Hướng dẫn cách thiết lập xác thực đa yếu tố (MFA) trên Microsoft 365

Hướng dẫn từng bước cách thiết lập xác thực đa yếu tố (MFA) trong Microsoft 365

Chỉ dùng mật khẩu thôi không còn đủ nữa. 84% các vụ rò rỉ thông tin đăng nhập bắt nguồn từ tấn công lừa đảo (phishing ), tấn công dò mật khẩu (password spray) hoặc tái sử dụng thông tin đăng nhập. Microsoft khuyến nghị—và sẽ sớm yêu cầu—sử dụng xác thực đa yếu tố (MFA) chống lừa đảo cho mọi người dùng. Hướng dẫn này, Tri Thức Software sẽ chỉ cho bạn cách bật MFA nhanh nhất có thể đồng thời giảm thiểu ảnh hưởng đến người dùng.

1. Tại sao MFA (Xác thực đa yếu tố) là bắt buộc

Với sự gia tăng của hình thức làm việc từ xa và các cuộc tấn công lừa đảo có chủ đích , việc chỉ dựa vào một mật khẩu duy nhất là một rủi ro không thể chấp nhận được. Xác thực đa yếu tố (MFA) bổ sung thêm yếu tố thứ hai (thứ bạn sở hữu hoặc là) và chặn hơn 99% các cuộc tấn công dựa trên mật khẩu. Microsoft đã thông báo rằng Cài đặt bảo mật mặc định với MFA sẽ được bật theo mặc định cho tất cả người dùng mới và khuyến khích người dùng hiện tại chuyển đổi.

2. Xác thực đa yếu tố (MFA) trong Microsoft 365 là gì?

MFA kết hợp hai hoặc nhiều yếu tố:

• Knowledge: những gì bạn biết (mật khẩu, mã PIN).
• Possession: những gì bạn có (điện thoại, khóa FIDO2).
• Inherence: con người bạn (dấu vân tay, khuôn mặt).

Trong Microsoft 365, xác thực đa yếu tố (MFA) được triển khai thông qua Microsoft Entra ID và có thể được bật cho từng người dùng riêng lẻ (MFA truyền thống), thông qua Security Defaults hoặc thông qua Conditional Access.

3. Các điều kiện tiên quyết trước khi cấu hình xác thực đa yếu tố (MFA)

• Vai trò Quản trị viên toàn cầu hoặc Quản trị viên truy cập có điều kiện .
• Yêu cầu giấy phép tối thiểu: Microsoft 365 Business Premium, Office 365 E1/E3 (để sử dụng Cài đặt bảo mật mặc định) hoặc Entra ID P1 nếu bạn sử dụng Truy cập có điều kiện.
• Người dùng cần có số điện thoại di động hoặc địa chỉ email để xác minh lần đầu.
• Ứng dụng Microsoft Authenticator sẽ được cài đặt nếu bạn chọn nhận thông báo đẩy (khuyến nghị).

4. Các phương pháp xác thực đa yếu tố (MFA) hiện có

5. Cấu hình xác thực đa yếu tố (MFA) cấp người dùng

5.1 Cổng thông tin cổ điển (Cách tiếp cận nhanh)

1. Entra Admin Center > Users > Multi-Factor Authentication.
2. Chọn một hoặc nhiều người dùng > Enable.
3. Lần đăng nhập tiếp theo, họ sẽ được yêu cầu đăng ký phương thức xác thực.

5.2 Sử dụng PowerShell để hỗ trợ nhiều người dùng

Connect-MsolService
Get-MsolUser -Department "Sales" | Set-MsolUser -StrongAuthenticationRequirements @(
 @{RelyingParty="*"; State="Enabled"}
)

Lưu ý: Phù hợp cho thử nghiệm thí điểm nhưng không thể mở rộng quy mô hoặc áp dụng kiểm soát truy cập.

6. Cấu hình MFA cấp tổ chức

6.1 Cài đặt bảo mật mặc định (Dễ dàng & Miễn phí)

1. Entra Admin Center > Properties > Manage Security Defaults.
2. Bật Enable Security Defaults.
3. Tất cả người dùng phải đăng ký xác thực đa yếu tố (MFA) trong vòng 14 ngày.

Hạn chế: không thể loại trừ tài khoản dịch vụ hoặc áp dụng cài đặt nhóm chi tiết.

6.2 Truy cập có điều kiện (Chi tiết, Yêu cầu ID Entra P1/P2)

6.2.1 Xây dựng chính sách Global MFA

1. Entra Admin Center > Conditional Access > + New policy.
2. Assignments: Include > All users, Exclude > Service Accounts.
3. Cloud apps: All cloud apps
4. Conditions: Location → Exclude trusted locations nếu có.
5. Grant: Yêu cầu độ mạnh xác thực > Multi-Factor Auth.
6. Kích hoạt ở chế độ Chỉ báo cáo trong 7 ngày, xem lại nhật ký, sau đó chuyển sang chế độ On.

6.2.2 Chiến dịch đăng ký bắt buộc

Entra Admin Center > Identity Protection > Registration Campaign > chọn All. Người dùng sẽ nhận được tối đa năm lời nhắc cho đến khi họ đăng ký xác thực đa yếu tố (MFA).

7. Các phương pháp tốt nhất: Tránh tình trạng bị khóa và các vấn đề trong quá trình áp dụng

• Thông báo trước: gửi email kèm câu hỏi thường gặp và video dài hai phút.
• Đào tạo kịp thời: hướng dẫn từng bước trong quá trình đăng ký.
• Phương pháp sao lưu: yêu cầu hai phương pháp (Ứng dụng xác thực + SMS).
• Các địa điểm đáng tin cậy: để giảm thiểu xung đột, ban đầu hãy loại trừ các văn phòng cố định (chỉ khi bạn có địa chỉ IP tĩnh và mạng Zero Trust).
• Các trường hợp loại trừ tạm thời: sử dụng các nhóm để loại trừ các tài khoản quan trọng cho đến khi quá trình thử nghiệm hoàn tất.
• Giám sát theo thời gian thực: Entra > Sign-in logs > lọc các lỗi MFA denied để xử lý nhanh chóng.

8. Những lưu ý đặc biệt (BYOD, Tài khoản dịch vụ)

8.1 BYOD & Thiết bị cá nhân

Yêu cầu xác thực đa yếu tố (MFA) + đánh giá thiết bị. Các tùy chọn:

• Truy cập có điều kiện với Require device to be marked as compliant (Intune).
• Sử dụng App Protection Policies để cách ly dữ liệu doanh nghiệp trên thiết bị di động.

8.2 Tài khoản dịch vụ & Luồng SMTP

• Tránh sử dụng xác thực đa yếu tố (MFA), thay vào đó hãy sử dụng OAuth tokens hoặc Managed Identities
• Tạo nhóm “Tài khoản dịch vụ – Miễn trừ” và loại trừ nhóm này khỏi chính sách xác thực đa yếu tố (MFA).
• Vô hiệu hóa tính năng đăng nhập tương tác cho các tài khoản này.

9. Kết luận & Các bước tiếp theo: Tăng cường bảo mật hơn nữa

Việc bắt buộc xác thực đa yếu tố (MFA) trong Microsoft 365 giúp giảm đáng kể nguy cơ bị xâm phạm tài khoản. Với các thiết lập bảo mật mặc định hoặc truy cập có điều kiện được cấu hình tốt, bạn sẽ bảo vệ người dùng, dữ liệu và danh tiếng của mình. Tiếp theo, hãy cân nhắc triển khai khóa FIDO2 cho các quản trị viên quan trọng và bổ sung bằng Risk-Based Conditional Access và Endpoint Protection để có được tư thế Zero-Trust hoàn chỉnh.

Tổng kết

Vậy là tôi vừa hướng dẫn xong cho bạn Cách thiết lập xác thực đa yếu tố (MFA) trên Microsoft 365. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi điện thoại số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.