Trong môi trường làm việc hiện đại ngày nay, mỗi nhân viên có nhiều thiết bị để làm việc, truy cập vào dữ liệu công ty như laptop, PC, tablet, điện thoại di động…. hay còn gọi là xu hướng BYOD (Bring your own devices). Thông qua những thiết bị này, người dùng tổ chức có thể gặp rủi ro mà không hề hay biết. Mặc dù việc có thể truy cập dữ liệu bằng thiết bị cá nhân sẽ thuận tiện hơn cho nhân viên làm việc, nhưng nó cũng có thể dẫn tới rủi ro bảo mật lớn nếu những thiết bị đó không được bảo mật đúng cách.
Trong blog này, chúng tôi sẽ đưa ra 5 chính sách truy cập có điều kiện (Conditional Access) trong Microsoft 365 Business Premium bản quyền để quản lý người dùng và thiết bị trong tổ chức của bạn.
5 Chính sách truy cập có điều kiện để quản lý truy cập thiết bị trong tổ chức
1. Chặn các nền tảng không được hỗ trợ
Điều gì sẽ xảy ra nếu người dùng cố gắng xác thực từ các thiết bị không được Microsoft chỉ định hoặc không xác định? Điều này dẽ gây rủi ro đáng kể cho dữ liệu của công ty. Do đó, một biện pháp qua trọng để ngăn chặn điều này là chiển khai chính sách “Block access to devices for unknown or unsupported device platforms”.
Với chính sách Truy cập có điều kiện này, bạn sẽ có chế độ xem cấp cao nhất về tất cả các thiết bị cố gắng truy cập vào tài nguyên của công ty và nhận được cảnh báo về bất kỳ truy cập trái phép nào, quản trị viên bảo mật sẽ luôn nắm được thông tin nhanh chóng và chính xác nhất.
Bạn có thể định cấu hình chính sách bằng cách áp dụng các điều khiển bên dưới hoặc lập kế hoạch sử dụng mẫu chính sách Conditional access mặc định từ trung tâm quản trị MS Entra.
Sau khi thiết lập chính sách, nếu có sự cố gắng đăng nhập từ thiết bị không xác định vào dữ liệu công ty, quyền truy cập sẽ bị chặn ngay lập tức, làm giảm tỷ lệ tấn công tiềm ẩn từ các truy cập trái phép đó.
2. Yêu cầu chính sách bảo vệ ứng dụng hoặc ứng dụng được phê duyệt cho thiết bị Android và iOS
Trong trường hợp một công ty muốn nhân viên của mình chỉ truy cập dữ liệu thông qua các ứng dụng được ủy quyền và an toàn. Điều này có nghĩa là họ không thể sử dụng ứng dụng email khách hoặc ứng dụng của bên thứ ba được phê duyệt để truy cập dữ liệu công ty.
Vì vậy, để đáp ứng yêu cầu trên, chính sách truy cập có điều kiện “Require approved app and app protection” xuất hiện. Khi bạn bật chính sách này, người dùng trong tổ chức cần xác thực bằng các ứng dunhj khách đã được phê duyệt hoặc úng dụng có chính sách bảo vệ ứng dụng.
Bạn có thể định cấu hình chính sách bằng cách áp dụng các điều kiện như hình minh họa bên dưới hoặc lập kế hoạch sử dụng mẫu chính sách Truy cập có điều kiện trực tiếp.
3. Yêu cầu xác thực đa yếu tố để đăng ký thiết bị Intune
Đăng ký một thiết bị trong Microsoft Intune thường liên quan đến quyền truy cập vào tài nguyên và dữ liệu nhạy cảm, điều đó có nghĩa là nó thường cho phép người dùng truy cập vào quản lý tài nguyên và dữ liệu của công ty từ thiết bị của họ. Điều quan trọng là đảm bảo rằng chỉ những cá nhân được ủy quyền mới có thẻ đăng ký thiết bị vì Intune cung cấp khả năng quản lý từ xa như thực thi chính sách bảo mật, xóa thiết bị…
Yêu cầu chính duy nhất đối với chính sách này là quản trị viên phải chỉ định Azure AD Premium P1 cho người dùng. Để bật MFA cho đăng ký thiết bị Intune, làm theo các bước sau:
Microsoft Entra admin Center ???? Protect & secure ???? Conditional Access ???? Policies ???? New policy
- Đặt tên cho chính sách và đề cập đến những người dùng hoặc nhóm mà bạn định loại trừ hoặc bao gồm.
- Sau đó, khi chọn danh mục tiếp theo, Ứng dụng hoặc hành động trên đám mây, hãy làm theo các bước sau: Include ???? Select Apps ???? Select ???? Microsoft Intune Enrollment ???? Select
- Sau khi vào phần Grant, hãy kiểm tra yêu cầu xác thực đa yếu tố và yêu cầu thiết bị được đánh dấu là hộp tuân thủ và trong hộp “For multiple controls” hãy chọn tùy chọn “require all selected controls”
- Sau đó, trong danh mục điều kiện, để có kết quả tối ưu, bạn nên sử dụng nền tảng thiết bị cùng với các chính sách tuân thủ thiết bị của Microsoft Intune hoặc như một thành phần của block statement.
- Tiếp đến với danh mục ‘Session’ đặt ‘Sign-in frequency – Every time’ để MFA được nhắc mọi lúc. Cuối cùng bấm Save và kích hoạt chính sách.
4. Yêu cầu MFA để đăng ký hoặc tham gia thiết bị với Azure AD
Việc thực thi MFA để đăng ký thiết bị trong Azure AD vừa quan trọng hơn vừa được đề xuất vì nó cung cấp yếu tố xác thực bổ sung để ngăn chặn tấn công truy cập tài nguyên của tổ chức, doanh nghiệp. Làm theo các bước dưới đây để sử dụng chính sách bảo mật này.
Microsoft Entra admin Center ???? Protect & secure ???? Conditional Access ???? Policies ???? New policy
- Đặt tên cho chính sách và đề cập đến những người dùng hoặc nhóm mà bạn định loại trừ hoặc bao gồm.
- Sau đó, khi chọn danh mục tiếp theo, Ứng dụng đám mây hoặc các hành động, làm theo các bước dưới đây:
- Thay đổi cài đặt Ứng dụng đám mây thành Hành động của người dùng.
- Đánh dấu vào hộp kiểm, , Register or join devices.
- Sau khi vào phần Grant’ hãy chọn hộp kiểm “Require multi-factor authentication”
- Cuối cùng là lưu và chính sách được kích hoạt.
5. Chính sách chung cơ bản – Yêu cầu thiết bị đã tham gia Azure AD tuân thủ, kết hợp hoặc MFA cho tất cả người dùng
Việc yêu cầu các thiết bị kết hợp tuân thủ hoặc MFA cho tất cả các dùng dùng Microsoft 365 là phương pháp vô cùng hiệu quả trong việc giữ an toàn cho dữ liệu và mạng của doanh nghiệp.
Microsoft cung cấp mẫu chính sách mặc định “Require MFA to Register or Join Devices with Azure AD” để giúp quá trình quản lý tài nguyên dữ liệu công ty được dễ dàng hơn. Hãy làm theo các bước dưới đây để triển khai chính sách này.
Tổng quát lại, môi trường BYOD thuận tiện cho người dùng nhưng cũng tiềm ẩn những mối lo cho doanh nghiệp trong việc bảo vệ thông tin dữ liệu. Do đó, các doanh nghiệp nên tập trung vào việc bảo mật bằng cách triển khai các chính sách quản lý truy cập của Microsoft 365 Business Premium ngay bây giờ, theo dõi các thay đổi về chính sách Truy cập có điều kiện, trao quyền cho quy trình đăng ký thiết bị và thực thi các biện pháp kiểm soát truy cập dựa trên thiết bị nghiêm ngặt. Các chính sách này cung cấp một cách đơn giản và hiệu quả để đảm bảo rằng chỉ những thiết bị được phân quyền mới có thể truy cập vào mạng và dữ liệu nội bộ của công ty.