Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Benutzer erstellen häufig Kennwörter, in denen gängige Wörter mit regionalem Bezug verwendet werden, z. B. eine Schule, eine Sportmannschaft oder eine prominente Person. Diese Kennwörter sind leicht zu erraten und halten wörterbuchbasierten Angriffen oft nicht stand. Zum Erzwingen von sicheren Kennwörtern in Ihrer Organisation können Sie über die benutzerdefinierte Microsoft Entra-Liste mit gesperrten Kennwörtern bestimmte Zeichenfolgen hinzufügen, die dann überprüft und gesperrt werden. Die Anforderung einer Kennwortänderung ist nicht erfolgreich, wenn sich eine Übereinstimmung mit der benutzerdefinierten Liste mit gesperrten Kennwörtern ergibt.
In diesem Tutorial lernen Sie Folgendes:
- Aktivieren von benutzerdefinierten gesperrten Kennwörtern
- Hinzufügen von Einträgen zur benutzerdefinierten Liste mit gesperrten Kennwörtern
- Testen von Kennwortänderungen mit einem gesperrten Kennwort
Voraussetzungen
Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:
- Funktionierender Microsoft Entra-Mandant, für den mindestens eine P1-Lizenz oder eine Testlizenz für Microsoft Entra ID aktiviert ist.
- Ein Konto mit mindestens der Rolle des Authentifizierungsrichtlinienadministrators .
- Ein Nicht-Administratorbenutzer mit einem Kennwort, das Sie kennen, z. B. "Testuser". Sie testen ein Kennwortänderungsereignis, indem Sie im Rahmen des Tutorials dieses Konto nutzen.
- Wenn Sie einen Benutzer erstellen müssen, lesen Sie "Schnellstart: Hinzufügen neuer Benutzer zur Microsoft Entra-ID".
- Um den Kennwortänderungsvorgang mit einem gesperrten Kennwort zu testen, muss der Microsoft Entra-Mandant für die Self-Service-Kennwortzurücksetzung konfiguriert werden.
Was sind Listen mit gesperrten Kennwörtern?
Microsoft Entra ID enthält eine globale Liste gesperrter Kennwörter. Der Inhalt der globalen Liste mit gesperrten Kennwörtern basiert nicht auf einer externen Datenquelle. Stattdessen basiert die globale Liste mit gesperrten Kennwörtern auf den fortlaufenden Ergebnissen der Microsoft Entra-Sicherheitstelemetriedaten und -Analysen. Wenn ein Benutzer oder Administrator versucht, seine Anmeldeinformationen zu ändern oder zurückzusetzen, wird das gewünschte Kennwort anhand der Liste mit gesperrten Kennwörtern überprüft. Die Anforderung einer Kennwortänderung ist nicht erfolgreich, wenn sich eine Übereinstimmung mit der globalen Liste mit gesperrten Kennwörtern ergibt. Sie können diese globale Standardliste gesperrter Kennwörter nicht bearbeiten.
Sie können auch eine benutzerdefinierte Liste mit gesperrten Kennwörtern definieren, um flexibel festzulegen, welche Kennwörter zulässig sind. Die benutzerdefinierte Liste mit gesperrten Kennwörtern wird zusammen mit der globalen Liste mit gesperrten Kennwörtern eingesetzt, um in Ihrer Organisation die Nutzung sicherer Kennwörter zu erzwingen. Der benutzerdefinierten Liste mit gesperrten Kennwörtern können organisationsspezifische Ausdrücke hinzugefügt werden, z. B.:
- Markennamen
- Produktnamen
- Standorte, z. B. die Hauptniederlassung des Unternehmens
- Interne unternehmensspezifische Ausdrücke
- Abkürzungen mit einer bestimmten unternehmensspezifischen Bedeutung
- Monate und Wochentage mit den lokalen Sprachen Ihres Unternehmens
Wenn ein Benutzer versucht, ein Kennwort auf einen Ausdruck zurückzusetzen, der in der globalen oder benutzerdefinierten Liste mit gesperrten Kennwörtern enthalten ist, wird eine der folgenden Fehlermeldungen angezeigt:
- Ihr Kennwort ist aufgrund eines enthaltenen Worts, Ausdrucks oder Musters leider leicht zu erraten. Wiederholen Sie den Vorgang mit einem anderen Kennwort.
- Unfortunately, you can't use that password because it contains words or characters that have been blocked by your administrator. (Sie können dieses Kennwort nicht verwenden, da es Wörter oder Zeichen enthält, die vom Administrator gesperrt wurden). Wiederholen Sie den Vorgang mit einem anderen Kennwort.
Die benutzerdefinierte Liste mit gesperrten Kennwörtern ist auf maximal 1.000 Ausdrücke beschränkt. Sie ist nicht für lange Listen mit zu sperrenden Kennwörtern ausgelegt. Um die Vorteile der benutzerdefinierten Liste gesperrter Kennwörter zu maximieren, lesen Sie die Benutzerdefinierten Konzepte für gesperrte Kennwortlisten und den Algorithmus zur Kennwortauswertung.
Konfigurieren von benutzerdefinierten gesperrten Kennwörtern
Wir aktivieren die benutzerdefinierte Liste mit gesperrten Kennwörtern und fügen einige Einträge hinzu. Sie können der benutzerdefinierten Liste mit gesperrten Kennwörtern jederzeit weitere Einträge hinzufügen.
Führen Sie die folgenden Schritte aus, um die benutzerdefinierte Liste mit gesperrten Kennwörtern zu aktivieren und ihr Einträge hinzuzufügen:
Melden Sie sich mindestens als Authentifizierungsrichtlinienadministrator beim Microsoft Entra Admin Center an.
Navigieren Sie zu entra> und dann zum Kennwortschutz.
Legen Sie die Option für "Benutzerdefinierte Liste erzwingen " auf "Ja" fest.
Fügen Sie der Liste des benutzerdefinierten gesperrten Kennworts eine Zeichenfolge pro Zeile hinzu. Für die benutzerdefinierte Liste mit gesperrten Kennwörtern gelten die folgenden Aspekte und Einschränkungen:
- Die benutzerdefinierte Liste gesperrter Kennwörter kann bis zu 1.000 Ausdrücke umfassen.
- Bei der benutzerdefinierten Liste gesperrter Kennwörter wird die Groß- und Kleinschreibung nicht beachtet.
- Bei der benutzerdefinierten Liste mit gesperrten Kennwörtern wird die gängige Ersetzung von Zeichen berücksichtigt, z. B. „o“ und „0“ oder „a“ und „@“.
- Die Zeichenfolgen müssen mindestens vier und dürfen höchstens 16 Zeichen lang sein.
Geben Sie Ihre eigenen benutzerdefinierten Kennwörter an, die gesperrt werden sollen. Dies ist im folgenden Beispiel dargestellt.
Lassen Sie die Option zum Aktivieren des Kennwortschutzes unter Windows Server Active Directory auf "Nein" aus.
Um die benutzerdefinierten gesperrten Kennwörter und Ihre Einträge zu aktivieren, wählen Sie "Speichern" aus.
Es kann mehrere Stunden dauern, bis Updates der benutzerdefinierten Liste gesperrter Kennwörter angewendet werden.
Für eine Hybridumgebung können Sie auch den Kennwortschutz von Microsoft Entra in einer lokalen Umgebung bereitstellen. Für Anforderungen von Kennwortänderungen werden in der Cloud und in der lokalen Umgebung die gleichen globalen und benutzerdefinierten Listen mit gesperrten Kennwörtern verwendet.
Testen der benutzerdefinierten Liste mit gesperrten Kennwörtern
Ändern Sie ein Kennwort in eine Variante eines Kennworts, das Sie im vorherigen Abschnitt hinzugefügt haben, um die benutzerdefinierte Liste mit gesperrten Kennwörtern in Aktion zu sehen. Wenn Microsoft Entra ID versucht, die Kennwortänderung zu verarbeiten, wird das Kennwort mit einem Eintrag in der benutzerdefinierten Liste mit gesperrten Kennwörtern abgeglichen. Dem Benutzer wird dann ein Fehler angezeigt.
Hinweis
Bevor ein Benutzer sein Kennwort im webbasierten Portal zurücksetzen kann, muss der Microsoft Entra-Mandant für die Selbstbedienungs-Kennwortzurücksetzung konfiguriert werden. Bei Bedarf kann der Benutzer sich dann für SSPR registrieren unter https://aka.ms/ssprsetup.
Wechseln Sie zur Seite "Meine Apps " unter https://myapps.microsoft.com.
Wählen Sie in der oberen rechten Ecke Ihren Namen aus, und wählen Sie dann im Dropdownmenü " Profil " aus.
Wählen Sie auf der Profilseite " Kennwort ändern" aus.
Geben Sie auf der Seite "Kennwort ändern " das vorhandene (alte) Kennwort ein. Geben Sie ein neues Kennwort ein, das sich in der benutzerdefinierten Liste gesperrter Kennwörter befindet, die Sie im vorherigen Abschnitt definiert haben, und bestätigen Sie es, und wählen Sie dann "Absenden" aus.
Es wird eine Fehlermeldung mit dem Hinweis zurückgegeben, dass das Kennwort vom Administrator gesperrt wurde. Dies ist im folgenden Beispiel dargestellt:
Bereinigen von Ressourcen
Führen Sie die folgenden Schritte aus, wenn Sie die im Rahmen dieses Tutorials konfigurierte benutzerdefinierte Liste mit gesperrten Kennwörtern nicht mehr nutzen möchten:
- Melden Sie sich mindestens als Authentifizierungsrichtlinienadministrator beim Microsoft Entra Admin Center an.
- Navigieren Sie zu entra> und dann zum Kennwortschutz.
- Legen Sie die Option für "Benutzerdefinierte Liste erzwingen " auf "Nein" fest.
- Um die konfiguration für benutzerdefinierte gesperrte Kennwörter zu aktualisieren, wählen Sie "Speichern" aus.
Nächste Schritte
In diesem Tutorial haben Sie als Schutzmaßnahme für Microsoft Entra ID benutzerdefinierte Listen mit gesperrten Kennwörtern aktiviert und konfiguriert. Sie haben Folgendes gelernt:
- Aktivieren von benutzerdefinierten gesperrten Kennwörtern
- Hinzufügen von Einträgen zur benutzerdefinierten Liste mit gesperrten Kennwörtern
- Testen von Kennwortänderungen mit einem gesperrten Kennwort