Защита учетных записей в Microsoft 365: пароли, MFA и условный доступ без лишней сложности

Если коротко: защищать учетные записи Microsoft 365 нужно не одной «сильной политикой паролей», а связкой из трех вещей — разумных требований к паролю, обязательной многофакторной аутентификации и правил условного доступа. Пароль важен, но он давно не главный рубеж. Главный вопрос: что произойдет, если пароль сотрудника утечет в сеть?

В нормальной настройке Microsoft 365 злоумышленник с украденным паролем не должен получать доступ к почте, SharePoint или Teams. Его должна остановить MFA. Если он пытается зайти с подозрительного устройства, из другой страны или через старый протокол — доступ должен блокироваться или требовать дополнительной проверки. Именно так строится защита учетных записей, а не «на всякий случай попросим пароль посложнее».

Что нужно закрыть в первую очередь

Учетная запись Microsoft 365 — это не просто логин и пароль. Через нее человек получает почту, файлы, Teams, календарь, контакты, доступ к SharePoint и иногда — к административным функциям. Поэтому компрометация одной учетки часто превращается в проблему для всей компании: рассылка фишинга от имени сотрудника, кража документов, доступ к переписке, подмена платежей или попытка захватить другие сервисы.

Я бы расставлял приоритеты так:

  • сначала защитить администраторов и владельцев данных;
  • потом включить MFA для всех пользователей;
  • запретить устаревшую аутентификацию;
  • настроить условный доступ по устройствам, месту входа и рискам;
  • уже после этого докручивать политики паролей, чтобы они не мешали работе.

Это не значит, что пароли не нужны. Но если MFA включена только у половины сотрудников, а администраторы входят с личных почт и без дополнительных проверок, длинный пароль из 16 символов не спасет.

Политики паролей: как сделать достаточно надежно и не превратить работу в каторгу

С паролями в Microsoft 365 часто идут двумя путями. Первый — требуют 14 символов, спецсимволы, смену каждые 45 дней и запрет любых слов. В итоге люди пишут пароли в блокноте, используют одинаковые шаблоны и раздражаются на каждый вход. Второй путь — оставляют «как есть», потому что «у нас маленькая компания». Это тоже ошибка.

Хорошая политика паролей должна быть простой для пользователя, но неудобной для массового подбора. В Microsoft 365 обычно достаточно таких ориентиров:

  • минимальная длина — от 12 символов для обычных пользователей;
  • для администраторов — лучше 14–16 символов;
  • не заставлять менять пароль каждые 30–60 дней без причины;
  • запретить простые и популярные пароли;
  • не разрешать использовать имя компании, логин, фамилию и очевидные последовательности;
  • не требовать постоянную смену, если нет признаков компрометации.

Почему частая смена пароля часто вредит больше, чем помогает? Потому что человек не придумывает каждый раз новый надежный пароль. Он делает вариацию старого: Company2024!, потом Company2025!, потом Company2025!!. Такой пароль удобен для памяти, но бесполезен против утечек и фишинга.

В Microsoft Entra ID, который управляет доступом к Microsoft 365, есть встроенная защита от распространенных и утекших паролей. Она помогает не использовать слишком очевидные варианты. Но она не заменяет MFA и не спасает от ситуации, когда сотрудник сам ввел пароль на фишинговой странице.

Отдельно про администраторов

Для администраторов парольная политика должна быть строже, но не абсурднее. Если у человека есть права менять настройки домена, управлять пользователями, почтовыми ящиками или правилами условного доступа, его учетка становится целью №1.

Для администраторов я бы закладывал такой минимум:

  • отдельная административная учетная запись, не используемая для обычной почты;
  • обязательная MFA без слабых исключений;
  • вход только через условный доступ;
  • желательно использовать аппаратный ключ безопасности или надежное приложение-аутентификатор;
  • регулярная проверка, кто именно имеет админские роли.

Плохой вариант — когда директор, бухгалтер и системный администратор сидят в Microsoft 365 под одной и той же учеткой «admin». Хороший вариант — у каждого администратора своя учетная запись, назначена только нужная роль, а доступ к админ-порталу защищен отдельно.

MFA: не просто «второй код», а нормальная защита входа

Многофакторная аутентификация в Microsoft 365 нужна для того, чтобы одного пароля было недостаточно. Даже если пароль попал к злоумышленнику, он должен упираться во второй фактор: приложение на телефоне, push-подтверждение, номер на экране, аппаратный ключ или другой способ подтверждения.

На практике чаще всего используют:

  • Microsoft Authenticator — удобный вариант для большинства пользователей;
  • number matching — пользователь вводит число, которое видит на экране входа, чтобы нельзя было просто нажимать «Approve»;
  • FIDO2-ключи — хороший вариант для администраторов и сотрудников с повышенным риском;
  • SMS или голосовой звонок — лучше, чем ничего, но слабее приложения и ключей;
  • passwordless-вход — вариант без классического пароля, но его лучше внедрять после базовой настройки MFA.

Самая частая проблема с MFA — ее включают, но оставляют слишком много исключений. Например: «для бухгалтерии не включаем, они не смогут», «директору некогда», «удаленщикам неудобно», «старые клиенты не работают». В итоге защита есть на бумаге, но самые рискованные сценарии остаются открытыми.

Второй частый сценарий — MFA есть, но пользователи нажимают подтверждение автоматически. Здесь помогает number matching: система показывает число на странице входа, а в приложении нужно ввести именно его. Это сильно снижает риск усталостных MFA-атак, когда злоумышленник много раз отправляет push-уведомления, пока человек не нажмет «одобрить».

Условный доступ: где Microsoft 365 начинает думать «пускать или нет»

Условный доступ — это правила входа. Не просто «пользователь есть и пароль правильный», а «пользователь входит с нужного устройства, из нормального места, через защищенный клиент и без подозрительного риска».

Например, можно настроить такие правила:

  • запретить вход через устаревшие протоколы;
  • требовать MFA при входе из новой страны;
  • блокировать вход из стран, где у компании нет бизнеса;
  • требовать зарегистрированное или соответствующее требованиям устройство для доступа к SharePoint;
  • обязать администраторов использовать MFA всегда;
  • разрешить вход только с корпоративных устройств для чувствительных данных;
  • требовать повторную проверку при входе с незнакомого браузера.

Условный доступ не обязательно настраивать сразу максимально жестко. Часто безопаснее начать с режима отчета, посмотреть, что происходит, и только потом включать блокировку. Иначе можно заблокировать директора в командировке или бухгалтерию в момент закрытия месяца.

Важно: условный доступ доступен не во всех подписках Microsoft 365. Обычно его нужно искать в решениях с Microsoft Entra ID P1, Microsoft 365 Business Premium, E3/E5 или аналогичных пакетах. Если такого функционала нет, стоит хотя бы включить Security Defaults и MFA для всех, но для нормальной управляемой защиты условный доступ нужен.

Как сочетаются парольная политика, MFA и условный доступ

Эти три механизма не конкурируют. Они закрывают разные риски.

Механизм Что защищает Что не решит сам по себе Как использовать на практике
Политика паролей Усложняет подбор и использование слабых паролей Не защитит от фишинга, утечек и нажатия «одобрить MFA» Сделать длину от 12 символов, убрать частую принудительную смену, запретить очевидные пароли
MFA Не дает войти по одному украденному паролю Не всегда блокирует вход с зараженного устройства или из подозрительного места Включить для всех, для администраторов — обязательно, лучше с number matching или ключами
Условный доступ Оценивает контекст входа: устройство, место, приложение, риск Не заменяет нормальные пароли и MFA Сначала отключить legacy-аутентификацию, потом добавить правила для админов, стран и устройств
Security Defaults Быстро включает базовую защиту, включая MFA Дает меньше гибкости, чем условный доступ Подходит для небольших компаний, где нет сложных сценариев доступа

Если выбрать только один слой, защита будет хрупкой. Пароли можно украсть. MFA можно обойти через фишинг, если пользователь сам подтвердит вход. Условный доступ без MFA тоже не всегда достаточен. Вместе они дают нормальный рабочий периметр вокруг учетной записи.

Что выбрать в зависимости от ситуации

Если компания небольшая и нет сложных требований

Для небольшой организации часто достаточно начать с простого набора:

  1. включить MFA для всех пользователей;
  2. настроить парольную политику без частой принудительной смены;
  3. запретить слабые пароли;
  4. включить Security Defaults, если условный доступ пока не нужен;
  5. отдельно защитить администраторов.

Главное — не оставлять учетки без MFA. В небольшой компании одна взломанная почта может стать источником рассылок, потери документов и проблем с клиентами.

Если есть удаленные сотрудники

Для удаленной работы условный доступ особенно полезен. Не нужно запрещать вход из дома, но стоит контролировать, откуда и с чего человек входит.

Практичный набор правил:

  • MFA для всех входов извне офиса;
  • блокировка стран, где компания не работает;
  • требование зарегистрированного устройства для доступа к файлам;
  • повторная проверка при новом браузере или необычном поведении;
  • запрет старых почтовых клиентов, которые не поддерживают MFA.

Не стоит сразу блокировать все входы из новых мест. Лучше сначала включить режим отчета и посмотреть, как сотрудники реально работают.

Если есть администраторы, бухгалтеры или руководители с доступом к чувствительным данным

Для таких пользователей нельзя ограничиваться обычной MFA по SMS. Лучше использовать Microsoft Authenticator с number matching или аппаратные FIDO2-ключи. Для администраторов FIDO2 — один из самых надежных вариантов.

Дополнительно стоит настроить отдельное правило условного доступа:

  • для административных ролей MFA обязательна всегда;
  • доступ к админ-порталам только с доверенных сетей или устройств, если это реалистично;
  • запрет входа через неподдерживаемые клиенты;
  • регулярная проверка списка администраторов.

Если администраторская учетка не используется каждый день для обычной работы, это уже снижает риск. Не нужно читать почту и ходить в Teams под аккаунтом, который может менять настройки всей организации.

Если есть старые почтовые клиенты или устройства

Частая проблема — старые версии Outlook, почтовые приложения на телефонах или сторонние клиенты, которые используют базовую аутентификацию. Через нее нельзя нормально применить MFA, поэтому такие входы часто становятся лазейкой.

В таком случае лучше не искать «исключение для всех старых клиентов», а сделать так:

  • обновить Outlook до поддерживаемой версии;
  • настроить современные клиенты на устройствах;
  • заблокировать legacy authentication через условный доступ;
  • оставить временные исключения только на короткий срок и под ответственность;
  • контролировать логи входов после блокировки.

Временное исключение легко превращается в постоянное. Поэтому его лучше сразу оформить как задачу с датой пересмотра.

Практический порядок настройки

Если вы настраиваете защиту с нуля, я бы шел не от красивых политик, а от риска.

  1. Проверьте учетные записи администраторов. Уберите лишних владельцев, назначьте роли по необходимости, включите MFA в первую очередь.
  2. Посмотрите методы входа. Поймите, кто использует старые клиенты, где есть legacy-аутентификация, какие устройства реально работают.
  3. Настройте базовую парольную политику. Длина, запрет простых паролей, отсутствие бессмысленной частой смены.
  4. Включите MFA для всех пользователей. Лучше через условный доступ, если он доступен. Если нет — через Security Defaults или другой базовый механизм.
  5. Добавьте number matching или более надежные методы. Особенно для администраторов и чувствительных ролей.
  6. Заблокируйте устаревшую аутентификацию. Это один из самых эффективных шагов против автоматических атак.
  7. Настройте условный доступ. Начните с администраторов, затем добавьте правила для стран, устройств и приложений.
  8. Проверьте исключения. Каждое исключение должно иметь причину, срок и владельца.
  9. Смотрите журналы входов. Если видите много неудачных попыток, входы из неожиданных стран или подозрительные MFA-запросы — это повод пересмотреть правила.

Не стоит пытаться внедрить все за один вечер. В Microsoft 365 лучше идти постепенно: сначала понять, кто и как входит, потом включить защиту, затем ужесточать правила.

Частые ошибки при защите учетных записей Microsoft 365

Ошибка №1. Включить MFA только для части пользователей. Обычно забывают руководителей, подрядчиков, старые ящики или администраторов. Именно они часто становятся целью атаки.

Ошибка №2. Делать слишком сложные пароли. Требование менять пароль каждые 30 дней и добавлять спецсимвол через силу часто приводит к тому, что люди начинают хранить пароли в небезопасных местах.

Ошибка №3. Оставлять legacy authentication. Если старые протоколы не заблокированы, злоумышленник может обходить часть защит и подключаться к почте через простые клиенты.

Ошибка №4. Создавать исключения без контроля. «Только для одного пользователя» через месяц превращается в постоянную дыру в политике доступа.

Ошибка №5. Не проверять админские роли. Со временем в администраторах остаются бывшие сотрудники, подрядчики и люди, которым права уже не нужны.

Ошибка №6. Использовать SMS как основной метод для администраторов. SMS лучше, чем отсутствие MFA, но для админских учеток лучше использовать приложение-аутентификатор с number matching или аппаратный ключ.

Как сделать хорошо: рабочая схема

Если собрать практичный вариант для большинства компаний, я бы предложил такую схему.

  • Обычные пользователи: пароль от 12 символов, MFA через Microsoft Authenticator, запрет устаревшей аутентификации, проверка при необычном входе.
  • Администраторы: отдельная учетка, пароль от 14 символов, MFA всегда, желательно аппаратный ключ, отдельное правило условного доступа.
  • Удаленные сотрудники: MFA, проверка устройства, блокировка нежелательных стран, доступ к файлам через поддерживаемые клиенты.
  • Чувствительные данные: дополнительные правила условного доступа, например только с доверенных устройств или с повторной проверкой.
  • Исключения: только временные, с понятной причиной и датой пересмотра.

Такая схема не выглядит как «максимальная безопасность ради безопасности». Она не ломает работу, но закрывает самые частые сценарии взлома: украденный пароль, фишинг, старый почтовый клиент, вход из подозрительного места и чрезмерные права администратора.

На что смотреть при принятии решения

Когда выбираете между простым и более строгим вариантом, смотрите не на количество галочек в настройках, а на реальные риски.

  • Есть ли у сотрудников доступ к клиентским данным? Если да, MFA и условный доступ нужны обязательно.
  • Работают ли люди удаленно? Если да, правила входа должны учитывать устройства, места и приложения.
  • Есть ли администраторы с широкими правами? Их нужно защищать сильнее остальных.
  • Используются ли старые почтовые клиенты? Их лучше заменить, а не делать под них постоянные исключения.
  • Есть ли история взломов или фишинга? Тогда нужно быстрее переходить от базовой MFA к условному доступу и более надежным методам входа.

Хорошее решение — то, которое сотрудники могут использовать каждый день без обходных путей. Если защита настолько неудобна, что люди начинают просить исключения, хранить пароли в чатах или использовать личные почтовые ящики, она уже не работает как надо.

Итог: что сделать прямо сейчас

Минимальный набор, который стоит закрыть в Microsoft 365:

  • включить MFA для всех пользователей;
  • администраторам дать отдельную защиту и более надежные методы входа;
  • настроить парольную политику с длиной от 12 символов и без бессмысленной частой смены;
  • заблокировать устаревшую аутентификацию;
  • добавить условный доступ для администраторов, подозрительных входов и нежелательных стран;
  • проверить исключения и убрать все, у которых нет понятной причины;
  • регулярно смотреть журналы входов и список администраторов.

Главная мысль простая: парольная политика снижает риск слабых паролей, MFA защищает от украденного пароля, а условный доступ решает, можно ли доверять конкретному входу. Вместе эти три механизма дают нормальную защиту учетных записей Microsoft 365 без ощущения, что безопасность построена «на всякий случай» и мешает работе.

Оцените статью
PEFile — Безопасность и технологии простым языком