1. Vì sao 300 user là giới hạn cứng của Business?

Google áp giới hạn cứng 300 user cho 3 gói Business (Starter, Standard, Plus). Khi doanh nghiệp tăng đến user thứ 301, hệ thống không cho mua thêm license trên cùng tenant - phải chuyển sang Enterprise Standard hoặc Plus. Vì vậy, doanh nghiệp dự kiến vượt 200 user trong 12 tháng tới cần lên kế hoạch migration sớm để tránh ngắt quãng.

Tuy nhiên, ngưỡng 300 user không phải là lý do duy nhất nâng cấp Enterprise. Nhiều doanh nghiệp 100-150 user đã chuyển vì nhu cầu compliance, DLP, S/MIME, Cloud Identity, hoặc unlimited storage. Bài này phân tích 7 trigger thực tế.

2. Bảng so sánh nhanh Business Plus vs Enterprise Std vs Enterprise Plus

(*) Storage Enterprise: Google đã chuyển sang mô hình "as needed" - khi tenant dùng vượt 5TB × số user, request thêm pool qua admin support. Không còn unlimited tự động như giai đoạn trước 2023.

3. Trigger 1: vượt 300 user (giới hạn cứng Business)

Trigger rõ ràng nhất. Khi mua thêm license user thứ 301, admin console báo lỗi "limit exceeded". Bắt buộc upgrade SKU sang Enterprise (Standard hoặc Plus). Migration giữa tenant không cần - chỉ đổi SKU, dữ liệu giữ nguyên.

Khuyến nghị của TND: lên kế hoạch upgrade khi đạt ngưỡng 250 user (đệm 20%). Báo giá Enterprise mất 3-5 ngày qua kênh đại lý vì cần quote riêng từ Google APAC.

4. Trigger 2: yêu cầu Data Loss Prevention (DLP)

4.1. DLP là gì?

DLP (Data Loss Prevention) là cơ chế tự động phát hiện và chặn dữ liệu nhạy cảm bị gửi/chia sẻ ngoài ý muốn. Ví dụ:

• Nhân viên kế toán vô tình gửi file CSV chứa số CMND/CCCD khách hàng ra Gmail cá nhân → DLP chặn.
• User share Drive file chứa số thẻ tín dụng với external → DLP cảnh báo + chặn.
• Email outbound chứa mã nguồn dự án nội bộ → DLP gắn cờ cho admin review.

4.2. DLP rules cấu hình

DLP hỗ trợ predefined detectors (Google cung cấp sẵn): số CMND Việt Nam, số thẻ Visa/Master, số tài khoản ngân hàng, email, số điện thoại, IP address. Ngoài ra, admin có thể tạo custom regex riêng cho mã hợp đồng nội bộ, mã sản phẩm, mã khách hàng.

{
  "rule_name": "Block_CCCD_External_Share",
  "trigger": "drive.share",
  "detector": "regex:\\b\\d{12}\\b",
  "action": "BLOCK",
  "notify_admin": true
}

Business Plus không có DLP. Doanh nghiệp ngân hàng, bảo hiểm, healthcare bắt buộc cần DLP để tuân thủ Luật An ninh mạng + Luật Bảo vệ dữ liệu cá nhân Việt Nam (NĐ 13/2023) - phải lên Enterprise.

5. Trigger 3: yêu cầu S/MIME email encryption

S/MIME là chuẩn mã hoá email end-to-end dùng certificate cá nhân. Khác với TLS (chỉ mã hoá đường truyền), S/MIME mã hoá nội dung - kể cả Google cũng không đọc được.

Bắt buộc S/MIME trong các ngành:

• Tài chính, đầu tư, M&A - email chứa due diligence, valuation, term sheet.
• Pháp lý - email luật sư-thân chủ (attorney-client privilege).
• Healthcare - email chứa HSBA, kết quả xét nghiệm (HIPAA, GDPR).
• Chính phủ, quốc phòng - email mật.

S/MIME chỉ có ở Enterprise Standard trở lên. Setup: deploy certificate qua Cloud Identity, user tự ký + mã hoá trong Gmail web/native. TND hỗ trợ cấu hình S/MIME end-to-end + cung cấp DigiCert/Sectigo certificate.

6. Trigger 4: Context-Aware Access - zero trust

6.1. Vấn đề BYOD

Doanh nghiệp 100+ user thường có nhân viên truy cập Workspace từ laptop cá nhân, điện thoại cá nhân, café WiFi công cộng. Rủi ro: laptop user bị malware, đăng nhập từ IP nước ngoài lạ, hoặc device không có MDM.

6.2. Context-Aware giải quyết thế nào?

Context-Aware Access cho phép admin cấu hình rule dạng: "Cho phép truy cập Gmail chỉ khi (device managed) AND (IP ở Việt Nam) AND (browser version ≥ Chrome 130)". Vi phạm 1 điều kiện → block hoặc challenge MFA.

• Rule theo geo: cho phép VN + Singapore, block các country khác.
• Rule theo device: chỉ device trong endpoint management.
• Rule theo network: chỉ IP trong VPN công ty.
• Rule theo time: làm việc 7h-22h, ngoài giờ challenge OTP.

Doanh nghiệp 100+ user có team remote/hybrid bắt buộc cần Context-Aware để giảm rủi ro account takeover. Tham khảo: Best practice quản trị bảo mật.

7. Trigger 5: Cloud Identity Premium

Cloud Identity là IdP (Identity Provider) cho phép SSO sang ứng dụng SaaS bên ngoài như Salesforce, HubSpot, Slack, Atlassian, Notion, Figma. Cloud Identity Premium bao gồm:

• SSO SAML 2.0 với 200+ ứng dụng pre-integrated.
• Provisioning tự động (SCIM) - onboarding/offboarding user trong các SaaS đồng bộ với GW.
• Advanced MDM cho Android/iOS - wipe device, app management, work profile.
• Security Center Dashboard - alert + analytics tập trung.

Doanh nghiệp 100+ user dùng 5-10+ SaaS thường tốn 200-500M/năm cho IdP riêng như Okta. Cloud Identity Premium đi kèm Enterprise tiết kiệm chi phí lớn - đây là một trong những lý do TCO Enterprise thực sự thấp hơn nhiều khách hàng tưởng.

8. Trigger 6: Vault enterprise - retention dài hạn + eDiscovery

8.1. Khác biệt giữa Vault Business Plus vs Enterprise

• Business Plus Vault: Retention email/chat/Drive, hold, basic search. Đủ cho compliance phổ thông.
• Enterprise Standard Vault: Retention granular theo OU, custom rules theo metadata, audit log 5+ năm.
• Enterprise Plus Vault: Tất cả Std + retention "indefinite", advanced eDiscovery export, integration với legal hold workflow.

8.2. Khi nào cần Vault enterprise?

• Công ty niêm yết (HOSE/HNX) - Sarbanes-Oxley + Luật Chứng khoán yêu cầu lưu trữ email C-level 7 năm.
• Tổ chức tín dụng - Luật Tổ chức tín dụng yêu cầu lưu chứng từ 10 năm.
• Doanh nghiệp bị kiện tụng thường xuyên - cần hold quick + export legal evidence.

"Sau khi bị một vụ tranh chấp hợp đồng năm 2024, công ty chúng tôi quyết định lên Enterprise Plus chỉ vì Vault. Khi luật sư yêu cầu trích xuất 18 tháng email của 3 nhân sự cũ, Vault làm trong 2 giờ - trước đây phải khôi phục backup mất 2 tuần."

9. Trigger 7: Connected Sheets cho BigQuery (chỉ Enterprise Plus)

Connected Sheets cho phép kết nối trực tiếp Google Sheets với BigQuery datasets - query dataset hàng tỷ row mà không cần download/export CSV. Phù hợp:

• Team data analyst cần adhoc query trên data lake.
• Phòng marketing tạo dashboard từ event tracking (BigQuery export từ GA4/Firebase).
• Phòng tài chính phân tích log giao dịch (DWH).

Đây là feature độc quyền Enterprise Plus. Doanh nghiệp data-driven, có data warehouse trên BigQuery, đầu tư Enterprise Plus thường ROI rất nhanh nhờ giảm dependency vào BI tool bên ngoài (Tableau, Looker license).

10. So sánh chi phí Enterprise vs Business Plus + add-on

Nhiều doanh nghiệp thắc mắc: "Tại sao không dùng Business Plus + mua thêm tool riêng cho DLP/SSO/MDM?" Phép tính TCO thường nghiêng về Enterprise.

Ngoài chi phí, Enterprise đi kèm single pane of glass - admin chỉ quản lý 1 console thay vì 4-5 dashboard rời rạc, giảm rủi ro lỗi cấu hình.

11. Quy trình mua Enterprise tại TND

1. Pre-sale call: TND khảo sát quy mô, ngành, requirement compliance.
2. Quote từ Google APAC: 3-5 ngày làm việc - Enterprise không có giá list công khai, phải quote per-customer.
3. Báo giá có dấu: TND xuất báo giá kèm MST 0200994870 cho phòng tài chính.
4. Đặt license + thanh toán: Chuyển khoản, TND xuất hoá đơn VAT điện tử TT 78 đầy đủ ngay sau khi nhận tiền.
5. Provisioning tenant: TND cấu hình OU, DLP rules, Context-Aware policies, Vault retention.
6. Đào tạo admin: 2-3 buổi cho IT team về quản trị Enterprise.

12. Câu hỏi thường gặp

12.1. Có thể downgrade từ Enterprise về Business?

Có, nhưng phải đảm bảo các điều kiện: user count < 300, không dùng DLP/S/MIME/Context-Aware, Vault retention < 10 năm. TND hỗ trợ kiểm tra trước khi downgrade.

12.2. Migration từ Business sang Enterprise có downtime?

Không. Đổi SKU live trong 5-10 phút, dữ liệu giữ nguyên 100%. Cấu hình DLP/S/MIME deploy sau migration.

12.3. TND có hỗ trợ kỹ thuật sau khi mua?

Có. Khách Enterprise được hỗ trợ kỹ thuật 8x5 tiếng Việt qua email/Zalo. Các issue P1 escalate trực tiếp lên Google APAC support.

12.4. Hoá đơn VAT cho Enterprise có gì khác?

Hoá đơn VAT điện tử TT 78 đầy đủ cho mọi tier (Business + Enterprise). Khoản chi license phần mềm hợp lệ để khấu trừ thuế.

12.5. Liên quan đến hạ tầng đi kèm

Doanh nghiệp Enterprise thường cần thêm các dịch vụ phụ trợ: business hosting cho website, cloudphone cho tổng đài VoIP, và license bảo mật. TND cung cấp combo trên cùng một hoá đơn VAT.