Hướng dẫn này, Tri Thức Software sẽ giải thích cách bật và thực thi Xác thực Đa yếu tố (MFA) cho tất cả người dùng Microsoft 365 bằng cách sử dụng thông báo đẩy qua ứng dụng, Cài đặt Bảo mật Mặc định hoặc Truy cập Có điều kiện. Hướng dẫn cung cấp các bước thực hành để tăng cường bảo mật danh tính, đáp ứng các yêu cầu tuân thủ và đảm bảo quá trình triển khai diễn ra suôn sẻ cho mọi người dùng.
Bắt buộc xác thực đa yếu tố (MFA) cho tất cả người dùng thông qua cài đặt bảo mật mặc định
Security Defaults là một tập hợp các thiết lập bảo mật được xác định trước trong Entra ID.
> Chúng yêu cầu tất cả người dùng phải đăng ký xác thực đa yếu tố (MFA) bằng ứng dụng Microsoft Authenticator.
Phù hợp với các tổ chức nhỏ hoặc những tổ chức không có giấy phép cao cấp, Security Defaults là phần mềm miễn phí và đơn giản.
Hình ảnh này hiển thị các cài đặt bảo mật mặc định được tự động kích hoạt khi không có chính sách truy cập có điều kiện nào được cấu hình.
Các bước để kích hoạt cài đặt bảo mật mặc định
- Đăng nhập Microsoft Entra với tư cách Global Admin
- Chọn Entra ID > Overview > Properties
- Cuộn xuống Security Defaults > chọn Manage Security Defaults.
- Cửa sổ mới hiện ra, mục Security Defaults chuyển thành Enabled.
- Nhấp vào Save. Microsoft sẽ bắt đầu yêu cầu xác thực đa yếu tố (MFA) cho tất cả người dùng.
Điều gì sẽ xảy ra tiếp theo?
- Người dùng chưa thiết lập xác thực đa yếu tố (MFA) sẽ được yêu cầu đăng ký khi đăng nhập lần sau.
- Họ có 14 ngày để hoàn tất đăng ký. Sau đó, việc đăng nhập yêu cầu xác thực đa yếu tố (MFA).
- Chỉ cho phép nhận thông báo đẩy hoặc mã xác thực từ ứng dụng Authenticator. Tin nhắn SMS/cuộc gọi thoại bị chặn.
- Quản trị viên phải xác thực đa yếu tố (MFA) mỗi khi đăng nhập, người dùng thông thường sẽ nhận được lời nhắc khi cần thiết (thiết bị mới, đăng nhập rủi ro).
- Phương thức xác thực cũ sẽ tự động bị chặn, giúp bảo vệ môi trường của bạn – nhưng có thể gây lỗi cho các tập lệnh cũ hoặc ứng dụng Outlook.
Áp dụng xác thực đa yếu tố (MFA) cho tất cả người dùng thông qua Chính sách truy cập có điều kiện
Ai nên sử dụng Truy cập có điều kiện cho Xác thực đa yếu tố (MFA)?
- Nếu tổ chức của bạn có các yêu cầu bảo mật phức tạp hoặc phải tuân thủ các tiêu chuẩn bảo mật cụ thể, hãy sử dụng Truy cập có điều kiện để bắt buộc xác thực đa yếu tố (MFA) cho tất cả người dùng.
- Truy cập có điều kiện mang lại sự linh hoạt và khả năng kiểm soát cao hơn về cách thức và thời điểm yêu cầu xác thực đa yếu tố (MFA), giúp bạn đáp ứng các nhu cầu bảo mật riêng biệt của mình.
- Các tổ chức có giấy phép Microsoft Entra ID P1 hoặc P2 nên ưu tiên sử dụng Truy cập có điều kiện, vì các thiết lập bảo mật mặc định có thể không đủ cho các kịch bản bảo mật nâng cao.
Cách thực thi xác thực đa yếu tố (MFA) thông qua Chính sách truy cập có điều kiện (CAP)
Bạn phải tắt Security Defaults trước khi bật các Conditional Access policies cho xác thực đa yếu tố (MFA) trong Microsoft Entra ID.
Các bước thực hiện:
- Truy cập trung tâm quản trị Microsoft Entra > https://entra.microsoft.co
- Truy cập vào Bảo vệ > Truy cập có điều kiện > Chính sách.
- Nhấp chuột + Chính sách mới.
- Hãy đặt tên cho nó đại loại như ‘Xác thực đa yếu tố cho Microsoft’.
- Cấu hình phân công:
- Trong mục Bao gồm: Chọn Tất cả người dùng
- Trong mục Loại trừ: Chọn Người dùng và nhóm
- Hãy chọn tài khoản truy cập khẩn cấp hoặc tài khoản báo động khẩn cấp của tổ chức bạn.
- Nếu bạn sử dụng các giải pháp nhận dạng lai như Microsoft Entra Connect hoặc Microsoft Entra Connect Cloud Sync , hãy chọn Vai trò thư mục, sau đó chọn Tài khoản đồng bộ hóa thư mục.
- Trong mục Tài nguyên mục tiêu > Bao gồm > Tất cả tài nguyên (trước đây là ‘Tất cả ứng dụng đám mây’).
- Trong mục Kiểm soát truy cập > Cấp quyền, chọn Cấp quyền truy cập.
- Chọn Yêu cầu xác thực đa yếu tố.
- Xác nhận cài đặt của bạn và đặt Chính sách kích hoạt thành Chỉ báo cáo.
- Chọn Tạo để tạo và kích hoạt chính sách của bạn.
