An toàn Thông tin M365: Chế độ Bảo mật Cơ bản Vượt Trội

Microsoft đã bắt đầu triển khai Chế độ Bảo mật Cơ bản (Baseline Security Mode) trên các tenant Microsoft 365. Đây là một trang tổng quan mới trong Trung tâm Quản trị M365, tập trung các cấu hình bảo mật được đề xuất cho Office, SharePoint, Exchange, Teams và Entra nhằm nâng cao an toàn thông tin cho doanh nghiệp.

Tổng quan về Chế độ Bảo mật Cơ bản Microsoft 365

Giới thiệu và Triển khai

Được công bố tại Ignite 2025, tính năng tùy chọn này hỗ trợ các quản trị viên nhanh chóng đánh giá các lỗ hổng, chạy báo cáo tác động và áp dụng các biện pháp tăng cường bảo mật dựa trên rủi ro mà không gây gián đoạn ngay lập tức cho người dùng.

Tính đến tháng 12 năm 2025, Chế độ Bảo mật Cơ bản đã xuất hiện trong một số tenant nhất định, dưới phần Org Settings > Security & Privacy. Mục tiêu triển khai hoàn chỉnh trên toàn cầu là vào cuối tháng 1 năm 2026.

Mục tiêu và Các Lĩnh vực Chính

Baseline Security Mode thực thi từ 18 đến 20 chính sách bảo mật, tập trung vào ba lĩnh vực cốt lõi. Các chính sách này được xây dựng dựa trên thông tin mối đe dọa mạng của Microsoft và dữ liệu từ hai thập kỷ hoạt động của trung tâm phản ứng.

Việc triển khai công khai (public preview) và khả dụng chung (general availability) đã bắt đầu vào giữa tháng 11 năm 2025. Quá trình triển khai theo từng giai đoạn dự kiến hoàn thành vào tháng 3 năm 2026 cho các đám mây GCC, DoD và GCCH.

Các Chính sách Bảo mật Cốt lõi

Chính sách Xác thực

Các chính sách liên quan đến xác thực, tổng cộng có 12 chính sách, chặn các giao thức kế thừa như basic auth, Exchange Web Services (EWS) và IDCRL. Đồng thời, chúng yêu cầu xác thực đa yếu tố (MFA) chống phishing cho các quản trị viên sử dụng FIDO2 hoặc passkeys.

Việc áp dụng MFA chống phishing là một bước quan trọng để giảm thiểu rủi ro từ các tấn công mạng dựa trên thông tin đăng nhập.

Để biết thêm chi tiết về tầm quan trọng của MFA chống phishing, bạn có thể tham khảo hướng dẫn của CISA về triển khai MFA chống phishing.

Bảo vệ Tệp

Các biện pháp bảo vệ tệp giới hạn các hành vi rủi ro như mở tài liệu qua các giao thức HTTP/FTP không an toàn, ActiveX, DDE hoặc các định dạng kế thừa bên ngoài chế độ Protected View.

Đặc biệt, nó vô hiệu hóa các công cụ dễ bị tấn công như Microsoft Publisher trước thời điểm ngừng hoạt động vào năm 2026, giúp tăng cường an toàn thông tin tổng thể.

Kích hoạt và Quản lý Chế độ Bảo mật Cơ bản

Các quản trị viên có vai trò Security hoặc Global roles có thể trực tiếp kích hoạt tính năng này. Có hai tùy chọn chính để lựa chọn:

• “Automatically apply default policies”: Áp dụng tự động cho bảy kiểm soát có tác động thấp.
• “Generate report”: Tạo báo cáo mô phỏng về các kiểm soát còn lại.

Sau khi chọn tùy chọn, quản trị viên có thể xem xét dữ liệu tác động dựa trên kiểm toán trong vòng 24 giờ.

Quan trọng là, không có gián đoạn tenant nào xảy ra cho đến khi các thay đổi được phê duyệt. Quá trình theo dõi tiến độ sẽ hiển thị trạng thái “At risk” (có rủi ro) hoặc “Meets standards” (đạt tiêu chuẩn), giúp quản trị viên dễ dàng nắm bắt tình hình an toàn thông tin của hệ thống.

Tác động và Lợi ích Bảo mật

Mô hình secure-by-default này giải quyết các cấu hình sai phổ biến, đóng lại các lỗ hổng thường bị khai thác trong các cuộc tấn công nhồi thông tin đăng nhập (credential stuffing), lừa đảo (phishing) và tấn công chuỗi cung ứng (supply chain attacks).

Bằng cách đơn giản hóa việc thực thi chính sách trên các dịch vụ, Baseline Security Mode giúp các tổ chức chuẩn bị cho các mối đe dọa mạng do AI điều khiển. Đây là một phần của Sáng kiến Tương lai An toàn (Secure Future Initiative) của Microsoft.

Các kế hoạch mở rộng trong tương lai bao gồm tích hợp với Purview, Intune và Azure, tiếp tục tăng cường khả năng bảo vệ.

Các tenant đang tiếp cận tính năng này sẽ có được lợi thế trong phòng thủ chủ động, đặc biệt trong bối cảnh các chiến dịch ransomware và APT đang gia tăng, từ đó nâng cao an toàn thông tin tổng thể.