Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Microsoft 365
Logowanie do usług Microsoft

Dwuskładnikowe uwierzytelnianie w Microsoft 365 (2FA) — jak włączyć i skonfigurować (2026)

Dwuskładnikowe uwierzytelnianie (2FA, zwane też MFA — Multi-Factor Authentication) to funkcja zabezpieczająca konto Microsoft 365 drugim etapem weryfikacji poza

10 min czytania·Zaktualizowano dzisiaj

Dwuskładnikowe uwierzytelnianie (2FA, zwane też MFA — Multi-Factor Authentication) to funkcja zabezpieczająca konto Microsoft 365 drugim etapem weryfikacji poza hasłem. Od października 2019 Microsoft domyślnie włącza podstawowe MFA we wszystkich nowych dzierżawach Microsoft 365 przez ustawienia domyślne zabezpieczeń (security defaults), a od 2025 roku MFA jest obowiązkowe dla wszystkich operacji administracyjnych w Azure i Microsoft 365.

W skrócie

  • Czym jest 2FA/MFA: dodatkowa warstwa zabezpieczeń — po podaniu hasła musisz potwierdzić tożsamość kodem z aplikacji, SMS-em lub kluczem sprzętowym.
  • Czy jest obowiązkowe: tak — security defaults są domyślnie włączone w dzierżawach utworzonych po październiku 2019. Microsoft egzekwuje MFA dla administratorów i coraz szerzej dla wszystkich użytkowników.
  • Metody weryfikacji: Microsoft Authenticator (powiadomienia push i kody TOTP), SMS, połączenie głosowe, klucz sprzętowy FIDO2, Windows Hello dla Firm, tokeny OATH.
  • Konfiguracja: użytkownik konfiguruje MFA samodzielnie na stronie aka.ms/mfasetup; administrator włącza wymaganie MFA przez security defaults, Conditional Access lub starsze per-user MFA.
  • Koszt: podstawowe MFA jest darmowe we wszystkich planach Microsoft 365 (nawet Business Basic). Zaawansowane funkcje (Conditional Access, risk-based policies) wymagają licencji Microsoft Entra ID P1 lub P2 (dostępne w Microsoft 365 Business Premium, E3, E5).

Czym jest 2FA i czym różni się od MFA?

Terminy 2FA (two-factor authentication) i MFA (multi-factor authentication) są w kontekście Microsoft 365 używane zamiennie. Oba oznaczają to samo: po wpisaniu hasła system wymaga drugiego, niezależnego czynnika uwierzytelniania. Czynniki dzielą się na trzy kategorie:

  1. Coś, co znasz — hasło, PIN.
  2. Coś, co masz — telefon z aplikacją Authenticator, klucz sprzętowy FIDO2, token OATH, numer telefonu do SMS.
  3. Coś, czym jesteś — odcisk palca, skan twarzy (Windows Hello, biometria w aplikacji Authenticator).

MFA w Microsoft 365 wymaga minimum dwóch różnych kategorii. Samo hasło + drugie hasło to nie jest MFA — drugi czynnik musi pochodzić z innej kategorii.

Dostępne metody uwierzytelniania — od najbezpieczniejszej

Microsoft rekomenduje stosowanie metod odpornych na phishing (phishing-resistant), które uniemożliwiają atakującemu przechwycenie poświadczeń nawet w przypadku zaawansowanego ataku socjotechnicznego.

MetodaKategoriaOdporna na phishingDostępna w darmowym MFA
Klucz sprzętowy FIDO2 (YubiKey, Feitian)coś, co masz✅ Tak✅ Tak
Windows Hello dla Firm (biometria/PIN)coś, czym jesteś / coś, co znasz✅ Tak✅ Tak
Microsoft Authenticator — logowanie bez hasłacoś, co masz + biometria✅ Tak✅ Tak
Microsoft Authenticator — powiadomienia pushcoś, co masz❌ Nie✅ Tak
Microsoft Authenticator — kody TOTP (6 cyfr, 30 s)coś, co masz❌ Nie✅ Tak
Token sprzętowy OATHcoś, co masz❌ Nie❌ Wymaga P1/P2
Połączenie głosowe na numer telefonucoś, co masz❌ Nie✅ Tak
SMS z kodemcoś, co masz❌ Nie✅ Tak

Uwaga: Microsoft zapowiedział wycofanie SMS-ów jako metody uwierzytelniania dla osobistych kont Microsoft. Dla kont firmowych (Microsoft 365) SMS jest wciąż dostępny, ale Microsoft zaleca przejście na Authenticator lub klucze FIDO2.

Jak włączyć 2FA w Microsoft 365 — trzy ścieżki dla administratora

Administrator Microsoft 365 ma do wyboru trzy mechanizmy wdrażania MFA, w zależności od posiadanych licencji i potrzeb organizacji.

1. Ustawienia domyślne zabezpieczeń (security defaults) — zalecane dla małych firm

Dostępne za darmo we wszystkich planach Microsoft 365 (Microsoft Entra ID Free). Domyślnie włączone w dzierżawach utworzonych po październiku 2019.

Co robią security defaults:

  • Wymagają od wszystkich użytkowników zarejestrowania MFA w ciągu 14 dni od pierwszego logowania.
  • Wymagają MFA od administratorów przy każdym logowaniu.
  • Wymagają MFA od użytkowników, gdy system uzna logowanie za ryzykowne (np. nowe urządzenie, nowa lokalizacja).
  • Blokują starsze, niezabezpieczone protokoły uwierzytelniania (legacy authentication).
  • Używają aplikacji Microsoft Authenticator jako domyślnej metody.

Aby sprawdzić lub włączyć security defaults: centrum administracyjne Microsoft Entra → Identity → Overview → Properties → Security defaults → Enabled → Save.

2. Conditional Access — zaawansowane zasady dla średnich i dużych firm

Wymaga Microsoft Entra ID P1 (dostępny w Microsoft 365 Business Premium, E3) lub P2 (E5).

Conditional Access pozwala tworzyć szczegółowe reguły — np. "wymagaj MFA tylko przy logowaniu spoza biura" albo "wymagaj klucza FIDO2 dla administratorów". Kluczowe możliwości:

  • Wybór, którzy użytkownicy/grupy muszą używać MFA.
  • Wykluczenia dla kont awaryjnych (emergency access / break-glass).
  • Warunki oparte na lokalizacji, typie urządzenia, ryzyku logowania (P2).
  • Tryb report-only do testowania polityk przed wdrożeniem.

Konfiguracja: Microsoft Entra admin center → Conditional Access → Policies → New policy from template → Require MFA for all users.

3. Starsze MFA per-user (niezalecane)

Ręczne włączanie MFA dla pojedynczych kont — dostępne w Microsoft Entra ID Free, ale Microsoft odradza tę metodę na rzecz security defaults lub Conditional Access. Konfiguracja w starym portalu: Microsoft 365 admin center → Active users → Multi-factor authentication.

Jak użytkownik konfiguruje 2FA — krok po kroku

Gdy administrator włączy wymaganie MFA, użytkownik przy następnym logowaniu zobaczy monit o konfigurację. Alternatywnie może wejść samodzielnie na aka.ms/mfasetup.

  1. Zaloguj się służbowym adresem e-mail i hasłem na aka.ms/mfasetup.
  2. Wybierz preferowaną metodę weryfikacji — Microsoft Authenticator jest zalecany.
  3. Zainstaluj aplikację Microsoft Authenticator z App Store (iOS) lub Google Play (Android).
  4. W aplikacji wybierz Dodaj konto → Konto służbowe lub szkolne i zeskanuj kod QR wyświetlony na ekranie.
  5. Potwierdź konfigurację — aplikacja wyśle powiadomienie testowe; zaakceptuj je.
  6. Dodaj drugą, zapasową metodę — numer telefonu do SMS lub drugi e-mail. Microsoft wymaga minimum jednej metody zapasowej na wypadek utraty głównej.
  7. Zapisz kod zapasowy (10-cyfrowy) — to jednorazowy kod awaryjny, którym zalogujesz się, gdy stracisz dostęp do wszystkich metod MFA. Przechowuj go w menedżerze haseł lub wydrukowany w sejfie.

Od tego momentu każde logowanie do Microsoft 365 (Outlook, Teams, SharePoint, Azure) na nowym urządzeniu będzie wymagało zatwierdzenia drugim czynnikiem.

Kody zapasowe i odzyskiwanie dostępu

Każdy użytkownik przy konfiguracji MFA otrzymuje 8 jednorazowych kodów zapasowych (każdy działa raz). To najważniejszy element zabezpieczenia — jeśli zgubisz telefon z Authenticatorem, kod zapasowy pozwoli Ci się zalogować i skonfigurować MFA od nowa.

Jeśli nie masz kodów zapasowych ani drugiej metody:

  • Konto służbowe: skontaktuj się z administratorem Microsoft 365 w swojej firmie. Administrator może zresetować metody MFA przez Microsoft Entra admin center → Users → Authentication methods.
  • Konto osobiste Microsoft: proces odzyskiwania trwa do 30 dni przez formularz na account.live.com/acsr. Musisz podać alternatywny adres e-mail i odpowiedzieć na pytania weryfikacyjne.

Aplikacja Microsoft Authenticator — najważniejsze funkcje

Microsoft Authenticator to darmowa aplikacja na iOS i Androida, która pełni trzy role:

  1. Powiadomienia push — przy logowaniu dostajesz powiadomienie "Zatwierdź / Odrzuć"; żadnych kodów do przepisywania.
  2. Kody TOTP — 6-cyfrowy kod zmieniający się co 30 sekund; działa offline, bez internetu.
  3. Logowanie bez hasła — używasz telefonu zamiast hasła; aplikacja potwierdza tożsamość przez biometrię (Face ID / odcisk palca).

Aplikacja zastępuje również potrzebę noszenia tokenów sprzętowych dla większości użytkowników — jest to najszybsza i najwygodniejsza metoda MFA.

Typowe problemy z 2FA w Microsoft 365

"Nie otrzymuję powiadomienia w aplikacji Authenticator"

  • Sprawdź, czy telefon ma połączenie z internetem (Wi-Fi lub dane komórkowe).
  • W aplikacji Authenticator wybierz konto i dotknij Synchronizuj.
  • Jeśli powiadomienia są zablokowane — sprawdź ustawienia systemowe telefonu: Ustawienia → Aplikacje → Authenticator → Powiadomienia → Zezwalaj.

"Kod TOTP jest nieprawidłowy"

Kody TOTP są zależne od dokładnego czasu. Jeśli zegar telefonu jest rozsynchronizowany choćby o 30 sekund, kody przestaną działać. Rozwiązanie: w aplikacji Authenticator przejdź do Ustawienia → Synchronizacja czasu.

"Zmieniłem telefon i nie mogę się zalogować"

Jeśli nie zarejestrowałeś zapasowej metody MFA, jedyną drogą jest kontakt z administratorem organizacji (konto służbowe) lub proces odzyskiwania konta Microsoft (konto osobiste, do 30 dni). Zawsze konfiguruj minimum 2 metody i zapisuj kody zapasowe.

"Po włączeniu 2FA stary program pocztowy przestał działać"

Starsze aplikacje (np. Outlook 2013, Thunderbird bez nowoczesnego uwierzytelniania) nie obsługują MFA. Rozwiązania:

  • Włącz modern authentication w dzierżawie (domyślnie włączone od 2017).
  • Dla aplikacji, które nie mogą używać MFA — wygeneruj hasło aplikacji (app password) w account.microsoft.com/security > Dodatkowe opcje zabezpieczeń. Hasła aplikacji są 16-znakowe i omijają MFA — używaj ich tylko w ostateczności i traktuj jako tajne.

Częste pytania

Czy 2FA / MFA w Microsoft 365 jest płatne?

Nie. Podstawowe MFA przez security defaults jest całkowicie darmowe we wszystkich planach Microsoft 365 — od Business Basic po E5. Darmowe MFA obejmuje: aplikację Microsoft Authenticator, kody TOTP, SMS-y i połączenia głosowe. Płatne licencje (Microsoft Entra ID P1/P2, dostępne w ramach Business Premium, E3/E5) dodają Conditional Access, polityki oparte na ryzyku, tokeny sprzętowe OATH i możliwość wykluczania wybranych użytkowników.

Czy mogę używać Google Authenticator zamiast Microsoft Authenticator?

Tak, ale tylko dla kodów TOTP (6-cyfrowych). Powiadomienia push i logowanie bez hasła działają wyłącznie z Microsoft Authenticator. Microsoft Authenticator oferuje też lepszą integrację z kontami firmowymi — np. automatyczne dodawanie konta przez zeskanowanie kodu QR bez ręcznego wpisywania klucza.

Czy MFA jest obowiązkowe dla wszystkich użytkowników Microsoft 365?

Tak — w dzierżawach utworzonych po październiku 2019 security defaults są domyślnie włączone i wymagają rejestracji MFA od wszystkich użytkowników. W starszych dzierżawach administrator może włączyć MFA ręcznie. Microsoft od 2025 roku systematycznie rozszerza obowiązek MFA — najpierw na administratorów Azure, a docelowo na wszystkich użytkowników chmurowych.

Co się stanie, gdy stracę telefon z aplikacją Authenticator?

Jeśli masz zapasową metodę (drugi numer telefonu, alternatywny e-mail, kod zapasowy) — użyj jej przy logowaniu i ponownie skonfiguruj Authenticator na nowym urządzeniu. Jeśli nie masz żadnej zapasowej metody — administrator organizacji (dla kont firmowych) lub support Microsoft (dla kont osobistych) może zresetować Twoje metody MFA po potwierdzeniu tożsamości.

Czy 2FA spowalnia codzienną pracę?

Nie. Przy logowaniu z zaufanego urządzenia możesz zaznaczyć opcję Nie pytaj ponownie przez 90 dni — wtedy MFA będzie wymagane tylko raz na kwartał na danym urządzeniu. Ponadto Microsoft Authenticator z powiadomieniami push jest szybszy niż przepisywanie kodu SMS — wystarczy jedno dotknięcie "Zatwierdź".

Czy klucze sprzętowe FIDO2 są lepsze od aplikacji Authenticator?

Tak — klucze FIDO2 (np. YubiKey) są odporne na phishing i nie wymagają baterii ani internetu. Są jednak droższe (150–300 zł za klucz) i mniej wygodne przy częstym logowaniu na różnych urządzeniach. Dla administratorów i użytkowników z dostępem do danych wrażliwych Microsoft rekomenduje klucze FIDO2 jako metodę podstawową. Dla pozostałych użytkowników Authenticator jest wystarczająco bezpieczny.

Czy 2FA działa z subskrypcjami Microsoft 365 kupionymi poza oficjalnym kanałem Microsoft?

Tak — MFA to funkcja Microsoft Entra ID wbudowana w każdą dzierżawę Microsoft 365, niezależnie od tego, gdzie kupiono licencje. Każda legalna licencja Microsoft 365 (w tym licencje z rynku wtórnego, dopuszczone na terenie UE orzeczeniem Trybunału Sprawiedliwości UE w sprawie UsedSoft) daje pełny dostęp do funkcji zabezpieczeń Entra ID.

Bezpieczne licencje Microsoft 365 z pełnym wsparciem MFA

Wdrożenie MFA w organizacji powyżej 10 osób nabiera pełnej funkcjonalności z licencjami zawierającymi Microsoft Entra ID P1. Dzięki Conditional Access zyskujesz kontrolę nad tym, kto, skąd i z jakiego urządzenia się loguje — bez zmuszania wszystkich użytkowników do MFA przy każdym logowaniu z biura.

Microsoft 365 Business Premium — od 88 zł/mies./użytkownik
Microsoft 365 E3 — pełne zarządzanie tożsamością i zabezpieczeniami

Sprawdź też

Najczęściej zadawane pytania

Nie. Podstawowe MFA przez *security defaults* jest całkowicie darmowe we wszystkich planach Microsoft 365 — od Business Basic po E5. Darmowe MFA obejmuje: aplikację Microsoft Authenticator, kody TOTP, SMS-y i połączenia głosowe. Płatne licencje (Microsoft Entra ID P1/P2, dostępne w ramach Business Premium, E3/E5) dodają Conditional Access, polityki oparte na ryzyku, tokeny sprzętowe OATH i możliwość wykluczania wybranych użytkowników.
Tak, ale tylko dla kodów TOTP (6-cyfrowych). Powiadomienia push i logowanie bez hasła działają wyłącznie z Microsoft Authenticator. Microsoft Authenticator oferuje też lepszą integrację z kontami firmowymi — np. automatyczne dodawanie konta przez zeskanowanie kodu QR bez ręcznego wpisywania klucza.
Tak — w dzierżawach utworzonych po październiku 2019 *security defaults* są domyślnie włączone i wymagają rejestracji MFA od wszystkich użytkowników. W starszych dzierżawach administrator może włączyć MFA ręcznie. Microsoft od 2025 roku systematycznie rozszerza obowiązek MFA — najpierw na administratorów Azure, a docelowo na wszystkich użytkowników chmurowych.
Jeśli masz zapasową metodę (drugi numer telefonu, alternatywny e-mail, kod zapasowy) — użyj jej przy logowaniu i ponownie skonfiguruj Authenticator na nowym urządzeniu. Jeśli nie masz żadnej zapasowej metody — administrator organizacji (dla kont firmowych) lub support Microsoft (dla kont osobistych) może zresetować Twoje metody MFA po potwierdzeniu tożsamości.
Nie. Przy logowaniu z zaufanego urządzenia możesz zaznaczyć opcję *Nie pytaj ponownie przez 90 dni* — wtedy MFA będzie wymagane tylko raz na kwartał na danym urządzeniu. Ponadto Microsoft Authenticator z powiadomieniami push jest szybszy niż przepisywanie kodu SMS — wystarczy jedno dotknięcie "Zatwierdź".
Tak — klucze FIDO2 (np. YubiKey) są odporne na phishing i nie wymagają baterii ani internetu. Są jednak droższe (150–300 zł za klucz) i mniej wygodne przy częstym logowaniu na różnych urządzeniach. Dla administratorów i użytkowników z dostępem do danych wrażliwych Microsoft rekomenduje klucze FIDO2 jako metodę podstawową. Dla pozostałych użytkowników Authenticator jest wystarczająco bezpieczny.
Tak — MFA to funkcja Microsoft Entra ID wbudowana w każdą dzierżawę Microsoft 365, niezależnie od tego, gdzie kupiono licencje. Każda legalna licencja Microsoft 365 (w tym licencje z rynku wtórnego, dopuszczone na terenie UE orzeczeniem Trybunału Sprawiedliwości UE w sprawie UsedSoft) daje pełny dostęp do funkcji zabezpieczeń Entra ID.

Czy ten artykuł był pomocny?

Dwuskładnikowe uwierzytelnianie w Microsoft 365 (2FA) — j… | Centrum Pomocy KluczeSoft