Xác thực đa yếu tố (MFA) được bật theo mặc định cho tất cả người dùng trong Microsoft 365. MFA là một biện pháp bảo mật tuyệt vời, bổ sung một hoặc nhiều yếu tố vào quy trình xác thực người dùng ngoài tên người dùng và mật khẩu. Trong một số trường hợp, quản trị viên có thể cần tắt MFA cho một hoặc nhiều tài khoản người dùng trong Microsoft 365.
Tắt Entra ID Security Defaults
Cài đặt bảo mật Entra ID mặc định không cho phép tắt MFA đối với người dùng. Các cài đặt này được thiết lập bởi Entra ID Security Defaults. Vì vậy, bước đầu tiên là tắt Security Defaults Microsoft 365 của bạn. Cách làm như sau:
- Đăng nhập vào Microsoft Entra admin center.
- Truy cập tới Identity → Overview → Properties.
- Cuộn xuống dưới dùng rồi chọn Manage security defaults.
- Chọn Disabled, rồi chọn lý do tại mục Reason for disabling, sau đó nhấn Save.
- Khi được hỏi, nhấn vào Disable để xác nhận.
- Trạng thái sẽ được chuyển thành “Your organization is not protected by security defaults.”
Bây giờ bạn đã có thể tắt MFA cho một người dùng hoặc tất cả người dùng thông qua Microsoft Entra ID (trước đây là Azure AD) hoặc sử dụng PowerShell.
Vô hiệu hóa MFA theo người dùng từ Microsoft Entra ID Portal
MFA được triển khai trong Entra ID theo cấu hình cho từng người dùng (nếu không sử dụng Conditional Access). Vì vậy, bạn có thể sử dụng trung tâm quản trị Microsoft Entra để chọn và tắt MFA cho một người dùng cụ thể
- Đăng nhập vào Microsoft Entra admin center, nhấn vào Users → All users → Per-user MFA.
- Trang này hiển thị danh sách người dùng và trạng thái MFA cho từng người dùng. Chọn một hoặc nhiều người dùng có trạng thái là Enabled (có nghĩa là MFA được bật cho tài khoản, nhưng người dùng chưa hoàn tất đăng ký yếu tố thứ hai) hoặc Enforced rồi nhấn vào Disable.
- Nhấn Yes khi được hỏi xác nhận.
- Nhấp vào Close sau khi đã cập nhật trạng thái MFA.
Lặp lại các bước tương tự để tắt MFA cho những người dùng khác nếu cần.
Cách tắt MFA trong Microsoft 365 bằng PowerShell
Ngoài ra, bạn có thể sử dụng PowerShell để vô hiệu hóa MFA cho từng người dùng Microsoft 365. Điều này yêu cầu MSOnline module phải được cài đặt trên máy tính của quản trị viên.
Cài đặt MSOnline module bằng Windows PowerShell sử dụng câu lệnh sau:
Install-Module MSOnlineSau khi cài đặt, hãy kết nối với Entra ID bằng cách chạy lệnh sau:
Connect-MsolServiceĐể vô hiệu hóa hoàn toàn MFA cho một tài khoản người dùng cụ thể, hãy sử dụng lệnh sau:
Set-MsolUser -UserPrincipalName admin@blogcntt.com -StrongAuthenticationRequirements @()Nếu lệnh thực hiện thành công, sẽ không có thông báo nào trả về.
Chú ý. Để bật lại MFA cho người dùng, hãy chạy lệnh sau:
$mfaEnable = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
$mfaEnable.RelyingParty = "*"
$mfaEnable.State = "Enabled"
Set-MsolUser -UserPrincipalName admin@blogcntt.com -StrongAuthenticationRequirements $mfaEnable
The following PowerShell script can be used to list MFA-enabled users (including MFA methods) in the Entra ID tenant:
# Get users with Per-User MFA enabled
$perUserMFA = Get-MsolUser -All |
Where-Object {
$_.UserType -eq 'Member' -and
$_.StrongAuthenticationRequirements.State
} |
Select-Object DisplayName, UserPrincipalName,
@{N = "MFA State"; E = { $_.StrongAuthenticationRequirements.State } },
@{N = "Default MFA Method"; E = { if ($mfaType = ($_.StrongAuthenticationMethods | Where-Object { $_.IsDefault }).MethodType) { $mfaType } else { 'None' } } } |
Sort-Object DisplayName
# Show the results
$perUserMFA
Để vô hiệu hóa MFA cho tất cả người dùng Microsoft 365, hãy sử dụng lệnh:
Get-MsolUser -All | Set-MsolUser -StrongAuthenticationRequirements @()Quan trọng: MFA là tính năng bảo mật mạnh mẽ giúp bảo vệ tài khoản Microsoft của bạn. Bạn nên bật MFA cho người dùng. Thông thường, MFA có thể bị tắt đối với tài khoản người dùng trong các trường hợp sau:
- Khi sử dụng giải pháp MFA của bên thứ ba
- Các ứng dụng cũ không hỗ trợ xác thực hiện đại
- Xử lý các trường hợp cần phải tạm thời tắt MFA
- Một tài khoản dịch vụ có rủi ro thấp với ít đặc quyền nhất được chỉ định để chạy ứng dụng hoặc dịch vụ cụ thể nào đó
Việc vô hiệu hóa MFA trong tài khoản Microsoft 365 phải được lên kế hoạch và thực hiện cẩn thận để tránh gián đoạn. Nếu bạn quyết định vô hiệu hóa MFA, bạn phải thực hiện các bước bổ sung để giảm thiểu những rủi ro tiềm ẩn, bao gồm giáo dục người dùng và thiết lập các biện pháp bảo mật khác.