Jak praví citát od J. M. Jurana: 80 % výsledků vychází z 20 % příčin. Na část z těch 20 % se dneska podíváme. Tato malá a jednoduchá nastavení vám velmi usnadní život a uchrání vás před alespoň nějakou částí útoků, a to bych řekl, že za tak 5–15 min nastavování stojí.
Users can register applications chcete mít vypnuté vždy, krom toho, kdy by vaši uživatelé vytvářeli aplikace v Azure prostředí.
Restrict non-admins users from creating tenants zakazuje uživatelům vytvářet tenanty ve vašem tenantu. Pokud z nějakého důvodu vaši uživatelé potřebují vytvářet podtenanty, tak to asi nechte zapnuté, ale ještě jsem nenašel důvod proč to nechat zapnuté, proto u nás je to vždycky vypnuté.
Users can create security groups by dávalo uživatelům možnost vytvářet security skupiny, které ale, jak jsem vysvětloval minulý týden, jsou spíš pro administraci na admin straně, a proto je zbytečné dávat uživatelům tuto možnost.
Restrict access to Microsoft Entra admin center zajišťuje, že všichni ne administrátoři nemají přistup do admin portálů M365. Tohle je velmi důležité nastavení, protože v krajním případě nepouští útočníka s normálním účtem do těchto portálů, a tím mu nedává přístup k citlivým informacím.
Show keep user signed in toto nastavení zobrazuje uživatelům možnost zaškrtnou „zůstat přihlášen“ okno. Tím se cookie s přihlášením uloží na disk, což může být problematické, kdyby byl počítač zavirovaný.
Nastavení skupin – základní nastavení skupin je velmi jednoduché a asi nepotřebuje vysvětlení, krom vyváření M365 skupin. Když vypnete toto zaškrtávátko, tak uživatelé nebudou schopni vytvářet týmy v Teams, ani jako administrátoři. Jediné, kde bude možné vytvářet týmy bude Teams admin centre
Ta zajímavější pasáž je expirace skupin. Ta může být velmi důležitá, ale také vám může dost uškodit. Hlavní věc je nastavit e-mail kontakt na někoho kdo ve firmě zůstane, ideálně vy samy. Toto nastavení je proto, aby skupiny bez vlastníka po vypršení expirace mohly být obnovené. Normálně přijde e-mail vlastníkovy skupiny o tom, jestli chce obnovit skupinu nebo ne, u skupin bez vlastníka přijde tomuto kontaktu.
Nastavení zařízení – tyto nastavení můžou vypadat v celku otevřeně, ale mám nastavené jiné politiky, které zajišťují, že si do tenanta nemůže přidat zařízení jenom tak někdo. Proto pokud plánujete pokračovat s tímto návodem, tak není potřeba toho moc měnit až na Local administrator settings, kde všechno vypněte. Do počítačů se jako administrátoři dostanete přes workstation admin účty.