Khắc phục sự cố 20 phút đọc

Hướng dẫn triển khai Microsoft 365 Copilot cho IT Helpdesk: Từ cấp phép đến bảo mật (2026)

Hướng dẫn thực hành cho IT Helpdesk về triển khai Microsoft 365 Copilot 2026: yêu cầu cấp phép, quản trị dữ liệu với Purview, scripts PowerShell sẵn dùng, cách khắc phục 6 sự cố phổ biến nhất, và các biện pháp bảo mật quan trọng.

Editorial Team

Giới thiệu: Microsoft 365 Copilot và vai trò của đội ngũ IT Helpdesk năm 2026

Năm 2026 rồi, và Microsoft 365 Copilot đã không còn là "của lạ" nữa. Từ những pilot đầu tiên cuối năm 2023 đến giờ, Copilot đã trưởng thành từ một tính năng thử nghiệm thành một trợ lý AI tích hợp sâu vào hệ sinh thái Microsoft 365 — bao gồm Word, Excel, PowerPoint, Outlook và Teams. Soạn thảo văn bản, tóm tắt email, phân tích dữ liệu bảng tính, tạo bài thuyết trình, hỗ trợ cuộc họp trực tuyến... Copilot đang thay đổi cách hàng triệu người dùng doanh nghiệp làm việc mỗi ngày.

Nhưng — và đây là phần quan trọng — sự tiện lợi đó đi kèm với cả đống thách thức mới cho đội ngũ IT Helpdesk. Người dùng cuối sẽ gặp đủ thứ: từ việc không thấy nút Copilot trong ứng dụng, lỗi xác thực giấy phép, cho đến những lo ngại về bảo mật dữ liệu. Đội ngũ helpdesk lúc này trở thành tuyến đầu tiên tiếp nhận và xử lý những vấn đề này, đồng thời đóng vai trò cầu nối giữa quản trị viên hệ thống và người dùng cuối.

Về mặt chi phí, Microsoft 365 Copilot được cung cấp dưới dạng add-on với giá 30 USD/người dùng/tháng cho gói Enterprise, hoặc 21 USD/người dùng/tháng cho gói Copilot Business (dành cho tổ chức dưới 300 người dùng). Đáng chú ý là Microsoft đang có chương trình khuyến mại với mức giá ưu đãi 18 USD/người dùng/tháng cho gói Copilot Business — chương trình này có hiệu lực đến ngày 31 tháng 3 năm 2026, và chỉ áp dụng cho năm đầu tiên của hợp đồng cam kết hàng năm thôi nhé.

Vậy thì, bài viết này sẽ là hướng dẫn toàn diện cho đội ngũ IT Helpdesk — từ yêu cầu cấp phép, chuẩn bị quản trị dữ liệu, triển khai từng bước, quản lý bằng PowerShell, khắc phục sự cố phổ biến, đến các lưu ý bảo mật quan trọng. Tất cả được trình bày theo hướng thực hành, với các ví dụ lệnh cụ thể mà bạn có thể copy-paste áp dụng ngay trong công việc hàng ngày.

Yêu cầu cấp phép và điều kiện tiên quyết

Giấy phép cơ sở bắt buộc

Điều đầu tiên cần nắm: Microsoft 365 Copilot không phải là sản phẩm độc lập. Nó yêu cầu một giấy phép Microsoft 365 cơ sở đủ điều kiện (qualifying base plan). Các gói đủ điều kiện bao gồm:

  • Microsoft 365 E3 hoặc E5 (dành cho doanh nghiệp lớn)
  • Microsoft 365 Business Standard hoặc Business Premium (dành cho doanh nghiệp vừa và nhỏ)
  • Office 365 E3 hoặc E5 (các gói Office 365 truyền thống)

Sau khi có giấy phép cơ sở, quản trị viên cần mua thêm giấy phép add-on Microsoft 365 Copilot và gán cho từng người dùng. Nếu tổ chức của bạn có kế hoạch xây dựng Copilot agents (các tác tử AI tùy chỉnh), bạn cũng cần có subscription Azure để hỗ trợ các dịch vụ backend liên quan.

Yêu cầu phiên bản ứng dụng

Theo kinh nghiệm của mình, đây là điểm thường bị bỏ qua và gây ra rất nhiều ticket hỗ trợ. Microsoft 365 Copilot yêu cầu tối thiểu Microsoft 365 Apps phiên bản 2511. Phiên bản này được phát hành qua các kênh cập nhật như sau:

Kênh cập nhật (Update Channel) Thời điểm phát hành phiên bản 2511
Current Channel Đầu tháng 12/2025
Monthly Enterprise Channel Tháng 1/2026
Semi-Annual Enterprise Channel Không hỗ trợ Copilot

Lưu ý quan trọng: Semi-Annual Enterprise Channel (SAEC) không được hỗ trợ cho Microsoft 365 Copilot. Nếu tổ chức bạn đang dùng kênh này — và nói thật nhé, khá nhiều doanh nghiệp Việt Nam vẫn đang dùng SAEC — thì cần chuyển sang Current Channel hoặc Monthly Enterprise Channel trước khi triển khai Copilot. Current Channel được Microsoft khuyến nghị vì mang lại trải nghiệm tốt nhất cho sản phẩm đang phát triển nhanh như Copilot.

Tự động cài đặt trên thiết bị Windows

Một thay đổi đáng chú ý: từ đầu năm 2026, ứng dụng Microsoft 365 Copilot được tự động cài đặt trên các thiết bị Windows đã có Microsoft 365 Apps. Quản trị viên có thể kiểm soát việc phân phối bằng Microsoft Intune, Microsoft Configuration Manager, Group Policy, hoặc các giải pháp triển khai bên thứ ba.

Chuẩn bị triển khai: Quản trị dữ liệu và bảo mật

Nói thật nhé — đây là phần quan trọng nhất trong toàn bộ quy trình triển khai Microsoft 365 Copilot, và cũng là phần mà rất nhiều tổ chức bỏ qua hoặc đánh giá thấp. Nếu tổ chức của bạn bật Copilot mà chưa chuẩn bị về quản trị dữ liệu, bạn có thể vô tình biến AI thành công cụ phơi bày dữ liệu nhạy cảm ở quy mô chưa từng có.

Nghe có vẻ đáng sợ? Đúng là như vậy thật.

Rủi ro chia sẻ quá mức (Oversharing Risk)

Nguyên tắc cốt lõi cần thuộc lòng: Copilot có quyền truy cập dữ liệu giống hệt như người dùng sở hữu giấy phép. Nếu một nhân viên có quyền truy cập vào thư mục SharePoint chứa dữ liệu lương của toàn công ty (dù vô tình), Copilot cũng có thể truy cập và trình bày dữ liệu đó khi được hỏi. Không hỏi thì thôi, hỏi là ra hết.

Các số liệu từ nghiên cứu gần đây khá đáng lo:

  • Hơn 15% tệp kinh doanh quan trọng (business-critical files) có nguy cơ bị chia sẻ quá mức do quyền truy cập không phù hợp. Trung bình mỗi tổ chức có khoảng 802.000 tệp nằm trong vùng rủi ro này.
  • 67% đội ngũ bảo mật doanh nghiệp bày tỏ lo ngại về việc các công cụ AI phơi bày dữ liệu nhạy cảm.
  • Hơn 3% dữ liệu nhạy cảm của doanh nghiệp đã được chia sẻ trên phạm vi toàn tổ chức mà không có sự kiểm soát phù hợp.

Vấn đề không phải là Copilot "hack" hệ thống — mà là Copilot tuân thủ đúng quyền hiện tại. Khi quyền truy cập đã bị cấu hình sai từ trước, Copilot chỉ đơn giản làm cho vấn đề vốn đã tồn tại trở nên rõ ràng hơn, và ở tốc độ máy (machine speed) thì hậu quả đến nhanh hơn nhiều.

Microsoft Purview — Nhãn nhạy cảm (Sensitivity Labels)

Microsoft Purview cung cấp hệ thống nhãn nhạy cảm (sensitivity labels) để phân loại và bảo vệ dữ liệu. Trước khi triển khai Copilot, bạn nên thiết lập ít nhất ba tầng nhãn cơ bản:

Tầng nhãn Mô tả Ví dụ áp dụng
Public Dữ liệu công khai, không nhạy cảm Tài liệu marketing, thông tin sản phẩm công khai
Internal Dữ liệu nội bộ, không dành cho bên ngoài Chính sách nội bộ, tài liệu đào tạo
Confidential Dữ liệu bí mật, chỉ dành cho nhóm người cụ thể Dữ liệu tài chính, thông tin nhân sự, kế hoạch kinh doanh

Nhãn nhạy cảm không chỉ đơn thuần là "gắn nhãn" — chúng có thể mã hóa tệp, thêm watermark, hạn chế chuyển tiếp email, và quan trọng nhất là kiểm soát cách Copilot tương tác với dữ liệu được gắn nhãn. Đây là lớp bảo vệ mà bạn thực sự không nên bỏ qua.

SharePoint Advanced Management (SAM)

SharePoint Advanced Management (SAM) là bộ công cụ quản trị nâng cao giúp bạn chuẩn bị dữ liệu cho Copilot. Tin vui là SAM được bao gồm miễn phí trong giấy phép Microsoft 365 Copilot, và nó cung cấp một số tính năng then chốt:

  • Data Access Governance Reports: Báo cáo chi tiết về quyền truy cập dữ liệu trên toàn bộ SharePoint và OneDrive, giúp xác định các site có nội dung bị chia sẻ quá mức.
  • Site Access Reviews: Cho phép quản trị viên SharePoint gửi yêu cầu đến chủ sở hữu site (site owners) để rà soát và dọn dẹp quyền truy cập. Chủ sở hữu site nhận thông báo cho mỗi site cần chú ý và có thể xác nhận hoặc thu hồi quyền truy cập.
  • Restricted Access Control (RAC) Policy: Hạn chế quyền truy cập vào một site SharePoint cụ thể chỉ cho nhóm người dùng được chỉ định. Nội dung từ site bị hạn chế sẽ chỉ xuất hiện trong Copilot cho những người dùng thuộc nhóm được phép. Từ năm 2026, việc quản lý RAC policy có thể được ủy quyền cho chủ sở hữu site — điều này giúp mở rộng khả năng quản trị đáng kể.
  • Restricted Content Discovery (RCD) Policy: Ngăn chặn khả năng tìm kiếm và phát hiện nội dung từ các site SharePoint cụ thể. Các site được bảo vệ bằng RCD sẽ không xuất hiện trong kết quả tìm kiếm của Microsoft 365 Copilot Business Chat, trừ khi người dùng đã có tương tác gần đây với site đó.

Chính sách DLP cho SharePoint và OneDrive

Data Loss Prevention (DLP) policies nên được thiết lập hoặc rà soát lại trước khi bật Copilot. Đây không phải việc "làm cho xong" mà thực sự cần được đầu tư thời gian. Các chính sách DLP giúp ngăn chặn việc chia sẻ dữ liệu nhạy cảm (số thẻ tín dụng, số CMND/CCCD, dữ liệu y tế) ra bên ngoài tổ chức. Khi kết hợp với Copilot, DLP đảm bảo rằng ngay cả khi Copilot tổng hợp thông tin từ nhiều nguồn, dữ liệu nhạy cảm vẫn được bảo vệ theo chính sách đã thiết lập.

Microsoft Graph Data Connect

Đối với các tổ chức lớn, Microsoft Graph Data Connect cung cấp khả năng phân tích quy mô lớn để xác định các mẫu chia sẻ quá mức (oversharing patterns) trên toàn bộ tenant. Công cụ này đặc biệt hữu ích khi bạn cần tạo "bản đồ tổng thể" về quyền truy cập dữ liệu trước khi triển khai Copilot rộng rãi.

Triển khai từng bước qua Microsoft 365 Admin Center

Được rồi, giờ chúng ta vào phần thực hành. Dưới đây là quy trình triển khai từng bước.

Bước 1: Truy cập phần Copilot trong Admin Center

Đăng nhập vào Microsoft 365 Admin Center (admin.microsoft.com) với quyền Global Administrator hoặc Billing Administrator. Điều hướng đến mục Copilot trong thanh điều hướng bên trái. Tại đây, bạn sẽ thấy tổng quan về trạng thái triển khai Copilot trong tổ chức.

Bước 2: Sử dụng trang Copilot Readiness

Từ tháng 1/2026, Microsoft giới thiệu trang Copilot Readiness mới trong Admin Center (Copilot > Settings > Readiness). Trang này khá hữu ích vì cung cấp đánh giá mức độ sẵn sàng của tổ chức theo ba danh mục chính:

  1. Deployment Essentials (Yếu tố triển khai cơ bản): Kiểm tra giấy phép, kênh cập nhật, và cấu hình tenant cần thiết.
  2. End-User Experience (Trải nghiệm người dùng cuối): Các thiết lập ảnh hưởng đến cách người dùng tương tác với Copilot trong từng ứng dụng.
  3. Data Security (Bảo mật dữ liệu): Đánh giá tình trạng nhãn nhạy cảm, chính sách DLP, và cấu hình quản trị dữ liệu.

Mỗi gói Readiness bao gồm đánh giá cá nhân hóa, thông tin ngữ cảnh và hướng dẫn từng bước. Điểm tốt là không có thay đổi nào được áp dụng tự động — quản trị viên xem xét và áp dụng cấu hình khi sẵn sàng.

Bước 3: Bật/tắt Copilot cho người dùng

Bạn có thể bật Copilot cho tất cả người dùng có giấy phép hoặc chỉ cho các nhóm bảo mật (security groups) cụ thể. Microsoft khuyến nghị tiếp cận triển khai theo giai đoạn — bắt đầu với nhóm pilot nhỏ trước khi mở rộng. Và theo kinh nghiệm thực tế, mình cũng đồng ý hoàn toàn với cách tiếp cận này.

Bước 4: Áp dụng chiến lược hai nhánh (Two-Track Adoption)

Microsoft khuyến nghị chiến lược triển khai hai nhánh song song, và đây thực sự là cách tiếp cận hợp lý:

  • Nhánh 1 — Quy trình người dùng cuối (End-User Workflows): Tập trung vào các tính năng hàng ngày như soạn thảo văn bản (drafting), tóm tắt nội dung (summarizing), phân tích dữ liệu, tạo bài thuyết trình. Đây là nhánh mang lại giá trị sử dụng trực tiếp.
  • Nhánh 2 — Mặt phẳng kiểm soát (Control-Plane Readiness): Tập trung vào đo lường hiệu quả (measurement), quản trị dữ liệu (governance) và thiết lập chính sách (policy). Đây là nhánh đảm bảo an toàn và tuân thủ.

Hai nhánh này cần triển khai đồng thời. Đừng bật Copilot cho người dùng mà chưa chuẩn bị control plane, và ngược lại, cũng đừng chờ control plane hoàn hảo đến mức bỏ lỡ cơ hội tạo giá trị. Cân bằng là chìa khóa ở đây.

Bước 5: Tạo nhóm loại trừ quản trị viên

Đây là bước mà rất nhiều người bỏ qua nhưng lại cực kỳ quan trọng: tạo nhóm bảo mật CopilotForM365AdminExclude để loại trừ các tài khoản quản trị viên cấp cao khỏi Copilot. Lý do? Vì bạn không muốn Copilot truy cập dữ liệu thông qua các tài khoản có quyền truy cập rộng nhất trong tổ chức. Nghĩ xem — tài khoản Global Admin có thể "thấy" gần như mọi thứ.

# Tạo nhóm bảo mật loại trừ trong Microsoft Entra ID
# Sử dụng Microsoft Graph PowerShell

Connect-MgGraph -Scopes "Group.ReadWrite.All"

New-MgGroup -DisplayName "CopilotForM365AdminExclude" `
    -Description "Nhom loai tru quan tri vien khoi Microsoft 365 Copilot" `
    -MailEnabled:$false `
    -MailNickname "CopilotAdminExclude" `
    -SecurityEnabled:$true

# Thêm tài khoản admin vào nhóm loại trừ
$groupId = (Get-MgGroup -Filter "displayName eq 'CopilotForM365AdminExclude'").Id
$adminUserId = (Get-MgUser -UserId "[email protected]").Id

New-MgGroupMember -GroupId $groupId -DirectoryObjectId $adminUserId

Quản lý Copilot bằng PowerShell

Phần này dành cho những ai thích làm việc với dòng lệnh (và nói thật, đối với quản lý giấy phép hàng loạt thì PowerShell hiệu quả hơn GUI rất nhiều).

Nhận diện sản phẩm Copilot

Để quản lý giấy phép Microsoft 365 Copilot bằng PowerShell, bạn cần biết mã nhận diện sản phẩm (Product/SKU Identifier):

Thuộc tính Giá trị
Tên sản phẩm Microsoft 365 Copilot
SKU ID 639dec6b-bb19-468b-871c-c5c441c4b0cb

Giấy phép Copilot bao gồm nhiều service plans thành phần (lưu lại bảng này, sẽ cần khi troubleshoot):

Service Plan Service Plan ID
Copilot Studio in Copilot for M365 fe6c28b3-d468-44ea-bbd0-a10a5167435c
M365 Copilot SharePoint 0aedf20c-091d-420b-aadf-30c042609612
Graph Connectors for Copilot 82d30987-df9b-4486-b146-198b21d164c7
M365 Copilot Connectors 89f1c4c8-0878-40f7-804d-869c9128ab5d
M365 Copilot Apps a62f8878-de10-42f3-b68f-6149a25ceb97
M365 Copilot Teams b95945de-b3bd-46db-8437-f2beb6ea2347
M365 Copilot Business Chat 3f30311c-6b1e-48a4-ab79-725b469da960
M365 Copilot Intelligent Search 931e4a88-a67f-48b5-814f-16a5f1e6028d

Kết nối Microsoft Graph PowerShell

# Cài đặt module Microsoft Graph PowerShell (nếu chưa có)
Install-Module Microsoft.Graph -Scope CurrentUser

# Kết nối với quyền quản lý giấy phép
Connect-MgGraph -Scopes "User.ReadWrite.All", "Organization.Read.All"

# Xác nhận kết nối thành công
Get-MgContext

Gán giấy phép Copilot cho một người dùng

# Gán giấy phép Microsoft 365 Copilot cho người dùng cụ thể
$copilotSkuId = "639dec6b-bb19-468b-871c-c5c441c4b0cb"
$userUPN = "[email protected]"

Set-MgUserLicense -UserId $userUPN `
    -AddLicenses @{SkuId = $copilotSkuId} `
    -RemoveLicenses @()

Gán giấy phép Copilot hàng loạt (Bulk Assignment)

Khi cần gán cho cả nhóm (và thường thì bạn sẽ cần), script sau sẽ tiết kiệm rất nhiều thời gian:

# Gán giấy phép Copilot cho tất cả thành viên của một nhóm bảo mật
$copilotSkuId = "639dec6b-bb19-468b-871c-c5c441c4b0cb"
$groupName = "Copilot-Pilot-Users"

# Lấy ID của nhóm
$groupId = (Get-MgGroup -Filter "displayName eq '$groupName'").Id

# Lấy danh sách thành viên
$members = Get-MgGroupMember -GroupId $groupId -All

# Gán giấy phép cho từng thành viên
$successCount = 0
$errorCount = 0

foreach ($member in $members) {
    try {
        Set-MgUserLicense -UserId $member.Id `
            -AddLicenses @{SkuId = $copilotSkuId} `
            -RemoveLicenses @()
        $successCount++
        Write-Host "Da gan thanh cong cho: $($member.Id)" -ForegroundColor Green
    }
    catch {
        $errorCount++
        Write-Host "Loi khi gan cho: $($member.Id) - $($_.Exception.Message)" -ForegroundColor Red
    }
}

Write-Host "`nTong ket: $successCount thanh cong, $errorCount loi" -ForegroundColor Cyan

Kiểm tra trạng thái giấy phép Copilot

Đây là script mà helpdesk sẽ dùng thường xuyên nhất — kiểm tra nhanh xem người dùng đã có giấy phép chưa:

# Kiểm tra giấy phép Copilot của một người dùng cụ thể
$userUPN = "[email protected]"
$copilotSkuId = "639dec6b-bb19-468b-871c-c5c441c4b0cb"

$userLicenses = Get-MgUserLicenseDetail -UserId $userUPN

$copilotLicense = $userLicenses | Where-Object { $_.SkuId -eq $copilotSkuId }

if ($copilotLicense) {
    Write-Host "Nguoi dung $userUPN DA CO giay phep Copilot" -ForegroundColor Green
    Write-Host "Cac service plans:"
    $copilotLicense.ServicePlans | Format-Table ServicePlanName, ProvisioningStatus
}
else {
    Write-Host "Nguoi dung $userUPN CHUA CO giay phep Copilot" -ForegroundColor Yellow
}

Báo cáo tất cả người dùng có giấy phép Copilot

# Xuất danh sách tất cả người dùng có giấy phép Copilot
$copilotSkuId = "639dec6b-bb19-468b-871c-c5c441c4b0cb"
$allUsers = Get-MgUser -All -Property "Id,DisplayName,UserPrincipalName,AssignedLicenses"

$copilotUsers = $allUsers | Where-Object {
    $_.AssignedLicenses.SkuId -contains $copilotSkuId
}

Write-Host "Tong so nguoi dung co Copilot: $($copilotUsers.Count)"
$copilotUsers | Select-Object DisplayName, UserPrincipalName |
    Export-Csv -Path "CopilotUsers_Report.csv" -NoTypeInformation -Encoding UTF8

Write-Host "Bao cao da xuat ra file CopilotUsers_Report.csv"

Vô hiệu hóa một service plan cụ thể của Copilot

Đôi khi bạn muốn cho người dùng dùng Copilot trong Word, Excel nhưng lại không muốn bật trong Teams chẳng hạn. Script sau giúp bạn làm điều đó:

# Ví dụ: Vô hiệu hóa Copilot trong Teams nhưng giữ các service plans khác
$userUPN = "[email protected]"
$copilotSkuId = "639dec6b-bb19-468b-871c-c5c441c4b0cb"
$teamsServicePlanId = "b95945de-b3bd-46db-8437-f2beb6ea2347"

# Tạo đối tượng giấy phép với service plan bị vô hiệu hóa
$licenseParams = @{
    AddLicenses = @(
        @{
            SkuId = $copilotSkuId
            DisabledPlans = @($teamsServicePlanId)
        }
    )
    RemoveLicenses = @()
}

Set-MgUserLicense -UserId $userUPN -BodyParameter $licenseParams

Các sự cố phổ biến và cách khắc phục

Phần này có lẽ là phần mà bạn sẽ quay lại đọc nhiều nhất. Dưới đây là những sự cố mà helpdesk gặp thường xuyên nhất khi triển khai Copilot.

Sự cố 1: Copilot không xuất hiện hoặc bị vô hiệu hóa trong ứng dụng Office

Đây là "top 1" ticket helpdesk nhận được. Nút Copilot không hiển thị trong Word, Excel, PowerPoint hoặc Outlook. Quy trình khắc phục theo thứ tự ưu tiên:

  1. Kiểm tra giấy phép: Xác nhận người dùng đã được gán giấy phép Copilot trong Admin Center hoặc bằng PowerShell (xem script ở phần trước). Lưu ý là giấy phép mới gán có thể mất đến 24 giờ để truyền tải đầy đủ — nên đây là câu đầu tiên bạn nói với user: "Anh/chị vui lòng chờ đến ngày mai thử lại nhé."
  2. Kiểm tra phiên bản ứng dụng: Mở bất kỳ ứng dụng Office nào, vào File > Account. Phiên bản phải từ 2511 trở lên, và kênh cập nhật phải là Current Channel hoặc Monthly Enterprise Channel.
  3. Kiểm tra thiết lập tenant: Hai thiết lập cần phải được bật:
    • Experiences that analyze your content — phải được bật
    • All connected experiences — phải được bật
    Kiểm tra tại Admin Center > Settings > Org settings > Services > Microsoft 365 on the web.
  4. Kiểm tra tài khoản đăng nhập: Đảm bảo người dùng đang đăng nhập vào ứng dụng Office bằng tài khoản có giấy phép Copilot (tài khoản công việc, không phải tài khoản cá nhân). Nghe đơn giản nhưng lỗi này xảy ra nhiều hơn bạn tưởng.
  5. Khởi động lại ứng dụng: Đôi khi đơn giản chỉ cần đóng hoàn toàn và mở lại ứng dụng Office sau khi gán giấy phép.

Sự cố 2: Lỗi kết nối và xác thực

Copilot yêu cầu kết nối internet ổn định và xác thực thành công với các dịch vụ Microsoft 365. Khi gặp lỗi xác thực, thử các bước sau:

  • Xác thực lại (Re-authenticate): Yêu cầu người dùng đăng xuất khỏi tất cả ứng dụng Office rồi đăng nhập lại. Trong một số trường hợp, xóa thông tin xác thực từ Windows Credential Manager cũng giải quyết được vấn đề.
  • Xóa bộ nhớ đệm Office: Xóa cache tại đường dẫn %LocalAppData%\Microsoft\Office\16.0\Wef\%LocalAppData%\Microsoft\TokenBroker\Cache\.
  • Kiểm tra mạng và VPN: Nếu tổ chức sử dụng VPN hoặc proxy, đảm bảo các endpoint của Microsoft 365 Copilot không bị chặn. Kiểm tra danh sách URL và IP cần thiết tại trang tài liệu chính thức của Microsoft.
  • Cookie bên thứ ba: Trong trình duyệt, đảm bảo cookie bên thứ ba (third-party cookies) không bị chặn, vì Copilot hiện vẫn cần chúng để xác thực giấy phép. Đây là chi tiết nhỏ nhưng gây khó chịu nếu bỏ qua.

Sự cố 3: Hiệu suất kém với bộ dữ liệu lớn

Khi làm việc với file Excel lớn hoặc tài liệu Word dài, Copilot có thể phản hồi chậm hoặc hết thời gian chờ (timeout). Một số giải pháp thực tế:

  • Đóng các ứng dụng không cần thiết để giải phóng tài nguyên hệ thống (RAM, CPU).
  • Giám sát tài nguyên hệ thống bằng Task Manager — Copilot hoạt động tốt nhất khi hệ thống có ít nhất 8 GB RAM khả dụng.
  • Chia nhỏ tệp dữ liệu lớn thành nhiều phần nhỏ hơn trước khi sử dụng Copilot. Nghe thủ công, nhưng hiệu quả.
  • Đảm bảo kết nối internet có băng thông đủ — phần lớn xử lý AI diễn ra trên cloud, nên mạng chậm thì Copilot cũng chậm theo.

Sự cố 4: Copilot agents không hiển thị trong Teams

Đây là một lỗi đã được Microsoft chính thức ghi nhận: các Copilot agents đôi khi "biến mất" khi người dùng điều hướng giữa các cuộc trò chuyện trong Teams. Giải pháp tạm thời (workaround) khá đơn giản:

  1. Chuyển sang một cuộc trò chuyện (chat) khác trong Teams.
  2. Quay trở lại cuộc trò chuyện ban đầu nơi bạn cần sử dụng agent.
  3. Agent thường sẽ xuất hiện lại sau bước "refresh" này.

Đây chỉ là vấn đề hiển thị (rendering issue) và không ảnh hưởng đến chức năng của agent. Hơi phiền nhưng không nghiêm trọng.

Sự cố 5: Xung đột xác thực giấy phép (tài khoản cá nhân vs công việc)

Khi người dùng đăng nhập Microsoft 365 bằng cả tài khoản cá nhân và tài khoản công việc trên cùng thiết bị, Copilot có thể không xác thực được giấy phép. Đây là lỗi cực kỳ phổ biến, đặc biệt với người dùng có cả tài khoản Microsoft cá nhân (Outlook.com, Hotmail) và tài khoản tổ chức.

Giải pháp: Yêu cầu người dùng đăng xuất khỏi tài khoản cá nhân trong ứng dụng Office, sau đó khởi động lại ứng dụng và đăng nhập chỉ bằng tài khoản công việc có giấy phép Copilot. Đơn giản nhưng giải quyết được phần lớn trường hợp.

Sự cố 6: Lỗ hổng Reprompt (CVE-2026-24307)

Vào tháng 1/2026, các nhà nghiên cứu bảo mật từ Varonis đã công bố lỗ hổng "Reprompt" (CVE-2026-24307) — một kỹ thuật tấn công prompt injection cho phép kẻ tấn công đánh cắp dữ liệu cá nhân của người dùng Copilot chỉ bằng một lần nhấp chuột. Cuộc tấn công hoạt động bằng cách giấu prompt độc hại trong tham số URL của Copilot, vượt qua các biện pháp bảo vệ bằng cách yêu cầu Copilot lặp lại mỗi hành động hai lần.

Trạng thái: Microsoft đã khắc phục lỗ hổng này trong bản cập nhật Patch Tuesday ngày 13 tháng 1 năm 2026. Lỗ hổng chủ yếu ảnh hưởng đến Copilot Personal (phiên bản tiêu dùng) — môi trường Microsoft 365 Copilot doanh nghiệp được bảo vệ bổ sung bởi các kiểm soát cấp tenant như Purview auditing, DLP và quản trị admin.

Hành động cho helpdesk: Đảm bảo tất cả thiết bị trong tổ chức đã cài đặt bản cập nhật bảo mật tháng 1/2026. Kiểm tra nhanh bằng lệnh:

# Kiểm tra trạng thái cập nhật Windows
Get-HotFix | Sort-Object -Property InstalledOn -Descending | Select-Object -First 10

# Hoặc kiểm tra phiên bản Windows cụ thể
[System.Environment]::OSVersion.Version

Vô hiệu hóa Copilot khi cần thiết

Trong một số trường hợp, tổ chức cần vô hiệu hóa Copilot — ví dụ: trong giai đoạn rà soát bảo mật, cho các bộ phận xử lý dữ liệu đặc biệt nhạy cảm, hoặc đơn giản là khi chờ hoàn tất cấu hình quản trị dữ liệu. Dưới đây là các phương pháp từ cấp cao nhất (tenant) đến cấp thấp nhất (thiết bị).

Phương pháp 1: Qua Microsoft 365 Admin Center

Đây là cách đơn giản nhất. Truy cập Admin Center > Copilot > Settings, sau đó tắt Copilot cho toàn bộ tổ chức hoặc loại bỏ giấy phép khỏi người dùng/nhóm cụ thể. Lưu ý là thay đổi có thể mất đến 24 giờ để có hiệu lực trên tất cả thiết bị.

Phương pháp 2: Qua Registry (cho thiết bị cá nhân)

Phương pháp này hữu ích khi cần vô hiệu hóa nhanh trên từng thiết bị cụ thể mà không cần thay đổi cấu hình tenant:

Windows Registry Editor Version 5.00

; Vô hiệu hóa Copilot AI trong các ứng dụng Office
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\AI]
"DisableAI"=dword:00000001

Đường dẫn Registry chi tiết:

Thuộc tính Giá trị
Key HKCU\Software\Microsoft\Office\16.0\Common\AI
Value Name DisableAI
Value Type REG_DWORD
Value Data 1 (vô hiệu hóa) hoặc 0 (bật lại)

Để áp dụng nhanh bằng dòng lệnh:

:: Vô hiệu hóa Copilot AI trong ứng dụng Office
reg add "HKCU\Software\Microsoft\Office\16.0\Common\AI" /v DisableAI /t REG_DWORD /d 1 /f

:: Bật lại Copilot AI
reg add "HKCU\Software\Microsoft\Office\16.0\Common\AI" /v DisableAI /t REG_DWORD /d 0 /f

Phương pháp 3: Qua Group Policy (GPO)

Đối với môi trường Active Directory, Group Policy vẫn là phương pháp quản lý tập trung hiệu quả nhất:

  1. Tải và cài đặt Administrative Templates mới nhất cho Microsoft 365 Apps (ADMX/ADML).
  2. Mở Group Policy Management Console (GPMC).
  3. Tạo hoặc chỉnh sửa GPO, điều hướng đến: User Configuration > Administrative Templates > Microsoft Office 2016 > Miscellaneous > Disable Copilot in Office.
  4. Đặt chính sách thành Enabled để vô hiệu hóa Copilot.

Lưu ý: Các chính sách Group Policy dạng chi tiết (granular) chỉ có hiệu lực đầy đủ từ Microsoft 365 Apps phiên bản 2412 trở lên. Các bản build cũ hơn có thể âm thầm bỏ qua một số policy mới, nên hãy kiểm tra kỹ phiên bản trước.

Phương pháp 4: Qua Microsoft Intune

Đối với thiết bị được quản lý bởi Intune (MDM), sử dụng Settings Catalog là phương pháp hiện đại và được khuyến nghị nhất:

  1. Truy cập Microsoft Intune Admin Center (intune.microsoft.com).
  2. Điều hướng đến Devices > Configuration profiles > Create profile.
  3. Chọn platform Windows 10 and later, profile type Settings catalog.
  4. Tìm kiếm "Copilot" hoặc "AI" trong Settings catalog.
  5. Cấu hình thiết lập Disable Copilot in Office thành Enabled.
  6. Gán profile cho nhóm thiết bị hoặc người dùng cần vô hiệu hóa.

Đối với vô hiệu hóa Windows Copilot (tách biệt với M365 Copilot trong Office), sử dụng OMA-URI:

OMA-URI: ./User/Vendor/MSFT/Policy/Config/WindowsAI/TurnOffWindowsCopilot
Data type: Integer
Value: 1

Vô hiệu hóa theo ứng dụng vs toàn tenant

Bạn có thể chọn vô hiệu hóa Copilot theo từng ứng dụng (ví dụ chỉ tắt trong Teams nhưng vẫn bật trong Word) bằng cách sử dụng PowerShell để vô hiệu hóa service plan cụ thể (xem phần PowerShell ở trên), hoặc vô hiệu hóa toàn tenant bằng cách tắt trong Admin Center. Tùy nhu cầu tổ chức mà chọn cách phù hợp nhất — không có công thức chung cho mọi trường hợp.

Bảo mật và rủi ro cần lưu ý

Rủi ro chính: Over-Permissioning

Mình muốn nhấn mạnh lần nữa: rủi ro lớn nhất của Microsoft 365 Copilot không phải là lỗ hổng kỹ thuật — mà là quyền truy cập quá rộng (over-permissioning). Copilot kế thừa toàn bộ quyền của người dùng, bao gồm cả những quyền mà người dùng không hề biết là mình có. Khi AI có khả năng tổng hợp và trình bày thông tin ở "tốc độ máy", những lỗi nhỏ trong quản lý quyền truy cập — vốn tồn tại âm thầm trong nhiều năm — đột nhiên trở thành vấn đề nghiêm trọng.

Ví dụ thực tế cho dễ hình dung: Một nhân viên marketing hỏi Copilot "tóm tắt doanh thu quý trước". Nếu nhân viên này vô tình có quyền truy cập vào thư mục SharePoint chứa báo cáo tài chính chi tiết (do ai đó cấu hình quyền lỏng lẻo từ năm ngoái), Copilot sẽ vui vẻ tổng hợp cả dữ liệu đó — kể cả thông tin lương, thưởng, và kế hoạch tài chính chưa công bố. Không ai muốn điều đó xảy ra.

Bảo mật Copilot Studio Agent

Vào ngày 12 tháng 2 năm 2026, Microsoft Security Blog đã công bố hướng dẫn về 10 rủi ro bảo mật hàng đầu của Copilot Studio agents. Đây là những cấu hình sai phổ biến mà các tổ chức hay mắc phải khi xây dựng và triển khai agents tùy chỉnh:

  1. Over-permissioning cho agents: Cấp quyền truy cập backend quá rộng cho agents (SharePoint sites, databases, CRM) mà không áp dụng nguyên tắc đặc quyền tối thiểu (least privilege). Đây là lỗi phổ biến nhất.
  2. Chia sẻ agent không an toàn: Chia sẻ agents cho toàn bộ tổ chức thay vì giới hạn trong các nhóm bảo mật có phạm vi phù hợp.
  3. Tấn công prompt injection: Người dùng độc hại có thể thao túng agent thông qua các đầu vào được thiết kế cẩn thận để ghi đè hướng dẫn của agent.
  4. Lỗ hổng Connected Agents: Tính năng Connected Agents được bật mặc định trên tất cả agents mới trong Copilot Studio. Khi kích hoạt, tính năng này phơi bày kiến thức, công cụ và chủ đề của agent cho tất cả agents khác trong cùng môi trường. Mặc định bật mà phơi bày rộng như vậy thì... hơi đáng lo.
  5. Xác thực yếu (weak authentication): Cho phép truy cập agent mà không yêu cầu xác thực đầy đủ.

Microsoft khuyến nghị sử dụng Microsoft DefenderAdvanced Hunting với Community Hunting Queries để phát hiện và ngăn chặn các cấu hình sai này.

Các biện pháp bảo mật tốt nhất

  • Kiểm toán quyền truy cập định kỳ: Sử dụng SharePoint Advanced Management để chạy Data Access Governance Reports ít nhất hàng quý. Xác định và thu hồi quyền truy cập không cần thiết trước khi Copilot có thể khai thác chúng.
  • Áp dụng nhãn nhạy cảm nhất quán: Đảm bảo tất cả dữ liệu nhạy cảm đều được gắn nhãn Purview phù hợp. Đào tạo người dùng về cách sử dụng nhãn khi tạo tài liệu mới — đây là thói quen cần xây dựng từ đầu.
  • Cấu hình chính sách DLP toàn diện: Thiết lập DLP policies cho SharePoint, OneDrive, Exchange và Teams. Kiểm tra và cập nhật các chính sách này cho các kịch bản liên quan đến Copilot.
  • Sử dụng Copilot Control System: Từ giao diện Admin Center, tab Security trên trang tổng quan Copilot cho phép bạn thiết lập các kiểm soát ngăn chặn rò rỉ dữ liệu (data leakage prevention), quản lý chia sẻ quá mức (data oversharing), và đảm bảo tuân thủ (compliance) — tất cả từ một giao diện thống nhất.
  • Giám sát liên tục: Sử dụng Microsoft Purview Audit logs để theo dõi các tương tác của Copilot với dữ liệu nhạy cảm. Thiết lập cảnh báo cho các hoạt động bất thường. Đừng chỉ cấu hình xong rồi quên — cần theo dõi thường xuyên.

Hỗ trợ người dùng cuối: Mẹo cho Helpdesk

Phần này dành riêng cho đội ngũ tuyến đầu — những người phải đối mặt trực tiếp với câu hỏi (và đôi khi là sự bực bội) của người dùng cuối.

Các phàn nàn phổ biến và cách phản hồi chuẩn

Dưới đây là các tình huống thường gặp nhất và cách phản hồi chuyên nghiệp mà helpdesk nên chuẩn bị sẵn:

Phàn nàn của người dùng Phản hồi/Hành động chuẩn
"Tôi không thấy nút Copilot trong Word/Excel" Kiểm tra giấy phép, phiên bản ứng dụng, kênh cập nhật, và thiết lập connected experiences. Tham khảo quy trình xử lý Sự cố 1.
"Copilot cho kết quả không chính xác" Giải thích rằng Copilot là trợ lý AI và có thể đưa ra thông tin không chính xác. Khuyên người dùng luôn kiểm tra lại kết quả. Hướng dẫn cách viết prompt rõ ràng hơn.
"Copilot quá chậm" Kiểm tra kết nối mạng, tài nguyên hệ thống. Nếu đang xử lý tệp lớn, khuyên chia nhỏ. Tham khảo Sự cố 3.
"Copilot hiển thị dữ liệu tôi không nên thấy" Đây là sự cố bảo mật — leo thang (escalate) ngay lập tức đến đội ngũ bảo mật/quản trị viên. Ghi lại chi tiết: dữ liệu gì, từ nguồn nào, thời điểm xảy ra.
"Tôi đã có giấy phép nhưng Copilot vẫn báo lỗi" Kiểm tra xung đột tài khoản cá nhân/công việc. Thử đăng xuất, xóa cache, đăng nhập lại chỉ bằng tài khoản công việc.
"Copilot không hỗ trợ tiếng Việt tốt" Hướng dẫn người dùng thử viết prompt bằng tiếng Anh để so sánh kết quả. Microsoft đang liên tục cải thiện hỗ trợ đa ngôn ngữ cho Copilot.

Tài nguyên đào tạo: Copilot Success Kit

Microsoft cung cấp Copilot Success Kit — bộ công cụ đào tạo và triển khai khá đầy đủ tại adoption.microsoft.com/copilot/success-kit. Bộ công cụ này bao gồm:

  • Mẫu email onboarding: Các mẫu email tùy chỉnh để giới thiệu Copilot cho người dùng trong tổ chức và thúc đẩy sử dụng.
  • Trải nghiệm học tập 30 ngày (The Great Copilot Journey): Chuỗi email mẫu cho chương trình đào tạo 30 ngày, dạy người dùng các tính năng và kỹ năng viết prompt hiệu quả.
  • Copilot Prompt-a-thon: Tài liệu và video hướng dẫn tổ chức sự kiện "hack" tương tác để nâng cao kỹ năng viết prompt trong tổ chức. Ý tưởng hay và đáng thử.
  • Hướng dẫn quản trị: Tài liệu về kiểm soát admin, phương thức cấp phép và thanh toán.
  • Đa ngôn ngữ: Ngoài tiếng Anh, bộ công cụ được cung cấp bằng 9 ngôn ngữ bổ sung.

Xây dựng cơ sở kiến thức nội bộ

Helpdesk nên xây dựng bộ bài viết FAQ nội bộ (knowledge base) riêng cho Copilot. Theo kinh nghiệm của mình, chia thành ba cấp độ sẽ giúp quản lý hiệu quả hơn:

  • Bài viết cấp 1 (Tier 1): Hướng dẫn cơ bản — cách bật Copilot, cách viết prompt đầu tiên, các tính năng chính trong từng ứng dụng.
  • Bài viết cấp 2 (Tier 2): Khắc phục sự cố — các lỗi phổ biến và cách khắc phục (dựa trên phần "Các sự cố phổ biến" trong bài này).
  • Bài viết cấp 3 (Tier 3): Quản trị nâng cao — PowerShell scripts, cấu hình GPO/Intune, tích hợp với chính sách bảo mật.

Phân loại ticket Copilot

Để theo dõi và phân tích xu hướng ticket hiệu quả, helpdesk nên thiết lập các danh mục phân loại riêng cho các vấn đề liên quan đến Copilot. Mình gợi ý cấu trúc như sau:

  • COPILOT-LICENSE: Vấn đề liên quan đến giấy phép và kích hoạt.
  • COPILOT-ACCESS: Vấn đề về quyền truy cập và xác thực.
  • COPILOT-PERF: Vấn đề hiệu suất và phản hồi chậm.
  • COPILOT-QUALITY: Phản hồi về chất lượng kết quả AI.
  • COPILOT-SECURITY: Các lo ngại hoặc sự cố bảo mật.
  • COPILOT-TRAINING: Yêu cầu đào tạo và hướng dẫn sử dụng.

Việc phân loại này giúp helpdesk xác định các vấn đề phổ biến nhất, đo lường thời gian xử lý trung bình, và cung cấp dữ liệu có giá trị cho đội ngũ quản trị khi đánh giá hiệu quả triển khai. Sau vài tháng thu thập dữ liệu, bạn sẽ có cái nhìn rất rõ ràng về đâu là điểm cần cải thiện.

Lộ trình leo thang (Escalation Paths)

Thiết lập lộ trình leo thang rõ ràng là điều bắt buộc, không phải tùy chọn:

  1. Cấp 1 — Helpdesk Frontline: Xử lý các vấn đề giấy phép, cài đặt cơ bản, hướng dẫn sử dụng. Thời gian phản hồi: trong vòng 4 giờ làm việc.
  2. Cấp 2 — IT System Admin: Xử lý các vấn đề cấu hình tenant, GPO/Intune, PowerShell, và lỗi kỹ thuật phức tạp. Thời gian phản hồi: trong vòng 8 giờ làm việc.
  3. Cấp 3 — Security Team / Microsoft Support: Xử lý các sự cố bảo mật (dữ liệu bị phơi bày, phát hiện hành vi bất thường), lỗ hổng bảo mật, và các vấn đề cần hỗ trợ từ Microsoft. Thời gian phản hồi: ngay lập tức đối với sự cố bảo mật.

Đặc biệt — và điều này rất quan trọng — bất kỳ ticket nào liên quan đến dữ liệu nhạy cảm bị phơi bày qua Copilot phải được leo thang ngay lập tức lên Cấp 3, bất kể mức độ nghiêm trọng ban đầu có vẻ như thế nào.

Kết luận

Microsoft 365 Copilot năm 2026 không chỉ là một công cụ AI tiện lợi — nó là một thay đổi mang tính hệ thống trong cách tổ chức làm việc với dữ liệu. Đối với đội ngũ IT Helpdesk, điều này có nghĩa là vai trò của bạn đang mở rộng đáng kể: từ hỗ trợ kỹ thuật truyền thống sang trở thành người bảo vệ tuyến đầu cho cả hiệu suất AI lẫn bảo mật dữ liệu.

Ba điểm then chốt cần ghi nhớ:

  1. Chiến lược hai nhánh là bắt buộc: Triển khai quy trình người dùng cuối (end-user workflows) và mặt phẳng kiểm soát (control-plane readiness) song song. Đừng bao giờ bật Copilot mà chưa chuẩn bị quản trị dữ liệu — nhưng đồng thời, cũng đừng để control plane trở thành rào cản vô tận ngăn cản tổ chức tận dụng giá trị AI.
  2. Quản trị dữ liệu là nền tảng: Trước khi nghĩ đến Copilot, hãy nghĩ đến quyền truy cập. Sử dụng Purview sensitivity labels, SharePoint Advanced Management, DLP policies, và Site Access Reviews để đảm bảo Copilot chỉ tiếp cận dữ liệu phù hợp. Nhớ rằng hơn 15% tệp kinh doanh quan trọng đang có nguy cơ từ chia sẻ quá mức — con số này cần được giảm xuống mức chấp nhận được trước khi triển khai AI quy mô lớn.
  3. Helpdesk là tuyến đầu: Đội ngũ helpdesk là điểm tiếp xúc đầu tiên khi người dùng gặp vấn đề với Copilot — từ lỗi giấy phép đơn giản đến phát hiện dữ liệu nhạy cảm bị phơi bày. Trang bị kiến thức, xây dựng quy trình xử lý chuẩn (SOP), thiết lập phân loại ticket, và đào tạo liên tục là những đầu tư thiết yếu.

Cuối cùng, hãy luôn cập nhật thông tin mới nhất. Microsoft phát triển Copilot với tốc độ rất nhanh — tính năng mới, bản vá bảo mật, thay đổi chính sách diễn ra liên tục. Theo dõi Microsoft 365 Message Center trong Admin Center, đăng ký Microsoft 365 Roadmap, và tham khảo Copilot Success Kit thường xuyên để đảm bảo đội ngũ helpdesk của bạn luôn sẵn sàng.

Với sự chuẩn bị đúng đắn, Microsoft 365 Copilot sẽ trở thành công cụ mạnh mẽ giúp tổ chức của bạn làm việc hiệu quả hơn — và đội ngũ helpdesk chính là những người đảm bảo điều đó diễn ra một cách an toàn và suôn sẻ. Chúc bạn triển khai thành công.

Về Tác Giả Editorial Team

Our team of expert writers and editors.

Bài Viết Liên Quan