Outlook ČZU mě pořád odhlašuje…

Začalo to dotazem:

Dvoufaktorové ověřování uživatelů Office 365

„Ahoj, mám dotaz, neví někdo, co mám udělat pro to, aby mě školní mail furt neodhlašoval a nechtěl furt ten kod přes SMS? Děkuji 🙂“

Po zvýšení zabezpečení uživatelských účtů, které na ČZU proběhlo v průběhu léta 2020 a ze zavedením 2FA (dvoufaktorového ověřování) pro Microsoft Office 365, se tyto dotazy začaly množit. Uživatelé ČZU se nyní přihlašují do e-mailu (a dalších služeb Office 365) dvoufaktorově. Možností, jak to provést je více (podrobněji to popisuje návod). Nejčastější metodou je asi ověřování pomocí SMS.

Potřebujete změnit způsob ověřování?

Pokud si chcete změnit upřednostňovaný způsob ověřování svého účtu, využijte k tomu stránky Microsoftu. (A při přihlašování si vždy kontrolujte, že v prohlížeči máte adresu https://login.microsoftonline.com/. Některé pokusy o podvod jsou založené i na tom, že například prohazují písmena domény – poznáte na následujícím příkazu, že to není správně? Špatně je například https://login.microsoftonlime.com/)

V čem je problém?

Hlavní problém, který uživatelé popisují je v tom, že se do účtu musejí přihlašovat stále dokola. Ne tedy úplně stále, ale prostě v tom, že přihlášení nevydrží dlouho a je potřeba se přihlašovat i několikrát denně. To má sice za následek, že heslo si pak už pamatujete, ale přeci jen, zadávat heslo několikrát denně a opisovat kód z SMSky – to bychom chtěli dělat u bankovní aplikace, ale ne u studentského e-mailu.

To je pohled ze strany uživatelů. Podíváme se na to ještě pohledem správců.

Studentský e-mail je pod doménou @czu.cz. Ano, sice pod @studenti.czu.cz, ale pořád je to doména ČZU. A pokud bude mít student heslo 123, někdo ho uhodne a začne přes něj rozesílat spam, na čí hlavu to půjde? V širším pohledu to vezměte tak, doména se dostane na blacklist a že všechny maily z dané domény začnou ostatním padat do spamu. To není ideální stav. Z toho důvodu potřebujete, aby každý jednotlivý uživatel byl dostatečně zabezpečen a všichni dohromady zůstali důvěryhodní.

Je opravdu potřeba se přihlašovat každý den?

Z jiných běžně používaných systémů něco podobného neznáme. Možná jednou za 14 dnů. Ten týden nebo dva nám přihlášení většinou vydrží. Něco podobného nám ale umožňuje i účet do Office 365:

„Dole pod tim zadanim kodu je neco jako nasledujici dva mesice nevyzadovat kod tak to zaskrtnout a na dva mesice by mel byt klid“

A na tuhle připomínku hned padla odpověď: Jenže to právě nefunguje.

Kde všude se ten problém vyskytuje?

Zeptal jsem se diskutujících, kde všude mají problém. A odpovědi jsou následující:

  • Outlook pro Android
  • Outlook pro iPhone
  • Outlook pro Windows 10
  • Gmail i Samsung Mail
  • Počítač i notebook…
  • Nefunguje přihlašování přes IMAP
  • „Těch 60 dnů u SMS klíče nepomáhá.“

Jak to na těch 60 dnů prodloužit?

Na dotaz zaslaný na Helpdesk ČZU přišla odpověď obratem: Když si nainstalujete Microsoft Intune, tak by se to mělo prodloužit na 60 dnů.

Návod k instalaci najdete na webu OIKT. A mimochodem: v tom návodu to napsané je. Bude-li zařízení vyhovovat bezpečnostním požadavkům, nebude vyžadováno MFA 1 x za den, ale pouze 1x za 60 dní s výjimkou nepodporovaných prohlížečů ze strany Microsoftu.“

Tak a je to OK, ne?

No, úplně není. Jak jsem sám napsal, „trošku blbý je, že té aplikaci dáváte řízení telefonu a dají se s ní smazat všechna data (resetovat do továrního nastavení).“

Nikdo se vám přes tu aplikaci nebude dívat do e-mailu, zjišťovat s kým si voláte, nebo kde se nacházíte. Ale představa, že se někdo uklikne a telefon se vám resetuje, asi není úplně příjemná.

Stejně jako se vyskytly námitky typu: „Škola mi nemá co koukat na to, jaký používám telefon a aplikace.“, „Není žádný důvod k tomu, aby škola měla jakákoli práva na můj telefon.“

A to je určitě pravda. Stejně jako je pravda, že škola potřebuje fungovat jako spolehlivá součást internetu a nemůže si dovolit, aby přes ní chodily spamy.

Jak z toho ven a jak se dohodnout?

První a nejjednodušší cesta je důvěřovat. Pokud tedy budete důvěřovat adminům z OIKT ČZU, nejspolehlivější je nainstalovat aplikaci Intune, dát jí práva a hotovo.

Pokud se rozhodnete nedůvěřovat, budete muset zadávat heslo znovu – jednou za den. Proč? Prostě proto, aby vaše zařízení někdo nezneužil a neposílal z něj spam nebo phishing.

Co by přesto mohlo pomoci?

Zkuste si nainstalovat Microsoft Authenticator. K dispozici je pro Android v Google Play i pro iOS v App Store. K čemu je to dobré? Nebudete muset opisovat kód z SMS, bude stačit odkliknout schválení přihlášení v mobilu, až přijde notifikace. Ověřovací aplikaci si musíte nastavit na stránkách Microsoftu.

Ověření přihlášení pomoci Microsoft Authenticator

A co když nechci ani dát práva ke svému telefonu, ani instalovat MS Authenticator?

Přesto existuje ještě jedna cesta. Přesměrujte si svůj e-mail. Nastavte si přesměrování přidáním pravidla. Na adrese https://outlook.office365.com.eu2.cas.ms/mail/options/mail/rules vytvořte nové pravidlo, nastavte, že jej chcete používat u všech zpráv a akci zvolte „Přesměrovat na“ a doplňte svůj soukromý e-mail.

Přesměrování e-mailů

Tím zajistíte, že vám přijdou zprávy, které jdou na váš školní e-mail a nepřijdete o informace, které jsou vám zasílány. Pokud budete chtít pak psát ze školního e-mailu, tak se do Outlooku znovu přihlásíte.