Microsoft 365 sẽ ngừng hỗ trợ giao thức xác thực cũ

Bắt đầu từ giữa tháng 7/2025, Microsoft sẽ tắt các giao thức xác thực cũ như RPS và FPRPC trên toàn bộ hệ thống Microsoft 365, nhằm nâng cao bảo mật và ngăn chặn các rủi ro tấn công mạng.

Microsoft 365 sẽ tắt các giao thức xác thực lỗi thời từ tháng 7

Microsoft vừa thông báo sẽ chính thức ngừng hỗ trợ các giao thức xác thực lỗi thời trên nền tảng Microsoft 365 từ giữa tháng 7/2025. Việc này áp dụng cho các ứng dụng như Office, SharePoint và OneDrive, với mục tiêu cải thiện bảo mật dữ liệu và phòng chống tấn công mạng.

Những gì sẽ bị vô hiệu hóa?

Cụ thể, hai giao thức RPS (Relying Party Suite) và FPRPC (FrontPage Remote Procedure Call) – vốn được dùng để xác thực qua trình duyệt khi truy cập tệp – sẽ bị vô hiệu hóa hoàn toàn vào tháng 8.

RPS: dễ bị tấn công brute-force hoặc lừa đảo qua email do thiết kế lạc hậu.
FPRPC: thường dùng cho biên tập web từ xa, nhưng tồn tại nhiều lỗ hổng bảo mật có thể bị khai thác.

Microsoft nhấn mạnh rằng việc tắt hai giao thức này là bắt buộc, không phụ thuộc vào gói bản quyền người dùng đang sử dụng.

Hệ quả với người dùng và quản trị viên

Khi các giao thức cũ bị vô hiệu hóa, ứng dụng hoặc dịch vụ bên thứ ba sử dụng các phương thức xác thực cũ sẽ không thể truy cập vào tệp trên Microsoft 365. Người dùng cần cập nhật phần mềm hoặc dịch vụ theo chuẩn xác thực mới.

Ngoài ra, việc truy cập tệp và website từ bên thứ ba sẽ yêu cầu có sự đồng ý của quản trị viên hệ thống (admin consent). Microsoft cung cấp tài liệu hướng dẫn để IT admin cấu hình quy trình này, đảm bảo kiểm soát chặt chẽ hơn với truy cập bên ngoài.

Một phần trong chiến lược “Tương lai an toàn” của Microsoft

Đây là bước đi nằm trong chiến lược “Secure Future Initiative” (SFI) của Microsoft – nhằm bảo vệ hệ thống khỏi các mối đe dọa an ninh ngày càng tinh vi. Cùng ngày, hãng cũng đã triển khai các cài đặt bảo mật mặc định mới cho Windows 365 theo hướng tiếp cận tương tự.

Doanh nghiệp cần chuẩn bị gì?

Rà soát lại các ứng dụng đang dùng các giao thức RPS hoặc FPRPC.
Chuyển đổi sang giao thức xác thực hiện đại như OAuth 2.0.
Thiết lập quy trình admin consent cho các ứng dụng bên thứ ba.

Việc hành động sớm sẽ giúp doanh nghiệp tránh gián đoạn dịch vụ và đảm bảo tuân thủ các yêu cầu bảo mật mới của Microsoft trong thời đại AI và điện toán đám mây.