MFA.
4. W przypadku skorzystania z opcji dezaktywacji MFA, wybierz "Tak, chcę dezaktywować MFA" oczekuj na wiadomość email informującą o rozpoczęciu procesu dezaktywacji MFA.
5. Po dezaktywacji MFA na koncie oczekuj na wiadomość email informującą o zakończeniu procesu dezaktywacji MFA. Możesz wrócić do początku procesu aktywacji MFA.
6. W przypadku chęci zmiany (dodania/usunięcia) drugiego składnika MFA należy zalogować się na stronie: https://mysignins.microsoft.com/security-info
7. W przypadku problemu z logowaniem przy użyciu MFA należy przejść przez dezaktywację MFA. W celu usunięcia wadliwej konfiguracji (składnika MFA) postępuj zgodnie z punktem 6 lub skontaktuj się z zespołem ServiceDesk.

Linki do pobrania aplikacji

• Poniżej można pobrać aplikację Microsoft Authenticator oraz uruchomić ją na urządzeniu:
  • Google Android:https://play.google.com/store/apps/details?id=com.azure.authenticator&hl=pl&pli=1
  • Apple iOS: https://apps.apple.com/pl/app/microsoft-authenticator/id983156458

Reset MFA lub zmiana hasła

• Zmiany skonfigurowanych składników można dokonać poprzez stronę: https://mysignins.microsoft.com/security-info 
• Jeśli użytkownik pamięta swoje hasło może dokonać jego zmiany poprzez stronę: https://passwordreset.pw.edu.pl
• W razie potrzeby zmiany hasła lub resetu MFA prosimy o kontakt użytkownika z zespołem ServiceDesk telefonicznie lub osobiście. Prosimy przygotować, w celu weryfikacji tożsamości:
  • numer SAP,
  • cztery ostatnie cyfry numeru PESEL,
  • numer telefonu komórkowego,
  • lub osobiście z dokumentem tożsamości (dowód osobisty, paszport, prawo jazdy, legitymacja pracownicza).

Pytania i odpowiedzi

Błąd "Upłynął limit czasu rejestracji wystawcy uwierzytelnienia"

• Podczas dodawania urządzenia poprzez aplikację Microsoft Authenticator na urządzeniu mobilnym po zeskanowaniu kodu QR do aplikacji na stronie Microsoft pojawia się komunikat o błędzie "Upłynął limit czasu rejestracji wystawcy uwierzytelnienia. Wybierz pozycję "Dalej" aby spróbować ponownie."
• Przycisk "Dalej" jednak nie występuje:
• 
• Należy zamknąć okno konfiguracji i wrócić do strony https://mysignins.microsoft.com/security-info.
• Jeśli na liście urządzeń do logowania dwuskładnikowego pojawia się użytkowany telefon, oznacza to, że pomimo błędu procedura została zakończona pomyślnie.
• W przeciwnym wypadku należy rozpocząć ponownie dodawanie urządzenia klikając na przycisk "Dodaj metodę logowania", a następnie "Aplikacja uwierzytelnienia" lub wybierając inną metodę do autoryzacji np. telefon.
• Warto nadmienić, że czas na zeskanowanie kodu QR jest ograniczony, co może powodować wspomniany komunikat o błędzie.
• Dlatego po otwarciu strony https://mysignins.microsoft.com/security-info zaleca się niezwłoczne skonfigurowanie drugiego składnika logowania.

Czy można skonfigurować drugi numer telefonu do odbioru kodów SMS?

• Skonfigurowanie alternatywnego numeru telefonu jest możliwe tylko wykonywania połączeń jeśli wcześniej wybrano opcję autoryzacji za pomocą SMS.
• Nie jest możliwe ustawienie drugiego numeru telefonu do otrzymywania kodów SMS, w takim przypadku kreator nie pozwoli na wybranie innej opcji niż wykonywania połączeń na wybrany numer (jak na zrzucie ekranu poniżej).
• To rozwiązanie może być również wykorzystywane jako alternatywna opcja (np. w przypadku telefonów biurowych).
• 

Trzymanie sesji w aplikacjach chmurowych w ujęciu logowania MFA

• Podczas logowania do aplikacji (np. MS Teams) zostaniesz poproszony o zalogowanie hasłem oraz drugim składnikiem.
• Wylogowanie się z aplikacji (np. MS Teams) spowoduje, że przy ponownym logowaniu poprosi o podanie hasła oraz drugiego składnika.
• Zamknięcie aplikacji (np. MS Teams) i ponownie jej uruchomienie bez wylogowania trzyma sesję przez 90 dni.
• Podobna sytuacja jest w przypadku używania przeglądarek internetowych w połączeniu z aplikacjami online.
• W przeglądarce sesje są pamiętane do momentu usunięcia ciasteczek lub danych witryn, ustawionej silniejszej ochrony, czy nowe prywatne okno. Dla przykładu ustawienia, które mogą wyczyścić sesję w programie Mozilla Firefox:
  • Ustawienia > Prywatność i bezpieczeństwo > Prywatność > Ścisła:
  • 
  • Ustawienia > Prywatność i bezpieczeństwo > Ciasteczka i dane witryn > Usuwanie ciasteczek i danych witryn podczas zamykania przeglądarki Firefox:
  • 
  • Ustawienia > Prywatność i bezpieczeństwo > Historia > nie będzie zachowywał historii:
  • 

Kontakt

W przypadku innych pytań lub wątpliwości zachęcamy Państwa do kontaktu:

ServiceDesk, tel.: 22 234 5999, email: 5999@pw.edu.pl

ul. Noakowskiego 18/20, klatka C, pokój 8, 00-668 Warszawa