Thông tin cảnh báo
Microsoft cảnh báo rủi ro hacking tấn công admin user, PACISOFT kính đề nghị Admin tại doanh nghiệp cần thực hiện nghiêm ngặt nguyên tắc kiểm soát quản lý theo hướng dẫn sau từ Microsoft:
https://learn.microsoft.com/en-us/microsoft-365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide
Đây là thông tin Microsoft hướng dẫn người dùng cài đặt MFA để chống lại các cuộc tấn công an ninh mạng:
https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/defend-your-users-from-mfa-fatigue-attacks/ba-p/2365677
» Video: https://youtu.be/0GuBB0Ibcs4
» Microsoft 365 Admin Center là gì?
» Thông tin Knowledge base
Hướng dẫn cài đặt nhanh
1. Đi tới trang Microsoft 365 admin center tại https://admin.microsoft.com.
2. Chọn Show All, tiếp tục chọn Azure Active Directory Admin Center.
3. Chọn Azure Active Directory, Properties, Manage Security defaults.
4. Phía dưới có Enable Security defaults, chọn Yes và bấm lưu lại – Save.
Trước khi bắt đầu
• Bạn phải là quản trị viên Global Admin để quản lý MFA. Để biết thêm thông tin, hãy xem Giới thiệu về vai trò quản trị viên.
• Nếu bạn đã bật MFA cũ cho mỗi người dùng, hãy tắt MFA cũ cho mỗi người dùng – xem bên dưới.
• Nếu bạn có ứng dụng Office 2013 trên thiết bị Windows, hãy bật Modern Authentication for Office 2013 – Turn on Modern Authentication for Office 2013 clients.
• Nâng cao: Nếu bạn có các dịch vụ thư mục của bên thứ ba với Dịch vụ Liên kết Thư mục Hoạt động (AD FS) (Active Directory Federation Services (AD FS)), hãy thiết lập Máy chủ Azure MFA. Xem các tình huống nâng cao với Xác thực đa yếu tố Azure AD và các giải pháp VPN của bên thứ ba để biết thêm thông tin – Advanced scenarios with Azure AD Multifactor Authentication and third-party VPN solutions
Tắt legacy per-user MFA
Nếu trước đây bạn đã bật MFA cho mỗi người dùng, bạn phải tắt nó trước khi bật Mặc định bảo mật (Security defaults).
1. Trong Microsoft 365 admin center, ở điều hướng bên trái, chọn Users > Active users.
2. Trên trang Active users, chọn Multi-factor authentication.
3. Trên trang multi-factor authentication, chọn Multi-Factor auth cho mỗi người dùng và set chúng về Disabled.
Bật hoặc tắt Security defaults
Đối với hầu hết các tổ chức, Bảo mật mặc định này cung cấp mức độ bảo mật ở phần đăng nhập tốt hơn Để biết thêm thông tin, hãy xem Bảo mật mặc định là gì? What are security defaults?
Nếu bạn mua một thuê bao bản quyền Microsoft 365 mới, phần Security defaults có thể đã được bật một cách tự động
Bạn Bật hoặc Tắt Bảo mật mặc định trong Properties pane for Azure Active Directory (Azure AD) trong cổng Azure portal.
1. Đăng nhập vào Microsoft 365 admin center bằng bằng thông tin đăng nhập quản trị viên toàn cầu – global admin.
2. Trong điều hướng bên trái, chọn Show All và dưới Admin centers, chọn Azure Active Directory.
3. Trong Azure Active Directory admin center chọn Azure Active Directory > Properties.
4. Dưới trang, chọn Manage Security defaults.
5. Chọn Yes để bật tính năng bảo mật mặc định hoặc No để tắt security defaults, sau đó chọn Save.
Nếu bạn đang sử dụng các chính sách baseline Conditional Access policies, bạn sẽ được nhắc tắt chúng trước khi chuyển sang sử dụng các security defaults.
1. Đi tới Conditional Access – Policies page.
2. Choose each baseline policy that is On and set Enable policy to Off.
3. Go to the Azure Active Directory – Properties page.
4. At the bottom of the page, choose Manage Security defaults.
5. Choose Yes to enable security defaults and No to disable security defaults, and then choose Save.
Sử dụng chính sách Conditional Access
Nếu tổ chức của bạn có nhu cầu bảo mật đăng nhập chi tiết hơn, chính sách Conditional Access có thể cung cấp cho bạn nhiều quyền kiểm soát hơn. Conditional Access có điều kiện cho phép bạn tạo và xác định các chính sách phản ứng với các sự kiện đăng nhập và yêu cầu hành động bổ sung trước khi người dùng được cấp quyền truy cập vào ứng dụng hoặc dịch vụ.
Quan trọng
Tắt cả MFA cho mỗi người dùng và Security defaults trước khi bạn bật chính sách Conditional Access.
Conditional Access có sẵn cho những khách hàng đã mua Azure AD Premium P1, or hoặc các giấy phép bao gồm sẵn, như Microsoft 365 Business Premium, and Microsoft 365 E3. Để có thêm thông tin, xem tạo một Conditional Access policy.
Risk-based conditional access có sẵn thông qua giấy phép Azure AD Premium P2 license, hoặc các giấy phép bao gồm quyền này, như Microsoft 365 E5. For more information, xem risk-based Conditional Access.
Xem thêm thông tin về Azure AD P1 and P2, tại Azure Active Directory pricing
Thiết lập đăng nhập Microsoft 365 cho xác thực đa yếu tố
Sau khi người quản trị bật tổ chức của bạn và tài khoản của bạn, để xác thực đa yếu tố (MFA), bạn phải thiết lập tài khoản người dùng của mình để sử dụng tài khoản đó. Thao tác này chỉ mất khoảng một phút.
Bằng cách thiết lập MFA, bạn thêm một lớp bảo mật bổ sung vào tài khoản Microsoft 365 đăng nhập của mình. Ví dụ: trước tiên, bạn nhập mật khẩu và khi được nhắc, bạn cũng nhập mã xác minh được tạo tự động do ứng dụng xác thực cung cấp hoặc được gửi tới điện thoại.
- 1. Đăng nhập vào Microsoft 365 bằng tài khoản cơ quan hoặc trường học bằng mật khẩu như bạn vẫn thường làm. Sau khi chọn Đăng nhập, bạn sẽ được nhắc để biết thêm thông tin.
- 2. Chọn Tiếp theo.
- 3. Phương pháp xác thực mặc định là sử dụng ứng dụng Microsoft Authenticator miễn phí. Nếu bạn đã cài đặt ứng dụng này trên thiết bị di động, hãy chọn Tiếp theo và làm theo lời nhắc để thêm tài khoản này. Nếu bạn chưa cài đặt ứng dụng này, có một liên kết được cung cấp để tải xuống.
Nếu bạn muốn sử dụng tin nhắn SMS được gửi tới điện thoại của mình thay vào đó, hãy chọn Tôi muốn thiết lập một phương thức khác. Microsoft 365 sẽ yêu cầu bạn cung cấp số điện thoại di động, sau đó gửi cho bạn tin nhắn SMS có chứa mã 6 chữ số để xác minh thiết bị của bạn.
Mẹo: Để có trải nghiệm nhanh hơn và an toàn hơn, chúng tôi khuyên bạn nên sử dụng ứng dụng trình xác thực thay vì xác minh SMS.
- 4. Sau khi bạn hoàn thành hướng dẫn để chỉ định phương pháp xác minh bổ sung, vào lần tiếp theo bạn đăng nhập vào Microsoft 365, bạn sẽ được nhắc cung cấp thông tin xác minh hoặc hành động bổ sung, chẳng hạn như nhập mã xác minh do ứng dụng xác thực cung cấp hoặc gửi cho bạn qua tin nhắn văn bản.
Lưu ý: Thông thường, bạn sẽ chỉ cần phương pháp xác minh bổ sung vào lần đầu tiên bạn đăng nhập vào ứng dụng hoặc thiết bị mới hoặc sau khi bạn đã thay đổi mật khẩu. Hàng ngày, bạn sẽ không được yêu cầu cung cấp mã xác minh bổ sung, trừ khi tổ chức của bạn yêu cầu mã xác minh đó.