Microsoft trước đây đã nói với Windows mới nhất rằng họ đã bổ sung tính năng bẻ khóa hoặc phát hiện root (iOS/Android) cho tài khoản cơ quan hoặc trường học trong Microsoft Authenticator. Vào thời điểm đó, Microsoft không làm rõ ai thực sự bị ảnh hưởng và họ chỉ cho chúng tôi một tài liệu hỗ trợ vẫn cho biết tất cả tài khoản cơ quan và trường học đều bị ảnh hưởng:
“Microsoft đã giới thiệu tính năng bẻ khóa/phát hiện root cho các tài khoản cơ quan hoặc trường học trong Microsoft Authenticator,” tài liệu gốc của Microsoft cho biết. “Nếu Authenticator phát hiện thấy thiết bị của bạn đã bị bẻ khóa hoặc bị root, tất cả các tài khoản cơ quan hoặc trường học hiện có và mới sẽ bị chặn để bảo vệ tổ chức của bạn.”
Giờ đây, Microsoft đã đưa ra một số giải thích rõ ràng thông qua bản cập nhật trên cổng quản trị của mình, vốn chỉ có thể truy cập được qua Microsoft 365 Enterprise.
Ai bị ảnh hưởng bởi các hạn chế bẻ khóa hoặc root của Microsoft Authenticator?
Hiện tại, tính năng bẻ khóa và phát hiện root mới của Microsoft Authenticator chỉ áp dụng cho thông tin đăng nhập Microsoft Entra, là tài khoản cơ quan hoặc trường học.
Nói cách khác, nếu bạn sử dụng Microsoft Authenticator để tạo mã cho công ty, trường học, trường đại học, tài khoản Microsoft 365, Teams, Outlook, Azure hoặc Intune của mình, bạn sẽ không thể sử dụng mã đó trên thiết bị đã root hoặc đã bẻ khóa.
Tương tự, nếu ai đó sử dụng Authenticator để phê duyệt đăng nhập cho [[email protected]](gửi thư tới:[email protected]) hoặc [[email protected]](gửi thư tới:[email protected]) trên điện thoại Android đã root hoặc iPhone đã jailbreak, tài khoản đó có thể bị chặn bên trong Authenticator.
Ví dụ: nếu bạn sử dụng Authenticator cho thông tin đăng nhập Outlook, Teams, SharePoint, OneDrive for Business hoặc Microsoft 365 của công ty mình thì Microsoft Authenticator sẽ bị ảnh hưởng nếu điện thoại của bạn bị root hoặc bẻ khóa.
Tuy nhiên, Windows mới nhất nhận thấy rằng tính năng phát hiện Microsoft Authenticator không áp dụng cho mã 2FA của bên thứ ba được lưu trữ trong Microsoft Authenticator. Ví dụ: nếu bạn sử dụng Authenticator cho GitHub, Cloudflare, Facebook, Instagram hoặc bất kỳ dịch vụ bên thứ ba nào mà bạn đã quét mã QR, thì dịch vụ đó sẽ tiếp tục hoạt động trên các thiết bị đã bị can thiệp hệ thống.
Microsoft không có kế hoạch thực thi tính năng phát hiện root của Authenticator trên tài khoản cá nhân hoặc dịch vụ của bên thứ ba, ít nhất là không phải bây giờ.
Tuy nhiên, có một ngoại lệ trong đó những hạn chế này sẽ được áp dụng, miễn là dịch vụ của bên thứ ba gắn liền với thông tin đăng nhập Microsoft vào công việc của bạn.
Ví dụ: nếu GitHub sử dụng “Đăng nhập bằng Microsoft” thông qua tài khoản Entra của công ty bạn thì đường dẫn tài khoản công việc của Microsoft có thể bị ảnh hưởng. Tuy nhiên, mã Stripe 2FA thông thường được lưu trong Authenticator sẽ không bị chặn. Liệu sau này Microsoft có thể mở rộng điều này ra ngoài Entra không? Về mặt kỹ thuật thì có, nhưng hiện tại không có thông báo nào cho thấy điều đó.
Tính năng chặn Microsoft Authenticator trên các thiết bị đã root/jailbreak đang dần được triển khai
Thay đổi này ban đầu được lên kế hoạch triển khai vào tháng 2 năm 2026 nhưng nó vẫn không ảnh hưởng đến hầu hết chúng ta. Hiện tại, công ty cho biết quá trình triển khai sẽ kết thúc sau vài tuần nữa, với mục tiêu chính thức là vào giữa năm 2026.
Ngoài ra, quá trình triển khai được thực hiện theo từng giai đoạn nên Microsoft Authenticator sẽ không khóa tài khoản của bạn và yêu cầu bạn mua thiết bị mới ngay lập tức. Thay vào đó, trước tiên, nó sẽ hiển thị cảnh báo rằng thiết bị đã được bẻ khóa hoặc bị can thiệp hệ thống và bạn sẽ không thể sử dụng Authenticator trong tương lai:
Trong trường hợp của Android, thay vào đó, bạn sẽ thấy cảnh báo “thiết bị của bạn đã bị root”, nhưng điều đó ít nhiều có nghĩa tương tự:
Bạn có thể chọn bỏ qua cảnh báo và nhấp vào Tiếp tục, nhưng một biểu ngữ sẽ luôn xuất hiện trên trang chủ để bạn không bỏ lỡ cảnh báo và mất quyền truy cập vào Authenticator:
Cuối cùng, trong giai đoạn cuối, bạn sẽ bị chặn tạo thông tin xác thực mới hoặc thậm chí đăng nhập qua Authenticator. Trong trường hợp đó, bạn sẽ cần đảo ngược các thay đổi bẻ khóa/root đối với điện thoại của mình hoặc mua một thiết bị mới.
Cũng cần lưu ý rằng bạn không thể từ chối các thay đổi của Authenticator, theo Microsoft, những thay đổi này đang được triển khai để bảo mật tài khoản của bạn.
“Tính năng này được bảo mật theo mặc định và được kích hoạt cho tất cả khách hàng. Không có khả năng chọn không tham gia”, Microsoft cảnh báo. “Người dùng trên các thiết bị đã bẻ khóa hoặc đã root sẽ được triển khai theo từng giai đoạn sau. Khoảng cách ước tính giữa 2 giai đoạn là ~ 1 tháng.”
Microsoft có kế hoạch sớm thông báo thêm về việc triển khai, nhưng như tôi đã lưu ý, một số bạn sẽ bắt đầu thấy cảnh báo và sau đó là lệnh chặn trong những ngày tới. Mọi người khác sẽ thấy những thay đổi vào cuối tháng Bảy.
