Microsoft Entra ID Tenant: Hướng Dẫn Tạo & Cấu Hình Chuẩn Doanh Nghiệp
Hình 1: Microsoft Entra ID tenant là nền tảng identity cho toàn bộ hệ sinh thái Microsoft 365 và Azure.
Hàng ngàn doanh nghiệp Việt Nam đang triển khai Microsoft 365 nhưng bỏ qua bước thiết lập Azure AD tenant đúng cách — dẫn đến rủi ro bảo mật nghiêm trọng, admin roles hỗn loạn và phải migration đau đớn khi mở rộng. Nếu tenant không có emergency access account, không có custom domain và Global Admin được gán tràn lan, tổ chức bạn đang đứng trước nguy cơ bị lock out hoặc bị tấn công chiếm quyền. Azure AD Tenant Creation đúng chuẩn từ đầu với Microsoft Entra ID chính là bước nền tảng quyết định toàn bộ bảo mật và quản trị sau này.
💡 TL;DR: Microsoft Entra ID tenant là identity container cho Microsoft 365 và Azure. Tạo tenant chuẩn cần: custom domain (company.com), max 2-3 Global Admin, enable Security Defaults hoặc Conditional Access, 2 emergency access accounts. Setup đúng từ đầu giúp tránh migration pain và giảm 99.9% tấn công identity theo thống kê của Microsoft.
Tổng Quan Kiến Trúc Tenant
Trước khi bắt đầu tạo tenant, bạn cần hiểu rõ các thành phần cốt lõi trong kiến trúc Microsoft Entra ID để biết mỗi phần quản lý ở đâu.
| Thành phần | Mô tả | Nơi quản lý |
|---|---|---|
| Tenant | Container chứa toàn bộ identity của tổ chức | Entra admin center |
| Directory | Users, groups, devices | Entra admin center → Users |
| Applications | Ứng dụng SaaS và custom đã đăng ký | Entra admin center → App registrations |
| Policies | Conditional Access, MFA, device policies | Entra admin center → Protection |
| Licenses | M365, Azure, add-ons | Microsoft 365 admin center → Billing |
| Domains | Custom domains (company.com) | Microsoft 365 admin center → Domains |
Tạo Tenant — Ba Phương Pháp Chính
Có 3 cách tạo Azure AD tenant tùy theo nhu cầu sử dụng. Mỗi cách phù hợp với một đối tượng khác nhau.
Cách 1: Từ Microsoft 365 (Dành Cho Business)
Đây là phương pháp được khuyến nghị cho doanh nghiệp cần email và productivity suite ngay lập tức.
- Truy cập
admin.microsoft.com/signup - Chọn plan: Business Basic / Standard / Premium hoặc Enterprise E3 / E5
- Nhập business email → xác minh domain
- Tạo admin account:
admin@company.onmicrosoft.com - Tenant tự động được tạo → Microsoft 365 + Entra ID sẵn sàng
Cách 2: Từ Azure Portal (Dành Cho IT / Developers)
Phù hợp cho đội ngũ kỹ thuật cần tenant riêng cho development hoặc testing.
- Truy cập
portal.azure.com→ Create a resource → Azure Active Directory - Chọn: Microsoft Entra ID (không phải B2C)
- Điền thông tin:
- Organization name: "Company Name"
- Initial domain:
companyname.onmicrosoft.com - Country: Vietnam
- Create → tenant sẵn sàng trong ~2 phút
- Switch directory → chuyển sang tenant mới
Cách 3: Từ Entra Admin Center
- Truy cập
entra.microsoft.com - Overview → Manage tenants → + Create
- Chọn tenant type: Workforce (nhân viên) hoặc External (B2C)
- Configuration: tên, domain, quốc gia
- Create → hoàn tất
Sau Khi Tạo Tenant — Việc Cần Làm Ngay
Bước post-creation quyết định bảo mật toàn bộ tenant. Bạn phải thực hiện ngay 4 việc sau:
- Thêm custom domain (company.com) — chuyên nghiệp hóa email
- Enable Security Defaults hoặc cấu hình Conditional Access
- Tạo emergency access account (break-glass) — chống lock out
- Gán admin roles theo nguyên tắc least privilege
Thiết Lập Custom Domain
Domain mặc định company.onmicrosoft.com không chuyên nghiệp cho email doanh nghiệp. Bạn cần thêm custom domain ngay sau khi tạo tenant.
Quy Trình Xác Minh Domain
- Microsoft 365 admin center → Settings → Domains → + Add domain
- Nhập:
company.com - Xác minh quyền sở hữu — thêm TXT record vào DNS:
- Host:
@ - Value:
MS=ms12345678(Microsoft cung cấp) - TTL:
3600
- Host:
- Chờ DNS propagation (5–60 phút)
- Verify → thành công
Cấu Hình DNS Records
Sau khi xác minh domain, cấu hình đầy đủ các DNS records cho email và bảo mật:
| Record | Mục đích | Bắt buộc |
|---|---|---|
| MX | Email routing | ✅ |
| CNAME | Autodiscover cho Outlook | ✅ |
| SPF | Email authentication — chống spoof | ✅ |
| DKIM | Email signing — xác thực nguồn gửi | ✅ |
| DMARC | Email policy — kiểm soát xử lý email giả | ✅ |
Multi-Domain Best Practices
company.com— domain chính (primary)company.vn— alias cho thị trường Việt Nambrand.com— alias cho thương hiệu phụ- Set default domain cho new users
- Giữ
onmicrosoft.comlàm backup/fallback - Không bao giờ chia sẻ admin credentials của DNS provider
Phân Quyền Admin — Nguyên Tắc Least Privilege
Gán quyền admin đúng là một trong những quyết định bảo mật quan trọng nhất khi tạo Azure AD tenant. Sai lầm phổ biến: gán Global Admin cho mọi người.
| Vai trò | Phạm vi | Gán cho ai | Số lượng tối đa |
|---|---|---|---|
| Global Admin | Toàn quyền hệ thống | CTO / IT Director | 2–3 |
| User Admin | Quản lý users, reset password | IT Support | 2–4 |
| Exchange Admin | Email, mailboxes | Email admin | 1–2 |
| SharePoint Admin | Sites, OneDrive, sharing | SharePoint admin | 1–2 |
| Teams Admin | Teams settings, policies | Comms admin | 1–2 |
| Security Admin | Security policies, alerts | Security team | 1–2 |
| Compliance Admin | DLP, retention, eDiscovery | Compliance officer | 1–2 |
| Billing Admin | Subscriptions, licenses | Finance | 1 |
| Helpdesk Admin | Chỉ reset password | IT helpdesk | 3–5 |
| Reports Reader | Chỉ xem reports | Management | Không giới hạn |
Emergency Access Account (Break-Glass)
Đây là tài khoản cứu hộ khi tất cả admin bị locked out (MFA server down, Conditional Access misconfigured, tất cả admin accounts bị compromise).
- Tạo:
emergencyadmin@company.onmicrosoft.com - Gán: Global Admin
- Loại khỏi tất cả Conditional Access policies
- Password: 16+ ký tự, in ra giấy lưu trong két sắt
- Không bật MFA (có chủ đích — để tránh bị lock nếu MFA fails)
- Không dùng cho công việc hàng ngày
- Tạo alert trong Microsoft Entra admin center → Diagnostic settings → thông báo khi account này đăng nhập
- Test: đăng nhập mỗi 90 ngày để verify còn hoạt động
- Microsoft yêu cầu: mọi tổ chức PHẢI có 2 emergency access accounts
PIM — Privileged Identity Management (Entra ID P2)
PIM cung cấp just-in-time admin access — admin chỉ có quyền khi cần, không giữ quyền vĩnh viễn.
- User yêu cầu quyền Global Admin → approval → cửa sổ 4 giờ
- Sau 4 giờ → quyền tự động bị thu hồi
- Full audit trail: ai, khi nào, vì sao
- Phù hợp cho tổ chức trung bình và lớn
- Gán roles: Microsoft Entra admin center → Roles and administrators
📌 Cần hỗ trợ thiết kế admin roles và Conditional Access cho doanh nghiệp? PUPAM Tech Team giúp bạn triển khai tenant chuẩn bảo mật từ ngày đầu — admin roles, emergency access, PIM, audit logging. Liên hệ tư vấn →
Security Defaults vs Conditional Access
Chọn đúng phương án bảo mật là quyết định ảnh hưởng trực tiếp đến mọi user trong tenant. Dưới đây là so sánh chi tiết giữa hai lựa chọn.
| Tính năng | Security Defaults (Miễn phí) | Conditional Access (P1/P2) |
|---|---|---|
| MFA | Bắt buộc cho tất cả users | Granular — theo user / app / risk |
| Chặn legacy auth | ✅ Tự động chặn | ✅ Tùy cấu hình |
| Location rules | ❌ | ✅ Named locations |
| Device compliance | ❌ | ✅ Intune integration |
| Risk-based | ❌ | ✅ Sign-in risk, user risk |
| Session controls | ❌ | ✅ Browser-only, timeout |
| Chi phí | Miễn phí với mọi Entra ID | Entra ID P1 ($6/user/tháng) |
| Phù hợp | Tổ chức nhỏ (<50 users) | Tổ chức trung bình-lớn (50+) |
Kích Hoạt Security Defaults
Bật ngay lập tức cho mọi tenant mới: Microsoft Entra admin center → Properties → Security defaults → Enabled.
Security Defaults tự động thực hiện:
- Yêu cầu đăng ký MFA cho tất cả users (trong 14 ngày)
- Thách thức MFA cho admins mỗi lần đăng nhập
- Thách thức MFA cho users khi có sign-in rủi ro
- Chặn hoàn toàn legacy authentication protocols
- Bảo vệ khỏi 99.9% tấn công identity (thống kê Microsoft)
Khi Nào Nâng Cấp Lên Conditional Access?
Upgrade khi tổ chức cần:
- Location-based policies — chặn đăng nhập từ các quốc gia cụ thể
- Device compliance — yêu cầu thiết bị quản lý bởi Intune
- Granular MFA — một số ứng dụng được miễn MFA
- Session controls — browser-only cho external users
- Đã có Entra ID P1 license (bao gồm trong M365 E3 / E5)
Hybrid Identity — Kết Nối On-Prem Với Cloud
Với các tổ chức đã có Active Directory on-premises, Microsoft Entra Connect (trước là Azure AD Connect) là cầu nối giữa hai thế giới.
Chức Năng Chính Của Entra Connect
- Đồng bộ users/groups từ on-prem AD → Entra ID
- Password hash sync — users dùng cùng password
- Seamless SSO — tự động đăng nhập từ domain-joined PCs
- Write-back: password reset từ cloud → on-prem
So Sánh Phương Pháp Đồng Bộ
| Phương pháp | Mô tả | Ưu điểm | Nhược điểm |
|---|---|---|---|
| Password Hash Sync (PHS) | Hash password đồng bộ lên cloud | ✅ Đơn giản, hoạt động khi on-prem down | Password hash lưu trên cloud |
| Pass-through Auth (PTA) | Password validate trực tiếp với on-prem AD | ✅ Password không lưu trên cloud | ❌ On-prem down → login fails |
| Federation (ADFS) | Auth hoàn toàn qua ADFS servers | ✅ Full control | ❌ Phức tạp nhất, không khuyến nghị mới |
Khuyến nghị: Sử dụng Password Hash Sync (PHS) — đơn giản nhất, đáng tin cậy nhất. Microsoft cũng khuyến nghị migration path: ADFS → PHS → eventually full cloud.
Lộ Trình Chuyển Đổi Full Cloud
Mục tiêu dài hạn: Microsoft Intune thay thế Group Policy, SharePoint/OneDrive thay thế file servers → full cloud → không cần on-prem AD. Triển khai staged rollout: chuyển từng group một.
Checklist Trước Khi Triển Khai
- Tạo tenant thông qua M365 signup hoặc Azure portal
- Thêm custom domain (company.com) và xác minh DNS
- Cấu hình DNS records: MX, SPF, DKIM, DMARC
- Enable Security Defaults hoặc cấu hình Conditional Access
- Tạo 2 emergency access accounts (break-glass), loại khỏi mọi CA policies
- Gán admin roles theo nguyên tắc least privilege (max 2–3 Global Admin)
- Cấu hình self-service password reset (SSPR) và MFA cho tất cả users
- Enable audit logging và setup company branding
FAQ — Câu Hỏi Thường Gặp
Một tổ chức có thể có nhiều tenants không?
Có — nhưng không khuyến nghị cho hầu hết tổ chức. Mỗi tenant là một identity boundary hoàn toàn riêng biệt. Multi-tenant phù hợp khi: M&A (company mới giữ tenant tạm), regulated industries (tenant riêng theo quốc gia), hoặc Dev/Test (tenant riêng cho testing). Nhược điểm: users phải switch directories, không share resources dễ dàng, admin overhead gấp đôi. Best practice: 1 production tenant + 1 dev/test tenant.
Domain onmicrosoft.com có thể đổi tên được không?
Không — onmicrosoft.com là permanent, không thể rename. Khi tạo tenant, bạn chọn companyname.onmicrosoft.com và tên này cố định vĩnh viễn. Giải pháp: thêm custom domain (company.com) → set làm primary → tất cả users dùng user@company.com. Domain onmicrosoft.com vẫn tồn tại nhưng chỉ dùng cho emergency access account hoặc fallback.
Security Defaults có đủ bảo mật cho doanh nghiệp không?
Đủ cho tổ chức nhỏ — nhưng trung bình-lớn nên upgrade Conditional Access. Security Defaults chặn 99.9% tấn công identity (theo Microsoft) nhờ MFA + chặn legacy auth. Tuy nhiên thiếu: location-based policies, device compliance (Intune), risk-based policies, session controls. Tổ chức trên 50 users hoặc ngành regulated (finance, healthcare) nên upgrade lên Conditional Access với Entra ID P1.
Emergency access account là gì và tại sao bắt buộc phải có?
Break-glass account là Global Admin không bị ảnh hưởng bởi Conditional Access — dùng khi tất cả admin bị locked out. Scenario: MFA server down, Conditional Access misconfigured, tất cả admin accounts bị compromise. Emergency access bypass everything để khôi phục quyền truy cập. Microsoft yêu cầu mọi tổ chức phải có ít nhất 2 emergency access accounts.
Hybrid Identity: Entra Connect hay Cloud-only?
Cloud-only cho tổ chức mới, Entra Connect cho tổ chức đã có on-prem AD. Tổ chức mới (chưa có AD): tạo users trực tiếp trong Entra ID → cloud-only → đơn giản nhất. Tổ chức có on-prem AD: cài Microsoft Entra Connect → đồng bộ users/groups → hybrid identity. Phương pháp đồng bộ khuyến nghị: Password Hash Sync (PHS).
Chi phí triển khai Azure AD tenant là bao nhiêu?
Microsoft Entra ID Free đi kèm mọi subscription Microsoft 365 — không tốn thêm chi phí cho tenant cơ bản. Security Defaults miễn phí. Để có Conditional Access cần Entra ID P1 ($6/user/tháng, bao gồm trong M365 Business Premium / E3 / E5). PIM cần Entra ID P2 ($9/user/tháng, bao gồm trong M365 E5).
Nguồn Tham Khảo
- Microsoft Entra ID — Create a New Tenant — Hướng dẫn chính thức tạo và cấu hình Entra ID tenant
- Azure Cloud Adoption Framework — Naming Conventions — Azure naming best practices cho resources
- Microsoft Security Defaults Overview — Security Defaults bảo vệ cơ bản miễn phí ngay từ đầu
- Emergency Access Accounts in Microsoft Entra ID — Break-glass accounts thiết yếu cho mọi tổ chức
- Privileged Identity Management Best Practices — PIM just-in-time access cho admin roles
- CIS Microsoft 365 Foundations Benchmark — Tiêu chuẩn bảo mật CIS cho Microsoft 365
- NIST Cybersecurity Framework — Framework bảo mật quốc gia Hoa Kỳ áp dụng cho identity governance
Hành Động Ngay Hôm Nay
- Tạo 2 emergency access accounts — loại khỏi tất cả Conditional Access policies, lưu credentials ngoại tuyến trong két sắt, test đăng nhập mỗi 90 ngày
- Thiết lập custom domain + admin roles — thêm
company.com, cấu hình DNS (MX, SPF, DKIM, DMARC), gán max 2–3 Global Admin, enable Security Defaults - Tư vấn miễn phí — Liên hệ PUPAM Tech Team để được hỗ trợ thiết kế và deploy Entra ID tenant theo chuẩn bảo mật: naming, admin roles, emergency access và hybrid identity
Bài Liên Quan Nên Đọc
- Azure AD Conditional Access Policies — Hướng Dẫn Chi Tiết 2026
- Azure AD MFA Setup — Xác Thực Đa Yếu Tố Cho Doanh Nghiệp 2026
- Azure AD Connect Hybrid Identity Sync — Đồng Bộ On-Prem 2026
- Azure Active Directory Setup Guide — Hướng Dẫn Toàn Diện 2026
- Microsoft 365 Security Best Practices 2025
- Azure AD B2B Guest Access & Collaboration 2026
Kết Luận
Azure AD tenant creation đúng chuẩn từ đầu quyết định toàn bộ nền tảng bảo mật và quản trị identity cho doanh nghiệp. Dưới đây là tóm tắt nhanh để bạn hành động ngay.
| Tiêu chí | Chi tiết |
|---|---|
| Phù hợp cho | Mọi tổ chức sử dụng Microsoft 365, Azure — từ startup đến enterprise |
| Lợi ích chính | Custom domain chuyên nghiệp, admin roles least privilege, 99.9% chống tấn công identity với Security Defaults, emergency access chống lock out |
| Bước tiếp theo | Tạo tenant → custom domain → 2 emergency accounts → admin roles → Security Defaults / Conditional Access → audit logging |
💡 Cần hỗ trợ triển khai Microsoft Entra ID tenant chuẩn doanh nghiệp? PUPAM Tech Team giúp bạn từ thiết kế tenant architecture, cấu hình admin roles, emergency access đến hybrid identity — đảm bảo bảo mật từ ngày đầu. Liên hệ tư vấn miễn phí →