Strona główna » Usługi » Wsparcie pracy zdalnej »

Uwierzytelnianie MFA dla pracowników

Spis treści

Wprowadzenie
Instrukcja
Samodzielna aktywacja/dezaktywacja MFA
Linki do pobrania aplikacji
Reset MFA lub zmiana hasła
Pytania i odpowiedzi
Polityka prywatności dla logowania dwuskładnikowego z wykorzystaniem Microsoft Authenticator

Wprowadzenie

W związku ze zmieniającym się otoczeniem zagrożeń w cyberprzestrzeni, pragniemy poinformować o konieczności wdrożenia zabezpieczenia Państwa kont logowaniem dwuskładnikowym do aplikacji chmurowych Microsoft O365, w których znajdują się m.in. Microsoft Teams, Microsoft SharePoint.
Na ten moment zmiana nie obejmuje jeszcze pracowniczych skrzynek pocztowych obsługiwanych przez Centrum Informatyzacji.
Wdrożenie MFA to milowy krok dla naszej Uczelni pod kątem spełnienia wymogów dyrektywy NIS2 i Ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Obowiązek stosowania logowania dwuskładnikowego w usługach chmurowych staje się także domyślnym wymaganiem w konfiguracji środowiska Microsoft.
Usługa logowania dwuskładnikowego (Multi-Factor Authentication) to metoda zabezpieczenia konta, która wymaga od użytkownika potwierdzenia swojej tożsamości przy użyciu dodatkowej metody:
- Podstawowa: aplikacja na urządzeniu mobilnym Microsoft Authenticator (rekomendowana) lub numer telefonu do: jednorazowych kodów SMS, wykonania połączenia telefonicznego (kod podany głosowo);
- Opcjonalna: klucz sprzętowy zabezpieczeń (po podaniu minimum jednej metody podstawowej).
Rekomendujemy ustawienie alternatywnej metody do wcześniej wybranego drugiego składnika logowania.
Są to znane rozwiązania wykorzystywane np. w aplikacjach bankowych w celu ochrony przed nieautoryzowanym dostępem.
Komunikat o logowaniu dwuskładnikowym będzie pojawiał się każdorazowo przy pierwszym logowaniu do usług Microsoft na nowym urządzeniu oraz co 90 dni na wcześniej zalogowanych urządzeniach.

Instrukcja

Pełna instrukcja do skonfigurowania drugiego składnika znajduje się w linku podanym poniżej:

Instrukcja konfiguracji MFA (pdf, 2,08 MB)

Samodzielna aktywacja/dezaktywacja MFA

Zalecamy samodzielne uruchomienie MFA wcześniej w celu swobodnego przetestowania działania usług Microsoft po uruchomieniu MFA przed trwałym wdrożeniem usługi.
Przed aktywacją drugiego składnika zaleca się w pierwszym kroku konfigurację drugiego składnika MFA na stronie https://mysignins.microsoft.com/security-info
Jeżeli nie zostanie skonfigurowany przez użytkownika drugi składnik MFA na koncie, po aktywacji MFA zostaniesz poproszony o jego konfigurację.
Następnie prosimy o skorzystanie z formularza dostępnego pod adresem https://forms.office.com/e/B2jjfjNd7c
Poniżej przedstawiamy proces działania formularza:

Przejdź do aktywacji drugiego składnika MFA, wybierz "Zgadzam się, chcę aktywować MFA", kliknij przycisk "Prześlij/Submit".
Oczekuj na wiadomość email informującą o rozpoczęciu procesu aktywacji MFA.
Po włączeniu MFA oczekuj na wiadomość email informującą o zakończeniu procesu aktywacji MFA. Wiadomość zawiera także możliwość dezaktywacji MFA.
W przypadku skorzystania z opcji dezaktywacji MFA, wybierz "Tak, chcę dezaktywować MFA" oczekuj na wiadomość email informującą o rozpoczęciu procesu dezaktywacji MFA.
Po dezaktywacji MFA na koncie oczekuj na wiadomość email informującą o zakończeniu procesu dezaktywacji MFA. Możesz wrócić do początku procesu aktywacji MFA.
W przypadku chęci zmiany (dodania/usunięcia) drugiego składnika MFA należy zalogować się na stronie: https://mysignins.microsoft.com/security-info
W przypadku problemu z logowaniem przy użyciu MFA należy przejść przez dezaktywację MFA. W celu usunięcia wadliwej konfiguracji (składnika MFA) postępuj zgodnie z punktem 6 lub skontaktuj się z zespołem ServiceDesk.

Linki do pobrania aplikacji

Poniżej można pobrać aplikację Microsoft Authenticator oraz uruchomić ją na urządzeniu:
- Google Android:https://play.google.com/store/apps/details?id=com.azure.authenticator&hl=pl&pli=1
- Apple iOS: https://apps.apple.com/pl/app/microsoft-authenticator/id983156458

Reset MFA lub zmiana hasła

Zmiany skonfigurowanych składników można dokonać poprzez stronę: https://mysignins.microsoft.com/security-info
Jeśli użytkownik pamięta swoje hasło może dokonać jego zmiany poprzez stronę: https://passwordreset.pw.edu.pl
W razie potrzeby zmiany hasła lub resetu MFA prosimy o kontakt użytkownika z zespołem ServiceDesk telefonicznie lub osobiście. Prosimy przygotować, w celu weryfikacji tożsamości:
- numer SAP,
- cztery ostatnie cyfry numeru PESEL,
- numer telefonu komórkowego,
- lub osobiście z dokumentem tożsamości (dowód osobisty, paszport, prawo jazdy, legitymacja pracownicza).

Pytania i odpowiedzi

Błąd "Upłynął limit czasu rejestracji wystawcy uwierzytelnienia"

Podczas dodawania urządzenia poprzez aplikację Microsoft Authenticator na urządzeniu mobilnym po zeskanowaniu kodu QR do aplikacji na stronie Microsoft pojawia się komunikat o błędzie "Upłynął limit czasu rejestracji wystawcy uwierzytelnienia. Wybierz pozycję "Dalej" aby spróbować ponownie."
Przycisk "Dalej" jednak nie występuje:
Należy zamknąć okno konfiguracji i wrócić do strony https://mysignins.microsoft.com/security-info.
Jeśli na liście urządzeń do logowania dwuskładnikowego pojawia się użytkowany telefon, oznacza to, że pomimo błędu procedura została zakończona pomyślnie.
W przeciwnym wypadku należy rozpocząć ponownie dodawanie urządzenia klikając na przycisk "Dodaj metodę logowania", a następnie "Aplikacja uwierzytelnienia" lub wybierając inną metodę do autoryzacji np. telefon.
Warto nadmienić, że czas na zeskanowanie kodu QR jest ograniczony, co może powodować wspomniany komunikat o błędzie.
Dlatego po otwarciu strony https://mysignins.microsoft.com/security-info zaleca się niezwłoczne skonfigurowanie drugiego składnika logowania.

Czy można skonfigurować drugi numer telefonu do odbioru kodów SMS?

Skonfigurowanie alternatywnego numeru telefonu jest możliwe tylko wykonywania połączeń jeśli wcześniej wybrano opcję autoryzacji za pomocą SMS.
Nie jest możliwe ustawienie drugiego numeru telefonu do otrzymywania kodów SMS, w takim przypadku kreator nie pozwoli na wybranie innej opcji niż wykonywania połączeń na wybrany numer (jak na zrzucie ekranu poniżej).
To rozwiązanie może być również wykorzystywane jako alternatywna opcja (np. w przypadku telefonów biurowych).

Trzymanie sesji w aplikacjach chmurowych w ujęciu logowania MFA

Podczas logowania do aplikacji (np. MS Teams) zostaniesz poproszony o zalogowanie hasłem oraz drugim składnikiem.
Wylogowanie się z aplikacji (np. MS Teams) spowoduje, że przy ponownym logowaniu poprosi o podanie hasła oraz drugiego składnika.
Zamknięcie aplikacji (np. MS Teams) i ponownie jej uruchomienie bez wylogowania trzyma sesję przez 90 dni.
Podobna sytuacja jest w przypadku używania przeglądarek internetowych w połączeniu z aplikacjami online.
W przeglądarce sesje są pamiętane do momentu usunięcia ciasteczek lub danych witryn, ustawionej silniejszej ochrony, czy nowe prywatne okno. Dla przykładu ustawienia, które mogą wyczyścić sesję w programie Mozilla Firefox:
- Ustawienia > Prywatność i bezpieczeństwo > Prywatność > Ścisła:
- Ustawienia > Prywatność i bezpieczeństwo > Ciasteczka i dane witryn > Usuwanie ciasteczek i danych witryn podczas zamykania przeglądarki Firefox:
- Ustawienia > Prywatność i bezpieczeństwo > Historia > nie będzie zachowywał historii:

Informacje kontaktowe

W przypadku innych pytań lub wątpliwości zachęcamy Państwa do kontaktu:

ServiceDesk, tel.: 22 234 5999, email: 5999@pw.edu.pl

ul. Noakowskiego 18/20, klatka C, pokój 8, 00-668 Warszawa

Polityka prywatności dla logowania dwuskładnikowego z wykorzystaniem Microsoft Authenticator

Logowanie dwuskładnikowe (MFA) wprowadza dodatkowy poziom bezpieczeństwa na etapie uzyskiwania dostępu do usług chmurowych Microsoft z wykorzystaniem kont w domenie @pw.edu.pl. Stanowi ono dodatkowe zabezpieczenie przed nieuprawnionym dostępem.
Informacje gromadzone przez Politechnikę Warszawską w czasie uwierzytelnienia MFA gromadzone są wyłącznie w celu realizacji tego procesu i dostępne są wyłącznie osobom administrującym lub monitorującym system logowania.
W celu realizacji procesu logowania dwuskładnikowego Politechnika Warszawska wykorzystuje aplikację Microsoft Authenticator i Microsoft Azure MFA.
Logowanie do usług chmurowych Micrsoft (np. MS Teams, Sharepoint Online) wymagać będzie użycia aplikacji autentykatora działającej na służbowym lub prywatnym urządzeniu mobilnym.
Poprzez wykorzystanie aplikacji Microsoft Authenticator działającej na urządzeniu użytkownika Politechnika Warszawska gromadzi następujące dane osobowe:
- imię i nazwisko;
- identyfikator logowania (adres email);
- nazwę urządzenia;
- typ urządzenia.
W celu wykrycia prób nieuprawnionego dostępu, aplikacja przekazuje systemowi logowania informacje o lokalizacji urządzenia, lecz jedynie nazwa kraju jest rejestrowana. Nie są rejestrowane dokładne koordynaty lokalizacji urządzenia.
Dane osobowe gromadzone przez aplikację Microsoft Authenticator są przetwarzane przez system logowania Microsoft Azure MFA w imieniu Politechniki Warszawskiej i w związku z tym mogą być przetwarzane poza siedzibą Uczelni.
W zakresie przetwarzania danych osobowych firma Microsoft, będąc związanym umową powierzenia danych osobowych, może przetwarzać dane osobowe wyłącznie w celu świadczenia usług na rzecz Politechniki Warszawskiej.
Podanie ww. danych osobowych w procesie instalacji, rejestracji i korzystania z aplikacji Microsoft Authenticator na urządzeniu służbowym lub prywatnym jest dobrowolne, zaś w przypadku braku takiej zgody użytkownik zobowiązany jest zastosować alternatywny sposób logowania dwuskładnikowego w celu uzyskania dostępu do zasobów i usług chronionych MFA.

Powrót do spisu treści

Utworzono 06.11.2024 11:17

Zmodyfikowany 02.12.2024 16:00