Tutoriel : configurer des mots de passe interdits personnalisés pour la protection par mot de passe Microsoft Entra

Les utilisateurs créent souvent des mots de passe basés sur des mots locaux courants, par exemple une école, une équipe de sport ou une personne célèbre. Ces mots de passe sont faciles à deviner et offrent une faible protection contre les attaques par dictionnaire. Si vous souhaitez instaurer des mots de passe forts dans votre organisation, la liste personnalisée de mots de passe interdits Microsoft Entra vous permet d’ajouter des chaînes spécifiques à évaluer et à bloquer. Toute demande de changement de mot de passe est refusée s’il existe une correspondance dans la liste personnalisée de mots de passe interdits.

Ce didacticiel vous montre comment effectuer les opérations suivantes :

• Activer les mots de passe interdits personnalisés
• Ajouter des entrées à la liste personnalisée de mots de passe interdits
• Tester les changements de mot de passe avec un mot de passe interdit

Prérequis

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

• Un locataire Microsoft Entra opérationnel avec au moins une licence Microsoft Entra ID P1 ou disposant d’une licence d’essai gratuit activée.
  • Si nécessaire, créez-en un gratuitement.
• Un compte avec des privilèges d’administrateur général.
• Un utilisateur non-administrateur avec un mot de passe que vous connaissez, par exemple testuser. Vous devez utiliser ce compte pour tester un événement de changement de mot de passe dans ce tutoriel.
  • Si vous devez créer un utilisateur, consultez Démarrage rapide : ajouter de nouveaux utilisateurs à Microsoft Entra ID.
  • Pour permettre le test de l’opération de changement de mot de passe à l’aide d’un mot de passe interdit, le locataire Microsoft Entra doit être configuré pour la réinitialisation de mot de passe en libre-service.

Que sont les listes de mots de passe interdits ?

Microsoft Entra ID inclut une liste globale de mots de passe interdits. Le contenu de la liste globale de mots de passe interdits n’est basé sur aucune source de données externe. En fait, la liste globale de mots de passe interdits est basée sur les résultats en continu de l’analyse et de la télémétrie de sécurité Microsoft Entra. Quand un utilisateur ou un administrateur tente de changer ou de réinitialiser ses informations d’identification, le mot de passe souhaité est comparé à la liste des mots de passe interdits. La demande de changement de mot de passe n’aboutit pas, s’il existe une correspondance dans la liste globale de mots de passe interdits. Vous ne pouvez pas modifier cette liste globale de mots de passe interdits par défaut.

Pour affiner votre choix des mots de passe autorisés, vous pouvez également définir une liste personnalisée de mots de passe interdits. La liste personnalisée de mots de passe interdits fonctionne parallèlement à la liste globale de mots de passe interdits pour permettre l’instauration de mots de passe forts dans votre organisation. Vous pouvez ajouter des termes spécifiques à l’organisation dans la liste personnalisée de mots de passe interdits. En voici quelques exemples :

• Noms de marques
• Noms de produits
• Lieux, par exemple le siège social de l’entreprise
• Termes internes spécifiques à l’entreprise
• Abréviations ayant une signification spécifique dans l’entreprise
• Mois et jours de la semaine avec les langues locales de votre entreprise

Quand un utilisateur tente de réinitialiser un mot de passe en le remplaçant par un élément qui figure dans la liste globale ou personnalisée de mots de passe interdits, il voit s’afficher l’un des messages d’erreur suivants :

• Malheureusement, votre mot de passe contient un mot, une expression ou un modèle qui rend votre mot de passe facile à deviner. Réessayez avec un autre mot de passe.
• Malheureusement, vous ne pouvez pas utiliser ce mot de passe, car il contient des mots ou des caractères qui ont été bloqués par votre administrateur. Réessayez avec un autre mot de passe.

La liste personnalisée de mots de passe interdits est limitée à un maximum de 1 000 termes. Elle n’est pas conçue pour bloquer de longues listes de mots de passe. Pour optimiser les avantages de la liste personnalisée de mots de passe interdits, consultez les concepts de la liste personnalisée de mots de passe interdits et la vue d’ensemble de l’algorithme d’évaluation de mots de passe.

Configurer les mots de passe interdits personnalisés

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Activons la liste personnalisée de mots de passe interdits, et ajoutons quelques entrées. Vous pouvez ajouter des entrées à la liste personnalisée de mots de passe interdits à tout moment.

Pour activer la liste personnalisée de mots de passe interdits et y ajouter des entrées, effectuez ce qui suit :

1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

2. Accédez à Méthodes d'authentification de>protection, puis à Protection par mot de passe.

3. Affectez à l’option Appliquer la liste personnalisée la valeur Oui.

4. Ajoutez des chaînes à la liste personnalisée de mots de passe interdits, à raison d’une chaîne par ligne. Les considérations et limitations suivantes s’appliquent à la liste personnalisée de mots de passe interdits :

   • La liste de mots de passe interdits personnalisée peut contenir jusqu’à 1 000 termes.
   • La liste de mots de passe interdits personnalisée respecte la casse.
   • La liste personnalisée de mots de passe interdits prend en compte la substitution de caractères courante, par exemple « o » et « 0 », ou « a » et « @ ».
   • La longueur de chaîne minimale est de quatre caractères, et la longueur maximale est de 16 caractères.

   Spécifiez vos propres mots de passe personnalisés à interdire, comme indiqué dans l’exemple suivant

   

5. Gardez l’option Activer la protection par mot de passe sur Windows Server Active Directory avec la valeur Non.

6. Pour activer les mots de passe interdits personnalisés et vos entrées, sélectionnez Enregistrer.

L’application de la mise à jour de la liste de mots de passe interdits personnalisée peut prendre plusieurs heures.

Dans le cas d’un environnement hybride, vous pouvez également déployer la protection par mot de passe Microsoft Entra sur un environnement local. Les mêmes listes globales et personnalisées de mots de passe interdits sont utilisées pour les demandes de changement de mot de passe cloud et en local.

Tester la liste personnalisée de mots de passe interdits

Pour voir la liste personnalisée de mots de passe interdits en action, essayez de remplacer le mot de passe par une variante de celui que vous avez ajouté au cours de la section précédente. Lorsque Microsoft Entra ID tente de traiter le changement de mot de passe, ce dernier est mis en correspondance avec une entrée de la liste personnalisée de mots de passe interdits. Dans ce cas, l’utilisateur voit s’afficher une erreur.

Remarque

Pour qu’un utilisateur puisse réinitialiser son mot de passe dans le portail web, le locataire Microsoft Entra doit être configuré pour la réinitialisation de mot de passe en libre-service. Si nécessaire, l’utilisateur peut s’inscrire à la réinitialisation de mot de passe en libre-service (SSPR)https://aka.ms/ssprsetup.

1. Accédez à la page Mes applications sur https://myapps.microsoft.com.

2. En haut à droite, sélectionnez votre nom, puis choisissez Profil dans le menu déroulant.

   

3. Dans la page Profil, sélectionnez Changer le mot de passe.

4. Dans la page Changer le mot de passe, entrez le mot de passe existant (ancien). Entrez et confirmez un nouveau mot de passe figurant dans la liste personnalisée de mots de passe interdits que vous avez définie dans la section précédente, puis sélectionnez Soumettre.

5. Un message d’erreur vous indique que le mot de passe a été bloqué par l’administrateur, comme indiqué dans l’exemple suivant :

   

Nettoyer les ressources

Si vous ne souhaitez plus utiliser la liste personnalisée de mots de passe interdits que vous avez configurée dans le cadre de ce tutoriel, effectuez ce qui suit :

1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.
2. Accédez à Méthodes d'authentification de>protection, puis à Protection par mot de passe.
3. Affectez à l’option Appliquer la liste personnalisée la valeur Non.
4. Pour mettre à jour la configuration personnalisée des mots de passe interdits, sélectionnez Enregistrer.

Étapes suivantes

Au cours de ce tutoriel, vous avez activé et configuré des listes personnalisées de mots de passe interdits dans le cadre de la protection par mot de passe pour Microsoft Entra ID. Vous avez appris à :

• Activer les mots de passe interdits personnalisés
• Ajouter des entrées à la liste personnalisée de mots de passe interdits
• Tester les changements de mot de passe avec un mot de passe interdit

Activer l’authentification multifacteur basée sur le risque Microsoft Entra