# Rà soát quyền truy cập định kỳ
### Mục tiêu
* Kiểm tra định kỳ xem người dùng có đang được cấp đúng quyền theo vai trò công việc hiện tại hay không.
* Phát hiện và xử lý các trường hợp cấp thừa quyền, tài khoản không dùng, quyền quản trị dư thừa để tăng bảo mật và tối ưu chi phí license.
***
### Dành cho vai trò nào
* Quản trị quyền – thiết kế mô hình quyền và đánh giá lại tính phù hợp.
* Quản trị người dùng – thực hiện thao tác gỡ/điều chỉnh vai trò, vô hiệu hóa user.
* Phối hợp với Quản trị thanh toán (để kiểm tra tác động đến chi phí) và Quản trị tổ chức/HR (để đối chiếu biến động nhân sự).
***
### Khi nào sử dụng
* Theo chu kỳ cố định: 3–6 tháng/lần, hoặc theo quy định bảo mật nội bộ.
* Sau các đợt tái cấu trúc tổ chức, sáp nhập/bổ sung phòng ban, thay đổi quy trình tuyển dụng/TRM.
* Sau khi phát hiện sự cố bảo mật hoặc nghi ngờ cấp thừa quyền.
***
### Hướng dẫn thực hiện rà soát
#### 1. Lấy danh sách người dùng và vai trò hiện tại
* Vào menu Người dùng trong MBW\.Admin.
* Xuất danh sách người dùng (nếu có chức năng export) hoặc dùng bộ lọc để xem:
* Tên, email.
* Các vai trò/nhóm quyền đang được gán.
* Trạng thái (Active/Inactive).
* Thông tin bảo mật liên quan (last login, 2FA…).
***
#### 2. Nhận diện các nhóm “nguy cơ”
Tập trung rà soát trước các nhóm sau:
* Người dùng có quyền quản trị: Org Admin/Owner, Quản trị người dùng, Quản trị quyền, Quản trị thanh toán, Admin hệ thống.
* Người dùng đang có nhiều nhóm quyền/vai trò chồng chéo (vd: vừa Recruiter vừa HR Staff, vừa Admin vừa Billing).
* Tài khoản lâu không đăng nhập (dựa trên last login) nhưng vẫn Active.
***
#### 3. Đối chiếu với thông tin nhân sự thực tế
* Phối hợp với HR/Quản trị tổ chức để xác nhận:
* Người đó còn làm việc không, đã chuyển sang bộ phận/chi nhánh khác chưa.
* Vai trò công việc hiện tại có còn cần những quyền đang gán không.
* Với tài khoản agency/đối tác, kiểm tra lại hợp đồng/hợp tác còn hiệu lực hay không.
***
#### 4. Điều chỉnh quyền
Tùy trường hợp, áp dụng:
* Thu hẹp vai trò/quyền:
* Gỡ bớt nhóm quyền không còn cần thiết.
* Chuyển từ role quản trị sang role người dùng thường nếu người đó không còn phụ trách vận hành.
* Vô hiệu hóa tài khoản:
* Với người đã nghỉ việc hoặc tài khoản không dùng nữa nhưng cần giữ log.
* Xóa tài khoản:
* Chỉ khi chắc chắn không cần giữ dữ liệu liên quan, theo chính sách công ty.
Mọi điều chỉnh nên được ghi nhận (log hệ thống + biên bản/ghi chú nội bộ nếu liên quan quyền quản trị cao).
***
#### 5. Rà soát mô hình nhóm quyền
* Vào Nhóm quyền/Role groups để xem:
* Nhóm quyền nào hiện đang có rất nhiều user nhưng phạm vi quyền quá rộng.
* Nhóm quyền nào không còn ai sử dụng (0 tài khoản).
* Cập nhật:
* Siết bớt quyền trên các nhóm quyền quá rộng, hoặc tách thành 2 nhóm (ví dụ: “HR Staff – Full” và “HR Staff – View only”).
* Xóa các nhóm quyền không còn được dùng để tránh rối khi gán quyền.
***
### Lưu ý
* Luôn áp dụng nguyên tắc “ít nhưng đủ”: người dùng chỉ nên có quyền tương ứng với công việc hiện tại, không giữ quyền cũ khi đã chuyển vị trí.
* Mọi thay đổi với quyền quản trị cao nên có phê duyệt (email/biên bản) và có thể được log lại trong chính sách bảo mật của tổ chức.
* Nên gắn hoạt động rà soát này với kế hoạch kiểm soát chi phí license: sau khi giảm số user/quyền, phối hợp với Quản trị thanh toán để điều chỉnh gói/plan nếu cần.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.mhiring.vn/mbase/mbw-admin/nguoi-dung-va-phan-quyen/ra-soat-quyen-truy-cap-dinh-ky.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.