Sophos Endpoint [Lab][6] Cấu hình group user và phân vùng theo Role

hiep03

hiep03

Intern

Cấu hình group user và phân vùng theo Role

I. Mở đầu

Trong kỷ nguyên an ninh mạng hiện đại, việc kiểm soát "Ai có quyền làm gì" (Who can do what) cũng quan trọng không kém việc chặn đứng virus. Đối với các quản trị viên hệ thống, việc sử dụng Sophos Central không chỉ dừng lại ở việc cài đặt Endpoint, mà còn là cách tổ chức hệ thống phân quyền thông minh thông qua User Groups và Role-based Access Control (RBAC).

II. Lý thuyết​

  1. Khái niệm về Người dùng (Users)
Người dùng là đối tượng trung tâm cần được bảo vệ. Để bảo vệ một thiết bị, bạn phải thêm người dùng sở hữu thiết bị đó vào hệ thống.
Cách thức thêm người dùng:
  • Tự động: Khi chạy bộ cài đặt (Installer) trên máy tính, người dùng máy đó sẽ tự động được thêm vào Sophos Central.
  • Thủ công: Quản trị viên thêm từng người (Add User) hoặc nhập hàng loạt từ tệp CSV.
  • Đồng bộ: Nhập từ các dịch vụ thư mục như Active Directory hoặc Microsoft Entra ID.

Trạng thái sức khỏe (Health Status): Sophos sử dụng hệ thống màu sắc để cảnh báo mức độ an toàn của người dùng dựa trên các sự kiện trên thiết bị của họ:
  • Xanh (Dấu tích): An toàn hoặc chỉ có cảnh báo ưu tiên thấp.
  • Cam (Dấu chấm than): Có cảnh báo mức độ trung bình.
  • Đỏ (Dấu chấm than): Có cảnh báo nguy hiểm/chí mạng.
  1. Vai trò Quản trị (Administration Roles)
Mỗi người dùng khi được thêm vào hệ thống sẽ được gán một vai trò cụ thể. Phân quyền theo vai trò (RBAC) giúp chia nhỏ trách nhiệm, đảm bảo mỗi người chỉ có đủ quyền hạn để hoàn thành công việc của mình.
Các vai trò mặc định trong Sophos Central:
  • Super Admin: Đây là vai trò cao nhất, có toàn quyền truy cập. Chỉ Super Admin mới có thể quản lý các vai trò khác, tạo vai trò tùy chỉnh (Custom Roles) và quản lý các mã kết nối API. Hệ thống luôn yêu cầu ít nhất một Super Admin.
  • Admin: Có quyền cấu hình mọi tính năng bảo mật và xử lý email cách ly. Tuy nhiên, Admin không thể quản lý vai trò của người khác hoặc can thiệp vào các thiết lập API hệ thống.
  • Help Desk: Dành cho đội ngũ kỹ thuật hỗ trợ trực tiếp. Họ có quyền xem cài đặt, nhật ký, báo cáo, và xử lý các cảnh báo. Họ có thể ra lệnh quét virus hoặc cập nhật phần mềm trên máy tính nhưng không được phép sửa đổi các chính sách bảo mật (Policies).
  • Read-only: Dành cho mục đích giám sát hoặc kiểm toán. Vai trò này chỉ có thể xem dữ liệu và báo cáo mà không được phép thay đổi bất kỳ cấu hình nào.
  • User: Cấp độ thấp nhất dành cho nhân viên thông thường, chỉ có quyền truy cập vào Cổng tự phục vụ (Self Service Portal) để quản lý thiết bị cá nhân.
  1. Nhóm người dùng (User Groups)
Nếu vai trò (Role) quy định quyền của người quản trị, thì Nhóm (Group) quy định các chính sách bảo mật áp dụng lên nhân viên trong công ty.
Nhóm là công cụ dùng để tập hợp nhiều người dùng có chung đặc điểm hoặc phòng ban.
  • Áp dụng chính sách đồng bộ: Thay vì gán chính sách cho từng người, chỉ cần gán cho nhóm (ví dụ: Nhóm Kế toán, Nhóm Kinh doanh).
  • Quản lý tập trung: Khi có nhân viên mới, chỉ cần thêm họ vào nhóm tương ứng, các chính sách bảo mật sẽ tự động được áp dụng.
  • Tự động hóa: Sophos hỗ trợ công cụ AD Sync để đồng bộ trực tiếp sơ đồ tổ chức từ Active Directory lên Cloud, giúp tiết kiệm thời gian quản trị thủ công.
  • Quản lý: Một người dùng có thể thuộc về nhiều nhóm khác nhau.

III. Demo​

  • Về quản trị: Tạo một nhân viên IT với vai trò Help Desk
  • Về người dùng: Tạo người dùng và gán cho một nhóm nhân viên Phòng Kinh doanh (Sales).
Bây giờ chúng ta sẽ thực hiện cấu hình

Bước 1: Thêm người dùng vào hệ thống (Khởi tạo)​

https://docs.sophos.com/central/cus...vices/People/Users/AddUserManually/index.html
Tham khảo
Trước khi phân quyền hay gán nhóm, bạn phải đưa họ vào danh sách quản lý.
  1. Đăng nhập Sophos Central bằng tài khoản Super Admin.
  2. Vào mục My Environment > Users & Groups > nhấn Add User.
1774339613335.png


  1. Tạo User và gán Role
Tạo User cho Thực tập IT:.

1774339613342.png

Chọn Role là HelpDesk sau đó nhấn Email Setup Link để gửi link kích hoạt về mail
1774339613347.png

Tick cả 2 để có mail tải Endpoint và hướng dẫn vào Sophos Central
> Save

Tạo User cho nhân viên Sales:
Tương tự
1774339613352.png

Gán Role User cho nhân viên
1774339613357.png

Email setup chọn cái đầu để gửi mail tải Agent
Sau khi Add xong

Có 1 cách nữa để thêm User đã tạo sẵn vào Role​

  • Đăng nhập Sophos Central bằng tài khoản Super Admin.
  • Truy cập Global Settings > Role Management.
  • Tìm vai trò cụ thể. Nhấn vào Role Members để thêm thành viên.
1774339613364.png


Ví dụ ở đây mình đã thêm sẵn trong lúc tạo nên có sẵn tài khoản trong Role Members

1774339613370.png

Bước 3: Tổ chức Nhóm người dùng (User Groups)
Để quản lý chính sách cho toàn bộ phòng Sales thay vì từng người đơn lẻ
  • Vẫn tại mục Users & Groups, chuyển sang tab Groups > Add Group
1774339613377.png


Đặt tên và Add User sang phía Assigned Users như hình trên
Kết quả
1774339613382.png




IV. Kiểm tra​

Sử dụng máy Win Sale đăng nhập mail và tải về
1774339613390.png

Tương tự cho bên IT
1774339613397.png


Máy IT có thêm mail để truy cập Sophos Central
1774339613404.png

Nhấn “Set up my password”
1774339613410.png



Sau khi setup xong đây là dashboard của nhân viên
1774339613417.png

V. Tổng kết​

Việc cấu hình Nhóm người dùng (User Groups)Phân vùng quyền hạn (RBAC) trên Sophos Central là nền tảng cốt lõi để chuyển đổi từ quản trị thủ công sang quản trị hệ thống tự động và chuyên nghiệp. Qua các nội dung đã trình bày, chúng ta có thể rút ra 3 giá trị:
  1. Thực thi nguyên tắc Đặc quyền tối thiểu (Least Privilege): Việc phân cấp rõ ranh giới giữa các vai trò như Super Admin, Admin hay Help Desk đảm bảo rằng mỗi thành viên trong đội ngũ kỹ thuật chỉ có đủ quyền hạn để hoàn thành công việc của mình. Điều này giúp bảo vệ các cấu hình bảo mật quan trọng trước những thay đổi vô tình hoặc sự cố chiếm quyền tài khoản.
  2. Tối ưu hóa hiệu suất vận hành (Operational Efficiency): Thay vì quản lý hàng nghìn Endpoint đơn lẻ, việc sử dụng User Groups cho phép quản trị viên áp dụng các chính sách bảo mật (Web Control, Peripheral Control, Threat Protection...) theo phòng ban chỉ trong một thao tác duy nhất. Khả năng đồng bộ với Active Directory (AD Sync) còn giúp tự động hóa quy trình thêm mới nhân sự, đảm bảo tính nhất quán của hệ thống.
  3. Giám sát sức khỏe hệ thống trực quan: Với hệ thống cảnh báo Health Status dựa trên màu sắc, quản trị viên có cái nhìn tức thời về trạng thái an ninh của từng cá nhân và nhóm, từ đó đưa ra các quyết định xử lý ưu tiên một cách chính xác và kịp thời.
 
Bài viết liên quan
[Lab][8] Cấu hình Script để uninstall hàng loạt AV trên windows bởi hiep03,
[Lab][7] Cấu hình Script để triển khai hàng loạt AV trên Windows bởi hiep03,
[Lab][4] Cấu hình thông báo và cảnh báo bởi hiep03,
[Lab][3] Cài đặt giải pháp AV trên hệ điều hành Windows và Linux bởi hiep03,
[Lab][1] Thực hiện thiết kế mô hình bởi hiep03,
[Lab 03] Triển khai Update Cache và Message Relay Server trên Windows Server bởi Lê Triệu Phú,
Được quan tâm
[Lab][4] Cấu hình thông báo và cảnh báo bởi hiep03,
[Lab][1] Thực hiện thiết kế mô hình bởi hiep03,
[Lab][3] Cài đặt giải pháp AV trên hệ điều hành Windows và Linux bởi hiep03,
[Lab][2] Cài đặt Sophos Central để quản lý thiết bị bởi hiep03,
[Lab][8] Cấu hình Script để uninstall hàng loạt AV trên windows bởi hiep03,
[Lab][7] Cấu hình Script để triển khai hàng loạt AV trên Windows bởi hiep03,
Bài viết mới
[Lab][8] Cấu hình Script để uninstall hàng loạt AV trên windows bởi hiep03,
[Lab][7] Cấu hình Script để triển khai hàng loạt AV trên Windows bởi hiep03,
[Lab][05] Tạo danh sách loại trừ bởi hiep03,
[Lab][4] Cấu hình thông báo và cảnh báo bởi hiep03,
[Lab][3] Cài đặt giải pháp AV trên hệ điều hành Windows và Linux bởi hiep03,
[Lab][2] Cài đặt Sophos Central để quản lý thiết bị bởi hiep03,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top