Hướng dẫn cách cấu hình Microsoft 365 Passwordless

Đây là lý do tại sao đăng nhập không cần mật khẩu không chỉ là xu hướng mà còn là điều cần thiết.

Bảo mật thực sự hiệu quả

Mật khẩu là những bí mật được chia sẻ mà bất cứ ai cũng có thể đánh cắp. Nhưng dấu vân tay của bạn không thể bị đánh cắp qua mạng, và chip bảo mật trên điện thoại của bạn không thể bị đoán ra.

Đây là điều mà các chuyên gia gọi là xác thực đa yếu tố (MFA) chống lừa đảo. Nó là một trụ cột cốt lõi của bảo mật Zero Trust.

Để hiểu rõ hơn về sự khác biệt giữa xác thực không cần mật khẩu và xác thực đa yếu tố (MFA) trong môi trường Microsoft 365 thực tế.

Dữ liệu của Microsoft cho thấy xác thực đa yếu tố (MFA) ngăn chặn 99,2% các vụ xâm phạm tài khoản. Điều đó có nghĩa là gần như mọi mối đe dọa đều bị loại bỏ.

Tấn công dò mật khẩu, đánh cắp thông tin đăng nhập, email lừa đảo? Tất cả đều đã bị vô hiệu hóa.

Số tiền tiết kiệm được

Mỗi lần đặt lại mật khẩu đều tốn thời gian của bộ phận hỗ trợ. Mỗi vụ vi phạm bảo mật gây thiệt hại hàng triệu đô la.

Xác thực không cần mật khẩu giải quyết cả hai vấn đề cùng một lúc.

Kết quả:

• Giảm thiểu 99,2% sự thỏa hiệp
• Số lần đăng nhập thất bại giảm 66%.
• 579 vụ tấn công hàng ngày trở nên không còn ý nghĩa
• Tiết kiệm đáng kể chi phí dịch vụ hỗ trợ kỹ thuật

Bạn đã sẵn sàng tìm hiểu cách thức hoạt động của nó chưa?

Microsoft Entra ID hỗ trợ nhiều phương thức xác thực không cần mật khẩu. Một hệ thống triển khai hiệu quả có thể kết hợp một vài phương thức này.

Dưới đây là những lựa chọn bạn có thể cân nhắc:

Khuôn mặt và dấu vân tay của người dùng sẽ trở thành mật khẩu của họ.

Phương thức đăng nhập sinh trắc học này liên kết trực tiếp với thiết bị bằng phần cứng TPM. Rất phù hợp cho nhân viên văn phòng sử dụng Windows 10 và 11.

Bảo mật: Cao. Mã PIN và dữ liệu sinh trắc học được lưu trữ cục bộ, được bảo vệ bởi các khóa mã hóa.

Trải nghiệm người dùng: Xuất sắc. Đăng nhập tức thì bằng nhận diện khuôn mặt hoặc vân tay.

Yêu cầu: Thiết bị Windows hiện đại có TPM, camera hoặc đầu đọc vân tay và đã tham gia Azure AD.

Biến điện thoại thông minh thành thiết bị xác thực. Người dùng sẽ nhận được thông báo và chỉ cần nhấn “chấp thuận”.

Không cần nhập mật khẩu.

Bảo mật: Mức độ xác thực đa yếu tố (MFA) không cần mật khẩu cao. Tuy nhiên, người dùng vẫn có thể mắc bẫy thông báo đẩy nếu không được đào tạo đúng cách.

Trải nghiệm người dùng: Thuận tiện. Hầu hết mọi người đều mang theo điện thoại.

Yêu cầu: Điện thoại thông minh iOS hoặc Android có ứng dụng Authenticator và kết nối internet.

Các khóa phần cứng vật lý như YubiKey cắm vào cổng USB hoặc sử dụng NFC.

Chúng thực sự chống lại các cuộc tấn công lừa đảo. Khóa riêng tư không bao giờ rời khỏi thiết bị.

Bảo mật: Tối đa. Cần người dùng thực hiện thao tác, hoàn toàn chống lại các hình thức lừa đảo trực tuyến.

Trải nghiệm người dùng: Nhanh chóng sau khi người dùng làm quen. Yêu cầu phải mang theo chìa khóa vật lý.

Yêu cầu: Mua khóa bảo mật, thiết bị có USB/NFC, hỗ trợ trình duyệt hiện đại.

Hoạt động trên Windows, macOS, thậm chí cả Linux với các trình duyệt phổ biến.

Hãy coi chúng như những thông tin xác thực FIDO2 tích hợp sẵn được lưu trữ trên thiết bị. Giống như mật khẩu iCloud Keychain của Apple mà Microsoft 365 hiện chấp nhận.

Bảo mật: Rất cao và chống lừa đảo trực tuyến.

Trải nghiệm người dùng: Mượt mà trên các thiết bị cá nhân. Chỉ cần sử dụng chức năng mở khóa thiết bị thông thường của bạn.

Yêu cầu: Phiên bản hệ điều hành mới nhất với khả năng hỗ trợ Azure AD được cập nhật liên tục.

Mã truy cập một lần, có thời hạn sử dụng, giúp người dùng bắt đầu sử dụng.

Đây không phải là để đăng nhập hàng ngày. Nó dành cho việc hướng dẫn người dùng làm quen với hệ thống đăng nhập không cần mật khẩu mà không cần cung cấp cho họ mật khẩu cố định.

Bảo mật: Chỉ sử dụng tạm thời. Thời gian sử dụng ngắn và phải được phân phối an toàn.

Trường hợp sử dụng: Nhân viên mới có thể sử dụng TAP để đăng ký dấu vân tay, mã xác thực hoặc khóa bảo mật của họ.

Yêu cầu: Entra ID Premium và phương thức giao hàng an toàn.

Đừng vội vàng bắt tay vào cấu hình. Lập kế hoạch thông minh sẽ giúp tránh những rắc rối khi phải hoàn tác.

Đây là lộ trình chuẩn bị trước khi triển khai của bạn:

1. Trước tiên, hãy lập danh sách người dùng và thiết bị của bạn.

Ai đang dùng Windows 10 trở lên? Ai dùng máy Mac? Có máy tính bảng hoặc thiết bị kiosk dùng chung nào không?

Xác định người dùng không có điện thoại thông minh. Họ sẽ cần khóa bảo mật FIDO2 thay vì đăng nhập bằng điện thoại.

2. Kiểm tra trình độ kỹ thuật của bạn.

Hãy đảm bảo hầu hết các máy khách đều hỗ trợ xác thực hiện đại. Các phiên bản Office cũ hơn có thể cần nâng cấp.

Bạn đã sử dụng xác thực đa yếu tố Entra ID chưa? Có chính sách truy cập có điều kiện nào đang được áp dụng không?

Nếu bạn chưa bật xác thực đa yếu tố (MFA), hãy cân nhắc thiết lập nó trước tiên như một bước cơ bản hướng tới chiến lược đăng nhập không cần mật khẩu.

Đối với các thiết lập lai với các thiết bị không được quản lý, bạn có thể áp dụng xác thực đa yếu tố (MFA) một cách chọn lọc để duy trì quyền kiểm soát mà không ảnh hưởng đến trải nghiệm người dùng.

Liệt kê bất kỳ ứng dụng nào vẫn đang sử dụng phương thức xác thực cũ. Chúng ta sẽ giải quyết vấn đề này sau.

3. Kiểm tra lại giấy phép của bạn.

Các tính năng cơ bản không cần mật khẩu hoạt động với tất cả các gói Entra ID. Tuy nhiên, tính năng Xác thực mạnh và Giấy phép truy cập tạm thời yêu cầu Entra ID Premium P1 hoặc P2.

1. Đặt ra các mục tiêu có thể đo lường được.

“100% quản trị viên không cần mật khẩu trong 3 tháng” hoặc “Giảm 90% số lượng yêu cầu đặt lại mật khẩu trong quý tới.”

Việc đặt ra mục tiêu rõ ràng giúp theo dõi tiến độ sau này.

2. Thông báo sớm cho các bên liên quan.

Các nhóm bảo mật, bộ phận hỗ trợ kỹ thuật và ban lãnh đạo cần hiểu rõ lợi ích. Hãy tận dụng những con số thống kê về cải thiện bảo mật lên đến 99,2%.

Sự hợp tác trong quá trình triển khai giúp mọi việc diễn ra suôn sẻ hơn.

1. Hãy bắt đầu với một nhóm thí điểm.

Hãy ưu tiên lựa chọn bộ phận CNTT hoặc những người dùng am hiểu công nghệ trước. Bao gồm cả những người dùng thành thạo và những nhân viên bình thường để có được phản hồi cân bằng.

2. Lên kế hoạch cho các đợt tiếp theo.

Các tài khoản có rủi ro cao như quản trị viên có thể được ưu tiên xử lý sớm vì lý do bảo mật. Nhân viên tuyến đầu có thể được ưu tiên xử lý sau dựa trên nhu cầu về thiết bị.

Cần có sự linh hoạt để điều chỉnh dựa trên kết quả thử nghiệm.

Chủ động phòng tránh sự nhầm lẫn của người dùng.

Thông báo “Sắp có chế độ không cần mật khẩu” để nâng cao nhận thức. Lên lịch các buổi đào tạo.

Chuẩn bị các hướng dẫn nội bộ và liên kết đến tài liệu dành cho người dùng cuối của Microsoft.

Hãy đào tạo đội ngũ hỗ trợ của bạn về các phương pháp mới trước khi người dùng cần trợ giúp.

Hãy chuẩn bị sẵn các phương án dự phòng trong suốt quá trình chuyển đổi.

Không nên vô hiệu hóa tất cả mật khẩu ngay lập tức. Hãy cho phép sử dụng các phương pháp dự phòng trong giai đoạn thử nghiệm.

Hãy đảm bảo bạn có thể khôi phục lại các chính sách nếu có sự cố xảy ra. Mọi người luôn cần có ít nhất một phương thức xác thực hoạt động được.

Danh sách kiểm tra triển khai không cần mật khẩu:

• Đã hoàn tất việc kiểm kê thiết bị và người dùng.
• Yêu cầu cấp phép đã được xác minh.
• Nhóm thí điểm được lựa chọn
• Các cuộc họp giao ban với các bên liên quan đã được lên lịch.
• Kế hoạch đào tạo đội ngũ hỗ trợ
• Phương thức xác thực dự phòng đã được xác nhận.

Bạn đã sẵn sàng bắt đầu thiết lập kỹ thuật chưa?

Giờ bạn đã lên kế hoạch xong, hãy bắt tay vào thực hiện thôi. Các bước sau đây sẽ hướng dẫn bạn cấu hình Microsoft Entra ID để đăng nhập không cần mật khẩu, đăng ký người dùng và thực thi các phương thức mới.

Trước tiên, bạn phải kích hoạt các tính năng đó trước khi người dùng có thể đăng ký bất cứ thứ gì.

• Truy cập vào Cài đặt Trung tâm Quản trị Microsoft Entra.
• Mở Trung tâm quản trị Microsoft Entra (entra.microsoft.com) > Truy cập Entra ID > Authentication Methods > Policies.

Đây là nơi bạn quản lý các phương thức xác thực không cần mật khẩu nào khả dụng cho tổ chức của mình.

1. Kích hoạt tính năng đăng nhập bằng điện thoại của Microsoft Authenticator.

• • Chọn Microsoft Authenticator từ các phương thức xác thực có sẵn.

• Chuyển sang On mục Enable.​
• Đặt Target to a pilot group or all users (if break-glass accounts are in place).
• Đảm bảo Authentication mode được set.

2. Kích hoạt khóa bảo mật FIDO2

• • Chọn Passkey (FIDO2) từ các phương thức tích hợp sẵn.

• Chuyển sang On mục Enable.​
• Đặt Target là All user hoặc bất kỳ Pilot group (chưa phải tất cả người dùng).

• Trong tab Configure:
  • Bỏ qua các hạn chế của AAGUID trừ khi giới hạn đó chỉ áp dụng cho các thương hiệu chính cụ thể.
  • Hãy đảm bảo tùy chọn self-service setup được bật (người dùng có thể đăng ký khóa thông qua MySignIns).

3. Kích hoạt quyền truy cập tạm thời (TAP)

• • Chọn Giấy phép truy cập tạm thời từ các phương pháp có sẵn.

• Bật mục Enable sang On.​
• Đặt Target to a pilot group or all users (if break-glass accounts are in place).

• Cấu hình các cài đặt quan trọng, nhấp vào Edit:
  • Chọn One-time use thành Yes.
  • Đặt Lifetime tối đa là 1 giờ (khuyến nghị).

• Nhấp vào Save để áp dụng các thay đổi.

Microsoft khuyến nghị nên giữ thời gian sử dụng TAP ngắn và chỉ dùng một lần vì lý do bảo mật. Trên thực tế, chỉ quản trị viên mới có thể cấp mã.

Giá trị mặc định và phạm vi giá trị cho phép được mô tả trong bảng sau.

• Nhấp vào Save để áp dụng các thay đổi.

Microsoft khuyến nghị nên giữ thời gian sử dụng TAP ngắn và chỉ dùng một lần vì lý do bảo mật. Trên thực tế, chỉ quản trị viên mới có thể cấp mã.

Giá trị mặc định và phạm vi giá trị cho phép được mô tả trong bảng sau.

Để cấp Thẻ truy cập tạm thời (TAP) cho cả người dùng mới và người dùng hiện có, chỉ cần mở hồ sơ của họ trong Entra ID và quản lý trong mục Phương thức xác thực.

• Vào trang hồ sơ người dùng > Phương thức xác thực
• Nhấp vào + Add Authentication method
• Chọn Temporary Access Pass.

• Xác định thời gian hoặc thời lượng kích hoạt tùy chỉnh và chọn Add. Tạo mã TAP cho lần đăng nhập đầu tiên của họ (chỉ sử dụng một lần).

• Sau khi thêm vào, thông tin chi tiết của TAP sẽ được hiển thị. Sao chép mã và chuyển mã này một cách an toàn cho người dùng để sử dụng một lần.

Kết quả? Người dùng hoàn tất “thay đổi mật khẩu” bằng TAP và đăng ký các phương thức không cần mật khẩu.

Quản trị viên phát hành TAP:

Entra > Users > [Select User] > Authentication methods > “Add Temporary Access Pass.

Hãy tạo mã và gửi mã đó một cách an toàn qua cuộc gọi điện thoại hoặc kênh nhắn tin riêng biệt.

Quan trọng: Mã TAP chỉ sử dụng một lần và hết hạn nhanh chóng. Hãy phối hợp thời gian với người dùng trước khi tạo mã.

Quyền và cấp phép

Bước 1: Xác minh giấy phép

• Xác nhận người dùng thử nghiệm có Entra ID Premium P1 hoặc P2.
• TAP và Truy cập có điều kiện yêu cầu giấy phép Premium.

Bước 2: Kiểm tra vai trò quản trị viên

• Hãy đảm bảo bạn có vai trò Quản trị viên xác thực hoặc Quản trị viên toàn cầu.
• Cần thiết cho việc quản lý các phương thức xác thực người dùng

Bước 3: Thiết lập tự động hóa hàng loạt (nếu cần)

• Thiết lập quyền truy cập API Microsoft Graph cho các triển khai quy mô lớn.
• Chuẩn bị các tập lệnh PowerShell để tạo người dùng hàng loạt.
• Hãy cân nhắc đăng ký trước các khóa FIDO2 nếu phát hành chúng tập trung.

Tài khoản của bạn đã được cấu hình đúng cách để đăng ký không cần mật khẩu.

Và giờ là phần chính. Đăng ký người dùng bằng phương thức không cần mật khẩu mới.

1. Sử dụng Thẻ truy cập tạm thời (Đăng nhập lần đầu)

Đối với người dùng chưa có mật khẩu: Khi truy cập myaccount.microsoft.com hoặc bất kỳ trang đăng nhập Microsoft 365 nào, họ sẽ nhập mã TAP làm mật khẩu. (https://aka.ms/mysecurityinfo)

Hệ thống ngay lập tức yêu cầu họ đăng ký phương thức xác thực vĩnh viễn vì TAP chỉ là tạm thời.

Sau khi người dùng đăng nhập lần đầu tiên bằng Thẻ truy cập tạm thời (TAP), họ có thể đăng ký phương thức xác thực không cần mật khẩu ưa thích của mình như được giải thích bên dưới:

2. Đăng ký xác thực bằng điện thoại Microsoft Authenticator

Các bước thực hiện của người dùng:

Bước 1: Cài đặt ứng dụng Microsoft Authenticator trên điện thoại thông minh.

Bước 2: Truy cập vào aka.ms/setupsecurityinfo và đăng nhập bằng:

• Thẻ truy cập tạm thời (TAP) dành cho người dùng mới.
• Mật khẩu hiện có (nếu bạn đã có).

Bước 3: Chọn “Thêm phương thức đăng nhập” > chọn “Ứng dụng xác thực”

Bước 4: Quét mã QR hiển thị trên màn hình bằng ứng dụng Microsoft Authenticator.

Bước 5: Ứng dụng sẽ hiển thị tài khoản công việc của bạn.

• Sau khi thiết lập xác thực đa yếu tố (MFA), ứng dụng sẽ hiển thị tùy chọn “Cho phép đăng nhập bằng điện thoại”.
• Nếu được yêu cầu trong quá trình thiết lập xác thực đa yếu tố (MFA), hãy chấp nhận và hoàn tất quy trình.
• Nếu không được nhắc, hãy nhấn vào tài khoản trong ứng dụng > tìm tùy chọn “Cho phép đăng nhập bằng điện thoại”.

Bước 6: Kiểm tra

• Đăng xuất và đăng nhập lại
• Nhập tên người dùng, nhận thông báo thay vì yêu cầu nhập mật khẩu.

Mẹo hay: Cài đặt Authenticator trên hai thiết bị để dự phòng. Hoặc kết hợp với khóa FIDO2.

3. Đăng ký mã xác thực trong Microsoft Authenticator

1. 1. Hãy đảm bảo ứng dụng Microsoft Authenticator đã được cài đặt và cập nhật trên iPhone, iPad hoặc thiết bị Android của bạn.
   2. Hãy truy cập https://aka.ms/setupsecurityinfo và đăng nhập bằng Thẻ truy cập tạm thời của bạn.
   3. Nhấp vào “Thêm phương thức đăng nhập” và chọn Passkey hoặc Authenticator App Passkey.
   4.  Nếu bạn đã thêm tài khoản trong Authenticator, hãy chạm vào tài khoản của bạn, sau đó chạm vào  Tạo mã xác thực .

5. Hãy làm theo hướng dẫn để tạo mật khẩu mới bằng cách sử dụng xác thực sinh trắc học hoặc mã PIN của thiết bị.

6. Khi được yêu cầu, hãy quét mã QR hiển thị trên màn hình máy tính của bạn bằng ứng dụng Authenticator trên thiết bị di động.

7. Xác nhận đăng ký bằng sinh trắc học (nhận diện khuôn mặt, vân tay) hoặc mã PIN của thiết bị.
8. Mã xác thực sẽ được lưu trữ an toàn trong ứng dụng Authenticator của bạn.
9. Đăng xuất và đăng nhập lại để kiểm tra tính năng đăng nhập bằng mã PIN hoặc xác thực sinh trắc học thay vì mật khẩu.

Đăng ký khóa bảo mật FIDO2

Các bước thực hiện của người dùng:

Bước 1: Truy cập vào aka.ms/setupsecurityinfo sau khi đăng nhập bằng TAP.

Bước 2: Nhấp vào “Thêm phương thức xác thực” > chọn “Khóa bảo mật”

Bước 3: Chọn loại khóa của bạn ( USB hoặc NFC ).

Bước 4: Làm theo hướng dẫn để:

• Chèn hoặc nhấn phím
• Nếu chìa khóa không có mã PIN, hãy tạo mã PIN.
• Chạm vào nút trên chìa khóa khi được nhắc.

Bước 5: Đặt tên cho khóa của bạn (ví dụ: “YubiKey 5 NFC”) để dễ nhận biết.

Bước 6: Kiểm tra đăng nhập

• Đăng xuất, đăng nhập lại
• Khi được yêu cầu, hãy chọn “Đăng nhập bằng mã bảo mật”.

Mẹo dành cho doanh nghiệp: Cấp ít nhất hai khóa cho mỗi người dùng. Khóa dự phòng giúp tránh bị khóa tài khoản nếu một khóa bị mất.

Mã bảo mật + Mã PIN = Hai yếu tố xác thực

• Thứ bạn đang sở hữu : chìa khóa vật lý
• Một điều bạn cần biết : Mã PIN
• Điều này đáp ứng các yêu cầu xác thực nghiêm ngặt.

5. Đăng ký Windows Hello for Business

Trên các thiết bị Windows 10/11 đã tham gia Azure AD :

• Người dùng thường được nhắc tự động thiết lập Windows Hello sau khi quản trị viên kích hoạt chính sách.
• Nếu không được nhắc, họ có thể tự cấu hình thủ công:
  1. Vào Cài đặt > Tài khoản > Tùy chọn đăng nhập
  2. Thêm mã PIN Windows Hello
  3. (Tùy chọn) Thêm tính năng nhận diện vân tay hoặc khuôn mặt nếu thiết bị hỗ trợ.

Yêu cầu:

• Thiết bị phải được tham gia Azure AD.
• Chip TPM phải có sẵn và được kích hoạt.

Đảm bảo các phương pháp sao lưu

Microsoft khuyến nghị mỗi người dùng nên có ít nhất hai phương thức xác thực không cần mật khẩu.

Tại sao? Nếu họ làm mất điện thoại hoặc mã bảo mật, họ cần một cách khác để đăng nhập.

Những sự kết hợp tốt:

• Bộ xác thực + Khóa FIDO2
• Windows Hello + Trình xác thực
•  Khóa FIDO2 + Mã PIN

Danh sách kiểm tra quy trình tiếp nhận người dùng mới:

• Tải xuống Microsoft Authenticator
• Thêm tài khoản công việc vào ứng dụng Xác thực
• Cho phép đăng nhập bằng số điện thoại trong ứng dụng.
• Đăng ký khóa bảo mật tại mysecurityinfo (nếu đã được cấp)
• Thiết lập Windows Hello (trên các thiết bị của công ty)
• Kiểm thử đăng nhập bằng các phương pháp mới
• Xác nhận phương pháp sao lưu hoạt động.

Đăng ký chỉ là bước khởi đầu. Giờ đây, chúng tôi sẽ biến việc đăng ký không cần mật khẩu thành yêu cầu bắt buộc.

1. Sử dụngConditional Access with Authentication Strength
2. Truy cập Microsoft Entra Admin Center
3. Truy cập vào Entra ID > Conditional Access.
4. Nhấp chuột + New Policy.

4. Đặt tên cho chính sách: Yêu cầu đăng nhập không cần mật khẩu
5. Trong Assignments ở phần Include > hãy chọn All Users.

LƯU Ý : Luôn loại trừ các tài khoản khẩn cấp  – đây là các tài khoản hoặc nhóm truy cập khẩn cấp được sử dụng để ngăn chặn việc bị khóa tài khoản trong trường hợp xảy ra lỗi chính sách.)

6. Trong mục Assignments → Cloud apps > chọn All cloud apps hoặc các ứng dụng quan trọng như Outlook, Teams.

7. Trong mục Access Controls > Grant, choose Require authentication strength.
8. Chọn Xác thực đa yếu tố không cần mật khẩu từ menu thả xuống.

9. Chuyển sang On mục Enable policy
10. Lưu chính sách và theo dõi nhật ký đăng nhập.

Hãy bắt đầu một cách an toàn: Ban đầu, hãy đặt chính sách thành “Chỉ báo cáo” để xem tác động mà không cần chặn người dùng.

Khi đã tự tin, hãy chuyển sang chế độ “Bật” cho nhóm thử nghiệm.

2. Chặn xác thực cũ

Hãy loại bỏ các phương thức tấn công lén lút.

Các giao thức cũ như Basic Auth cho Exchange cho phép người dùng bỏ qua các chính sách hiện đại chỉ bằng mật khẩu.

Tạo một chính sách Truy cập có điều kiện khác:

• Tên: “Chặn xác thực cũ”
• Người dùng: Tất cả người dùng (hoặc nhóm thí điểm)
• Ứng dụng khách: Exchange ActiveSync, Các ứng dụng khách khác
• Quyền truy cập: Chặn

Kiểm tra cả các kết nối nội bộ nữa.

Bất kỳ hệ thống nào chỉ chấp nhận mật khẩu đều cần được nâng cấp hoặc đặt phía sau Azure AD App Proxy với xác thực đa yếu tố (MFA).

Kẻ tấn công rất thích tìm kiếm các giao diện cũ bỏ qua các chính sách mới nhất của bạn.

3. Chiến lược thực thi từng bước

Đừng thay đổi đột ngột.

Hãy bắt đầu với chế độ chỉ xem báo cáo để hiểu hành vi người dùng. Theo dõi báo cáo Sử dụng Phương thức Xác thực trong Entra ID.

Các giai đoạn được đề xuất:

1. Ưu tiên áp dụng cho quản trị viên trước (các tài khoản có rủi ro cao)
2. Khi 80-90% người dùng thử nghiệm đã đăng ký phương thức, hãy áp dụng rộng rãi.
3. Cuối cùng, hãy vô hiệu hóa hoàn toàn xác thực bằng mật khẩu.

Theo dõi mức độ sử dụng: Sử dụng báo cáo Sử dụng Phương thức Xác thực của Entra ID để xem người dùng thực sự đăng nhập bằng cách nào.

4. Cấu hình thiết bị

Dành cho người dùng Windows Hello:

Hãy đảm bảo chính sách nhóm hoặc Intune đặt tùy chọn “Sử dụng Windows Hello for Business” thành đã bật.

Cấu hình các yêu cầu TPM thông qua chính sách để bắt buộc sử dụng Hello một cách mạnh mẽ.

Điều này ngăn Windows tự động sử dụng mật khẩu miền khi Hello khả dụng.

5. Truyền đạt sự thay đổi

Cung cấp cảnh báo công bằng cho người dùng.

“Kể từ ngày [ngày], tính năng đăng nhập bằng mật khẩu sẽ bị vô hiệu hóa. Bạn phải sử dụng Trình xác thực hoặc khóa bảo mật của mình.”

Hỗ trợ hoàn tất thủ tục đăng ký trước khi quá trình thực thi bắt đầu.

Xử lý người dùng chậm trễ: Hãy có kế hoạch cho những người dùng chưa đăng ký. Có thể là gia hạn mã TAP hoặc hỗ trợ đăng ký qua bộ phận trợ giúp.

6. Bước cuối cùng

Hãy cân nhắc việc vô hiệu hóa hoàn toàn mật khẩu.

Đối với các tài khoản chỉ sử dụng dịch vụ đám mây, Entra ID có tùy chọn “Vô hiệu hóa mật khẩu” ở cấp độ người dùng.

Ít nhất, hãy ngừng việc bắt buộc thay đổi mật khẩu định kỳ. Việc đó không cần thiết và phản tác dụng khi mọi người đều không cần mật khẩu nữa.

Kết quả: Người dùng không thể sử dụng mật khẩu trong các quy trình xác thực hiện đại. Bạn đã thực sự đạt được Microsoft 365 không cần mật khẩu.

Nhóm thử nghiệm của bạn hiện đã hoàn toàn không cần mật khẩu.

Việc triển khai không phải là đích đến cuối cùng. Thành công thực sự đến từ việc giám sát và tối ưu hóa liên tục.

Theo dõi xem ai thực sự đang sử dụng phương thức thanh toán không cần mật khẩu.

Mã định danh đầu vào

 > Báo cáo > Hoạt động Phương thức xác thực hiển thị trạng thái đăng ký của từng người dùng. Xem ai đã thiết lập FIDO2, Authenticator hoặc Windows Hello.

Sử dụng nhật ký đăng nhập để quan sát phương thức người dùng lựa chọn. Microsoft cung cấp Sổ tay triển khai không cần mật khẩu trong Azure Monitor, giúp trực quan hóa việc áp dụng theo thời gian.

Thiết lập bảng tính:

• Azure Monitor > Sổ làm việc > Duyệt thư viện
• Tìm kiếm “Triển khai không cần mật khẩu”
• Ghim nó vào bảng điều khiển của bạn

Theo dõi các chỉ số như:

• Tỷ lệ đăng nhập không cần mật khẩu so với đăng nhập có mật khẩu
• Người dùng chưa đăng ký bất kỳ phương thức thanh toán không cần mật khẩu nào
• Các phương pháp xác thực phổ biến nhất

Nhắm mục tiêu vào những người dùng còn sử dụng mật khẩu: Xác định những người dùng vẫn đang dùng mật khẩu và liên hệ để hỗ trợ họ.

Theo dõi nhật ký kiểm toán.

Entra ID ghi lại mọi đăng ký thông tin xác thực và cấp phát TAP. Hãy thường xuyên kiểm tra các nhật ký này để phát hiện hoạt động bất thường.

Những dấu hiệu cảnh báo cần lưu ý:

• Tạo TAP hàng loạt (có thể bị lạm dụng)
• Đăng ký từ những địa điểm không ngờ tới
• Đăng ký thiết bị bất thường

Lợi ích tuân thủ: Xác thực không cần mật khẩu thường vượt quá các yêu cầu xác thực đa yếu tố (MFA) theo quy định. Hãy ghi lại điều này để phục vụ cho các cuộc kiểm toán tuân thủ.

Tổng kết

Vậy là tôi vừa hướng dẫn xong cho bạn Cách cấu hình Microsoft 365 Passwordless. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.