Najčastejšia príčina zlyhania prihlásenia cez MFA v roku 2026 nie je samotná autentifikácia. Je to nesúlad medzi tým, čo používateľ vidí v aplikácii Microsoft Authenticator, a tým, čo očakáva Entra ID. Po tom, ako Microsoft v máji 2023 zapol povinné number matching a v priebehu rokov 2024 až 2025 začal vo veľkom zavádzať passkeys a Temporary Access Pass (TAP), sa profil tiketov na helpdesku zásadne zmenil. Tento sprievodca opisuje, ako tieto incidenty riešim v podnikovom prostredí so 4 000 zamestnancami a ako ich rieši môj tím prvej línie.
Number matching je od mája 2023 povinné pre všetkých Entra ID nájomníkov a v roku 2026 už nemožno vypnúť. Používatelia musia opísať dvojciferné číslo zo Sign-in obrazovky do Authenticator aplikácie.
Temporary Access Pass (TAP) je v roku 2026 odporúčaná metóda na zotavenie po strate telefónu, registráciu nového zariadenia a onboarding bez hesla. Nahrádza staré SMS resety.
Passkeys (FIDO2) v Microsoft Authenticator sú v Entra ID všeobecne dostupné od marca 2025 a stávajú sa preferovanou metódou pri prihlasovaní zo zdieľaných zariadení.
Útoky typu MFA fatigue (push bombing) sa zo strany helpdesku riešia kombináciou Authentication Strength politík, Sign-in frequency limitov a logovania v Microsoft Entra ID Sign-in logs.
Najčastejšie tikety: stratený telefón, nesprávny čas v zariadení (TOTP drift), nový model telefónu bez prenosu Authenticator záloh, BYOD bez Intune registrácie a používateľ omylom schválil cudziu výzvu.
Logy v Sign-in logs > Authentication details obsahujú presný dôvod zlyhania. Bez nich helpdesk hádá, takže ich vždy otvorte ako prvé.
Čo sa zmenilo v MFA v rokoch 2024 až 2026
Úprimne, keď som pred pätnástimi rokmi nastupovala na svoj prvý service desk, MFA bola hardvérová karta RSA a samostatný proces zotavenia. Dnes je realita iná. Microsoft Authenticator je predvolená metóda u 80 % našich používateľov, heslá zostávajú len ako záloha a politika Microsoft-managed tlačí všetkých na moderné autentifikačné metódy. V mojej praxi sa zmenilo aj zloženie tiketov. Kým v roku 2021 sme riešili najmä SMS kódy, dnes je to mix Authenticator, passkeys a TAP.
Niekoľko zmien je dobré mať v hlave, keď otvárate tiket:
Number matching je všeobecne povinné od 8. mája 2023. V roku 2026 už neexistuje admin prepínač, ktorý by ho vypol, žiadny tenant ho nemá vypnutý.
SMS a hlasový hovor sú v Microsoft-managed politikách degradované a u nových tenantov vypnuté ako secondary factor. Stále fungujú ako záložná metóda, ale pre Conditional Access zriedka spĺňajú „Phishing-resistant“ kritérium.
Passkeys v Authenticator sú GA od 2. apríla 2025 a v Entra ID sa zapínajú cez Authentication methods policy. Sú dnes preferovanou metódou pre administratívne účty.
Temporary Access Pass sa stal výchovou voľbou pre onboarding a self-service recovery. Nahrádza dočasné heslá, ktoré sme posielali e-mailom.
Keď používateľ povie „nefunguje mi Authenticator“, väčšinou má na mysli jednu zo siedmich konkrétnych vecí. Naučila som mojich juniorov diagnostikovať ich v tomto poradí, lebo to zoradí 90 % tiketov za pár minút:
Notifikácie sú vypnuté. iOS aj Android v predvolených politikách obmedzujú „Focus mode“ a tichý režim môže celkom potlačiť push. Skontrolujte Nastavenia > Notifikácie > Authenticator.
Žiadne internetové pripojenie v telefóne. Push notifikácia nedôjde, lebo cestuje cez APNs/FCM. Riešenie: použiť „I can't use my Microsoft Authenticator app right now“ a manuálny TOTP kód.
Nesprávny dátum a čas v telefóne. TOTP je citlivé na drift > ±60 sekúnd. Zapnite „Automatický čas zo siete“. Toto v lete riešime priemerne 5 až 8 krát týždenne.
Nový telefón bez prenosu záloh. Authenticator zálohy sa od verzie 6.6 ukladajú do iCloud/Microsoft cloud, ale len ak ich používateľ explicitne zapne. Pri prechode na nový model je často potrebný TAP.
Number matching používateľ ignoruje. Schvaľuje len tlačidlom „Approve“, ale dvojciferné číslo nevpíše. To je dnes najčastejšia príčina tichého zlyhania prihlásenia.
Inštanciu Authenticator zaregistroval niekto iný (rodinný telefón, starý telefón v šuflíku). Často to vidíme pri OAuth tokenoch v MDM-spravovaných zariadeniach po výmene zariadenia.
Conditional Access vyžaduje silnejšiu metódu. Tiket vyzerá ako „Authenticator nefunguje“, ale v Sign-in logs je dôvod „Authentication strength not satisfied“.
Príklad anonymizovaného tiketu z minulého týždňa. „Marek z účtovníctva sa nevie prihlásiť do M365.“ V skutočnosti mal nový iPhone 16, nepreniesol Authenticator zálohu a v telefóne mal vypnuté automatické dátum a čas. Vyriešili sme to TAP-om, ktorý vystavila prvá línia podľa runbooku nižšie, a v rámci toho zaregistroval nový Authenticator a passkey. Klasika.
Stratil som telefón, ako resetovať MFA v Microsoft 365?
Strata telefónu je pravdepodobne najsenzitívnejší incident, ktorý helpdesk rieši, lebo otvára zároveň aj rizikový kanál. Náš proces v roku 2026 vyzerá takto:
Overenie identity. Knowledge-based otázky NIE sú dostatočné. Používame video hovor cez Teams z účtu manažéra alebo osobné overenie pri kioske. NIST 800-63B na tomto trvá a má pravdu.
Označenie zariadenia ako stratené v Microsoft Intune (Devices > All devices > Lost mode pre iOS, alebo Lock pre Android).
Revokovanie session tokenov cez Revoke-MgUserSignInSession -UserId [email protected] v Microsoft Graph PowerShell.
Zápis incidentu. Kto vystavil TAP, prečo, kedy, na ako dlho. To je audit požiadavka aj ISO 27001 / SOC 2.
Ak je prostredie hybridné a používateľ si potrebuje resetovať aj heslo Active Directory, treba rátať s 15 až 30 minútovou latenciou Microsoft Entra Connect synchronizácie. Detailne sme to popísali v našom sprievodcovi OneDrive for Business a Known Folder Move, kde po reset hesla typicky padá aj sync klient a obvolávajú vás.
Čo je number matching MFA a ako ho riešiť?
Number matching je technika, kde počas prihlásenia zobrazí Microsoft na obrazovke prihlásenia dvojciferné číslo a používateľ ho musí vpísať do Authenticator aplikácie, nielen schváliť tlačidlom. Cieľom je zabrániť útokom MFA fatigue, kde útočník bombarduje obeť push notifikáciami v nádeji, že omylom klikne „Approve“. Microsoft toto natvrdo zapol pre všetkých tenantov 8. mája 2023 a v roku 2026 to nie je možné vypnúť.
Typické tikety, ktoré okolo number matching dostávam:
„Nevidím žiadne číslo na obrazovke.“ Používateľ má v Authenticator stále staré rozhranie s tlačidlami Approve/Deny. Zvyčajne ide o veľmi starú verziu app (< 6.6). Riešenie: aktualizovať z App Store / Play Store. V Intune Compliance to máme ako požiadavku.
„Číslo sa nezhoduje.“ Často to znamená, že prihlasovanie sa deje na inom účte (napríklad omylom služobný účet vo workplace browseri). V Sign-in logs uvidíte dva paralelné pokusy.
„Mám len jeden pokus a hneď zlyhá.“ Authenticator dáva 60 sekúnd. Ak je telefón v pozadí alebo má slabé pripojenie, klesne to na 30. Riešenie: požiadať o nový prompt.
„Authenticator nezobrazuje GPS / kontext.“ Od marca 2024 je v GA additional context, ktoré zobrazuje aplikáciu a približnú polohu žiadateľa. To pomáha používateľovi všimnúť si phishing pokus z cudzej krajiny. Zapína sa v Authentication methods policy.
Temporary Access Pass: bezpečný workflow pre helpdesk
Temporary Access Pass (TAP) je časovo obmedzený jednorazový kód, ktorý umožní používateľovi prihlásiť sa a zaregistrovať nové autentifikačné metódy bez znalosti pôvodných. Je to dnes najbezpečnejší spôsob recovery a nahradzuje staré dočasné heslá.
Metóda zotavenia
TAP
SMS reset
Telefonát na helpdesk
Phishing-resistant
Áno
Nie
Závisí od procesu
Možnosť registrovať nový Authenticator
Áno
Nie
Áno (manuálne)
Časový limit
1 hod až 30 dní (admin)
10 min
N/A
Auditovateľnosť
Plne v Entra ID logs
Čiastočne
Závisí od helpdesk systému
Použitie pri onboarding
Odporúčané
Neodporúčané
Drahé
Náchylné na SIM swap
Nie
Áno
Závisí
V mojom tíme má prvá línia delegované právo vystaviť TAP s týmito parametrami: 1 hodina platnosť, jedno použitie, len pre účty bez práv globálneho administrátora. Pre privilegované účty TAP vystavujeme štvor-očím procesom, jeden engineer ho vystaví, druhý overí identitu. Práva na vystavenie TAP udelíte cez rolu Authentication Administrator, prípadne pre kritické účty cez Privileged Authentication Administrator.
Ako povoliť passkeys v Entra ID?
Passkeys v Microsoft Authenticator sú v Entra ID všeobecne dostupné od 2. apríla 2025. Sú založené na štandarde FIDO2 / WebAuthn a sú odolné voči phishingu, lebo sú viazané na doménu. Nemôžete ich „opísať“ ako TOTP kód. V roku 2026 sú v mnohých organizáciách de facto štandardom pre admin účty a zdieľané zariadenia.
Zapnutie pre nájomník na Entra ID:
Otvorte Entra admin center > Protection > Authentication methods.
V Policies kliknite na Passkey (FIDO2) a nastavte Enable: Yes, cieľová skupina napr. All users alebo pilotná skupina.
V Configure nastavte Allow self-service set up na Yes a Enforce attestation podľa rizikovej tolerancie. Pre BYOD býva off, pre privilegované účty on s povolenými AAGUID len vybraných výrobcov.
Pre Microsoft Authenticator passkey zvlášť zapnite v politike Microsoft Authenticator sekciu Allow passkey.
Pre helpdesk vytvorte šablónu tiketu, ktorá od používateľa vyžiada registráciu passkey počas TAP relácie. Ušetríte si druhú návštevu.
Pre Mac používateľov sa passkeys synchronizujú cez iCloud Keychain a v Safari fungujú natívne. Pre používateľov so zmiešanou platformou (Windows pri stole, iPhone na ceste) odporúčam zaregistrovať passkey aj v Authenticator (cross-device), aj v platforme (Windows Hello). Sign-in obrazovka vám potom ponúkne to, čo je práve dostupné.
MFA fatigue útoky a obrana
MFA fatigue (push bombing) je útok, kde útočník opakovane spúšťa prihlásenie s ukradnutým heslom obete a posiela jej desiatky push notifikácií, kým niektorá nebude omylom schválená. Najznámejší prípad bol útok na Uber v septembri 2022. Od roku 2023 sme videli desiatky podobných pokusov a aspoň dva úspešné v rámci celej našej federácie partnerov.
Sign-in frequency 1 hodina v Conditional Access pre administrátorské role.
Authentication Strength „Phishing-resistant MFA“ pre privilegované scenáre, povoľuje len passkey, FIDO2 alebo Windows Hello.
Risk-based Conditional Access cez Entra ID Protection. Pri vysokom risk score (impossible travel, anonymous IP) blokujeme alebo vyžadujeme reset hesla.
Helpdesk awareness: školíme prvú líniu, aby pri tiketoch typu „prichádza mi divná Authenticator výzva“ ihneď revokovali tokeny a resetovali heslo, bez čakania na tier 2.
Sign-in logs: kde nájdete skutočný dôvod zlyhania
Najlepšia investícia času pre prvú líniu je naučiť sa čítať Sign-in logs v Entra admin center > Monitoring > Sign-in logs. Pri každom tiketovanom prihlásení existuje záznam, ktorý obsahuje:
Status a Failure reason (napr. „Authentication failed because user did not complete multi-factor authentication“).
Authentication Details: postup po jednotlivých faktoroch, čas, výsledok a metódu.
Conditional Access: ktoré politiky sa uplatnili, ktorá pravidelne blokuje (napríklad „Require device to be marked as compliant“).
Device info: či bolo zariadenie compliant, registrované, joined.
Risk: sign-in risk a user risk z Identity Protection.
Pre PowerShell tím odporúčam dotaz cez Microsoft Graph:
Pre väčšie incidenty (napríklad podozrenie na spoločný kompromis) ten istý dotaz odošlite do Microsoft Sentinel cez Diagnostic settings a robte KQL agregáciu nad SigninLogs.
BYOD, Conditional Access a politiky Authentication Strength
BYOD telefóny sú v roku 2026 najčastejší zdroj „tichých“ MFA tiketov. Zariadenie patrí používateľovi, Intune má len App Protection Policy, a Authenticator sa správa odlišne podľa toho, či je v MAM kontajneri alebo nie. Kontrolný zoznam, ktorý používame:
Authenticator musí byť aktualizovaný. V Intune App Protection Policy nastavíme Min app version na aktuálny baseline, aby sme vynútili update.
Konto musí byť bez „push spam“ stavu. V Authenticator > app settings > notifikácie nesmie byť „silenced“.
Geolokácia v Authenticator vyžaduje Location services. Bez nej additional context neuvidí mesto, len IP.
Sign-in frequency pre prístup k email/SharePoint nastavujeme na 7 dní pre korporátne zariadenia, 12 hodín pre BYOD.
Authentication Strength politiky aplikujte cez Conditional Access. Pre Privileged role activation používame strength „Phishing-resistant MFA“; pre interaktívne prihlasovanie strength „Multi-factor authentication“.
Tieto politiky robia helpdesk život jednoduchším, lebo Sign-in logs presne povedia, ktorá strength žiadosť nebola splnená a používateľ tým získa zrozumiteľnú chybovú správu.
Runbook prvej línie: 5 minút na tiket
Tu je doslova runbook, ktorý visí na monitore každého junior agenta v mojom tíme. Naučili sme sa, že tiket s MFA musí byť uzavretý do 5 minút, inak frustrácia rastie exponenciálne.
Minúta 0 až 1: Overiť identitu, manažér v kópii alebo Teams video. Zapísať do tiketu.
Minúta 1 až 2: Otvoriť Sign-in logs, nájsť posledný neúspešný pokus, prečítať Failure reason a Conditional Access status. Toto odhalí príčinu v 70 % prípadov.
Minúta 2 až 3: Ak je príčina „user did not complete MFA“ a používateľ má telefón, overiť čas v telefóne a notifikácie, požiadať o nový pokus s number matching.
Minúta 3 až 4: Ak je príčina stratený telefón alebo nedostupný Authenticator, vystaviť TAP s 60-minútovou platnosťou cez Entra admin center alebo PowerShell.
Minúta 4 až 5: Sprevádzkovať reguláciu metód, používateľ ihneď registruje Authenticator a passkey. Ak je to BYOD, overiť aktualizáciu app.
Tikety nad 5 minút eskalujeme tier 2 s presným dôvodom a Sign-in logs ID. Tier 2 nemusí znovu robiť diagnostiku. Tak, a teraz späť k tomu, čo si reálne zoberiete domov.
Často kladené otázky
Ako dočasne obísť MFA v Microsoft 365?
Oficiálnu cestu na trvalé obídenie MFA Microsoft odstránil v roku 2023. Pre dočasné prihlásenie (napr. nový telefón) použite Temporary Access Pass s krátkou platnosťou a jednorazovým použitím. Ak chcete vyňať servisné účty, použite Authentication Strength politiky v Conditional Access, ktoré akceptujú workload identity certifikáty namiesto interaktívneho MFA.
Prečo Authenticator nezobrazuje číslo na prihlasovacej obrazovke?
Najčastejšie ide o starú verziu Authenticator (< 6.6) alebo zaseknuté načítanie. Skontrolujte v App Store / Google Play update, zatvorte a znovu otvorte aplikáciu a požiadajte o nový prompt. Ak číslo stále chýba, používateľ je možno prihlásený na inom účte ako rozbeháva tiket. Overte v Authenticator zozname účtov, ktorý účet bol naposledy zvolený.
Sú passkeys bezpečnejšie ako Microsoft Authenticator push?
Áno. Passkeys (FIDO2) sú odolné voči phishingu, lebo sú kryptograficky viazané na pôvodnú doménu. Útočník nemôže používateľa „prinútiť“ použiť passkey na svojej falošnej stránke. Authenticator push je silné MFA, ale stále závisí od toho, či používateľ správne posúdi number matching kontext. Pre privilegované účty odporúčame passkeys ako primárnu metódu.
Ako dlho trvá obnova MFA po vystavení Temporary Access Pass?
Štandardne TAP umožňuje okamžité prihlásenie a registráciu nových metód. Ak ide o hybridné prostredie s Microsoft Entra Connect, môže byť čas synchronizácie 15 až 30 minút pri zmene hesla v AD. Samotný TAP však funguje cloud-first a netreba čakať na sync.
Čo robiť, ak používateľ omylom schválil cudziu Authenticator výzvu?
Okamžite zavolajte Revoke-MgUserSignInSession a resetujte heslo. V Entra ID Identity Protection označte používateľa ako risky a vyžadujte enrollment nového MFA. Ak používateľ použil funkciu Report suspicious activity v Authenticator, používateľ je automaticky blokovaný a stačí dokončiť reset.
Group Policy sa neaplikuje? Diagnostikujte GPO problémy pomocou gpresult /h, rsop.msc, Event Viewera a pochopte poradie LSDOU, WMI filtre, security filtering a loopback bez hádania.
Praktický sprievodca pre helpdesk inžinierov: najčastejšie chybové kódy Windows Update v roku 2026, reset komponentov, rozdiely medzi WSUS, Windows Update for Business a Windows Autopatch, riešenie problémov s Windows 11 24H2 a Intune update rings.
Praktický helpdesk sprievodca riešením najčastejších problémov so synchronizáciou OneDrive for Business v roku 2026 — od chybových kódov ako 0x8004de40, cez Known Folder Move až po Group Policy a hotové PowerShell skripty pre Tier 1 podporu.