Správa IT – Miroslav Šraga

Kvalita signálu LTE: Jak číst a rozumět hodnotám signálu

Miroslav Šraga — Mon, 26 Jan 2026 12:05:33 +0000

Mobilní sítě LTE jsou nedílnou součástí našeho každodenního života a kvalita signálu, kterou přijímáme na našich zařízeních, může mít zásadní vliv na rychlost a stabilitu připojení. Je třeba si uvědomit, že s mobilním signálem se nesetkáváme jen při používání našich telefonů a tabletů, ale také v průmyslových zařízeních, routerech nebo na záložních či dohledových linkách. Pro lepší pochopení kvality LTE signálu je důležité znát a porozumět několika klíčovým parametrům, které jsou běžně měřeny a vyhodnocovány. Patří mezi ně síla signálu, RSRP, RSSI, RSRQ, SINR a CQI. Pojďme si je vysvětlit podrobněji.

Síla signálu

Síla signálu vyjadřuje intenzitu elektromagnetické vlny, která přichází z vysílače k vašemu zařízení. Čím silnější je signál, tím lepší je možnost navázání a udržení stabilního spojení. V LTE síti se síla signálu obvykle měří pomocí RSRP a RSSI.

RSRP (Reference Signal Received Power)

RSRP představuje sílu přijímaného referenčního signálu a je jedním z nejdůležitějších parametrů pro hodnocení kvality LTE signálu. Hodnoty RSRP jsou vyjádřeny v dBm (decibelech vůči 1 mW) a pohybují se v záporných číslech. Vyšší (méně záporná) hodnota znamená lepší sílu signálu.

Dobré hodnoty: -80 dBm a vyšší
Přijatelné hodnoty: -80 dBm až -100 dBm
Špatné hodnoty: pod -100 dBm

RSSI (Received Signal Strength Indicator)

RSSI měří celkovou úroveň přijímaného signálu včetně šumu a interferencí. V LTE síti má RSSI menší význam než RSRP, ale stále poskytuje cenné informace o celkové intenzitě signálu. Čím vyšší je hodnota RSSI, tím lepší je kvalita signálu, ale také záleží na tom, jaký podíl z této hodnoty tvoří šum.

Dobré hodnoty: -65 dBm a vyšší
Přijatelné hodnoty: -65 dBm až -85 dBm
Špatné hodnoty: pod -85 dBm

RSRQ (Reference Signal Received Quality)

RSRQ představuje kvalitu referenčního signálu a je klíčové pro hodnocení interferencí a rušení v síti. RSRQ bere v úvahu nejen sílu signálu, ale i množství rušení v okolí. Vyšší hodnoty znamenají lepší kvalitu signálu.

Dobré hodnoty: -10 dB a vyšší
Přijatelné hodnoty: -10 dB až -15 dB
Špatné hodnoty: pod -15 dB

SINR (Signal to Interference and Noise Ratio)

SINR je poměr mezi užitečným signálem a šumem či interferencemi v síti. Vysoké hodnoty SINR znamenají, že signál má malý podíl rušení, což vede k vyšší stabilitě a rychlosti přenosu dat.

Dobré hodnoty: 20 dB a vyšší
Přijatelné hodnoty: 13 dB až 20 dB
Špatné hodnoty: pod 13 dB

CQI (Channel Quality Indicator)

CQI je indikátor kvality kanálu, který zařízení používá pro komunikaci. Na základě této hodnoty se určuje, jaké modulace a kódování může síť používat pro efektivní přenos dat. Vyšší hodnoty CQI znamenají lepší kvalitu přenosu a vyšší rychlosti.

Dobré hodnoty: 7 a vyšší
Přijatelné hodnoty: 4 až 6
Špatné hodnoty: pod 4

Přehledová tabulka hodnot

Parametr	Dobré hodnoty	Přijatelné hodnoty	Špatné hodnoty
RSRP	-80 dBm a vyšší	-80 dBm až -100 dBm	pod -100 dBm
RSSI	-65 dBm a vyšší	-65 dBm až -85 dBm	pod -85 dBm
RSRQ	-10 dB a vyšší	-10 dB až -15 dB	pod -15 dB
SINR	20 dB a vyšší	13 dB až 20 dB	pod 13 dB
CQI	7 a vyšší	4 až 6	pod 4

Závěr

Kvalita LTE signálu je ovlivněna několika parametry, jako jsou RSRP, RSSI, RSRQ, SINR a CQI. Každý z těchto parametrů přináší specifické informace o síle, kvalitě a stabilitě signálu, které jsou klíčové pro optimalizaci připojení. Ideální je, když jsou všechny hodnoty ve výše zmíněných „dobrých“ rozmezích, což zajistí rychlé a spolehlivé připojení. Pokud zaznamenáváte špatný signál, může pomoci přiblížení se k vysílači nebo použití externí antény. Další informace o indikátorech kvality LTE v modemech se můžete dočít také v tomto článku.

Další Externí zdroje

Azure Communication Services od A po Z

Miroslav Šraga — Sun, 25 Jan 2026 13:03:12 +0000

Azure Communication Services (ACS) je cloudová platforma, která umožňuje integrovat e‑mail, SMS, chat, hlas i video do vlastních aplikací přes jednoduchá API a SDK.

Využívá zabezpečení a identitu Microsoft Entra ID (OAuth 2.0), nabízí škálování, telemetrii a řízení nákladů, takže se hodí pro zasílání základních notifikací až po komplexní komunikační kanály.

Pro zasílání e‑mailů je zde komponenta Azure Communication Services Email, která umožňuje programově odesílat například transakční zprávy, maily z multifunkčních zařízení, z internetových formulářů, skriptů, Logic Apps, Microsoft Sentinel a podobně.

Díky tomu může sloužit jako náhrada za končící SMTP Basic Authentication. Klíč je v tom, že namísto běžných přihlašovacích údajů se v zařízení či aplikaci použije moderní ověřování přes Entra ID a zprávy se odesílají přes Communication Srvices Email standardním SMTP protokolem na portu 25 nebo 587.

Výsledkem je spolehlivější doručování, lepší audit a governance a výrazně bezpečnější model než přímé posílání přes SMTP s Basic autentizací ale při zachování naprosto totožné funkcionality.

Azure Communication Services - Email Comminication - celý postup

Tento návod je mixem níže uvedených video-návodu, které jsem vydal již dříve. Videa jsem spojil tak, aby dávala ucelený postup od A až po Z.

Obsah:

00:00 – Úvod – Představení Azure Communication Services
02:50 – Základní limity služby
03:40 – Ceny (Azure Calculator)
06:39 – Důležité úkony, postup nasazení
09:05 – Vytvoření prostředku Azure Communication Service
11:00 – Vytvoření prostředku Email Communication Services
13:25 – Domain provisioning
– Free Azure subdomain
– Custom domain
17:45 – Propojení Azure Communication Service a Email Communication Services
19:00 – TEST: Odeslání e-mailu z Email Communication Services (Azure portál) – Free Azure subdomain
21:35 – Keys & Connection strings – pro použití v Logic Apps a prostředí Azure
22:15 – Přidání vlastní domény do Email Communication Services (DNS: SPF, DKIM)
29:05 – TEST: Odeslání e-mailu z Email Communication Services (Azure portál) – vlastní doména / custom domain
30:10 – SMTP RELAY: Řízení přístupu IAM, Entra ID – Registrovaná aplikace – Communication and Email service Owner
– Udělení oprávnění
– Vytvoření Client secret pro Registrovanou aplikaci
– Vytvoření SMTP Username (uživatelské jméno pro SMTP)
37:24 – TEST: Odeslání emailu pomocí PowerShell scriptu přes Email Communication Services – ověření SMTP jméno + heslo (přes Registrovanou aplikaci a Client Secret / OAuth)
39:37 – TEST: Odeslání emailu pomocí PHP scriptu přes Email Communication Services – ověření SMTP jméno + heslo (přes Registrovanou aplikaci a Client Secret / OAuth)
40:45 – Nastavení vlastní identifikace odesílatele (MailFrom) namísto DoNotReply
46:15 – TEST – Odeslání e-mailu pomocí PowerShell skriptu s vlastní identifikací odesílatele (MailFrom)
46:20 – TEST – Odeslání e-mailu pomocí PHP skriptu s vlastní identifikací odesílatele (MailFrom)
50:08 – Azure Logic App – napojení na Communication Services, odeslání e-mailu
55:50 – Microsoft Sentinel – napojení na Communication Services, odeslání e-mailu
1:09:35 – Závěrečné shrnutí

Azure Communication Services - odesílání e-mailu bez identity uživatele (Sentinel, Logic App)

V tomto videu se dozvíte, jakým způsobem odeslat e-mail ze služby Microsoft Sentinel nebo z jakékoliv Logic App, aniž by bylo potřeba použít identitu uživatele – tedy bez nutnosti použití identity uživatele s licencí Exchange Online. K odeslání e-mailů tedy nebudeme používat napojení na účet uživatele, ale použijeme službu Azure Communication Services a konkrétně komponentu Email Communication Service.

Obsah:
00:00 – Úvod
01:33 – Základní limity služby
02:30 – Ceny
05:33 – Vytvoření prostředku Azure Communication Service
07:35 – Vytvoření prostředku Email Communication Services
– Free Azure subdomain
– Custom domain
14:30 – Propojení Azure Communication Service a Email Communication Services
18:04 – Odeslání e-mailu z Logic App
24:40 – Nastavení vlastní domény (Custom domain)
32:17 – Azure Sentinel – jak odeslat e-mail s upozorněním na nový incident pomocí Email Communication Services
46:50 – Dodatečné informace:
– User Engagement Tracking
– MailFrom Addresses (vlastní adresy odesílatele)

Odesílání emailů přes SMTP relay pomocí Microsoft Azure Communication Services

ACS Email může sloužit jako náhrada za končící SMTP Basic Authentication. Klíč je v tom, že namísto běžných přihlašovacích údajů se v zařízení či aplikaci použije moderní ověřování přes Entra ID a zprávy se odesílají přes Communication Services Email standardním SMTP protokolem na portu 25 nebo 587.

Obsah:
00:00 – Úvod
01:50 – Důležité úkony
04:45 – Konfigurace Azure Communication Services && Email Communication Services
06:45 – Entra ID – Registrovaná aplikace
09:05 – Udělení oprávnění
09:45 – Vytvoření Client secret pro Registrovanou aplikaci
12:30 – Vytvoření SMTP Username (uživatelské jméno pro SMTP)
13:50 – TEST – Odeslání e-mailu pomocí PowerShell skriptu
15:47 – TEST – Odeslání e-mailu pomocí PHP skriptu
16:57 – Nastavenní vlastní identifikace odesílatele (MailFrom) namísto DoNotReply
21:53 – TEST – Odeslání e-mailu pomocí PowerShell skriptu s vlastní identifikací odesílatele (MailFrom)
22:32 – TEST – Odeslání e-mailu pomocí PHP skriptu s vlastní identifikací odesílatele (MailFrom)
23:35 – Tipy na závěr, doporučení, ošetření chyb
25:25 – Zjištění aktuálních kvót
26:24 – Shrnutí, závěr

Postup:
Microsoft Azure (Subscription)
Azure Communication Service (ACS)
Email Communication Service (ECS)
Internet Domain
Domain verification
Domain connection to ECS
Entra ID Registred App + Generated secret
SMTP Accounts
Mail From addresses
Test

AZURE CLI: Přidání vlastního mailFrom

# az communication email domain sender-username create --domain-name domena.cz --email-service-name 365lab-1-cs-ecs --resource-group "security-rg" --sender-username "UserName" --username "UserName" --display-name "DisplayName"

az communication email domain sender-username create --domain-name domena.cz --email-service-name 365lab-1-cs-ecs --resource-group "security-rg" --sender-username printer --username printer --display-name Printer

SCRIPT: Odeslání e-mailu pomocí PowerShell a ACS Email

# SmtpSend.ps1
# PowerShell script to send an email via SMTP
# www.sraga.cz

# Define SMTP server settings and email parameters
$SmtpServer = "smtp.azurecomm.net" # Azure Communication Services Email server
$SmtpPort = 587
$SmtpUser = "userName@domena.cz"
$SmtpPass = "clientSecretValue" # Entra ID Registreed Application
$SmtpFrom = "mailFromAddress@domena.cz"
$SmtpTo = "test@domena.cz"
$SmtpSubject = "Test email from PowerShell"
$SmtpBody = "This is a test email sent from PowerShell script."

# Create secure credentials
$SmtpSecurePwd = ConvertTo-SecureString $SmtpPass -AsPlainText -Force
$SmtpCreds = New-Object System.Management.Automation.PSCredential ($SmtpUser, $SmtpSecurePwd)

# Send the email
Send-MailMessage -From $SmtpFrom -To $SmtpTo -Subject $SmtpSubject -Body $SmtpBody -SmtpServer $SmtpServer -Port $SmtpPort -Credential $SmtpCreds -UseSsl

SCRIPT: Odeslání e-mailu pomocí PHP a ACS E-mail

 'smtp.azurecomm.net',
        'port'      => 587,
        'username'  => 'userName@domena.cz',
        'password'  => 'clientSecretValue',                 // ← store securely (env/secret)
        'from'      => 'mailFromAddress@domena.cz',
        'from_name' => 'mailFromAddress@domena.cz',
        'to'        => 'test@domena.cz',
        'subject'   => 'Test email from PHP',
        'body'      => "This is a test email sent from a pure-PHP SMTP client.",
        'debug'     => true,                 // set true to see SMTP I/O to STDERR
    ]);
    echo "Email sent OK\n";
} catch (Throwable $e) {
    // Print a clear error if something goes wrong
    fwrite(STDERR, "SMTP error: " . $e->getMessage() . "\n");
    exit(1);
}


// ---------------- Functions ----------------

function smtp_send(array $cfg): void
{
    $host        = $cfg['host'];          // e.g. smtp.azurecomm.net
    $port        = $cfg['port'] ?? 587;   // 587 for STARTTLS
    $username    = $cfg['username'];      // SMTP user (e.g. web@domain.cz)
    $password    = $cfg['password'];      // SMTP password
    $from        = $cfg['from'];          // RFC5322 From: email address
    $fromName    = $cfg['from_name'] ?? '';   // Display name (optional)
    $to          = $cfg['to'];            // recipient email
    $subject     = $cfg['subject'];       // subject (UTF-8 ok)
    $body        = $cfg['body'];          // plain text body
    $timeout     = $cfg['timeout'] ?? 30;
    $debug       = $cfg['debug'] ?? false;

    $peerName = $cfg['peer_name'] ?? $host; // SNI name for TLS

    $context = stream_context_create([
        'ssl' => [
            'crypto_method'        => STREAM_CRYPTO_METHOD_TLSv1_2_CLIENT | STREAM_CRYPTO_METHOD_TLSv1_3_CLIENT,
            'verify_peer'          => true,
            'verify_peer_name'     => true,
            'peer_name'            => $peerName,
            // If your OS trust store is standard, no need to set cafile/capath.
            // 'cafile'            => '/etc/ssl/certs/ca-certificates.crt',
            'SNI_enabled'          => true,
            'disable_compression'  => true,
        ],
    ]);

    $fp = stream_socket_client(
        "tcp://$host:$port",
        $errno,
        $errstr,
        $timeout,
        STREAM_CLIENT_CONNECT,
        $context
    );

    if (!$fp) {
        throw new RuntimeException("Connect failed: $errno $errstr");
    }
    stream_set_timeout($fp, $timeout);

    // --- Helpers -------------------------------------------------------------
    $read = function() use ($fp, $debug): array {
        $lines = [];
        while (($line = fgets($fp, 2048)) !== false) {
            $lines[] = rtrim($line, "\r\n");
            if ($debug) { fwrite(STDERR, "S: $line"); }
            // Multi-line replies have format "123-..." and end on "123 ..." (space)
            if (preg_match('/^\d{3} /', $line)) break;
        }
        if (empty($lines)) throw new RuntimeException("No response from server");
        $code = (int)substr($lines[count($lines)-1], 0, 3);
        return [$code, $lines];
    };

    $send = function(string $cmd) use ($fp, $debug) {
        if ($debug) { fwrite(STDERR, "C: $cmd\n"); }
        fwrite($fp, $cmd . "\r\n");
    };

    $expect = function(int $want) use ($read) {
        [$code, $lines] = $read();
        if ($code !== $want) {
            $msg = implode("\n", $lines);
            throw new RuntimeException("Expected $want, got $code\n$msg");
        }
        return $lines;
    };

    // --- SMTP dialogue -------------------------------------------------------
    $expect(220);                                // 220 greeting
    $ehloName = gethostname() ?: 'localhost';
    $send("EHLO $ehloName");
    $expect(250);

    // STARTTLS
    $send("STARTTLS");
    $expect(220);                                // Ready to start TLS
    if (!stream_socket_enable_crypto($fp, true, STREAM_CRYPTO_METHOD_TLSv1_2_CLIENT | STREAM_CRYPTO_METHOD_TLSv1_3_CLIENT)) {
        throw new RuntimeException("TLS handshake failed");
    }

    // Re‑EHLO after STARTTLS
    $send("EHLO $ehloName");
    $expect(250);

    // AUTH LOGIN
    $send("AUTH LOGIN");
    $expect(334);                                // "VXNlcm5hbWU6" (Username:)
    $send(base64_encode($username));
    $expect(334);                                // "UGFzc3dvcmQ6" (Password:)
    $send(base64_encode($password));
    $expect(235);                                // Auth OK

    // MAIL/RCPT
    $send("MAIL FROM:<$from>");
    $expect(250);
    $send("RCPT TO:<$to>");
    $expect(250);

    // DATA – headers + body with dot‑stuffing
    $send("DATA");
    $expect(354);

    // Headers
    $headers = [];
    $fromHeader = $fromName !== ''
        ? sprintf('From: %s <%s>', encodeDisplayName($fromName), $from)
        : sprintf('From: <%s>', $from);
    $headers[] = $fromHeader;
    $headers[] = "To: <$to>";
    $headers[] = "Subject: " . encodeSubject($subject);
    $headers[] = "Date: " . date('r');
    $headers[] = "Message-ID: <" . bin2hex(random_bytes(16)) . '@' . (parse_url("https://$peerName", PHP_URL_HOST) ?: 'localhost') . ">";
    $headers[] = "MIME-Version: 1.0";
    $headers[] = "Content-Type: text/plain; charset=UTF-8";
    $headers[] = "Content-Transfer-Encoding: 8bit";
    $headers[] = "X-Mailer: PHP-SMTP/1.0";

    $data  = implode("\r\n", $headers) . "\r\n\r\n" . $body;

    // Dot‑stuffing per RFC5321 §4.5.2
    $data = preg_replace('/\r\n\./', "\r\n..", $data);
    // Ensure ends with CRLF.CRLF
    if (!str_ends_with($data, "\r\n")) $data .= "\r\n";

    fwrite($fp, $data . ".\r\n");
    $expect(250);                                // accepted

    // QUIT
    $send("QUIT");
    $read();                                     // 221
    fclose($fp);
}

/** Encode UTF‑8 display name safely for headers */
function encodeDisplayName(string $name): string {
    // Quote if contains specials; also provide RFC2047 when needed
    if (preg_match('/[^\x20-\x7E]/', $name)) {
        return '=?UTF-8?B?' . base64_encode($name) . '?=';
    }
    if (preg_match('/[",]/', $name)) {
        return '"' . addcslashes($name, '\\"') . '"';
    }
    return $name;
}

/** RFC2047 encode UTF‑8 Subject if needed */
function encodeSubject(string $subject): string {
    return preg_match('/[^\x20-\x7E]/', $subject)
        ? '=?UTF-8?B?' . base64_encode($subject) . '?='
        : $subject;
}

Raspberry PI – L2TP VPN over IPsec + PSK (Mikrotik)

Miroslav Šraga — Sun, 18 Jan 2026 11:32:17 +0000

Nastala potřeba navázat persistentní VPN z prostředí Raspberry Pi (Dekstop) vůči Mikrotik L2TP VPN s IPsec a předsdíleným klíčem. Za normálních okolností by se nabízelo použití Wireguard VPN nebo OpenVPN, nicméně v tomto případě jsem limitován pouze možností použít L2TP.

Je tedy potřeba nastavit „Raspberry Pi L2TP/IPsec Always‑On VPN Client“

Cílem návodu je

Plně automatický VPN klient s automatickou opravou
Automaticky se připojuje při spuštění
Znovu se připojuje v případě výpadku IP, přerušení L2TP, selhání PPP nebo restartu MikroTiku
Routy, které se aktivují pouze při spuštění ppp0
IPsec je vždy spouštěn jako první
Čistá, stabilní a funkční konfigurace

Ačkoliv účelem je VPN klient, který se napojuje na zařízení Mikrotik, postup by měl být funkční také pro Windows RRAS, WatchGuard, Draytek, UniFi, Zyxel případně jakýkoliv y L2TP/IPsec PSK server.

Instalace potřebných balíčků

#  Install required packages

sudo apt update 

sudo apt install strongswan strongswan-starter xl2tpd

Konfigurace IPsec (strongSwan)

#  Configure IPsec (strongSwan)

sudo nano /etc/ipsec.conf

Do textového editoru vložte tyto údaje:

YOUR_VPN_SERVER_IP – Tento text nahraďte veřejnou IP adresou vašeho VPN serveru

config setup
    charondebug="ike 1, knl 1, cfg 0"

conn L2TP-VPN
    keyexchange=ikev1
    ike=aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
    esp=aes256-sha1,aes128-sha1,3des-sha1!
    type=transport
    authby=secret
    forceencaps=yes

    left=%defaultroute
    leftprotoport=17/1701
    right=YOUR_VPN_SERVER_IP
    rightprotoport=17/1701

    dpdaction=restart
    dpddelay=30s
    auto=add

IPsec předsdílený klíč (PSK)

#Create the IPsec PSK 

sudo nano /etc/ipsec.secrets

Do textového editoru vložte tyto údaje:

YOUR_VPN_SERVER_IP – Tento text nahraďte veřejnou IP adresou vašeho VPN serveru

YOUR_PSK – Tento text nahraďte předsdíleným klíčem

%any YOUR_VPN_SERVER_IP : PSK "YOUR_PSK"

Obsah souboru bude vypadat například takto:

%any 1.2.3.4 : PSK "8a9x6C2WBktR3PmNjmWW"

Nastavení L2TP (xl2tpd) – Client (LAC) Mode

# Configure L2TP (xl2tpd) – Client (LAC) Mode

sudo nano /etc/xl2tpd/xl2tpd.conf

Do textového editoru vložte tyto údaje:

YOUR_VPN_SERVER_IP – Tento text nahraďte veřejnou IP adresou vašeho VPN serveru

L2TP-VPN – název vašeho VPN rozhraní (identifikace). Tento údaj lze změnit, ale je potřeba následně dále v konfiguraci používat stejné označení

[global]
port = 1701

[lac L2TP-VPN]
lns = YOUR_VPN_SERVER_IP
pppoptfile = /etc/ppp/options.l2tpd.client
autodial = yes
redial = yes
redial timeout = 15
length bit = yes
ppp debug = yes

Konfigurace PPP (MS‑CHAPv2)

# Configure PPP (MS‑CHAPv2)

sudo nano /etc/xl2tpd/xl2tpd.confsudo nano /etc/ppp/options.l2tpd.client

Do textového editoru vložte tyto údaje:

YOUR_USERNAME – Tento text reprezentuje uživatelské jméno pro přihlášení k VPN. Nahraďte jej tedy uživatelským jménem. Pro správné fungování je potřeba toto jméno vyplnit na řádku „name“ i „user“.

noauth

name YOUR_USERNAME
user YOUR_USERNAME

refuse-pap
refuse-chap
refuse-mschap
refuse-eap

mtu 1350
mru 1350

hide-password
persist
nodefaultroute
usepeerdns

lcp-echo-interval 20
lcp-echo-failure 5
debug
dump

Přidání hesla (CHAP)

Lze použít textový editor vyvolaný příkazem sudo nano, nebo jednorázově přidat údaje rovnou z příkazového řádku.

# Option 1 - edit file

sudo nano /etc/ppp/chap-secrets

Do textového editoru vložte tyto údaje:

YOUR_USERNAME – Tento text reprezentuje uživatelské jméno pro přihlášení k VPN. Nahraďte jej tedy uživatelským jménem.

YOUR_PASSWORD – Tento text reprezentuje heslo pro přihlášení k VPN.

"YOUR_USERNAME"    *    "YOUR_PASSWORD"    *

Případně varianta jednorázového přidání z příkazové řádky:

# Option 2 - Add credentials to CHAP secrets directly from command line

sudo bash -c 'cat > /etc/ppp/chap-secrets <


				
				
									Nastavte oprávnění pro vytvořený soubor
								
				
				
				
					# Set permissions for chap-secrets

sudo chmod 600 /etc/ppp/chap-secrets
				
				
				
				
					První spuštění a test
				
				
				
				
					# Restart services
sudo systemctl restart strongswan-starter
sudo systemctl restart xl2tpd

# Bring up IPsec:
sudo ipsec restart
sudo ipsec up L2TP-VPN

#Start the L2TP tunnel:
echo "c L2TP-VPN" | sudo tee /var/run/xl2tpd/l2tp-control

# Verify PPP interface:
ip addr show ppp0
				
				
				
				
					Vytvoření routingu pro vybrané sítě
				
				
				
				
					# Add split‑tunnel routes (only your selected subnets over VPN)

sudo nano /etc/ppp/ip-up.d/vpn-routes
				
				
				
				
									Do textového editoru vložte tyto údaje:
Sítě 192.168.100.0/24 a 10.20.30.0/24 nahraďte subnety, dle potřeby
								
				
				
				
					#!/bin/sh
ip route replace 192.168.100.0/24 dev ppp0
ip route replace 10.20.30.0/24 dev ppp0
				
				
				
				
									Nastavte vytvořený soubor jako „spustitelný“
								
				
				
				
					# Make executable

sudo chmod +x /etc/ppp/ip-up.d/vpn-routes
				
				
				
				
					Automatické připojení VPN po startu operačního systému
				
				
				
				
					# Auto‑start at boot (strongSwan + xl2tpd)

sudo systemctl enable strongswan-starter
sudo systemctl enable xl2tpd
				
				
				
				
									Je potřeba zajistit, aby xl2tph startoval až po té, co je nastartována služba pro IPsec
								
				
				
				
					# Ensure xl2tpd starts after IPsec

sudo mkdir -p /etc/systemd/system/xl2tpd.service.d
sudo nano /etc/systemd/system/xl2tpd.service.d/override.conf
				
				
				
				
									Do textového editoru vložte tyto údaje:
								
				
				
				
					[Unit]
After=strongswan-starter.service
Wants=strongswan-starter.service
				
				
				
				
									Dále je potřeba systémovou službu znovu načíst
								
				
				
				
					# Reload

sudo systemctl daemon-reload
				
				
				
				
					Volitelně: hlídání, že je VPN připojena (Keepalive Watchdog)
				
				
				
				
					# Optional but Recommended: Keepalive Watchdog, Create file:

sudo nano /usr/local/bin/vpn-keepalive.sh
				
				
				
				
									Do textového editoru vložte tyto údaje:
L2TP-VPN – název vašeho VPN rozhraní (identifikace). Tento údaj lze změnit, ale je potřeba následně dále v konfiguraci používat stejné označení
								
				
				
				
					#!/bin/bash

# Restart IPsec if lost
if ! ipsec status | grep -q "ESTABLISHED"; then
    ipsec restart
    sleep 4
fi

# Reconnect L2TP if ppp0 not active
if ! ip link show ppp0 >/dev/null 2>&1; then
    echo "c L2TP-VPN" > /var/run/xl2tpd/l2tp-control
fi
				
				
				
				
									Nastavte vytvořený soubor jako „spustitelný“
								
				
				
				
					# Make executable

sudo chmod +x /usr/local/bin/vpn-keepalive.sh
				
				
				
				
					# Systemd service

sudo nano /etc/systemd/system/vpn-keepalive.service
				
				
				
				
									Do textového editoru vložte tyto údaje:
								
				
				
				
					[Unit]
Description=L2TP/IPsec VPN Keepalive
After=network-online.target strongswan-starter.service xl2tpd.service
Wants=network-online.target

[Service]
ExecStart=/bin/bash -c "while true; do /usr/local/bin/vpn-keepalive.sh; sleep 20; done"
Restart=always

[Install]
WantedBy=multi-user.target
				
				
				
				
					# Enable service

sudo systemctl daemon-reload
sudo systemctl enable --now vpn-keepalive
				
				
				
				
					Ověření stavu VPN
				
				
				
				
					# Check IPsec
sudo ipsec statusall

# Check L2TP/PPP
ip addr show ppp0

# Check routes
ip r
				
				
				
				
					Další užitečné příkazy
				
				
				
				
					# Restart VPN 
sudo systemctl restart strongswan-starter xl2tpd 
sudo ipsec restart && sudo ipsec up L2TP-VPN-MASTERDC 

echo "c L2TP-VPN" | sudo tee /var/run/xl2tpd/l2tp-control 

# Stav xl2tpd
sudo journalctl -fu xl2tpd

# IP adresa VPN rozhraní 
ip addr show ppp0 

# zobrazení routovací tabulky 
ip route show 
route -n 
ip route show table all 

				
				
				
				
					Nastavení na straně Mikrotik



Bitlocker – automatické šifrování pomocí Intune
Miroslav Šraga — Tue, 17 Jun 2025 18:11:14 +0000
		
				
					
				
				
									Mnoho správců IT se mě ptá, jak správně pomocí Intune nasadit BitLocker na zařízeních Windows 11 (ale mnohdy i 10) tak, aby se disk v tichosti na pozadí zašifroval, uživatel nemusel nikam klikat, a aby vše fungovalo „na první dobrou“. Microsoft Intune se neustále rozvíjí a umožňuje čím-dál více nastavení, avšak ne všechny konfigurace jsou vzájemně kompatibilní a vedou k požadovanému výsledku.
								
				
				
				
									
						
				Obsah			
										
				
					
				
			
							
		
						
				
				
				
					Prerekvizity
				
				
				
				
									Aby vše klaplo „na první dobrou“, tak je potřeba splnit několik předpokladů, které, pokud nejsou splněny, tak se disk nemusí automaticky zašifrovat, nebo BitLocker nemusí jít spustit ani ručně.
Jaké jsou tedy požadavky na zařízení, které chceme automaticky na pozadí zašifrovat:
Pokud se koncoví uživatelé přihlašují k zařízením jako administrátoři, zařízení musí používat Windows 10 verze 1803 nebo novější, nebo Windows 11.
Pokud se koncoví uživatelé přihlašují k zařízením jako standardní uživatelé, zařízení musí používat Windows 10 verze 1809 nebo novější, nebo Windows 11.
Zařízení musí být připojeno k Microsoft Entra (dříve Azure AD) nebo hybridně připojeno k Microsoft Entra.
Zařízení musí obsahovat alespoň TPM (Trusted Platform Module) verze 1.2 (dokumentace dříve uváděla potřebu TPM 2.0)
Režim BIOSu musí být nastaven pouze na Native UEFI.
Secure boot state – musí být ON (zapnuto)
								
				
				
				
					Oprávnění potřebná pro správu BitLockeru
				
				
				
				
									Řízení přístupu je řízeno na základě rolí (RBAC). Pro správu BitLockeru v Intune musí mít účet (uživatel) přiřazenou roli (RBAC) v Intune, která zahrnuje oprávnění Vzdálené úlohy (Remote tasks) s právem Rotovat klíče BitLockeru (Rotate BitLockerKeys).
Toto oprávnění a právo můžete přidat do vlastních RBAC rolí, nebo použít jednu z následujících předdefinovaných RBAC rolí, které toto právo již obsahují:
Help Desk Operator (Operátor helpdesku)
Endpoint Security Administrator (Správce zabezpečení koncového bodu)
								
				
				
				
							

						Připomenutí
			
						Uživatels s oprávněním Global admin (Globální správce) má právo na správu BitLockeru pomocí Intune.
			
			
		
						
				
				
				
					Kde je možné nastavit politiky
				
				
				
				
									Automatické šifrování se provádí pomocí konfiguračních politik (konfiguračních zásad nebo také konfiguračních profilů). Pro konfiguraci šifrování na spravovaných zařízeních použijte jeden z následujících typů zásad:
 1. Zabezpečení koncového bodu (Endpoint security) > Zásady šifrování Windows (Disk Encryption)
Vyberte z následujících profilů:
BitLocker
Skupina nastavení zaměřená výhradně na konfiguraci BitLockeru.
Více informací naleznete v dokumentaci BitLocker CSP.
Šifrování osobních dat (Personal Data Encryption – PDE)
PDE se liší od BitLockeru tím, že šifruje jednotlivé soubory místo celých svazků a disků.
PDE funguje navíc k jiným metodám šifrování, jako je BitLocker.
Na rozdíl od BitLockeru, který uvolňuje šifrovací klíče při spuštění systému, PDE neuvolní šifrovací klíče, dokud se uživatel nepřihlásí pomocí Windows Hello for Business.
Více informací naleznete v dokumentaci PDE CSP
2. Konfigurace zařízení (Devices – Windows – Configuration) > Ochrana koncového bodu > BitLocker
Nastavení BitLockeru je jednou z dostupných kategorií nastavení pro ochranu koncového bodu ve Windows 10/11.
Seznam dostupných nastavení BitLockeru, která jsou k dispozici v profilech ochrany koncového bodu najdete v této dokumentaci.
Je v celku jedno, který způsob si zvolíte, já spíše tíhnu k první možnosti a tedy šifrování spravovat ze sekce Ochrana koncového bodu (Endpoint security).
								
				
				
				
							
						
				
				
				
					Nastavení pomocí zásad zabezpečení koncového bodu pro zařízení s OS Windows
				
				
				
				
									Přihlaste se k Centru pro správu Microsoft 365.
V levém menu zvolte: Zabezpečení koncového bodu (Endpoint Security)
Vyberte Šifrování disku > Vytvořit zásadu.
Zvolte následující možnosti:
Platforma: Windows
Profil: Zvolte BitLocker nebo šifrování osobních dat. 
Pro náš účel vyberte volbu BitLocker
Klikněte na tlačítko Vytvořit (Create)
Na základní obrazovce zvolte Název politiky a doporučuji také vyplnit Popis
Na další stránce zvolte požadovaná nastavení (Configuration settings). 
Jaká nastavení zvolit si popíšeme v další části tohoto článku
Pokud používáte Scope tagy, tak je na další stránce vyberte
Na stránce přiřazení (Assignments) vyberte, na které skupiny zařízení chcete tuto politiku aplikovat
Na poslední stránce proveďte kontrolu a politiku vytvořte
								
				
				
				
																
															
															
				
				
				
							
						
				
				
				
					Nastavení pomocí konfigurační politiky pro zařízení s OS Windows
				
				
				
				
									Ačkoliv tento způsob úplně nepreferuji, stále spousta správců IT nepřišlo na chuť sekci „Endpoint security“ – viz předchozí způsob.
Přihlaste se k Centru pro správu Microsoft 365.
V levém menu zvolte: Zařízení (Devices)
Vyberte Konfigurační profily (Configuration)
V horním menu klikněte na Vytvořit zásadu (Create New Policy)
Zvolte následující možnosti:
Platforma: Windows 10 a novější (Windows 10 and later)
Profil: Šablony (Templates)
Vyberte šablonu: Ochrana koncového bodu (Endpoint protection)
Klikněte na tlačítko Vytvořit (Create)
Na základní obrazovce zvolte Název politiky a doporučuji také vyplnit Popis
Na další stránce zvolte požadovaná nastavení (Configuration settings). 
Pro náš účel nastavte parametry pouze v sekci Windows Encryption
Jaká nastavení zvolit si popíšeme v další části tohoto článku
Na stránce přiřazení (Assignments) vyberte, na které skupiny zařízení chcete tuto politiku aplikovat
Případně nastavte pravidla pro aplikování konfiguračního profilu (Applicability Rules), nebo ponechte prázdné
Na poslední stránce proveďte kontrolu a politiku vytvořte
								
				
				
				
																
															
															
				
				
				
					Potřebná nastavení pro aktivaci BitLockeru "na pozadí"
				
				
				
				
									Budu vycházet z toho, že konfigurační profil (politiku) máte vytvořenou na základě jednoho z výše uvedených postupů. Nastavení šifrování je rozděleno do několika sekcí. Popis veškerých nastavení zde budu uvádět pouze v angličtině a to z několika důvodů:
Všechny admin portály používám výhradně v angličtině a vám to doporučuji také kvůli chybám v překladu
Chci si zjednodušit práci a nechci vše překládat do češtiny, navíc některé termíny se stejně používají výhradně v angličtině
Troubleshooting – pokud budete hledat dokumentaci k nějakému konkrétnímu parametru, stejně budete vycházet z angličtiny
								
				
				
				
					Sekce Bitlocker
				
				
				
				
									Require Device Encryption: Enabled
Allow Warning For Other Disk Encryption: Disabled
Allow Standard User Encryption: Enabled
Configure Recovery Password Rotation: Ponechejte rotaci vypnutou, pokud neznáte další souvislosti, nebo zapněte podle konkrétních požadavků
								
				
				
				
																
															
															
				
				
				
					Sekce BitLocker Drive Encryption
				
				
				
				
									 Choose drive encryption method and cipher strength (Windows 10 [Version 1511] and later): EnabledNastavení Encryption method můžete ponechat výchozí nebo silnější: XTS-AES 128-bit (default)
								
				
				
				
																
															
															
				
				
				
					Sekce Operating System Drives
				
				
				
				
									Enforce drive encryption type on operating system drives: EnabledSelect the encryption type: (Device): Full Encryption
Require additional authentication at startup: EnabledAllow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive): False
Configure TPM startup key and PIN: Do not allow startup key and PIN with TPM
(Nesmí být Require startup key and PIN with TPM)
Configure TPM startup key: Do not allow startup key with TPM
(Nesmí být Require startup key with TPM)
Configure TPM startup PIN: Do not allow startup PIN with TPM 
(Nesmí být Require startup PIN with TPM)
Configure TPM startup: Allow TPM
Configure minimum PIN length for startup: Disabled (Default) nebo Not configured
Allow enhanced PINs for startup: Disabled (Default) nebo Not configured
Disallow standard users from changing the PIN or password: Disabled (Default) nebo Not configured
Allow devices compliant with InstantGo or HSTI to opt out of pre-boot PIN.: Disabled (Default) nebo Not configured
Enable use of BitLocker authentication requiring preboot keyboard input on slates: Disabled (Default) nebo Not configured
Choose how BitLocker-protected operating system drives can be recovered: EnabledConfigure user storage of BitLocker recovery information: Allow 256-bit recovery key + Allow 48-digit recovery password
Allow data recovery agent: False
Configure storage of BitLocker recovery information to AD DS: Store recovery passwords only
Do not enable BitLocker until recovery information is stored to AD DS for operating system drives: True
Omit recovery options from the BitLocker setup wizard: True
Save BitLocker recovery information to AD DS for operating system drives: True
Configure pre-boot recovery message and URL: Not configured
								
				
				
				
																
															
															
				
				
				
					Sekce Fixed Data Drives
				
				
				
				
									Tato sekce může zůstat v režimu „Not configured„, nicméně, pokud chcete zašifrovat všechny pevné disky v zařízení, nastavení by mělo vypadat přibližně takto:
								
				
				
				
																														
				
					
				
				
		


Outlook – primary account cannot be removed
Miroslav Šraga — Fri, 28 Feb 2025 17:51:25 +0000
		
				
					
				
				
									Zase mě jednou brali všichni čerti. Tentokrát kvůli nemožnosti odebrat výchozí účet MS Exchange z Outlooku Desktop. Když přejdete z jedné služby Microsoft Exchange do druhé, například z interního serveru Exchange na Office365 (Microsoft 365), a chcete zachovat aktuální profil (což běžně nedoporučuji, ale jsou případy, kdy je to potřeba), nemůžete ze svého profilu odebrat původní účet Exchange. Stejně tak, když máte v profilu dva Exchange (i Online) účty a ten první potřebujete odebrat, tak se vám to nepovede a Zobrazí se vám velmi příjemná systémová hláška:
								
				
				
				
							
			
				The primary account cannot be removed unless it is the only account in the profile. You must remove all other Exchange accounts before removing the primary account account.			
							
											Microsoft Outlook
														
					
						
				
				
				
									
						
				Obsah			
										
				
					
				
			
							
		
						
				
				
				
					Výchozí (primární) účet Exchange
				
				
				
				
									Primární účet Exchange je prvním účtem přidaným do profilu. Primární účet nelze z profilu odebrat, dokud nejsou z profilu odstraněny všechny ostatní účty Exchange (když je primární účet odebrán, další přidaný účet Exchange je považován za primární).
Všechny ostatní účty Exchange přidané do profilu jsou považovány za sekundární účty.
Doporučenou metodou změny primárního účtu je znovu vytvořit profil uživatele a nejprve přidat příslušný účet. Existují však dvě další možnosti: upravit registr a poté odebrat primární účet Exchange z vašeho profilu nebo přidat do profilu soubor PST, nastavit jej jako výchozí a poté odebrat účty Exchange.
Obojí je za mě řešení postavené „na hlavu“.
								
				
				
				
					Odstranění výchozího účtu Exchange
				
				
				
				
									Pokud potřebujete odstranit primární účet ze svého profilu, máte tři možnosti.
Vytvořit nový profil (doporučeno)
Odebrat všechny účty Exchange ze svého profilu a poté přidat nový účet zpět
Odebrat klíč z registru, abyste mohli odstranit primární účet z registru.
I když vytvoření nového profilu může být rychlejší (a je to doporučená metoda), existují i jiné metody, které můžete použít ke změně primárního účtu a zachování profilu při zachování nastavení specifických pro profil.
Přejděte na Ovládací panely > Pošta a odeberte všechny účty Exchange z profilu, přičemž primární účet odeberte jako poslední. Budete muset do profilu přidat pst a nastavit jej jako výchozí datový soubor a poté restartovat aplikaci Outlook.
Zavřete Outlook a vraťte se do Ovládací panely > Pošta (Microsoft Outlook) a přidejte nový účet. (Podle mých zkušeností zde nemusí být nový účet zobrazen, dokud nerestartujete Outlook.)
Restartujte aplikaci Outlook. Přejděte do nastavení účtu a nastavte *.ost jako výchozí. Chcete-li odebrat soubor *.pst z profilu, budete muset aplikaci Outlook restartovat ještě jednou.
Tato metoda je vhodná asi jen v případě, kdy máte jen pár účtů Exchange. Pokud máte hodně účtů Exchange nebo poštovní schránky, které máte v profilu, jsou velké, můžete upravit registr, abyste odstranili příznak „primární“ a poté mohli účet smazat.
Úprava registru je obecně lepší možností, když hrozí, že  synchronizace poštovních schránek bude trvat dlouho (třeba jste jste na datovém připojení) nebo pokud máte ve svém profilu větší množství účtů Exchange.
								
				
				
				
					Odebrání primárnho účtu pomocí úpravy registrů
				
				
				
				
									Odebrat příznak primárního účtu můžete také pomocí úpravy registrů. Tato metoda není oficiálně podporována Microsoftem. Pokud se cokoliv nepovede, budete si muset vytvořit nový profil, obnovit exportovaný klíč profilu nebo použít Obnovení systému k návratu k předchozímu bodu obnovení.
Zavřete aplikaci Outlook a otevřete editor registru.
Stisknutím klávesy Windows + R otevřete příkaz Spustit, do pole zadejte příkaz regedit a stiskněte klávesu Enter.
								
				
				
				
							

						Upozornění
			
						Před úpravou exportujte klíče registru, abyste mohli svůj profil obnovit, pokud uděláte chybu.
			
			
		
						
				
				
				
									V editoru registrů najděte tento klíč
								
				
				
				
					Outlook 2010
				
				
				
				
					HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\Windows Messaging SubSystem\Profile\
				
				
				
				
					Outlook 2013
				
				
				
				
					HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Profiles\
				
				
				
				
					Outlook 2016 a novější
				
				
				
				
					HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\
				
				
				
				
									Doporučuji nejrve celý klíč profilu exportovat (záloha) a poté vyhledejte a odeberte jeden (nebo oba, nebo tři) klíče registru související s primárním účtem – viz dále.
V klíčích vybraného profilu je potřeba hledat hodnotu s názvem 001f6641 (případně 001f662b). Hodnotu s tímto názvem používá každý účet. Pro každý účet najdete nejméně dva klíče obsahující tuto hodnotu a musíte odstranit druhý klíč, který patří k primárnímu účtu (můžete smazat oba klíče, já mažu vždy oba). Po smazání klíče/klíčů je následně možné odstranit primární účet.
								
				
				
				
							

						Upozornění
			
						Je potřeba smazat celý klíč registru, nejen hodnotu. Laicky řešeno - mažete celou složku vlevo - v editoru registrů.
			
			
		
						
				
				
				
									Na níže uvedeném příkladu je vidět, že hledáme účet messaging.microsoft@365lab.cz, který byl použit na testování.
								
				
				
				
																
															
															
				
				
				
																
															
															
				
				
				
									Po nalezení a odstranění dvou nebo tří klíčů registru přejděte na Ovládací panely > Pošta (Microsoft Outlook). Zatím Outlook Desktop nezapínejte.
Přejděte na „E-mailové účty…“ a nastavte požadovaný účet jako výchozí, pokud je přítomen původní účet, tak jej odeberte.
								
				
				
				
																
															
															
				
				
				
									Nyní můžete zapnout Outlook Desktop. Pokud se zobrazí chyba, máte 2 možnosti: 1) dohledat klíč, který jste přehlédli a nesmazali, 2) obnovit registr ze zálohy.
								
				
					
				
				
		


Deaktivace automatického přechodu na Outlook New
Miroslav Šraga — Fri, 20 Dec 2024 14:02:14 +0000
		
				
					
				
				
									Už jste o tom slyšeli? Microsoft automaticky přepne uživatele na nový Outlook v lednu 2025!
S výzvou, abyste vyzkoušeli nový Outlook jste se již určitě setkali. Možná jste jej v minulosti dokonce vyzkoušeli, ale pravděpodobně jste rychle přešli zpět na ten klasický. 
Pokud je to tak, doporučuji na nový Outlook nezanevřít a zkusit to znovu, hodně věcí se posunulo, a podle mě je Microsoft na dobré cestě. Nicméně, pro ty IT správce, kteří si rvou vlasy, co to Microsoft zase vymyslel, tak mám postup, jak automatickému přechodu zabránit, aby vás uživatelé po 6. lednu 2025 neukamenovali. Vy, kteří si toto čtete v lednu, tak pravděpodobně právě prožíváte celkem hustý začátek nového roku. A dobře vám tak, máte takové články číst včas 
								
				
				
				
									
						
				Obsah			
										
				
					
				
			
							
		
						
				
				
				
					Deaktivace pomocí Intune
				
				
				
				
									Přejděde na adresu Microsoft Intune Admin Centra a dále navigujte do
Devices
Windows
								
				
				
				
																														
				
				
				
									Dále v sekci Windows pokračujte
3. Configuration
4. Create
5. New Policy
								
				
				
				
																														
				
				
				
									V novém okně na pravé straně zvolte následující
6. Platform: Windows 10 and later
7. Profile type: cettings catalok
8. Create
								
				
				
				
																														
				
				
				
									V novém okně postupujde následovně:
9. Zvolte název konfigurační politiky
10. Zadejte popis politiky (věřím, že všichni poctivě dokumentujete a zadáváte popisy tak,a by se v nich vyznali i vaši kolegové)
11. Pokračujte kliknutím na tlačítko „Next„
								
				
				
				
																														
				
				
				
									V následujícím okně to bude trochu složitější
12. Klikněte na odkaz „+ Add settings„
13. Do vyhledávacího pole zadejte tento text: Admin-Controlled Migration to New Outlook
14. Klikněte na tlačítko „Vyhledat„
15. V sekci Browse category klikněte na nalezený záznam „Microsoft Outlook 2016\Outlook Options\Other„
16. Zatrhněte volbu „Admin-Controlled Migration to New Outlook„
17. Zavřete nabídku s nastavením
								
				
				
				
																														
				
				
				
									18. Pokud chcete deaktivovat automatický přechod na nový Outlook, ponechte přepínač deaktivovaný. Pokud chcete povolit automatický přechod na nový Outlook, přepínač zapněte.
19. Pokračujte dál kliknutím na tlačítko „Next„
								
				
				
				
																														
				
				
				
									20. Pokud používáte Scope tags, tak je vyberte, jinak pokračujte dál kliknutím na tlačítko „Next„
								
				
				
				
																														
				
				
				
									V následujícím kroku je potřeba politiku zacílit. Samotné nastavení se aplikuje v kontextu uživatele.
20. Zvolte skupinu/skupiny na které chcete politiku cílit (kliknutím na tlačítko „Add groups„) případně zvolte možnost „All users“ nebo „All devices“. Doporučuji ale jakákoliv nastavení distribuovat řízene dle skupin zabezpečení.
21. Zatrhněte checkbox u těch skupin, na které cílíte
22. Volbu skupin(y) potvrďte tlačítkem „Select„. Okno se zavře.
23. Pokračujte dál kliknutím na tlačítko „Next„
								
				
				
				
																														
				
				
				
									V posledním kroku zkontrolujte, zda-li jsou všechna nastavení v pořádku. Opravu provedete kliknutím na tlačítko „Previous„
24. Konfigurační politiku vytvoříte kliknutím na tlačítko „Create„
								
				
				
				
																														
				
				
				
									Nově vytvořená politika se zobrazí mezi ostatními konfiguračními politikami. Aby byla politika na zařízení uplatněna, musí proběhnout synchronizace mezi koncovým zařízením a službou Microsoft Intune.
								
				
				
				
																														
				
				
				
					De/aktivace automatického přechodu pomocí registrů
				
				
				
				
					# Deaktivace automatického přechodu

[HKEY_CURRENT_USER\Software\Policies\Microsoft\office\16.0\outlook\preferences]
"NewOutlookMigrationUserSetting"=dword:00000000
				
				
				
				
					# Aktivace automatického přechodu

[HKEY_CURRENT_USER\Software\Policies\Microsoft\office\16.0\outlook\preferences]
"NewOutlookMigrationUserSetting"=dword:00000001
				
				
				
				
					De/aktivace přepínače v Outlooku (Vyzkoušejte nový Outlook)
				
				
				
				
					# Aktivace (zobrazení) přepínače "vyzkoušejte nový Outlook)"

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General]
"HideNewOutlookToggle"=dword:00000001
				
				
				
				
					# Deaktivace (skrytí) přepínače "vyzkoušejte nový Outlook)"

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General]
"HideNewOutlookToggle"=dword:00000000
				
				
				
				
									Zobrazit nebo skrýt tlačítko „Vyzkoušet nový Outlook“ lze také pomocí Microsof Intune. V settings catalogu je volba „Try the new Outlook„, jinak je postup stejný viz výše.
								
				
				
				
																														
				
				
				
					Jak zakázat re-instalaci Outlook na Nový Outlook
				
				
				
				
									Windows 23H2 a vyšší mají novou aplikaci Outlook předinstalovanou pro všechny uživatele, protože do konce roku 2024 nahradí předinstalované aplikace Pošta a Kalendář.
V současné době neexistuje způsob, jak zablokovat instalaci nového Outlooku před jeho první instalací jako náhrady za aplikaci Pošta a kalendář. Pokud nechcete, aby se nový Outlook zobrazoval na zařízeních vaší organizace, můžete jej po instalaci v rámci aktualizace odebrat.
Chcete-li odebrat balíček aplikace, použijte příkaz Remove-AppxProvisionedPackage s hodnotou parametru PackageName Microsoft.OutlookForWindows. Po odebrání, aktualizace systému Windows znovu nenainstalují nový Outlook.
Pokud preferuejte PowerShell, použijte následující příkaz:
								
				
				
				
					Remove-AppxProvisionedPackage -AllUsers -Online -PackageName (Get-AppxPackage Microsoft.OutlookForWindows).PackageFullName
				
				
				
				
									Dále ještě odeberete následující záznam registru:
								
				
				
				
					HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\Orchestrator\UScheduler_Oobe\OutlookUpdate
				
				
				
				
									U zařízení s Windows 11 verze 23H2 (s nainstalovaným 2024 Non-Security Preview releasenebo pozdějším cumulative update) není nutné hodnotu registru odstraňovat.
V případě uživatelských instalací, například pokud uživatelé použili přepínač k instalaci nového Outlooku pro Windows, použijte Remove-AppxPackage. Rutiny AppxPackage se používají pro správu aplikací pro současné uživatele, zatímco rutiny AppxProvisionedPackage se používají pro správu výchozích aplikací pro současné i budoucí uživatele systému.
Tento PowerShell použijte k odebrání nového Outlooku pro všechny uživatele:
								
				
				
				
					Remove-AppxPackage -AllUsers -Package (Get-AppxPackage Microsoft.OutlookForWindows).PackageFullName
				
				
				
				
							

						TIP
			
						Chcete-li ověřit, zda je aplikace nainstalována, zkontrolujte, zda se složka protokolů nachází pod: %localappdata%\Microsoft\Olk\logs. V některých případech uživatelé nemusí mít aplikaci nainstalovanou, ale mohou vidět připnutou/zástupnou ikonu v nabídce Start.
			
						
			
		
						
				
				
				
									Nová aplikace Outlook se nainstaluje, když ji uživatelé aktivují. Připnuté aplikace v nabídce Start můžete spravovat podle pokynů v článku „Přizpůsobení rozvržení Start – Konfigurace systému Windows„. 
Uživatelé také mohou vidět novou aplikaci Outlook v části Start „Doporučeno (Win11) nebo Navrhováno (Win10)“ na svých zařízeních.
								
				
				
				
					Deaktivace automatického přechodu pomocí Group Policy
				
				
				
				
									Zabránit automatickému přechodu na Nový Outlook lze také pomocí Group Policy (GPO). Pokud nemáte stažené poslední verze gpo, můžete se vydat cestou úpravy registrů pomocí GPO, já však doporučuji stáhnout poslední verzi šablon pro správu prostřednitvím Microsoft Download Centra.
Další postup se již neliší od běžných Group policy, na které jste zvyklý a zároveň je schéma velmi podobné tomu, co jsme si ukázali na začátku článku, kde jsme definovali politiku pomocí Microsoft Intune. Nastavení politiky se skrývá zde:
User Configuration – Policies – Administrative Templates: Policy definitions – Microsoft Outlook 2016 – Outlook Options – Other – Manage user settings for new Outlook automatic migration
Hodnnoty, které můžete zadat:
0 – Politika není nakonfigurována (výchozí) a automatický přechod není řízen politikou (Group policy)
1 – Automatický přechod na nový Outlook je povolený
2 – Automatický přechod na nový Outlook je zakázaný
								
				
				
				
																														
				
				
				
									Co ještě lze, tak zakázat migraci z pozice IT správce. Nastavení, které toto řídí je „Admin-Controlled Migration to new Outlook„
Dále lze pomocí GPO uživatelům vypnout možnost použít přepínač „Vyzkoušejte nový outlook“. Nastavení, které toto řídí je „Hide the Try the new Outlook toggle in Outlook„
								
				
				
				
							

						Upozornění
			
						Microsoft v dokumentaci možnost deaktivace automatického přechdou pomocí GPO neuvádí. Vše řádně otestujte před zavedením tohoto nastavení do produkce.
			
			
		
						
				
				
				
					Cloud Policy
				
				
				
				
									Tuto zásadu můžete také nastavit také pomocí Cloudových zásad (Cloud Policy) z centra pro správu aplikací Microsoft 365. Další informace o zásadách cloudu najdete v tématu Přehled služby zásad cloudu pro Microsoft 365.
Protože s tímto režimem se u klientů moc nesetkávám, nebudu se mu více věnovat.
								
				
				
				
					Hybridní scénáře
				
				
				
				
									To nejlepší na konec.
Nový Outlook není podporován v on-premises prostředí. Pokud tedy máte hybridní prostředí s Microsoft 365 i lokálními uživateli, měli byste automatický přechod cílit pouze na uživatele Microsoft 365. Nový Outlook také není dostupný v izolovaných a dedikovaných cloudech, proto nepovolujte zásady pro tato prostředí.