Kurz: Konfigurace vlastních zakázaných hesel pro Microsoft Entra

Uživatelé často vytvářejí hesla, která používají běžná místní slova, jako je škola, sportovní tým nebo známá osoba. Tato hesla se snadno hádají a jsou slabá vůči útokům založeným na slovníku. Pokud chcete vynutit silná hesla ve vaší organizaci, seznam zakázaných hesel společnosti Microsoft Entra umožňuje přidat konkrétní řetězce pro vyhodnocení a blokování. Žádost o změnu hesla selže, pokud je v seznamu zakázaných hesel shoda.

V tomto kurzu se naučíte:

• Povolení vlastních zakázaných hesel
• Přidání položek do vlastního seznamu zakázaných hesel
• Testování změn hesla pomocí zakázaného hesla

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Funkční tenant Microsoft Entra s alespoň povolenou zkušební licencí Microsoft Entra ID P1 nebo zkušební licencí.
  • V případě potřeby si ho vytvořte zdarma.
• Účet s oprávněními globálního správce .
• Uživatel bez oprávnění správce s heslem, které znáte, například testuser. Událost změny hesla otestujete pomocí tohoto účtu v tomto kurzu.
  • Pokud potřebujete vytvořit uživatele, přečtěte si článek Rychlý start: Přidání nových uživatelů do Microsoft Entra ID.
  • Pokud chcete otestovat operaci změny hesla pomocí zakázaného hesla, musí být tenant Microsoft Entra nakonfigurovaný pro samoobslužné resetování hesla.

Co jsou seznamy zakázaných hesel?

Microsoft Entra ID obsahuje globální seznam zakázaných hesel. Obsah globálního seznamu zakázaných hesel není založený na žádném externím zdroji dat. Místo toho globální seznam zakázaných hesel vychází z průběžných výsledků telemetrie a analýzy zabezpečení Microsoft Entra. Když se uživatel nebo správce pokusí změnit nebo resetovat přihlašovací údaje, je požadované heslo zaškrtnuté v seznamu zakázaných hesel. Žádost o změnu hesla selže, pokud je v globálním seznamu zakázaných hesel shoda. Tento výchozí globální seznam zakázaných hesel nemůžete upravit.

Abyste měli flexibilitu v tom, jaká hesla jsou povolená, můžete také definovat vlastní zakázaný seznam hesel. Vlastní seznam zakázaných hesel funguje společně s globálním zakázaným seznamem hesel a vynucuje silná hesla ve vaší organizaci. Termíny specifické pro organizaci je možné přidat do vlastního seznamu zakázaných hesel, například do následujících příkladů:

• Značky
• Názvy produktů
• Umístění, jako je ústředí společnosti
• Interní podmínky specifické pro společnost
• Zkratky, které mají konkrétní význam společnosti
• Měsíce a pracovní dny s místními jazyky vaší společnosti

Když se uživatel pokusí resetovat heslo na něco, co je na globálním nebo vlastním seznamu zakázaných hesel, zobrazí se mu jedna z následujících chybových zpráv:

• Vaše heslo bohužel obsahuje slovo, frázi nebo vzor, díky kterému je vaše heslo snadno odhadnutelné. Zkuste to prosím znovu s jiným heslem.
• Toto heslo bohužel nemůžete použít, protože obsahuje slova nebo znaky, které zablokoval správce. Zkuste to prosím znovu s jiným heslem.

Vlastní seznam zakázaných hesel je omezen na maximálně 1 000 podmínek. Není určen pro blokování velkých seznamů hesel. Pokud chcete maximalizovat výhody vlastního seznamu zakázaných hesel, projděte si přehled vlastních konceptů seznamu zakázaných hesel a algoritmů vyhodnocení hesel.

Konfigurace vlastních zakázaných hesel

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pojďme povolit vlastní seznam zakázaných hesel a přidat některé položky. Do vlastního seznamu zakázaných hesel můžete kdykoli přidat další položky.

Pokud chcete povolit vlastní seznam zakázaných hesel a přidat do něj položky, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.

2. Přejděte k metodám ověřování ochrany>a pak na ochranu heslem.

3. Nastavte možnost Vynucení vlastního seznamu na Ano.

4. Přidejte řetězce do seznamu vlastních zakázaných hesel, jeden řetězec na řádek. Následující aspekty a omezení platí pro vlastní seznam zakázaných hesel:

   • Vlastní seznam zakázaných hesel může obsahovat až 1 000 podmínek.
   • Vlastní seznam zakázaných hesel nerozlišuje velká a malá písmena.
   • Vlastní zakázaný seznam hesel považuje za běžnou náhradu znaků, například "o" a "0" nebo "a" a "@".
   • Minimální délka řetězce je čtyři znaky a maximum je 16 znaků.

   Zadejte vlastní hesla k zákazu, jak je znázorněno v následujícím příkladu.

   

5. Ponechte možnost Povolit ochranu heslem ve službě Windows Server Active Directory na ne.

6. Pokud chcete povolit vlastní zakázaná hesla a položky, vyberte Uložit.

Aktualizace vlastního seznamu zakázaných hesel může trvat několik hodin.

V hybridním prostředí můžete také nasadit ochranu heslem Microsoft Entra do místního prostředí. Stejné globální a vlastní seznamy zakázaných hesel se používají pro cloudové i místní žádosti o změnu hesla.

Test vlastního seznamu zakázaných hesel

Pokud chcete zobrazit vlastní seznam zakázaných hesel v akci, zkuste změnit heslo na variantu, kterou jste přidali v předchozí části. Když se Microsoft Entra ID pokusí zpracovat změnu hesla, heslo se porovná s položkou v seznamu zakázaných hesel. Uživateli se pak zobrazí chyba.

Poznámka:

Aby uživatel mohl resetovat heslo na webovém portálu, musí být tenant Microsoft Entra nakonfigurovaný pro samoobslužné resetování hesla. V případě potřeby může uživatel zaregistrovat SSPR na adrese https://aka.ms/ssprsetup.

1. Přejděte na stránku Moje aplikace na adrese https://myapps.microsoft.com.

2. V pravém horním rohu vyberte své jméno a v rozevírací nabídce zvolte Profil .

   

3. Na stránce Profil vyberte Změnit heslo.

4. Na stránce Změnit heslo zadejte stávající (staré) heslo. Zadejte a potvrďte nové heslo, které je na vlastním seznamu zakázaných hesel, který jste definovali v předchozí části, a pak vyberte Odeslat.

5. Vrátí se chybová zpráva s informací, že správce zablokoval heslo, jak je znázorněno v následujícím příkladu:

   

Vyčištění prostředků

Pokud už nechcete používat vlastní seznam zakázaných hesel, který jste nakonfigurovali v rámci tohoto kurzu, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.
2. Přejděte k metodám ověřování ochrany>a pak na ochranu heslem.
3. Nastavte možnost Vynutit vlastní seznam na Ne.
4. Pokud chcete aktualizovat vlastní zakázanou konfiguraci hesla, vyberte Uložit.

Další kroky

V tomto kurzu jste povolili a nakonfigurovali vlastní seznamy ochrany hesel pro Microsoft Entra ID. Naučili jste se:

• Povolení vlastních zakázaných hesel
• Přidání položek do vlastního seznamu zakázaných hesel
• Testování změn hesla pomocí zakázaného hesla

Povolení vícefaktorového ověřování Microsoft Entra na základě rizik