1. Tổng quan về quản trị 2FA trên Kerio Connect

Đối với hệ thống email doanh nghiệp sử dụng Kerio Connect, việc triển khai xác thực hai lớp (Two-Factor Authentication – 2FA) không chỉ dừng lại ở thao tác người dùng kích hoạt, mà còn yêu cầu quản trị viên (Admin) thực hiện cấu hình và quản lý tập trung ở cấp Domain.

Trong bài viết này, Nhân Hoà hướng dẫn quý khách là quản trị viên:

• Bật 2FA cho Domain trên Kerio Connect
• Thiết lập chính sách bắt buộc sử dụng 2FA
• Quản lý thời hạn xác thực 2FA
• Reset cấu hình 2FA cho người dùng khi cần thiết

2. Hướng dẫn bật 2FA cho Domain trên Kerio Connect

Bước 1: Đăng nhập WebAdmin Kerio

Truy cập WebAdmin Kerio Connect http://<IP-Server>:4040

Đăng nhập bằng tài khoản quản trị Admin

Bước 2: Truy cập cấu hình Domain

Vào Configuration → Domains

Chọn domain cần cấu hình

Nhấn Edit

Bước 3: Kích hoạt 2FA

Chuyển sang tab Security

Tại mục Two-Factor Authentication Settings

Tick chọn Enable 2FA và click OK để áp dụng.

Sau khi kích hoạt, Kerio Connect cho phép quản trị viên thiết lập các chính sách 2FA áp dụng cho toàn bộ người dùng trong domain.

3. Thiết lập chính sách 2FA cho người dùng trong Domain

3.1. Bắt buộc toàn bộ người dùng sử dụng 2FA

Chọn tùy chọn Force for all users

➡ Khi bật tùy chọn này:

• Tất cả người dùng trong domain bắt buộc phải thiết lập 2FA
• Người dùng không thể đăng nhập email nếu chưa hoàn tất cấu hình xác thực hai lớp

3.2. Cấu hình thời gian hết hạn xác thực 2FA

Tại mục 2FA will expire in (days), quản trị viên có thể thiết lập thời gian Kerio ghi nhớ trạng thái xác thực 2FA, cấu hình này áp dụng riêng cho từng trình duyệt và từng thiết bị đăng nhập

Ví dụ:

Quản trị viên cấu hình hết hạn trong 30 ngày:
Sau khi xác thực 2FA, người dùng sẽ không cần nhập lại mã trong 30 ngày trên cùng trình duyệt

Với cấu hình là 0
Người dùng sẽ phải nhập mã 2FA mỗi lần đóng và mở lại trình duyệt

4. Lưu ý khi người dùng sử dụng phần mềm email bên thứ ba

Sau khi người dùng đã thiết lập 2FA:

Mật khẩu email thông thường sẽ không còn hoạt động trên các ứng dụng:

Microsoft Outlook

Mozilla Thunderbird

Ứng dụng Mail trên điện thoại

➡ Trong trường hợp này, người dùng bắt buộc phải sử dụng Application Password.

Application Password được tạo tại:

Webmail hoặc Kerio Connect Client

Settings → App Passwords

-> Quản trị viên nên chủ động thông báo cho người dùng trước khi triển khai 2FA để tránh gián đoạn dịch vụ email.

Tham khảo hướng dẫn thao tác 2FA đối với người dùng: https://wiki.nhanhoa.com/kb/huong-dan-cau-hinh-2fa-tren-kerio-connect-bao-ve-email-doanh-nghiep-ca-nhan/

5. Reset cấu hình 2FA cho người dùng 

Trong trường hợp người dùng:

• Mất thiết bị xác thực
• Không truy cập được ứng dụng tạo mã 2FA
• Không thể đăng nhập email do sự cố xác thực

Quản trị viên có thể reset cấu hình 2FA trực tiếp trên Kerio Connect.

Các bước thực hiện:

Đăng nhập WebAdmin

Truy cập Accounts → Users

Click chuột phải vào người dùng cần hỗ trợ

Chọn More Actions → Reset 2FA Configuration

Chọn Yes để xác nhận reset.

➡ Sau khi reset:

Người dùng đăng nhập lại hệ thống

Kerio sẽ yêu cầu thiết lập 2FA lại từ đầu.

6. Kết luận

Triển khai 2FA trên Kerio Connect là giải pháp hữu hiệu để bảo vệ email doanh nghiệp khỏi các nguy cơ xâm nhập trái phép.

Với khả năng quản lý tập trung từ cấu hình Domain đến reset tài khoản, Admin có thể tối ưu hóa bảo mật mà vẫn đảm bảo tính linh hoạt cho người dùng.

Hy vọng hướng dẫn này giúp quý khách quản trị hệ thống an toàn và hiệu quả hơn.