Microsoft nově zablokuje upravené telefony. Kdo má root nebo jailbreak, přijde bez varování o účet
Microsoft od února 2026 postupně vypíná pracovní a školní účty v aplikaci Authenticator na telefonech s rootem nebo jailbreakem. Dopad je pro zasažené bolestivý.
Obsah článku
Než se rozšíří panika: Microsoft neruší nikomu celý účet ani neblokuje telefon jako takový. Změna se týká konkrétně aplikace Microsoft Authenticator a v ní pouze pracovních a školních účtů spravovaných přes Microsoft Entra, tedy firemních a univerzitních identit navázaných typicky na Microsoft 365 nebo Teams. Osobní účty Microsoftu i kódy třetích stran (GitHub, Facebook, Google) zůstávají podle oficiální dokumentace Microsoftu nedotčené. „Přijít o účet“ tedy v praxi znamená, že na upraveném telefonu přestane fungovat ověřování firemní identity v aplikaci Authenticator a v závěrečné fázi bude pracovní nebo školní účet z aplikace zcela odstraněn. Samotná identita v systému Microsoft Entra ale smazána nebude.
Co je root a jailbreak a proč to Microsoftu vadí
Root na Androidu znamená získání nejvyšších systémových oprávnění, která běžný uživatel nemá. Umožňuje upravovat operační systém způsoby, které výrobce nepředpokládal – od odinstalace předinstalovaných aplikací až po hluboké zásahy do bezpečnostního modelu. Jak popisuje dokumentace Android Open Source Project, software s oprávněním root může maskovat svou přítomnost a „lhát“ detekčním nástrojům.
Jailbreak na iPhonu funguje na podobném principu: obchází bezpečnostní vrstvy iOS, aby uživatel mohl instalovat aplikace mimo App Store nebo měnit chování systému. Apple takové úpravy označuje za nepovolené a varuje před zvýšeným rizikem zranitelností, nestability i ztráty dat.
Microsoft argumentuje jednoduše: pokud je bezpečnostní model telefonu oslabený, nemůže zaručit ochranu firemních dat. Nová funkce je navíc nastavena jako „secure by default“, tedy zabezpečená už ve výchozím stavu. IT administrátor ve firmě nemusí nic zapínat, detekce se aktivuje automaticky po aktualizaci aplikace Microsoft Authenticator.
Tři fáze, ne jedno tvrdé odpojení
Realita je o něco nuancovanější. Microsoft rollout rozložil do tří fází mezi únorem a červencem 2026:
- Varovný režim – aplikace zobrazí upozornění, že zařízení nesplňuje bezpečnostní požadavky. Účet zatím funguje.
- Blokovací režim – pracovní nebo školní účet v aplikaci Authenticator přestane při interaktivním ověřování fungovat. Okamžitě, bez dalšího dialogu.
- Režim odstranění – aplikace Authenticator pracovní a školní účty z telefonu zcela odstraní.
Háček je v tom, že Microsoft veřejně neuvádí přesný den, kdy konkrétní uživatel nebo organizace přejde z jedné fáze do druhé. Nejde o regionální vlny, Česká republika nemá vlastní harmonogram. Rollout se řídí verzemi aplikace a nastavením tenantu (organizace). Prakticky to znamená, že po dokončení varovné fáze může účet přestat fungovat kdykoliv, aniž by uživatel předem znal přesný termín.
Koho se to reálně týká a koho ne
Největší dopad nehrozí všem uživatelům Microsoftu. Změna se dotkne lidí, kteří splňují všechny tři podmínky současně:
- Mají rootovaný Android nebo jailbreaknutý iPhone.
- Na tomto telefonu používají aplikaci Microsoft Authenticator.
- V aplikaci mají přidaný pracovní nebo školní účet Microsoft Entra.
Typický scénář představuje zaměstnanec firmy nebo student univerzity, kteří si na vlastním upraveném telefonu (BYOD) ověřují přihlášení do Microsoftu 365 nebo Teams. Kdo Authenticator používá pouze pro osobní účet Microsoft nebo pro generování jednorázových kódů ke službám třetích stran, toho se podle aktuálních podkladů změna netýká. Microsoft v přehledu novinek pro Entra uvádí, že opatření se nevztahuje na osobní účty ani účty třetích stran.
Na Androidu navíc Authenticator pro pracovní účty vyžaduje Služby Google Play i Obchod Google Play. Problém tedy nemusí začínat až u rootu – komplikace mohou nastat i při používání alternativních ROM bez služeb Googlu.
Co dělat, než vás to zastihne
Microsoft neposkytuje žádný podporovaný způsob, jak toto omezení obejít. Doporučení v oficiální dokumentaci jsou přímočará: zrušte root nebo jailbreak, případně přejděte na neupravené zařízení. Pro ty, kteří telefon měnit nechtějí, existuje ještě třetí možnost, pokud ji jejich organizace povoluje.
Microsoft Entra podporuje více metod ověřování než jen Authenticator:
- Jiná autentizační aplikace – při nastavení bezpečnostních údajů lze zvolit možnost „Chci použít jinou autentizační aplikaci“ a použít libovolnou aplikaci podporující softwarové OATH TOTP tokeny.
- SMS nebo hlasový hovor – klasické dvoufaktorové ověření přes telefonní číslo.
- Bezpečnostní klíč – hardwarový token, který na stavu telefonu vůbec nezávisí.
Klíčovou podmínkou je, že uživatel uvidí pouze metody, které jeho firma nebo škola povolila. Microsoft proto doporučuje mít u pracovního účtu nastavené maximálně tři různé ověřovací metody, právě pro případ, že jedna z nich přestane fungovat. Nastavit je lze v sekci Bezpečnostní informace na stránce účtu Microsoft. A pokud už Authenticator odmítá spolupracovat, při přihlášení lze zvolit možnost „Sign in another way“, která nabídne dostupné alternativy.
Kdo má na rootovaném telefonu pracovní účet v aplikaci Microsoft Authenticator a dosud situaci neřešil, měl by ji vyřešit nejpozději do dokončení rolloutu během léta 2026. Poté už bude náprava výrazně méně pohodlná než včasná prevence.