Microsoft đang tăng cường các biện pháp bảo mật cho khách hàng doanh nghiệp bằng cách bắt buộc áp dụng **Xác thực đa yếu tố (MFA)** cho tất cả người dùng truy cập trung tâm quản trị Microsoft 365.
Chính sách này sẽ có hiệu lực đầy đủ vào ngày **9 tháng 2, 2026**, dựa trên lộ trình triển khai mềm bắt đầu từ tháng 2 năm 2025.
Các tổ chức đang phụ thuộc vào các công cụ này cần hành động ngay để tránh gián đoạn hoạt động.
Tăng Cường **An Ninh Mạng** với Xác Thực Đa Yếu Tố
Động thái này nhấn mạnh nỗ lực quyết liệt của Microsoft nhằm chống lại các cuộc tấn công dựa trên thông tin xác thực.
Các cuộc tấn công này vẫn là một vectơ hàng đầu dẫn đến các vụ vi phạm dữ liệu.
Theo blog Tech Community của Microsoft, quản trị viên không có **Xác thực đa yếu tố (MFA)** sẽ bị chặn đăng nhập bắt đầu từ tháng tới.
Đối phó với **Mối Đe Dọa Mạng** và Tấn Công Qua Thông Tin Đăng Nhập
Việc triển khai **Xác thực đa yếu tố (MFA)** làm giảm đáng kể nguy cơ tài khoản bị xâm phạm.
MFA cung cấp lớp phòng thủ bổ sung chống lại phishing, tấn công nhồi thông tin xác thực (credential stuffing), tấn công vét cạn (brute-force) và tái sử dụng mật khẩu.
Các chuyên gia an ninh mạng từ lâu đã ủng hộ **Xác thực đa yếu tố (MFA)** như một nền tảng của kiến trúc Zero Trust.
Điều này càng trở nên cần thiết trong bối cảnh các mối đe dọa liên quan đến danh tính ngày càng gia tăng.
Chỉ riêng trong năm 2025, Báo cáo Phòng thủ Kỹ thuật số của Microsoft đã ghi nhận hơn **300 triệu** lượt tấn công nhồi thông tin xác thực hàng ngày vào các dịch vụ của hãng.
Bảo Vệ Tài Khoản Quản Trị Đặc Quyền
Các tài khoản quản trị có đặc quyền cao thường là mục tiêu của các chiến dịch ransomware, khai thác điểm yếu trong **Entra ID**.
Những tài khoản này sẽ được hưởng lợi nhiều nhất từ việc bắt buộc áp dụng **Xác thực đa yếu tố (MFA)**.
Trung tâm quản trị Microsoft 365 dùng để quản lý tenant, người dùng và các quy trình tuân thủ, xử lý các hoạt động nhạy cảm.
Nếu không có **Xác thực đa yếu tố (MFA)**, mật khẩu bị đánh cắp có thể cấp cho kẻ tấn công quyền truy cập gần như không giới hạn.
Các Cổng Thông Tin Bị Ảnh Hưởng và Nguy Cơ Khóa Tài Khoản
Việc thực thi chính sách **Xác thực đa yếu tố (MFA)** nhắm vào ba cổng thông tin chính:
portal.office.com/adminportal/homeadmin.cloud.microsoftadmin.microsoft.com
Các thiết lập cũ không bật **Xác thực đa yếu tố (MFA)** ở cấp độ tenant có thể khiến quản trị viên toàn cầu (global admins) bị khóa tài khoản hoàn toàn.
Các Bước Triển Khai và Tuân Thủ **Xác thực đa yếu tố (MFA)**
Microsoft kêu gọi hành động ngay lập tức từ các tổ chức.
Quản trị viên toàn cầu nên bắt đầu thiết lập **Xác thực đa yếu tố (MFA)** bằng cách sử dụng Trình hướng dẫn MFA hoặc hướng dẫn chi tiết tại learn.microsoft.com.
Thao tác này sẽ kích hoạt **Xác thực đa yếu tố (MFA)** trên toàn tổ chức, tích hợp các phương thức như thông báo đẩy từ ứng dụng Microsoft Authenticator, mã SMS hoặc khóa phần cứng.
Xác Minh và Thêm Phương Thức Xác Thực
Người dùng cá nhân truy cập trung tâm quản trị có thể xác minh hoặc thêm các phương thức xác thực tại aka.ms/mfasetup.
Những người dùng đã cấu hình **Xác thực đa yếu tố (MFA)** không cần thay đổi nhưng nên kiểm tra lại tài khoản để đảm bảo tính đầy đủ, đặc biệt trong các môi trường lai (hybrid) kết hợp Active Directory tại chỗ với **Entra ID**.
Đảm Bảo Liên Tục Hoạt Động và Tuân Thủ
Lộ trình triển khai **Xác thực đa yếu tố (MFA)** được thực hiện theo từng giai đoạn.
Tuy nhiên, sự chậm trễ có thể gây ra gián đoạn trong các tác vụ quan trọng như vá lỗi bảo mật (patching vulnerabilities) hoặc xem xét nhật ký kiểm tra (audit logs).
Microsoft cam đoan rằng người dùng tuân thủ sẽ không gặp thời gian ngừng hoạt động (zero downtime), phù hợp với các quy định rộng hơn như mặc định bảo mật cho các tenant mới.
Tác Động Đến Khung Tuân Thủ và Chiến Lược Bảo Mật
Chính sách này ảnh hưởng đến các khung tuân thủ như **SOC 2**, **HIPAA**, và **NIST**, nơi **Xác thực đa yếu tố (MFA)** thường được yêu cầu cho quyền truy cập đặc quyền.
Đối với các tổ chức phụ thuộc nhiều vào đám mây, **Xác thực đa yếu tố (MFA)** củng cố khả năng phòng thủ cùng với chính sách **Conditional Access** và **Privileged Identity Management (PIM)**.
Các nhà phân tích dự đoán các yêu cầu tương tự sẽ được áp dụng cho các bề mặt tấn công rủi ro cao khác, chẳng hạn như quản trị viên Power Platform.
Trong bối cảnh các mối đe dọa ngày càng phát triển, với sự gia tăng của tấn công phishing được hỗ trợ bởi AI, những quy định như thế này báo hiệu sự kết thúc của kỷ nguyên chỉ dùng mật khẩu.
Các tổ chức nên ưu tiên kiểm tra **Xác thực đa yếu tố (MFA)** ngay bây giờ, coi đây là các điểm kiểm tra tuân thủ chứ không chỉ là một mục đánh dấu đơn thuần.
