Setup Microsoft 365 lần đầu thường vướng verify domain DNS và phân quyền user sai. Tutorial này dẫn bạn qua 7 bước hoàn chỉnh, từ tenant đầu tiên đến migration mail cũ, chuẩn cho team 10-500 người.

Yêu cầu trước khi bắt đầu

• License Microsoft 365 đã active (Business Basic/Standard/Premium hoặc F1), xem bảng giá Microsoft 365
• Quyền quản lý DNS của domain công ty (Cloudflare, P.A Vietnam, GoDaddy...)
• Tài khoản Global Admin Microsoft 365 (TND bàn giao khi kích hoạt)
• Browser Chrome hoặc Edge bản mới, Internet Explorer KHÔNG hỗ trợ
• Danh sách user: họ tên, email mong muốn, số điện thoại (cho MFA)

Bước 1: Đăng nhập Microsoft 365 Admin Center

Truy cập https://admin.microsoft.com. Đăng nhập bằng tài khoản Global Admin (định dạng [email protected]) TND đã gửi.

Lần đầu hệ thống yêu cầu đổi mật khẩu và bật MFA cho admin. KHÔNG bỏ qua MFA, tài khoản admin bị compromise sẽ mất toàn bộ dữ liệu công ty.

Bước 2: Thêm và verify domain công ty

Vào Settings → Domains → Add domain. Nhập domain (vd congty.vn). Microsoft sẽ tạo bản ghi TXT verify.

Đăng nhập DNS provider (Cloudflare/P.A) và thêm:

• TXT record để verify ownership, giá trị Microsoft cung cấp dạng MS=msXXXXXXXX
• MX record: tenant-vn.mail.protection.outlook.com priority 0
• CNAME autodiscover: autodiscover.outlook.com
• SPF (TXT): v=spf1 include:spf.protection.outlook.com -all
• TXT DKIM và DMARC (TND sẽ generate sau khi domain verified)

DNS propagation thường 5-30 phút. Sau khi verify thành công, domain hiện trạng thái "Healthy".

Bước 3: Tạo user và gán license

Vào Users → Active users → Add a user. Nhập họ tên, tạo email [email protected], để hệ thống tự sinh password lần đầu.

Tại bước "Product licenses", chọn đúng gói (Business Basic/Standard/Premium). Mỗi user phải có ít nhất 1 license để gửi/nhận mail.

Bulk import: tạo file CSV theo template Microsoft cung cấp, upload tối đa 250 user một lần. TND hỗ trợ import qua PowerShell nếu trên 250 user.

Bước 4: Bật bảo mật MFA cho toàn bộ user

Vào Azure Active Directory → Security → Conditional Access. Tạo policy "Require MFA for all users".

Nếu dùng Business Basic/Standard (không có Azure AD P1), bật Security Defaults: Properties → Manage security defaults → Yes. User sẽ được yêu cầu cài Microsoft Authenticator lần đăng nhập kế tiếp.

Bước 5: Cài Office Desktop Apps cho user (Standard/Premium)

User đăng nhập https://portal.office.com → click Install Office. File OfficeSetup.exe tải về, chạy với quyền admin máy local.

Cài đặt mất 10-20 phút. Sau khi xong, mở Word/Excel, sign-in lại bằng email [email protected] để activate license.

Quota: mỗi user cài Office tối đa trên 5 PC + 5 máy tính bảng + 5 điện thoại.

Bước 6: Migrate email cũ sang Exchange Online

Nếu đang dùng Gmail/G Suite, vào Setup → Migration → chọn "Google Workspace (Gmail)". Microsoft Exchange Migration Wizard sẽ guide đăng nhập super admin Google và sync toàn bộ inbox/sent.

Migration thường mất 1-3 ngày tuỳ dung lượng. Trong lúc migrate, MX record GIỮ NGUYÊN trỏ về Gmail. Sau khi migration done 100%, đổi MX về Microsoft.

Chi tiết: xem hướng dẫn di cư từ Google Workspace sang Microsoft 365.

Bước 7: Setup Microsoft Teams cho công ty

Vào Teams Admin Center → Teams → Manage teams → Add. Tạo team theo phòng ban (Marketing, Kỹ thuật, Sales...). Mỗi team có channel General + tùy chỉnh thêm.

Bật External Access nếu cần meeting với khách hàng/đối tác bên ngoài. Hạn chế: chỉ cho phép domain trusted thay vì "Anyone".

Kiểm tra setup thành công

• Domain status "Healthy" trong Admin Center
• Test gửi mail từ [email protected] đến Gmail cá nhân, nhận được không vào spam
• SPF/DKIM/DMARC pass tại mxtoolbox.com
• User mới đăng nhập portal.office.com, thấy Word/Excel/Outlook online
• MFA prompt xuất hiện khi đăng nhập từ thiết bị mới
• Teams desktop app cài và join được meeting test

Sự cố thường gặp và cách xử lý

1. Domain verify failed

Kiểm tra TXT record bằng nslookup -type=TXT congty.vn 8.8.8.8. Nếu chưa thấy, đợi thêm DNS TTL. Cloudflare có thể proxy DNS, phải tắt proxy (mây cam → mây xám) cho record verify.

2. Mail vào spam Gmail nhận

SPF chưa setup đúng. Bản ghi SPF chỉ được có 1 dòng, không tạo 2 dòng TXT v=spf1 riêng biệt. Bổ sung DKIM + DMARC theo hướng dẫn của TND.

3. User báo không activate được Office Desktop

Thường do license chưa gán hoặc gán gói Business Basic (Basic chỉ có Web Apps). Vào Users → license kiểm tra. Cần Business Standard/Premium hoặc Apps for Business mới có Desktop.

4. Outlook Desktop hỏi password liên tục

Vô hiệu hóa Modern Authentication legacy. Vào Registry: HKCU\Software\Microsoft\Office\16.0\Common\Identity set EnableADAL=1. Khởi động lại Outlook.

5. MFA Authenticator không nhận push

User cài lại Microsoft Authenticator (không phải Google Authenticator). Trên Authenticator: Add account → Work or school → Sign in. Sync lại thời gian thiết bị nếu vẫn không nhận push.

Bước tiếp theo

Setup xong, đọc tiếp so sánh các gói Microsoft 365 để cân nhắc upgrade gói cao hơn khi team grow. Hoặc đọc checklist di cư từ Google Workspace nếu còn user trên Gmail cũ.

Cross-cluster: nếu cân nhắc giải pháp rẻ hơn cho phòng ban nhẹ, xem Zoho Mail và Workplace.