Những cách bảo mật Microsoft 365 cho doanh nghiệp

Bảo mật Microsoft 365 là yếu tố then chốt giúp doanh nghiệp bảo vệ dữ liệu quan trọng trước các mối đe dọa ngày càng tinh vi như lừa đảo, ransomware hay xâm nhập trái phép. Khi doanh nghiệp triển khai Microsoft 365, việc cấu hình và áp dụng các tính năng bảo mật đúng cách sẽ giúp giảm thiểu rủi ro và duy trì sự ổn định trong vận hành.

Dưới đây là những cách bảo mật hiệu quả khi sử dụng Microsoft 365:

1. Thiết lập xác thực đa yếu tố cho bảo mật Microsoft 365

Tăng cường bảo mật với Xác thực đa yếu tố (MFA)

Xác thực đa yếu tố (Multi-Factor Authentication – MFA), hay còn gọi là xác minh hai bước, là một trong những biện pháp đơn giản nhưng cực kỳ hiệu quả để nâng cao bảo mật cho tổ chức. Khi bật MFA, người dùng không chỉ cần nhập mật khẩu mà còn phải xác nhận một mã từ điện thoại (qua tin nhắn, cuộc gọi hoặc ứng dụng xác thực) để đăng nhập vào Microsoft 365.

Việc này giúp ngăn chặn nguy cơ bị tấn công dù tin tặc có biết được mật khẩu của người dùng. MFA đã trở thành một chuẩn bảo mật phổ biến, dễ dàng thiết lập trên hầu hết các tài khoản như Google, Microsoft hay mạng xã hội.

Đối với doanh nghiệp sử dụng Microsoft 365

Tổ chức nên cấu hình chính sách bắt buộc người dùng sử dụng xác thực đa yếu tố khi đăng nhập. Sau khi chính sách được áp dụng, người dùng sẽ được nhắc thiết lập phương thức xác thực phụ (như số điện thoại hoặc ứng dụng Microsoft Authenticator) trong lần đăng nhập tiếp theo.

Thiết lập nhanh MFA bằng Security Defaults

Microsoft cung cấp Security Defaults – một cấu hình bảo mật mặc định – giúp doanh nghiệp nhỏ dễ dàng bật MFA mà không cần tùy chỉnh phức tạp.

1. Đăng nhập vào Microsoft 365 admin center bằng thông tin đăng nhập quản trị viên toàn cầu.
2. Trong điều hướng bên trái, chọn Hiển thị tất cả (Show All) và trong Trung tâm quản trị, chọn Azure Active Directory.
3. Trong Azure Active Directory admin center, chọn Azure Active Directory> Properties.
4. Ở cuối trang, chọn Manage Security defaults.
5. Chọn Yes để bật mặc định bảo mật hoặc No để tắt mặc định bảo mật, rồi chọn Save.

Sau khi thiết lập xác thực đa yếu tố cho tổ chức của mình, người dùng sẽ được yêu cầu thiết lập xác minh hai bước trên thiết bị của họ.

2. Đào tạo user để tăng cường bảo mật Microsoft 365

Trường Đại học Harvard Kennedy đã phát hành Cybersecurity Campaign Handbook – một tài liệu hướng dẫn toàn diện nhằm nâng cao nhận thức về bảo mật trong toàn tổ chức. Tài liệu này đặc biệt nhấn mạnh vai trò của việc đào tạo người dùng để nhận biết và phòng tránh các cuộc tấn công lừa đảo qua email (phishing).

Bên cạnh đó, Microsoft cũng khuyến cáo người dùng tuân thủ các nguyên tắc bảo mật cơ bản như:

• Sử dụng mật khẩu mạnh và duy nhất cho từng tài khoản

• Bảo vệ thiết bị đầu cuối khỏi truy cập trái phép

• Kích hoạt và sử dụng các tính năng bảo mật tích hợp sẵn trên Windows 10 và máy Mac

Là Đối tác Vàng của Microsoft, TSG cung cấp các khóa đào tạo chuyên sâu về bảo mật cho doanh nghiệp dưới cả hai hình thức: trực tuyến (online) và trực tiếp (offline). Các khóa học được thiết kế bài bản, kèm theo tài liệu chi tiết, giúp người dùng trong tổ chức hiểu rõ cách bảo vệ dữ liệu và tối ưu hóa các tính năng bảo mật khi sử dụng Microsoft 365.

3. Sử dụng tài khoản quản trị chuyên dụng

Các tài khoản quản trị viên trong môi trường Microsoft 365 sở hữu những đặc quyền truy cập cao nhất, đồng nghĩa với việc chúng cũng trở thành mục tiêu hấp dẫn đối với tin tặc và các cuộc tấn công mạng có chủ đích.

Theo khuyến nghị của Microsoft, tài khoản quản trị nên chỉ được sử dụng cho mục đích quản trị hệ thống, không dùng để làm việc hàng ngày như gửi/nhận email hay truy cập tài liệu nội bộ.

Để bảo vệ tối đa tài khoản quản trị viên, doanh nghiệp cần lưu ý:

• Luôn bật xác thực đa yếu tố (MFA) cho tất cả tài khoản quản trị

• Trước khi đăng nhập bằng tài khoản quản trị, hãy đóng toàn bộ các trình duyệt và ứng dụng không liên quan – đặc biệt là tài khoản email cá nhân hoặc các dịch vụ không thuộc tổ chức

• Ngay sau khi hoàn tất công việc quản trị, cần đăng xuất khỏi phiên trình duyệt để ngăn rủi ro bị chiếm quyền truy cập

Việc tuân thủ các nguyên tắc bảo mật này giúp giảm thiểu nguy cơ bị tấn công từ bên ngoài, đồng thời đảm bảo an toàn cho toàn bộ hạ tầng Microsoft 365 của tổ chức.

4. Nâng cấp độ bảo vệ khỏi phần mềm độc hại trong mail

Mặc dù Microsoft 365 đã tích hợp sẵn các cơ chế bảo vệ chống phần mềm độc hại, nhưng doanh nghiệp vẫn có thể tăng cường mức độ an toàn bằng cách chặn các tệp đính kèm có định dạng thường được sử dụng để phát tán mã độc.

Để nâng cao khả năng bảo vệ email khỏi phần mềm độc hại, quản trị viên có thể thực hiện theo các bước sau:

Thiết lập bộ lọc tệp đính kèm nguy hiểm trong email

1. Truy cập: https://protection.office.com và đăng nhập bằng tài khoản quản trị viên của tổ chức.

2. Trong giao diện Microsoft 365 Security & Compliance Center, ở menu bên trái, điều hướng đến:
   Threat Management > Policy > Anti-Malware.

3. Nhấp đúp vào chính sách mặc định (Default Policy) để chỉnh sửa chính sách bảo vệ toàn tổ chức.

4. Chọn tab Cài đặt (Settings).

5. Trong mục Common Attachment Types Filter, bật tùy chọn On.

   Các loại tệp thường bị khai thác để phát tán phần mềm độc hại (như .exe, .js, .vbs,…) sẽ được liệt kê ngay bên dưới. Bạn cũng có thể tùy chỉnh danh sách này nếu cần.

6. Nhấn Save để lưu thay đổi.

Việc cấu hình bộ lọc đính kèm giúp loại bỏ nguy cơ người dùng vô tình mở các tệp chứa mã độc – một trong những nguyên nhân phổ biến dẫn đến tấn công ransomware hoặc lây lan virus trong nội bộ doanh nghiệp.

5. Bảo vệ khỏi Ransomware

Ransomware là một dạng phần mềm độc hại tinh vi, hoạt động bằng cách mã hóa dữ liệu hoặc khóa toàn bộ hệ thống, từ đó ngăn người dùng truy cập vào thông tin của chính họ. Tin tặc sau đó sẽ yêu cầu “tiền chuộc” — thường là tiền điện tử như Bitcoin — để cung cấp khóa giải mã hoặc khôi phục quyền truy cập.

Để giảm thiểu rủi ro bị ransomware tấn công qua email, doanh nghiệp có thể thiết lập các quy tắc luồng thư (mail flow rules) trong Exchange Online nhằm:

1. Cảnh báo người dùng khi họ nhận được tệp đính kèm Office có chứa macro – một trong những phương pháp phổ biến để ẩn mã độc.

2. Chặn các loại tệp đính kèm nguy hiểm, thường được dùng để phát tán ransomware hoặc phần mềm độc hại khác.

Nếu tổ chức của bạn có nhu cầu sử dụng các định dạng tệp này, có thể chuyển sang hình thức cảnh báo, thay vì chặn hoàn toàn.

Hướng dẫn tạo quy tắc bảo vệ email khỏi ransomware

Bước 1: Truy cập Exchange Admin Center

(https://admin.exchange.microsoft.com)

Bước 2: Trong menu bên trái, chọn Mail flow > Rules.

Bước 3: Nhấn vào nút “+” và chọn Create a new rule.

Bước 4: Trong hộp thoại tạo quy tắc, chọn “More options…” để hiển thị đầy đủ các thiết lập.

Bước 5: Tạo từng quy tắc theo hướng dẫn dưới đây:

 Quy tắc 1: Cảnh báo người dùng khi nhận tệp Office có macro

• Apply this rule if: The message contains attachments > file name matches patterns

• Pattern: .docm, .xlsm, .pptm

• Do the following: Prepend a disclaimer > “Cảnh báo: Email này chứa tệp Office có macro. Chỉ mở nếu bạn tin tưởng người gửi.”

Quy tắc 2: Chặn tệp có khả năng chứa mã độc

• Apply this rule if: The message contains attachments > file extension matches

• Extensions: .exe, .js, .vbs, .scr, .bat, .cmd, .com, .ps1, .hta

• Do the following: Block the message > delete the message without notifying anyone
  (hoặc chọn “Quarantine the message” nếu bạn muốn kiểm duyệt trước)

Bước 6: Nhấn Save để hoàn tất từng quy tắc.

Việc chủ động thiết lập các quy tắc này giúp doanh nghiệp giảm đáng kể nguy cơ lây nhiễm ransomware qua email, từ đó bảo vệ hệ thống và dữ liệu khỏi bị tống tiền hay phá hoại.

6. Dừng Auto-forwarding cho email

Ngăn chặn rò rỉ dữ liệu qua tính năng chuyển tiếp email trong Microsoft 365

Một trong những kỹ thuật phổ biến mà tin tặc sử dụng sau khi chiếm quyền truy cập hộp thư là thiết lập chuyển tiếp email tự động. Điều này cho phép chúng âm thầm chuyển mọi thư đến ra bên ngoài mà người dùng không hề hay biết. Hành vi này có thể dẫn đến rò rỉ dữ liệu nội bộ hoặc lộ thông tin nhạy cảm của doanh nghiệp.

Để ngăn chặn tình trạng này, quản trị viên có thể tạo quy tắc luồng thư (mail flow rule) nhằm chặn việc tự động chuyển tiếp email ra bên ngoài tổ chức.

Hướng dẫn cấu hình quy tắc chặn chuyển tiếp email

Bước 1: Truy cập vào Exchange Admin Center

(https://admin.exchange.microsoft.com)

Bước 2: Trong menu bên trái, chọn Mail flow > Rules

Bước 3: Nhấp “+” > Create a new rule

Bước 4: Nhấn vào “More options…” ở cuối hộp thoại để mở rộng tất cả cài đặt

Bước 5: Cấu hình quy tắc như sau:

• Name: Block automatic email forwarding

• Apply this rule if:

  • The recipient is located… > Outside the organization

  • AND

  • The message type is… > Auto-forward

• Do the following:

  • Reject the message with the explanation > “Chính sách của công ty không cho phép chuyển tiếp email tự động ra bên ngoài tổ chức.”

Bạn cũng có thể thêm hành động Log to audit hoặc Notify admin nếu muốn theo dõi hoạt động này.

Bước 6: Nhấn Save để hoàn tất.

Việc thiết lập quy tắc này sẽ ngăn chặn hiệu quả các nỗ lực chuyển tiếp email trái phép – dù do người dùng tự tạo, hay do mã độc hoặc tài khoản đã bị chiếm quyền kiểm soát cấu hình.

7. Sử dụng mã hóa tin nhắn Office để bảo mật Microsoft 365

Bảo vệ nội dung email bằng mã hóa thư trong Microsoft 365

Mã hóa Tin nhắn Office (Office Message Encryption – OME) là một tính năng bảo mật được tích hợp sẵn trong Microsoft 365. Với OME, tổ chức có thể gửi và nhận email mã hóa giữa người dùng nội bộ và đối tác bên ngoài mà không cần thiết lập phần mềm bổ sung. Tính năng này hỗ trợ hầu hết các nền tảng email phổ biến như Outlook.com, Gmail, Yahoo!, và nhiều dịch vụ khác.

Lợi ích của Office Message Encryption

• Đảm bảo quyền riêng tư: Chỉ người nhận dự kiến mới có thể đọc được nội dung thư.

• Hỗ trợ linh hoạt: Người nhận không cần phải là người dùng Microsoft 365 để mở email được mã hóa.

• Tăng cường kiểm soát: Cho phép gửi thư với các quyền đặc biệt như “Không chuyển tiếp” hoặc “Chỉ mã hóa”.

Hai tùy chọn bảo vệ khi gửi email

1. Không chuyển tiếp (Do Not Forward):

   • Người nhận có thể đọc nội dung nhưng không thể chuyển tiếp, sao chép hoặc in email.

2. Mã hóa (Encrypt):

   • Email được mã hóa trong quá trình truyền và chỉ có người nhận được xác thực mới có thể mở.

Ngoài ra, nếu tổ chức bạn đã cấu hình Microsoft Purview Information Protection, có thể gắn nhãn phân loại (ví dụ: Confidential, Internal Only) vào email để tăng cường quản lý và kiểm soát truy cập.

Cách gửi email được mã hóa trong Outlook (bản dành cho máy tính)

1. Soạn thư mới trong Outlook

2. Trên thanh menu, chọn Options

3. Nhấp vào Permissions

4. Chọn một trong các tùy chọn bảo mật như:

   • Encrypt

   • Do Not Forward

   • Confidential, nếu tổ chức bạn đã cấu hình nhãn bảo mật

Cách người nhận xem email được mã hóa trong Microsoft 365

Khi một email được gửi bằng Office Message Encryption (OME), người nhận có thể dễ dàng truy cập nội dung – bất kể họ đang sử dụng Outlook hay một dịch vụ email bên thứ ba như Gmail hoặc Yahoo. Tuy nhiên, phương thức hiển thị và truy cập sẽ khác nhau tùy theo ứng dụng và nền tảng email họ sử dụng.

Trường hợp 1: Người nhận sử dụng Outlook 2013, Outlook 2016 hoặc Outlook trên Microsoft 365

• Khi mở email, người nhận sẽ thấy một thông báo trong ngăn Đọc về các hạn chế quyền truy cập (chẳng hạn: không chuyển tiếp, nội dung bảo mật…).

• Nội dung thư sẽ hiển thị trực tiếp trong Outlook, giống như với bất kỳ email thông thường nào.

• Nếu được cấp quyền, người nhận có thể trả lời email trong môi trường được mã hóa.

Việc mã hóa thư không chỉ bảo vệ dữ liệu quan trọng mà còn giúp tổ chức tuân thủ các quy định về bảo mật thông tin như GDPR, HIPAA và các tiêu chuẩn ngành khác.

Trường hợp 2: Người nhận sử dụng dịch vụ email khác (Gmail, Yahoo, v.v.)

• Người nhận sẽ thấy một liên kết đặc biệt trong email có nội dung như:
  “You’ve received an encrypted message. Click here to read it.”

• Khi nhấp vào liên kết:

  • Họ sẽ được yêu cầu đăng nhập bằng tài khoản email để xác thực,
    hoặc

  • Yêu cầu một mã dùng một lần (One-Time Passcode) được gửi tới địa chỉ email của họ.

• Sau khi xác thực thành công, nội dung thư sẽ được hiển thị trong trình duyệt web an toàn.

Lưu ý:
Nếu người nhận không thấy email mã hóa trong hộp thư đến, hãy đề nghị họ kiểm tra thư mục Spam hoặc Junk vì email mã hóa đôi khi bị lọc nhầm.

Office Message Encryption mang lại trải nghiệm bảo mật linh hoạt, vừa đảm bảo an toàn thông tin, vừa dễ sử dụng cho người nhận – dù họ có sử dụng Outlook hay không. Đây là một phần quan trọng trong chiến lược bảo vệ dữ liệu tổng thể khi doanh nghiệp sử dụng Microsoft 365.

8. Bảo vệ email khỏi các cuộc tấn công lừa đảo

Cấu hình bảo vệ chống lừa đảo nhắm mục tiêu trong Microsoft 365

Nếu doanh nghiệp của bạn đã thiết lập một hoặc nhiều miền tùy chỉnh trong Microsoft 365 (ví dụ: @yourcompany.com), bạn hoàn toàn có thể kích hoạt các biện pháp bảo vệ nâng cao chống lại tấn công lừa đảo (phishing). Đây là một phần trong bộ công cụ bảo mật mạnh mẽ của Microsoft Defender for Office 365.

Lừa đảo nhắm mục tiêu là gì?

Đây là hình thức tấn công trong đó kẻ xấu giả mạo email, tên miền hoặc danh tính của lãnh đạo công ty, nhân viên hoặc đối tác đáng tin cậy nhằm:

• Đánh cắp thông tin đăng nhập.

• Gửi liên kết độc hại.

• Gây ra hành vi chuyển tiền không hợp lệ hoặc đánh cắp dữ liệu nội bộ.

Microsoft Defender for Office 365 giúp bạn như thế nào?

Tính năng Anti-phishing protection trong Defender for Office 365 có thể:

• Phát hiện hành vi mạo danh tên người gửi (display name spoofing).

• Cảnh báo hoặc chặn email từ các miền trùng tên/giống thật nhưng là giả mạo.

• Bảo vệ những người dùng quan trọng – như CEO, CFO hoặc quản trị viên IT – khỏi các cuộc tấn công có chủ đích.

Các bước thực hiện:

1. Truy cập trung tâm bảo mật:

   • Mở trình duyệt và đi tới: https://protection.office.com

   • Đăng nhập bằng tài khoản quản trị viên Microsoft 365.

2. Điều hướng đến mục quản lý mối đe dọa:

   • Trong Security & Compliance Center, ở ngăn điều hướng bên trái, chọn:

     Threat management > Policy

3. Tạo chính sách chống lừa đảo:

   • Trong mục Policy, chọn Anti-phishing.

   • Nhấp vào nút + Create để khởi tạo chính sách mới.

4. Thiết lập thông tin cơ bản cho chính sách:

   • Đặt tên chính sách và mô tả ngắn gọn (ví dụ: “Bảo vệ người dùng VIP khỏi tấn công lừa đảo”).

   • Chọn nhóm người dùng áp dụng (ví dụ: CEO, phòng kế toán, quản trị viên hệ thống…).

5. Cấu hình chi tiết chính sách:

   • Bật tính năng impersonation protection (bảo vệ khỏi giả mạo danh tính).

   • Thêm các tên người gửi và tên miền quan trọng cần bảo vệ.

   • Chọn hành động khi phát hiện lừa đảo (cảnh báo, cách ly email, chặn…).

6. Hoàn tất và lưu chính sách:

   • Kiểm tra lại toàn bộ cài đặt đã thiết lập.

   • Chọn Create this policy hoặc Save nếu mọi thứ chính xác.

9. Bảo vệ khỏi các tệp và tệp đính kèm độc hại bằng tính năng Safe Attachments

Kích hoạt tính năng Bảo vệ Tệp đính kèm An toàn (Safe Attachments) trong Microsoft 365

Trong môi trường doanh nghiệp, người dùng thường xuyên gửi và nhận các tệp đính kèm như tài liệu Word, Excel, PowerPoint… Tuy nhiên, không phải lúc nào cũng có thể xác định liệu một tệp đính kèm có chứa phần mềm độc hại hay không chỉ bằng cách nhìn vào nội dung email.

Microsoft Defender for Microsoft 365 cung cấp tính năng Safe Attachments giúp bảo vệ người dùng khỏi các tệp đính kèm độc hại. Tuy nhiên, tính năng này không được bật theo mặc định, vì vậy tổ chức nên chủ động kích hoạt và cấu hình chính sách.

Lợi ích của Safe Attachments

• Quét và kiểm tra tệp đính kèm trong email trước khi người dùng mở.

• Bảo vệ tệp trong các dịch vụ như SharePoint, OneDrive và Microsoft Teams.

• Giảm nguy cơ lây nhiễm phần mềm độc hại thông qua các tệp chia sẻ nội bộ và bên ngoài.

Các bước tạo chính sách Safe Attachments

1. Truy cập trung tâm bảo mật Microsoft:

   • Mở trình duyệt và truy cập: https://protection.office.com

   • Đăng nhập bằng tài khoản quản trị viên Microsoft 365.

2. Điều hướng đến thiết lập bảo vệ mối đe dọa:

   • Trong Security & Compliance Center, chọn:

     Threat Management > Policy

3. Mở phần Safe Attachments:

   • Trong danh sách chính sách, chọn Safe Attachments.

4. Bật tính năng bảo vệ mở rộng:

   • Đánh dấu chọn:

     Turn on ATP for SharePoint, OneDrive, and Microsoft Teams
     để kích hoạt bảo vệ cho các nền tảng cộng tác này.

5. Tạo chính sách mới:

   • Nhấp vào dấu + để tạo chính sách Safe Attachments mới.

   • Thiết lập các cấu hình sau:

     • Tên và mô tả chính sách.

     • Đối tượng áp dụng (toàn bộ tổ chức hoặc nhóm người dùng).

     • Hành động khi phát hiện tệp đáng ngờ (ví dụ: cách ly, chặn, cảnh báo).

6. Hoàn tất thiết lập:

   • Sau khi xem lại cấu hình, chọn Create this policy hoặc Save nếu mọi thứ đã chính xác.

Kết luận

Bảo mật Microsoft 365 không chỉ là trách nhiệm của bộ phận CNTT, mà là ý thức cần được xây dựng toàn diện trong cả tổ chức. Việc thiết lập các chính sách và công cụ phù hợp sẽ giúp giảm thiểu rủi ro, nâng cao độ tin cậy và bảo vệ doanh nghiệp khỏi các mối đe dọa mạng ngày càng tinh vi.

P.A Việt Nam – Nhà cung cấp giải pháp Email Server dành cho Doanh Nghiệp hàng đầu Việt Nam

Private Email

Email Server Pro

Google Workspace

Microsoft 365

Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/

Tham khảo các bài viết về Email Server khác tại https://kb.pavietnam.vn/category/email-server