Przejdź do treści
Breachroad
Wróć do bloga
Chmura

Bezpieczeństwo Microsoft 365: 10 ustawień na start

Microsoft 365 to serce firmy — i główny cel ataków na konta. Dziesięć konfiguracji, które zamykają najczęstsze ścieżki przejęcia tenanta.

KR
Karol Rapacz
16 czerwca 2026 · 12 min czytania
Bezpieczeństwo Microsoft 365: 10 ustawień na start

W większości firm, które audytujemy, Microsoft 365 to już nie „poczta w chmurze”, lecz centrum operacyjne: tożsamość (Entra ID), dokumenty (SharePoint/OneDrive), komunikacja (Teams, Exchange) i coraz częściej automatyzacje. To czyni z tenanta M365 cel numer jeden — po co włamywać się do sieci, skoro można przejąć konto, które ma dostęp do wszystkiego? Dobra wiadomość: większość realnych ataków na M365 wykorzystuje te same, dobrze znane słabości konfiguracji. Poniżej dziesięć ustawień, od których zaczynamy każdy przegląd — i które możesz sprawdzić u siebie w jeden dzień.

Jak wyglądają ataki na M365 w praktyce

Trzy scenariusze dominują w zgłoszeniach, które trafiają do nas po incydentach:

  1. Phishing → przejęcie konta → reguła skrzynki. Ofiara loguje się na fałszywej stronie, atakujący dostaje sesję (coraz częściej razem z kodem MFA, technikami adversary-in-the-middle), zakłada regułę przekierowującą pocztę i tygodniami czyta korespondencję, czekając na okazję do podmiany faktury (BEC).
  2. Legacy authentication. Stare protokoły (IMAP/POP3/SMTP z hasłem) omijają MFA — atakujący po prostu loguje się hasłem z wycieku tam, gdzie nowoczesne zabezpieczenia nie działają.
  3. Zgody na złośliwe aplikacje (consent phishing). Zamiast kraść hasło, atakujący prosi użytkownika o zgodę dla „niewinnej” aplikacji OAuth, która dostaje trwały dostęp do skrzynki i plików — odporny na zmianę hasła.

Wszystkie trzy zamyka konfiguracja, nie zakupy.

Dziesięć ustawień, które robią różnicę

1. MFA dla wszystkich, odporne na phishing dla kluczowych. Podstawa: wymuszenie MFA politykami dostępu warunkowego (nie per-użytkownik). Docelowo: passkeye/FIDO2 dla administratorów, zarządu i finansów — pisaliśmy, dlaczego kody SMS i push to za mało przy atakach ukierunkowanych.

2. Wyłączenie legacy authentication. Jedna polityka dostępu warunkowego blokująca starsze protokoły zamyka całą klasę ataków. Przed włączeniem sprawdź w logach logowania, co jeszcze z nich korzysta (najczęściej: stare skanery/drukarki wysyłające maile — daj im dedykowane rozwiązanie, nie wyjątek dla całej firmy).

3. Dostęp warunkowy z głową. Minimalny sensowny zestaw: blokada krajów, z których nie pracujecie; wymóg zgodnego/zarządzanego urządzenia dla administratorów; blokada logowań o wysokim ryzyku (jeśli licencja obejmuje Identity Protection).

4. Ograniczenie zgód na aplikacje. Wyłącz możliwość samodzielnego wyrażania zgód przez użytkowników na aplikacje spoza zweryfikowanych wydawców; włącz przepływ akceptacji przez administratora. Przejrzyj istniejące zgody — w co drugim tenancie znajdujemy zapomniane aplikacje z dostępem do poczty.

5. Osobne konta administracyjne. Administrator globalny nie ma skrzynki pocztowej i nie służy do codziennej pracy. Liczba globalnych adminów: 2–4, wszyscy z FIDO2. Reszta uprawnień przez role o mniejszym zakresie (a przy licencjach P2 — dostęp podnoszony na żądanie przez PIM).

6. Alerty na reguły skrzynek i przekierowania. Automatyczne przekierowanie poczty na adres zewnętrzny: domyślnie zablokuj, a próby alarmuj. To najtańszy „czujnik włamania” w całym M365 — reguła skrzynki to pierwsza rzecz, którą robi atakujący po przejęciu konta.

7. Zabezpieczenie udostępniania w SharePoint/OneDrive. Domyślne łącza „dla osób z linkiem” zamień na „konkretne osoby”; ogranicz udostępnianie anonimowe i na domeny prywatne; ustaw daty wygasania linków zewnętrznych. Wycieki przez „link, który miał być tymczasowy” to codzienność.

8. Ochrona poczty: SPF, DKIM, DMARC + polityki anty-phishingowe. DMARC w trybie reject chroni Twoją domenę przed podszyciami; polityki ochrony przed podszywaniem się (impersonation) w Defenderze łapią „prezesów” piszących z gmaila. Oznaczaj pocztę zewnętrzną.

9. Logowanie i retencja. Upewnij się, że ujednolicony dziennik audytu jest włączony, a logi logowań i aktywności trafiają do SIEM/archiwum na co najmniej 90–180 dni. Bez tego analiza incydentu kończy się na „nie wiemy” — więcej w tekście o monitoringu dla MŚP.

10. Kopia zapasowa danych M365. Microsoft zapewnia dostępność usługi, nie odtwarzanie Twoich danych po każdym scenariuszu (złośliwe/przypadkowe skasowanie, ransomware szyfrujący pliki przez klienta synchronizacji, przejęte konto czyszczące SharePoint). Retencja i kosz to nie backup — zasady strategii 3-2-1 dotyczą też chmury.

Jak to ugryźć organizacyjnie

Kolejność wdrożenia, która sprawdza się w praktyce: najpierw pomiar (Microsoft Secure Score plus przegląd logowań i zgód aplikacji), potem szybkie wygrane bez wpływu na użytkowników (alerty, blokada przekierowań, osobne konta adminów), następnie zmiany wymagające komunikacji (wyłączenie legacy auth, nowe polityki MFA) — z pilotażem na dziale IT przed wdrożeniem firmowym. Całość dokumentuj: przy NIS2 czy audycie ISO te dowody będą potrzebne.

Jeśli chcesz zewnętrznej weryfikacji, w ramach audytu bezpieczeństwa przeglądamy konfigurację tenanta M365 dokładnie pod kątem powyższych punktów — wraz z testem, czy istniejące polityki da się obejść.

Najczęstsze pytania (FAQ)

Mamy licencje Business Standard bez Entra ID P1. Co możemy zrobić? Sporo: wymusić MFA przez ustawienia domyślne zabezpieczeń (security defaults), wyłączyć legacy auth na poziomie usług, ograniczyć zgody aplikacji, skonfigurować DMARC, alerty i udostępnianie SharePoint. Dostęp warunkowy i Identity Protection wymagają P1/P2 — i często sam ten element uzasadnia upgrade dla kont uprzywilejowanych.

Czy security defaults wystarczą zamiast dostępu warunkowego? Dla małej firmy bez działu IT — to dobry start (wymuszają MFA i blokują legacy auth). Dojrzalsze organizacje potrzebują dostępu warunkowego, bo security defaults nie pozwalają na wyjątki, polityki per-aplikacja ani wymogi dotyczące urządzeń.

Jak sprawdzić, czy ktoś już nie siedzi w naszym tenancie? Minimum na szybko: przejrzyj logi logowań pod kątem nietypowych krajów i klientów, listę reguł skrzynek u kluczowych osób, zgody aplikacji OAuth (szczególnie z uprawnieniami do poczty) oraz listę urządzeń i metod MFA dodanych ostatnio do kont VIP. Coś podejrzanego? Potraktuj to jak incydent — pomożemy w ramach reagowania na incydenty.

Co z kontami serwisowymi i automatyzacjami, które „muszą” mieć hasło bez MFA? Zamień je na tożsamości zarządzane lub rejestracje aplikacji z certyfikatem zamiast hasła, ogranicz zakresy uprawnień i adresy źródłowe. Wyjątek od MFA dla konta serwisowego z szerokimi uprawnieniami to ulubiona furtka atakujących.

Ile czasu zajmuje uporządkowanie tego wszystkiego? Przegląd i szybkie wygrane: 1–2 dni pracy. Pełne wdrożenie z komunikacją, pilotażem i wyjątkami: zwykle 2–6 tygodni kalendarzowych. To jeden z najlepszych stosunków nakładu do redukcji ryzyka, jakie znamy.

Podsumowanie

Bezpieczeństwo M365 to w 90% konfiguracja tego, co już masz w licencji: MFA z dostępem warunkowym, wyłączone stare protokoły, kontrola zgód aplikacji, alerty na reguły skrzynek, rozsądne udostępnianie i logi, które ktoś ogląda. Te dziesięć punktów zamyka ścieżki, którymi realnie wchodzą atakujący. Chcesz wiedzieć, jak Twój tenant wygląda na tej liście? Umów przegląd konfiguracji M365 — w kilka dni dostaniesz mapę luk i plan domknięcia.

Udostępnij artykuł

Usługi Umów konsultację