Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
Anmeldeinformationsangriffe führen zu nicht autorisiertem Zugriff auf Ressourcen. Kennwörter, die von Benutzern festgelegt werden, müssen relativ komplex sein. Azure AD B2C verfügt über Entschärfungstechniken für Anmeldeinformationenangriffe. Die Entschärfung umfasst die Erkennung von Brute-Force-Anmeldeinformationsangriffen und Wörterbuchanmeldeinformationenangriffen. Mit verschiedenen Signalen analysiert Azure Active Directory B2C (Azure AD B2C) die Integrität von Anforderungen. Azure AD B2C wurde entwickelt, um beabsichtigte Benutzer intelligent von Hackern und Botnets zu unterscheiden.
Funktionsweise von Smart Lockout
Azure AD B2C verwendet eine komplexe Strategie zum Sperren von Konten. Die Konten werden basierend auf der IP der Anforderung und den eingegebenen Kennwörtern gesperrt. Die Dauer der Sperre wird zudem gemäß der Wahrscheinlichkeit erhöht, dass es sich um einen Angriff handelt. Nachdem ein Kennwort 10 Mal erfolglos versucht wurde (der Standardversuchsschwellenwert), tritt eine einminütige Sperrung auf. Wenn eine Anmeldung das nächste Mal nicht erfolgreich ist, nachdem das Konto entsperrt wurde (d. h., nachdem das Konto automatisch vom Dienst entsperrt wurde, sobald der Sperrzeitraum abläuft), tritt eine weitere einminütige Sperrung auf und setzt für jede erfolglose Anmeldung fort. Die Wiederholte Eingabe desselben oder eines ähnlichen Kennworts zählt nicht als mehrere erfolglose Anmeldungen.
Hinweis
Dieses Feature wird von Benutzerflüssen, benutzerdefinierten Richtlinien und ROPC-Flüssen unterstützt. Sie ist standardmäßig aktiviert, sodass Sie sie nicht in Ihren Benutzerflüssen oder benutzerdefinierten Richtlinien konfigurieren müssen.
Entsperren von Konten
Die ersten 10 Sperrzeiträume sind eine Minute lang. Die nächsten 10 Sperrzeiträume sind etwas länger und erhöhen die Dauer nach jeder 10 Sperrzeiträume. Der Sperrzähler wird nach einer erfolgreichen Anmeldung auf Null zurückgesetzt, wenn das Konto nicht gesperrt ist. Sperrzeiträume können bis zu fünf Stunden dauern. Benutzer müssen warten, bis die Sperrdauer abläuft. Der Benutzer kann jedoch die Entsperrung mithilfe des Self-Service-Kennwort-Benutzerablaufs aufheben.
Verwalten von Einstellungen für intelligente Sperrungen
So verwalten Sie intelligente Sperreinstellungen, einschließlich des Sperrschwellenwerts:
Melden Sie sich beim Azure-Portal an.
Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
Wählen Sie im linken Menü Azure AD B2C aus. Oder wählen Sie "Alle Dienste " aus, und suchen Sie nach Azure AD B2C.
Wählen Sie unter "Sicherheit" die Authentifizierungsmethoden (Vorschau) und dann den Kennwortschutz aus.
Geben Sie unter "Benutzerdefinierte Intelligente Sperrung" Ihre gewünschten Smart Lockout-Einstellungen ein:
Sperrschwellenwert: Die Anzahl der fehlgeschlagenen Anmeldeversuche, die zulässig sind, bevor das Konto zuerst gesperrt wird. Wenn die erste Anmeldung nach einer Sperrung ebenfalls fehlschlägt, wird das Konto erneut gesperrt.
Sperrdauer in Sekunden: Die Mindestdauer jeder Sperrung in Sekunden. Wenn ein Konto wiederholt gesperrt wird, erhöht sich diese Dauer.
Festlegen des Sperrschwellenwerts auf 5 in den Kennwortschutzeinstellungen.
Wählen Sie Speichern aus.
Testen der intelligenten Sperrung
Das Smart Lockout-Feature verwendet viele Faktoren, um zu bestimmen, wann ein Konto gesperrt werden soll, aber der primäre Faktor ist das Kennwortmuster. Das Smart Lockout-Feature berücksichtigt leichte Variationen eines Kennworts als Satz und wird als einzelner Versuch gezählt. Beispiel:
- Kennwörter wie 12456! und 1234567! (oder newAccount1234 und newaccount1234) sind so ähnlich, dass der Algorithmus sie als menschlicher Fehler interpretiert und als einzelner Versuch zählt.
- Größere Variationen im Muster, z. B. 12456! und ABCD2!, werden als separate Versuche gezählt.
Verwenden Sie beim Testen der Smart Lockout-Funktion für jedes eingegebene Kennwort ein unverwechselbares Muster. Erwägen Sie die Verwendung von Web-Apps für die Kennwortgenerierung, z https://password-gen.com/
. B. .
Wenn der Schwellenwert für die intelligente Sperrung erreicht ist, wird die folgende Meldung angezeigt, während das Konto gesperrt ist: Ihr Konto ist vorübergehend gesperrt, um nicht autorisierte Verwendung zu verhindern. Versuchen Sie es später erneut. Die Fehlermeldungen können lokalisiert werden.
Hinweis
Wenn Sie Smart Lockout testen, werden Ihre Anmeldeanforderungen möglicherweise von unterschiedlichen Rechenzentren verarbeitet, da der Microsoft Entra-Authentifizierungsdienst geografisch verteilt ist und über einen Lastenausgleich verfügt. Da in diesem Szenario jedes Microsoft Entra-Rechenzentrum die Sperre unabhängig nachverfolgt, kann es mehr Versuche erfordern, als durch den Sperrschwellenwert festgelegt sind, bis eine Sperre ausgelöst wird. Ein Benutzer hat eine maximale Anzahl von (threshold_limit * datacenter_count) schlechte Versuche, bevor er vollständig gesperrt wird. Weitere Informationen finden Sie in der globalen Azure-Infrastruktur.
Anzeigen gesperrter Konten
Um Informationen zu gesperrten Konten zu erhalten, können Sie den Active Directory-Anmeldeaktivitätsbericht überprüfen. Wählen Sie unter "Status" die Option "Fehler" aus. Fehlgeschlagene Anmeldeversuche mit einem Anmeldefehlercode , der 50053
auf ein gesperrtes Konto hinweist:
Informationen zum Anzeigen des Anmeldeaktivitätsberichts in der Microsoft Entra-ID finden Sie unter Fehlercodes des Anmeldeaktivitätsberichts.