Teilen über


Überwachen und Überprüfen der Protokolle für lokale Umgebungen mit Microsoft Entra-Kennwortschutz

Nach der Bereitstellung des Microsoft Entra-Kennwortschutzes sind Überwachung und Berichterstellung zentrale Aufgaben. Dieser Artikel enthält detaillierte Informationen, damit Sie verschiedene Überwachungstechniken verstehen, einschließlich der Speicherorte, an denen die einzelnen Dienste Informationen protokollieren, und der Methoden zum Berichten über die Verwendung des Microsoft Entra-Kennwortschutzes.

Überwachung und Berichterstellung erfolgen entweder durch Ereignisprotokollmeldungen oder durch Ausführen von PowerShell-Cmdlets. Ereignisprotokollmeldungen werden sowohl vom DC-Agent als auch von Proxydiensten protokolliert. Alle nachfolgend beschriebenen PowerShell-Cmdlets sind nur auf dem Proxyserver verfügbar (siehe PowerShell-Modul „AzureADPasswordProtection“). Die DC-Agent-Software installiert kein PowerShell-Modul.

DC-Agent-Ereignisprotokollierung

Auf jedem Domänencontroller schreibt die DC-Agent-Dienstsoftware die Ergebnisse der einzelnen Kennwortüberprüfungsvorgänge (und andere Status) in ein lokales Ereignisprotokoll:

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace

Das DC-Agent-Administratorprotokoll ist die Hauptquelle für Informationen zum Verhalten der Software.

Beachten Sie, dass das Ablaufverfolgungsprotokoll standardmäßig deaktiviert ist.

Durch die verschiedenen DC-Agent-Komponenten protokollierte Ereignisse fallen in die folgenden Bereiche:

Komponente Ereignis-ID-Bereich
DC-Agent-Kennwortfilter-DLL 10000-19999
DC-Agent-Diensthostprozess 20000-29999
Validierungslogik für DC-Agent-Dienstrichtlinie 30000-39999

DC-Agent-Administratorereignisprotokoll

Ergebnisereignisse der Kennwortvalidierung

Auf jedem Domänencontroller schreibt die DC-Agent-Dienstsoftware die Ergebnisse der einzelnen Kennwortüberprüfungsvorgänge in das DC-Agent-Administratorereignisprotokoll.

Für eine erfolgreiche Kennwortvalidierung wird im Allgemeinen ein Ereignis aus der DC-Agent-Kennwortfilter-DLL protokolliert. Für eine nicht erfolgreiche Kennwortvalidierung werden im Allgemeinen zwei Ereignisse protokolliert, eines aus dem DC-Agent-Dienst und eines aus der DC-Agent-Kennwortfilter-DLL.

Diskrete Ereignisse zum Erfassen dieser Situationen werden basierend auf folgenden Faktoren protokolliert:

  • Ob ein bestimmtes Kennwort festgelegt oder geändert wird.
  • Ob die Validierung eines angegebenen Kennworts erfolgreich oder nicht erfolgreich ist.
  • Ob die Validierung aufgrund der globalen Microsoft-Richtlinie, der Organisationsrichtlinie oder einer Kombination aus beiden nicht erfolgreich ist.
  • Ob der ausschließliche Überwachungsmodus für die aktuelle Kennwortrichtlinie derzeit aktiviert oder deaktiviert ist.

Die wichtigsten auf die Kennwortüberprüfung bezogenen Ereignisse sind wie folgt:

Ereignis Kennwortänderung Kennwortfestlegung
Pass 10014 10015
Fehler (aufgrund der Kundenkennwortrichtlinie) 10016, 30002 10017, 30003
Fehler (aufgrund der Microsoft-Kennwortrichtlinie) 10016, 30004 10017, 30005
Fehler (aufgrund einer Kombination aus der Microsoft- und der Kundenkennwortrichtlinie) 10016, 30026 10017, 30027
Fehler (aufgrund des Benutzernamens) 10016, 30021 10017, 30022
Im ausschließlichen Überwachungsmodus bestanden (würde Kundenkennwortrichtlinie nicht bestehen) 10024, 30008 10025, 30007
Im ausschließlichen Überwachungsmodus bestanden (würde Kennwortrichtlinie von Microsoft nicht bestehen) 10024, 30010 10025, 30009
Im Nur-Überprüfungsmodus bestanden (würde Kombination aus Microsoft- und Kundenkennwortrichtlinie nicht bestehen) 10024, 30028 10025, 30029
Im ausschließlichen Überwachungsmodus bestanden (Benutzername hätte zu einem Fehler geführt) 10016, 30024 10017, 30023

Wenn in der obigen Tabelle auf „kombinierte Richtlinien“ verwiesen wird, bezieht sich das auf Situationen, in denen das Kennwort eines Benutzers mindestens ein Token enthält, das sowohl in der Microsoft-Kennwortsperrliste als auch in der Kunden-Kennwortsperrliste auftritt.

Die Fälle in der obigen Tabelle, in denen auf den Benutzernamen verwiesen wird, beziehen sich auf Situationen, in denen das Kennwort eines Benutzers entweder den Kontonamen des Benutzers und/oder einen der Anzeigenamen des Benutzers enthielt. In diesen Szenarien wird das Kennwort des Benutzers jeweils abgelehnt, wenn die Richtlinie auf „Erzwingen“ festgelegt ist, oder zugelassen, wenn sich die Richtlinie im Überwachungsmodus befindet.

Wenn ein Paar von Ereignissen gemeinsam protokolliert wird, sind beide Ereignisse explizit über dieselbe CorrelationId zugeordnet.

Zusammenfassende Berichterstellung für die Kennwortvalidierung mithilfe von PowerShell

Mit dem Cmdlet Get-AzureADPasswordProtectionSummaryReport kann eine zusammenfassende Darstellung der Kennwortvalidierungsaktivität erstellt werden. Eine Beispielausgabe dieses Cmdlets lautet folgendermaßen:

Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController                : bplrootdc2
PasswordChangesValidated        : 6677
PasswordSetsValidated           : 9
PasswordChangesRejected         : 10868
PasswordSetsRejected            : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures    : 3
PasswordChangeErrors            : 0
PasswordSetErrors               : 1

Der Umfang der Berichterstellung des Cmdlets kann mit einem der –Forest-, –Domain- oder –DomainController-Parameter beeinflusst werden. Keine Angabe eines Parameters bedeutet –Forest.

Hinweis

Wenn Sie den DC-Agent nur auf einem Domänencontroller (DC) installieren, liest der Bericht „Get-AzureADPasswordProtectionSummaryReport“ nur Ereignisse von diesem DC. Um Ereignisse von mehreren Domänencontrollern abzurufen, muss der DC-Agent auf jedem DC installiert sein.

Die Cmdlet Get-AzureADPasswordProtectionSummaryReport funktioniert durch Abfragen des DC-Agent-Administratorereignisprotokolls und anschließendes Zählen der Gesamtanzahl von Ereignissen, die den einzelnen angezeigten Ergebniskategorien entsprechen. Die folgende Tabelle enthält die Zuordnungen zwischen den einzelnen Ergebnissen und der zugehörigen Ereignis-ID:

Get-AzureADPasswordProtectionSummaryReport-Eigenschaft Zugehörige Ereignis-ID
PasswordChangesValidated 10014
PasswordSetsValidated 10015
PasswordChangesRejected 10016
PasswordSetsRejected 10017
PasswordChangeAuditOnlyFailures 10024
PasswordSetAuditOnlyFailures 10025
PasswordChangeErrors 10012
PasswordSetErrors 10013

Beachten Sie, dass das Cmdlet Get-AzureADPasswordProtectionSummaryReport in PowerShell-Skriptform angeboten wird und bei Bedarf direkt am folgenden Speicherort referenziert werden kann:

%ProgramFiles%\WindowsPowerShell\Modules\AzureADPasswordProtection\Get-AzureADPasswordProtectionSummaryReport.ps1

Hinweis

Dieses Cmdlet funktioniert, indem es eine PowerShell-Sitzung mit jedem Domänencontroller öffnet. Damit dies gelingt, muss die Unterstützung für PowerShell-Remotesitzungen auf jedem Domänencontroller aktiviert sein, und der Client muss über ausreichende Berechtigungen verfügen. Weitere Informationen zu Anforderungen für PowerShell-Remotesitzungen führen Sie in einem PowerShell-Fenster „Get-Help about_Remote_Troubleshooting“ aus.

Hinweis

Bei diesem Cmdlet wird jeweils das Admin-Ereignisprotokoll der einzelnen DC-Agent-Dienste remote abgefragt. Wenn die Ereignisprotokolle eine große Anzahl von Ereignissen enthalten, kann es lange dauern, bis das Cmdlet abgeschlossen ist. Darüber hinaus können umfangreiche Netzwerkabfragen großer Datenmengen die Leistung des Domänencontrollers beeinträchtigen. Daher sollte dieses Cmdlet in Produktionsumgebungen sorgfältig verwendet werden.

Beispiele für Ereignisprotokollmeldungen

Ereignis-ID 10014 (Erfolgreiche Kennwortänderung)

The changed password for the specified user was validated as compliant with the current Azure password policy.

UserName: SomeUser
FullName: Some User

Ereignis-ID 10017 (Kennwortänderung fehlgeschlagen):

The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.

UserName: SomeUser
FullName: Some User

Ereignis-ID 30003 (Kennwortänderung fehlgeschlagen):

The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.

UserName: SomeUser
FullName: Some User

Ereignis-ID 10024 (Kennwort aufgrund einer Richtlinie im Modus „Nur Überwachen“ akzeptiert)

The changed password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is con-figured for audit-only mode so the password was accepted. Please see the correlated event log message for more details. 
 
UserName: SomeUser
FullName: Some User

Ereignis-ID 30008 (Kennwort aufgrund einer Richtlinie im Modus „Nur Überwachen“ akzeptiert)

The changed password for the specified user would normally have been rejected because it matches at least one of the tokens present in the per-tenant banned password list of the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted. 

UserName: SomeUser
FullName: Some User

Ereignis-ID 30001 (Kennwort akzeptiert, da keine Richtlinie verfügbar)

The password for the specified user was accepted because an Azure password policy is not available yet

UserName: SomeUser
FullName: Some User

This condition may be caused by one or more of the following reasons:%n

1. The forest has not yet been registered with Azure.

   Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.

2. An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.

   Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.

3. This DC does not have network connectivity to any Azure AD password protection Proxy instances.

   Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.

4. This DC does not have connectivity to other domain controllers in the domain.

   Resolution steps: ensure network connectivity exists to the domain.

Ereignis-ID 30006 (Neue Richtlinie wird erzwungen)

The service is now enforcing the following Azure password policy.

 Enabled: 1
 AuditOnly: 1
 Global policy date: ‎2018‎-‎05‎-‎15T00:00:00.000000000Z
 Tenant policy date: ‎2018‎-‎06‎-‎10T20:15:24.432457600Z
 Enforce tenant policy: 1

Ereignis-ID 30019 (Microsoft Entra-Kennwortschutz ist deaktiviert)

The most recently obtained Azure password policy was configured to be disabled. All passwords submitted for validation from this point on will automatically be considered compliant with no processing performed.

No further events will be logged until the policy is changed.%n

DC-Agent-Betriebsprotokoll

Der DC-Agent-Dienst protokolliert auch betriebsbedingte Ereignisse im folgenden Protokoll:

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational

DC-Agent-Ablaufprotokoll

Der DC-Agent-Dienst kann auch ausführliche Ablaufverfolgungsereignisse auf Debugebene im folgenden Protokoll protokollieren:

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace

Das Ablaufprotokoll ist standardmäßig deaktiviert.

Warnung

Wenn es aktiviert ist, empfängt es eine große Anzahl von Ereignissen. Das kann sich auf die Leistung des Domänencontrollers auswirken. Aus diesem Grund sollte dieses verbesserte Protokoll nur aktiviert werden, wenn ein Problem genauere Untersuchung erfordert, und dann nur für einen minimalen Zeitraum.

DC-Agent-Textprotokoll

Der DC-Agent-Dienst kann zum Schreiben in ein Textprotokoll konfiguriert werden, indem der folgende Registrierungswert festgelegt wird:

HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionDCAgent\Parameters!EnableTextLogging = 1 (REG_DWORD value)

Das Textprotokoll ist standardmäßig deaktiviert. Damit Änderungen an diesem Wert wirksam werden, ist ein Neustart des DC-Agent-Diensts erforderlich. Wenn der Dienst aktiviert ist, schreibt er in eine Protokolldatei unter folgendem Pfad:

%ProgramFiles%\Azure AD Password Protection DC Agent\Logs

Tipp

Das Textprotokoll empfängt die gleichen Einträge auf Debugebene, die im Ablaufprotokoll protokolliert werden können, hat jedoch i.d.R. ein zur Überprüfung und Analyse besser geeignetes Format.

Warnung

Wenn aktiviert, empfängt dieses Protokoll eine große Anzahl von Ereignissen und kann sich auf die Leistung des Domänencontrollers auswirken. Aus diesem Grund sollte dieses verbesserte Protokoll nur aktiviert werden, wenn ein Problem genauere Untersuchung erfordert, und dann nur für einen minimalen Zeitraum.

DC-Agent-Leistungsüberwachung

Die DC-Agent-Dienstsoftware installiert ein Leistungsindikatorobjekt mit dem Namen Microsoft Entra-Kennwortschutz. Die folgenden Leistungsindikatoren sind derzeit verfügbar:

Name des Leistungsindikators BESCHREIBUNG
Verarbeitete Kennwörter Dieser Leistungsindikator gibt die Gesamtanzahl der verarbeiteten Kennwörter (akzeptiert oder abgelehnt) seit dem letzten Neustart an.
Akzeptierte Kennwörter Dieser Leistungsindikator gibt die Gesamtanzahl der Kennwörter an, die seit dem letzten Neustart akzeptiert wurden.
Abgelehnte Kennwörter Dieser Leistungsindikator gibt die Gesamtanzahl der Kennwörter an, die seit dem letzten Neustart abgelehnt wurden.
Laufende Kennwortfilteranforderungen Dieser Leistungsindikator zeigt die Anzahl der laufenden Kennwortfilteranforderungen an.
Spitzenwert der Kennwortfilteranforderungen Dieser Leistungsindikator zeigt den Spitzenwert gleichzeitiger Kennwortfilteranforderungen seit dem letzten Neustart an.
Kennwortfilteranforderungen-Fehler Dieser Leistungsindikator gibt die Gesamtzahl der Kennwortfilteranforderungen an, die seit dem letzten Neustart aufgrund eines Fehlers nicht erfolgreich waren. Fehler können auftreten, wenn der DC-Agent-Dienst des Microsoft Entra-Kennwortschutzes nicht ausgeführt wird.
Kennwortfilteranforderungen/s Dieser Leistungsindikator zeigt die Rate an, mit der Kennwörter verarbeitet werden.
Verarbeitungszeit der Kennwortfilteranforderung Dieser Leistungsindikator zeigt die zum Verarbeiten einer Kennwortfilteranforderung durchschnittlich erforderliche Zeit an.
Spitzenwert der Verarbeitungszeit der Kennwortfilteranforderung Dieser Leistungsindikator zeigt den Spitzenwert der Verarbeitungszeit der Kennwortfilteranforderung seit dem letzten Neustart an.
Aufgrund des Überwachungsmodus akzeptierte Kennwörter Dieser Leistungsindikator zeigt die Gesamtzahl der Kennwörter (seit dem letzten Neustart) an, die normalerweise abgelehnt worden wären, jedoch akzeptiert wurden, da die Kennwortrichtlinie für den Überwachungsmodus konfiguriert wurde.

DC-Agent-Ermittlung

Mit dem Get-AzureADPasswordProtectionDCAgent-Cmdlet können grundlegende Informationen über die verschiedenen DC-Agents angezeigt werden, die in einer Domäne oder Gesamtstruktur ausgeführt werden. Diese Informationen werden aus den serviceConnectionPoint-Objekten abgerufen, die von den ausgeführten DC-Agent-Diensten registriert werden.

Eine Beispielausgabe dieses Cmdlets lautet folgendermaßen:

Get-AzureADPasswordProtectionDCAgent
ServerFQDN            : bplChildDC2.bplchild.bplRootDomain.com
Domain                : bplchild.bplRootDomain.com
Forest                : bplRootDomain.com
PasswordPolicyDateUTC : 2/16/2018 8:35:01 AM
HeartbeatUTC          : 2/16/2018 8:35:02 AM

Die verschiedenen Eigenschaften werden von jedem DC-Agent-Dienst ungefähr stündlich aktualisiert. Die Daten unterliegen nach wie vor der Replikationswartezeit von Active Directory.

Der Bereich der Cmdlet-Abfrage kann durch die Verwendung des Parameters „–Forest“ oder „–Domain“ beeinflusst werden.

Wenn der HeartbeatUTC-Wert veraltet, kann dies darauf hinweisen, dass der DC-Agent des Microsoft Entra-Kennwortschutzes auf diesem Domänencontroller nicht ausgeführt wird oder deinstalliert wurde oder dass der Computer herabgestuft wurde und kein Domänencontroller mehr ist.

Wenn der PasswordPolicyDateUTC-Wert veraltet, kann dies darauf hinweisen, dass der DC-Agent des Microsoft Entra-Kennwortschutzes auf diesem Computer nicht ordnungsgemäß funktioniert.

Neuere DC-Agent-Version verfügbar

Der DC-Agent-Dienst protokolliert im Betriebsprotokoll ein Warnungsereignis vom Typ 30034, wenn eine neuere Version der DC-Agent-Software verfügbar ist. Beispiel:

An update for Azure AD Password Protection DC Agent is available.

If autoupgrade is enabled, this message may be ignored.

If autoupgrade is disabled, refer to the following link for the latest version available:

https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions

Current version: 1.2.116.0

Die Version der neueren Software ist im obigen Ereignis nicht angegeben. Zu dieser Information gelangen Sie über den Link in der Ereignismeldung.

Hinweis

In der obigen Ereignismeldung ist zwar von „autoupgrade“ (automatisches Upgrade) die Rede, dieses Feature wird jedoch aktuell von der DC-Agent-Software nicht unterstützt.

Proxydienst-Ereignisprotokollierung

Der Proxydienst sendet einen Mindestsatz von Ereignissen an die folgenden Ereignisprotokolle:

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Admin

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace

Beachten Sie, dass das Ablaufverfolgungsprotokoll standardmäßig deaktiviert ist.

Warnung

Wenn es aktiviert ist, empfängt es eine große Anzahl von Ereignissen. Das kann sich auf die Leistung des Proxyhosts auswirken. Aus diesem Grund sollte dieses Protokoll nur aktiviert werden, wenn ein Problem genauere Untersuchung erfordert, und dann nur für einen minimalen Zeitraum.

Ereignisse werden durch die verschiedenen Proxykomponenten mit den folgenden Bereichen protokolliert:

Komponente Ereignis-ID-Bereich
Proxydienst-Hostprozess 10000-19999
Proxydienst-Kerngeschäftslogik 20000-29999
PowerShell-Cmdlets 30000-39999

Proxydienst-Textprotokoll

Der Proxydienst kann zum Schreiben in ein Textprotokoll konfiguriert werden, indem der folgende Registrierungswert festgelegt wird:

HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionProxy\Parameters!EnableTextLogging = 1 (REG_DWORD-Wert)

Das Textprotokoll ist standardmäßig deaktiviert. Damit Änderungen an diesem Wert wirksam werden, ist ein Neustart des Proxydiensts erforderlich. Wenn der Proxydienst aktiviert ist, schreibt er in eine Protokolldatei unter folgendem Pfad:

%ProgramFiles%\Azure AD Password Protection Proxy\Logs

Tipp

Das Textprotokoll empfängt die gleichen Einträge auf Debugebene, die im Ablaufprotokoll protokolliert werden können, hat jedoch i.d.R. ein zur Überprüfung und Analyse besser geeignetes Format.

Warnung

Wenn dieses Protokoll aktiviert ist, empfängt es eine große Anzahl von Ereignissen und kann sich auf die Leistung des Computers auswirken. Aus diesem Grund sollte dieses verbesserte Protokoll nur aktiviert werden, wenn ein Problem genauere Untersuchung erfordert, und dann nur für einen minimalen Zeitraum.

PowerShell-Cmdlet-Protokollierung

PowerShell-Cmdlets, die eine Statusänderung verursachen (z.B. Register-AzureADPasswordProtectionProxy), protokollieren normalerweise ein Ergebnisereignis im Betriebsprotokoll.

Darüber hinaus schreiben die meisten PowerShell-Cmdlets des Microsoft Entra-Kennwortschutzes in ein Textprotokoll unter folgendem Pfad:

%ProgramFiles%\Azure AD Password Protection Proxy\Logs

Wenn ein Cmdlet-Fehler auftritt und sich die Ursache und/oder Lösung nicht direkt ermitteln lässt, können Sie auch diese Textprotokolle anzeigen.

Proxyermittlung

Mit dem Cmdlet Get-AzureADPasswordProtectionProxy können grundlegende Informationen zu den verschiedenen Proxydiensten des Microsoft Entra-Kennwortschutzes angezeigt werden, die in einer Domäne oder Gesamtstruktur ausgeführt werden. Diese Informationen werden aus den serviceConnectionPoint-Objekten abgerufen, die von den ausgeführten Proxydiensten registriert werden.

Eine Beispielausgabe dieses Cmdlets lautet folgendermaßen:

Get-AzureADPasswordProtectionProxy
ServerFQDN            : bplProxy.bplchild2.bplRootDomain.com
Domain                : bplchild2.bplRootDomain.com
Forest                : bplRootDomain.com
HeartbeatUTC          : 12/25/2018 6:35:02 AM

Die verschiedenen Eigenschaften werden von den einzelnen Proxydiensten ungefähr stündlich aktualisiert. Die Daten unterliegen nach wie vor der Replikationswartezeit von Active Directory.

Der Bereich der Cmdlet-Abfrage kann durch die Verwendung des Parameters „–Forest“ oder „–Domain“ beeinflusst werden.

Wenn der HeartbeatUTC-Wert veraltet, kann dies darauf hinweisen, dass der Proxy des Microsoft Entra-Kennwortschutzes auf diesem Computer nicht ausgeführt wird oder deinstalliert wurde.

Neuere Proxy-Agent-Version verfügbar

Der Proxydienst protokolliert im Betriebsprotokoll ein Warnungsereignis vom Typ 20002, wenn eine neuere Version der Proxysoftware verfügbar ist. Beispiel:

An update for Azure AD Password Protection Proxy is available.

If autoupgrade is enabled, this message may be ignored.

If autoupgrade is disabled, refer to the following link for the latest version available:

https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions

Current version: 1.2.116.0
.

Die Version der neueren Software ist im obigen Ereignis nicht angegeben. Zu dieser Information gelangen Sie über den Link in der Ereignismeldung.

Dieses Ereignis wird auch dann ausgegeben, wenn der Proxy-Agent mit aktiviertem automatischem Upgrade konfiguriert ist.

Nächste Schritte

Problembehandlung für den Microsoft Entra Kennwortschutz

Weitere Informationen zu der Liste global gesperrter und benutzerdefinierter gesperrter Kennwörter finden Sie im Artikel Beseitigen falscher Kennwörter in Ihrer Organisation