# Thiết lập danh sách IP được phép

### Mục tiêu

* Chỉ cho phép đăng nhập MBW\.Admin từ các địa chỉ IP/dải IP tin cậy (văn phòng, VPN công ty…), giảm rủi ro truy cập trái phép từ mạng lạ.​
* Kết hợp với 2FA, mật khẩu mạnh để xây dựng lớp bảo mật mạng cho hệ thống quản trị.​

***

### Dành cho ai

* Org Admin / Chủ site – người quyết định chính sách truy cập theo IP cho tenant.​
* Admin bảo mật / IT – người nắm thông tin IP/VPN của tổ chức và trực tiếp cấu hình IP whitelist trên MBW\.Admin.​

***

### Khi nào dùng

* Doanh nghiệp yêu cầu chỉ cho phép truy cập hệ thống quản trị từ mạng nội bộ/VPN, không cho đăng nhập từ Internet tự do.​
* Muốn giảm rủi ro khi có rò rỉ mật khẩu, vì tài khoản dù bị lộ cũng không đăng nhập được từ IP bên ngoài danh sách.​
* Khi có dấu hiệu đăng nhập bất thường từ các địa chỉ IP lạ, quốc gia lạ và muốn khóa chặt theo IP.​

***

### Hướng dẫn

#### 1. Chuẩn bị danh sách IP/dải IP tin cậy

Trước khi cấu hình, Admin bảo mật nên:

* Thu thập các IP/dải IP cần cho phép, ví dụ:
* IP tĩnh văn phòng.
* Dải IP của VPN công ty.
* Nếu dùng CIDR, xác định rõ phạm vi dải (ví dụ: 203.0.113.0/24).​
* Quyết định có cho phép IP động từ người dùng làm việc từ nhà hay yêu cầu tất cả phải dùng VPN.

***

#### 2. Truy cập phần cấu hình IP whitelist

* Đăng nhập MBW\.Admin bằng tài khoản có quyền cấu hình bảo mật (Org Admin/IT).​
* Vào Bảo mật và truy cập → Chính sách & Bảo mật → Thiết lập chính sách mật khẩu và đăng nhập.​
* Tìm nhóm thiết lập liên quan IP allowlist / IP whitelist (CIDR).​

***

#### 3. Nhập danh sách IP được phép

Trong khối IP whitelist (CIDR):​

* Nhập từng IP hoặc dải IP theo định dạng hỗ trợ, ví dụ:
* IP đơn: 203.0.113.10
* Dải CIDR: 203.0.113.0/24
* Mỗi dòng một IP/dải IP hoặc theo format UI cho phép (list, bảng, v.v.).​

Tuỳ thiết kế chính sách, có hai cách áp dụng:

* Chỉ cho phép đăng nhập từ IP whitelist:
* Người dùng từ IP ngoài danh sách sẽ bị chặn đăng nhập.
* Miễn Login Challenges cho IP whitelist:
* Người dùng từ IP tin cậy được bỏ qua một số bước challenge bổ sung; IP khác vẫn đăng nhập được nhưng phải qua challenge/2FA.​

Chọn cơ chế áp dụng phù hợp (nếu hệ thống cho chọn), sau đó Lưu cấu hình.​

***

#### 4. Kiểm tra và thử nghiệm

Sau khi lưu:

* Kiểm tra đăng nhập từ IP trong whitelist:
* Đảm bảo đăng nhập được bình thường.
* Kiểm tra đăng nhập từ IP ngoài whitelist (hoặc tắt VPN):
* Xác nhận đúng hành vi mong muốn: bị chặn hoặc bị yêu cầu challenge/2FA bổ sung.​

Nên thực hiện test này với tài khoản Admin dự phòng và không cắt hết đường truy cập của mình.

***

### Lưu ý

* Luôn chừa ít nhất một đường truy cập an toàn, tránh cấu hình sai khiến tất cả Admin bị khóa khỏi hệ thống (ví dụ: mất kết nối VPN mà chỉ cho phép IP VPN).​
* Khi tổ chức có văn phòng mới, thay đổi ISP, thay đổi dải IP VPN, cần cập nhật lại IP whitelist trước khi chuyển hẳn, để tránh người dùng không đăng nhập được.​
* Kết hợp IP whitelist với 2FA và chính sách mật khẩu mạnh để đạt mức bảo mật cao hơn; IP whitelist không thay thế cho 2FA, vì thiết bị trong mạng nội bộ vẫn có thể bị tấn công.​

<br>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.mhiring.vn/mbase/mbw-admin/bao-mat-va-truy-cap/thiet-lap-danh-sach-ip-duoc-phep.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.