# Bật xác thực hai bước (2FA) cho người dùng
### Mục tiêu
* Thêm một lớp bảo vệ xác thực hai bước (2FA) cho tài khoản MBW\.Admin, đặc biệt với các tài khoản nhạy cảm (Org Admin, Admin, Billing).
* Giảm rủi ro bị chiếm tài khoản khi mật khẩu bị lộ, đáp ứng yêu cầu bảo mật nội bộ.
***
### Dành cho ai
* Org Admin / Chủ site – quyết định chính sách bắt buộc 2FA cho tenant.
* Admin bảo mật / IT – người trực tiếp cấu hình bật 2FA cho toàn hệ thống hoặc cho một số nhóm người dùng.
* Tất cả người dùng thuộc phạm vi bắt buộc 2FA – phải hoàn tất bước thiết lập 2FA khi đăng nhập.
***
### Khi nào dùng
* Khi tổ chức nâng mức bảo mật, yêu cầu tất cả Admin/Billing phải có 2FA.
* Sau một sự cố/thử tấn công, nghi ngờ lộ mật khẩu và cần tăng cường bảo vệ tài khoản.
* Khi áp dụng chuẩn bảo mật/tuân thủ (ISO, SOC, nội quy IT) bắt buộc dùng 2FA cho các hệ thống quan trọng.
***
### Hướng dẫn
#### 1. Bật 2FA trong chính sách đăng nhập
Đăng nhập MBW\.Admin bằng tài khoản có quyền cấu hình bảo mật (Org Admin hoặc Admin bảo mật).
Vào Bảo mật và truy cập → Chính sách & Bảo mật → Thiết lập chính sách mật khẩu và đăng nhập.
Tìm phần Xác thực nâng cao / 2FA.
**Tại đây, cấu hình:**
* Bật 2FA bắt buộc:
* Chọn chế độ:
* Áp dụng cho toàn bộ người dùng, hoặc
* Chỉ áp dụng cho một số nhóm vai trò (Org Admin, Admin, Billing…).
* Chọn phương thức 2FA (tùy cấu hình hệ thống):
* OTP qua email hệ thống.
* Ứng dụng Google Authenticator (nếu đã tích hợp trong phần Gateway/OAuth).
Nhấn Lưu để áp dụng chính sách. Từ lần đăng nhập tiếp theo, người dùng thuộc phạm vi bắt buộc sẽ phải thiết lập 2FA.
***
#### 2. Người dùng thiết lập 2FA lần đầu
Sau khi chính sách 2FA được bật, khi người dùng thuộc diện áp dụng đăng nhập:
Đăng nhập bằng tên người dùng + mật khẩu như bình thường.
Hệ thống chuyển tới bước Thiết lập xác thực hai bước:
**Nếu dùng OTP email:**
* Hệ thống gửi mã OTP tới email đã đăng ký.
* Người dùng nhập mã OTP để xác nhận.
**Nếu dùng Google Authenticator:**
* Hệ thống hiển thị mã QR hoặc secret key.
* Người dùng quét QR bằng app Google Authenticator và nhập mã 6 số hiển thị.
* Sau khi xác nhận thành công, 2FA được kích hoạt cho tài khoản. Từ các lần đăng nhập sau, người dùng phải:
* Nhập mật khẩu.
* Nhập mã OTP (qua email hoặc app 2FA đã cấu hình).
***
#### 3. Quản trị viên giám sát và hỗ trợ
Admin có thể:
Theo dõi trong phần Quản lý người dùng xem người dùng đã bật 2FA hay chưa (nếu UI hỗ trợ flag này).
* Hỗ trợ người dùng khi:
* Mất thiết bị 2FA (điện thoại).
* Đổi email nhận OTP.
Trong trường hợp khẩn cấp, có thể tạm thời tắt/bỏ bắt buộc 2FA cho một người dùng cụ thể (tùy tính năng hệ thống và quy trình an ninh nội bộ).
***
### Lưu ý
* Trước khi bật 2FA bắt buộc cho số lượng lớn người dùng, nên thông báo trước (email nội bộ, hướng dẫn nhanh) để tránh việc nhiều người bị chặn ở bước thiết lập mà không biết cách làm.
* Nên ưu tiên bật 2FA cho tài khoản có quyền cao trước (Org Admin, Admin, Billing), sau đó mở rộng dần cho người dùng thông thường.
* Cần chuẩn bị quy trình khôi phục tài khoản khi người dùng mất thiết bị 2FA: xác minh danh tính qua kênh khác, reset 2FA, ghi log đầy đủ để tránh lạm dụng
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.mhiring.vn/mbase/mbw-admin/bao-mat-va-truy-cap/bat-xac-thuc-hai-buoc-2fa-cho-nguoi-dung.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.