Keď preberám nového klienta, prvá vec čo robím je audit Microsoft 365 tenanta. A takmer vždy nájdem rovnaké problémy – nastavenia, ktoré sú vypnuté od prvého dňa a nikto sa o ne nezaujímal. Pritom väčšina z nich je zadarmo súčasťou každej M365 licencie a ich zapnutie trvá maximálne hodinu.
Tu je päť vecí, ktoré by mal mať každý M365 tenant nastavené – bez ohľadu na veľkosť firmy.
1. Multi-Factor Authentication nie je zapnuté pre všetkých
Toto je absolútne číslo jedna. V roku 2025 stále nachádzam firemné M365 tenantov, kde MFA nie je povinné. Stačí ukradnúť jedno heslo – cez phishing, databázový únik alebo jednoduchý brute force – a útočník má plný prístup k firemným emailom, SharePointu, Teams a všetkým dátam.
MFA pridá iba jeden krok navyše: potvrdenie prihlásenia cez telefón. Pre zamestnancov je to pár sekúnd. Pre útočníka je to neprekonateľná bariéra.
Microsoft Entra Admin Center → Overview → Properties → Manage Security Defaults → Enabled
2. Unified Audit Log je vypnutý
Unified Audit Log zaznamenáva všetky aktivity v M365 tenante – kto sa prihlásil, odkiaľ, čo stiahol, čo zmazal, kto komu dal prístup. Bez toho nevieš čo sa v tenante deje. A keď nastane incident, nemáš čo analyzovať.
Videl som prípady kde firma prišla o citlivé dáta a nevedela zistiť ani kedy sa to stalo, ani kto za tým stojí – jednoducho preto, lebo audit logy neboli zapnuté. Záznamy sa nedajú spätne doplniť.
Microsoft Purview Compliance Portal → Audit → Start recording user and admin activity
3. Externé zdieľanie v SharePointe je príliš voľné
Predvolene môžu používatelia SharePointu zdieľať súbory s kýmkoľvek – vrátane ľudí mimo firmy – cez odkaz typu "Anyone with the link". To znamená, že interné dokumenty môžu cirkulovať mimo firmy úplne nekontrolovane a bez záznamu v systéme.
Nestačí len veriť zamestnancom. Ľudia klikajú na "Share" bez toho, aby premýšľali o bezpečnostných dôsledkoch. Politika zdieľania by mala byť nastavená na úrovni správcu, nie ponechaná na rozhodnutie každého jednotlivca.
SharePoint Admin Center → Policies → Sharing → External sharing: "New and existing guests" alebo "Only people in your organization" → Zruš "Anyone with the link"
4. Emailová autentifikácia (SPF, DKIM, DMARC) chýba
Bez správne nastavených DNS záznamov môže ktokoľvek posielať emaily z vašej domény. Útočník pošle faktúru "od vás" vášmu klientovi a ten zaplatí na cudzie číslo účtu. Takýto útok sa volá Business Email Compromise a je jedným z najčastejších a najdrahších kybernetických podvodov.
SPF hovorí: "emaily z mojej domény môžu odchádzať len z týchto serverov". DKIM pridá digitálny podpis. DMARC definuje čo sa má stať s emailom, ktorý tieto podmienky nespĺňa. Spolu tvoria základnú ochranu vašej emailovej identity.
5. Admin účty nie sú oddelené od bežných účtov
Globálny administrátor by nikdy nemal byť zároveň bežný pracovný účet. Prečo? Pretože ak globálny admin klikne na phishing email – čo sa stane aj tým najskúsenejším – útočník získa plný prístup k celej infraštruktúre. Môže vymazať všetky dáta, nastaviť si vlastný prístup, zmeniť heslá ostatným adminom.
Správna prax: každý administrátor má dva účty. Jeden bežný na každodenné používanie (email, Teams, práca). Druhý dedikovaný admin účet bez M365 licencie, bez emailu, ktorý sa používa výhradne na administrátorské úlohy.
Záver: bezpečnosť nie je o rozpočte
Všetkých päť bodov v tomto článku je dostupných v štandardnej M365 licencii. Nevyžadujú žiadne prémium funkcie, žiadne extra investície. Vyžadujú len čas a znalosti na správne nastavenie.
Väčšina firemných bezpečnostných incidentov, ktoré som riešil, by sa dala predísť práve týmito základnými nastaveniami. Nie sofistikovanými útokmi, nie zero-day zraniteľnosťami – len nevypnutým MFA alebo príliš voľným zdieľaním súborov.
Chcete vedieť ako je na tom váš M365 tenant?
Spravím vám bezplatný audit nastavení a ukážem kde sú medzery. Prvá konzultácia je nezáväzná.
Dohodnúť audit →