Xác thực đa yếu tố (MFA) giống như việc thêm một ổ khóa nữa vào cửa trước nhà bạn. Ngay cả khi ai đó đánh cắp chìa khóa (mật khẩu) của bạn, họ vẫn không thể vào nhà nếu không có bằng chứng thứ hai, chẳng hạn như mã trên điện thoại của bạn.
Tìm hiểu cách thiết lập xác thực đa yếu tố (MFA) cho các thiết bị không được quản lý trong Microsoft 365 bằng cách sử dụng Truy cập có điều kiện, bảo vệ dữ liệu nhạy cảm đồng thời duy trì trải nghiệm đăng nhập mượt mà cho các thiết bị đáng tin cậy.
Hướng dẫn này, Tri Thức Software sẽ chỉ cho bạn cách cấu hình Xác thực đa yếu tố (MFA) truy cập có điều kiện cho các thiết bị không được quản lý từng bước một, để bạn có được giải pháp MFA tốt nhất cho thiết lập BYOD mà không làm chậm nhóm của bạn.
Cách thiết lập xác thực MFA trên các thiết bị không được quản lý
Trong Microsoft 365 và Entra ID (trước đây là Azure AD), bạn có thể thiết lập xác thực đa yếu tố (MFA) trên các thiết bị không được quản lý (thiết bị cá nhân hoặc thiết bị không do nhóm CNTT của bạn kiểm soát) mà không gây khó khăn cho nhân viên sử dụng máy tính do công ty quản lý.
Cấu hình này, thường được gọi là Xác thực đa yếu tố cho thiết bị không được quản lý hoặc chính sách BYOD MFA, rất phù hợp cho:
- Bảo vệ dữ liệu của bạn khỏi các lần đăng nhập rủi ro
- Tránh các yêu cầu xác thực đa yếu tố bổ sung trên các thiết bị đáng tin cậy và tuân thủ quy định.
- Tăng cường bảo mật cho máy tính xách tay, điện thoại hoặc máy tính bảng cá nhân không tuân thủ chính sách của công ty.
Với Truy cập có điều kiện, bạn có thể yêu cầu xác thực đa yếu tố (MFA) cho các thiết bị cá nhân không được quản lý, loại trừ các thiết bị được quản lý khỏi lời nhắc MFA và thậm chí tinh chỉnh các quy tắc cho thiết lập BYOD.
Điều kiện tiên quyết
Trước khi bắt đầu, hãy đảm bảo bạn đã chuẩn bị đầy đủ:
- Giấy phép Microsoft Entra ID Premium P1: Cần thiết cho Quyền truy cập có điều kiện. Giấy phép này đi kèm với Microsoft 365 E3/E5 hoặc có thể mua riêng.
- Thiết lập quản lý thiết bị: Hầu hết các công ty sử dụng Microsoft Intune để đánh dấu các thiết bị làm việc là tuân thủ quy định. Điều này giúp phân biệt giữa các thiết bị được quản lý và không được quản lý. Nếu bạn đang nỗ lực cải thiện bảo mật danh tính, những cấu hình hàng đầu này để nâng cao điểm bảo mật của bạn là một bước tiếp theo tuyệt vời.
- Phương thức xác thực đa yếu tố (MFA) đã sẵn sàng cho người dùng: Mỗi người dùng nên được thiết lập ít nhất một tùy chọn MFA, chẳng hạn như ứng dụng Microsoft Authenticator, tin nhắn văn bản hoặc cuộc gọi điện thoại.
Sau khi thiết lập xong các bước này, bạn có thể thiết lập quy tắc chỉ yêu cầu xác thực đa yếu tố (MFA) trên các thiết bị không được quản lý.
Hướng dẫn cài đặt từng bước
Hãy làm theo các bước sau để thiết lập xác thực đa yếu tố (MFA) chỉ cho các thiết bị không được quản lý:
- Mở trung tâm quản trị Microsoft Entra tại entra.microsoft.com
- Chọn Entra ID > Conditional Access
- Click chọn + Create new policy và đặt tên cho policy.
- Trong mục Include > chỉ định người dùng hoặc nhóm mà bạn muốn.
- Luôn loại trừ các tài khoản khẩn cấp: đây là các tài khoản hoặc nhóm truy cập khẩn cấp được sử dụng để ngăn chặn việc bị khóa tài khoản trong trường hợp xảy ra lỗi chính sách.
- Chọn xem cài đặt này áp dụng cho tất cả ứng dụng hay chỉ một số ứng dụng nhất định.
- Trong Conditions > chọn Device platform và bao gồm tất cả các nền tảng cần thiết.
- Trong mục Conditions > chọn Filter for Devices
- Mục Configuration > chuyển sang Yes > Chọn Exclude filtered devices from policy và thêm isCompliant equals True. Điều này đảm bảo MFA chỉ được kích hoạt trên các thiết bị không được đánh dấu là tuân thủ.
- Trong phần điều kiện, chọn Client apps > thay đổi Configuration to Yes.
- Trong mục Access controls > chọn Grant > require multi-factor authentication.
- Xuất bản chính sách ở Report mode > sau đó bật chế độ này để áp dụng cho các thành viên trong nhóm.
Cách xác minh tác động của chính sách “Xác thực đa yếu tố cho thiết bị không được quản lý”
Để xác nhận xem chính sách Truy cập có điều kiện của bạn. Xác thực đa yếu tố (MFA) cho các thiết bị không được quản lý có hoạt động như mong muốn hay không, phương pháp hiệu quả nhất là xem lại Sign-in Logs có sẵn trong Microsoft Entra > Monitoring
Các bước kiểm tra việc áp dụng chính sách:
- Truy cập Sign-in Logs: Truy cập Microsoft Entra Admin Center > Monitoring > Sign-in Logs.
- Xem lại lịch sử đăng nhập
Tại đây, bạn sẽ tìm thấy danh sách tất cả các lần đăng nhập của người dùng. Mỗi mục bao gồm các chi tiết như người dùng, thiết bị, địa điểm và thời gian truy cập. - Kiểm tra chi tiết đăng nhập cụ thể:
Nhấp vào một sự kiện đăng nhập cụ thể để mở chế độ xem chi tiết. - Hãy chuyển đến tab Truy cập có điều kiện.
>Phần này hiển thị tất cả các chính sách Truy cập có điều kiện được đánh giá trong quá trình đăng nhập và liệu mỗi chính sách có được áp dụng, không được áp dụng hay chỉ hiển thị báo cáo. - Kiểm tra chính sách của bạn.
Tìm chính sách “Xác thực đa yếu tố cho thiết bị không được quản lý” trong danh sách. Bạn sẽ có thể xem liệu chính sách đó đã được kích hoạt hay chưa, kết quả và bất kỳ lý do nào khiến nó có thể không được áp dụng (ví dụ: thiết bị không khớp với tiêu chí lọc).
Phần kết luận
Việc thiết lập xác thực đa yếu tố (MFA) chỉ cho các thiết bị không được quản lý là một bước đi thông minh. Điều này giúp bảo vệ dữ liệu của công ty bạn đồng thời đảm bảo rằng nhân viên sử dụng các thiết bị làm việc đáng tin cậy không bị chậm lại mỗi ngày. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.
