Microsoft 365 sắp vô hiệu hóa các giao thức xác thực truy cập file lỗi thời

Microsoft thường xuyên vô hiệu hóa những giao thức lỗi thời dùng để truy cập các dịch vụ của mình. Trong vài năm qua, công ty Redmond đã loại bỏ Basic Auth trong Exchange Online và chặn truy cập Outlook đối với ứng dụng bên thứ ba dùng giao thức này. Giờ đây, Microsoft tiếp tục quyết định loại bỏ các giao thức xác thực cũ để truy cập file trên toàn bộ dịch vụ Microsoft 365.

Theo thông tin chính thức đã được đăng tải trên Microsoft 365 Admin Center. Bắt đầu từ giữa tháng 7/2025, công ty sẽ vô hiệu hóa các giao thức xác thực cũ dùng để truy cập file trên Microsoft 365, ứng dụng Office, SharePoint và OneDrive.

Cụ thể, các ứng dụng hoặc dịch vụ sử dụng Relying Party Suite (RPS) hoặc FrontPage Remote Procedure Call (FPRPC) để thực hiện xác thực qua trình duyệt nhằm mở file Office sẽ không thể thực hiện thao tác này nữa. Như dự kiến, động thái này chủ yếu nhằm nâng cao bảo mật cho các dịch vụ của Microsoft.

Microsoft cho biết RPS có thể bị bẻ khóa kiểu vét cạn (brute-force) và lừa đảo (phishing) khá dễ dàng do đã lỗi thời. Tương tự, FPRPC (thường dùng để chỉnh sửa trang web từ xa) cũng dễ bị khai thác thông qua nhiều lỗ hổng. Do đó, cả hai giao thức này sẽ bị tắt theo mặc định từ giữa tháng 7/2025, với lộ trình áp dụng dự kiến hoàn tất vào tháng 8/2025.

Gã khổng lồ công nghệ đến từ Redmond sẽ cập nhật tiêu chuẩn giao thức mặc định mà không yêu cầu khách hàng thay đổi bất kỳ điều khoản cấp phép nào. Ngoài ra, sau khi các thay đổi này được triển khai, Microsoft 365 sẽ yêu cầu sự đồng ý của quản trị viên để cho phép truy cập file và site từ bên thứ ba. Quản trị viên hệ thống có thể xem hướng dẫn tại đây để cấu hình quy trình phê duyệt (admin consent workflows).

Microsoft tuyên bố những thay đổi này phù hợp với nguyên tắc của Sáng kiến Tương lai Bảo mật (Secure Future Initiative - SFI). Trước đó cùng ngày, họ cũng thông báo triển khai các mặc định bảo mật nâng cao cho Windows 365 cũng vì lý do tương tự.