Tutorial: Mengonfigurasi kata sandi terlarang kustom untuk proteksi kata sandi Microsoft Entra

Pengguna sering membuat kata sandi yang menggunakan kata-kata lokal umum seperti sekolah, tim olahraga, atau orang terkenal. Kata sandi ini mudah ditebak, dan lemah terhadap serangan berbasis kamus. Untuk menerapkan kata sandi yang kuat di organisasi Anda, daftar kata sandi terlarang kustom Microsoft Entra memungkinkan Anda menambahkan string tertentu untuk dievaluasi dan diblokir. Permintaan perubahan kata sandi akan gagal jika ada kecocokan dalam daftar kata sandi terlarang kustom.

Dalam tutorial ini, Anda akan mempelajari cara:

• Mengaktifkan kata sandi terlarang kustom
• Menambahkan entri ke daftar kata sandi terlarang kustom
• Menguji perubahan kata sandi dengan kata sandi terlarang

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

• Penyewa Microsoft Entra yang berfungsi dengan setidaknya Microsoft Entra ID P1 atau lisensi uji coba diaktifkan.
  • Jika perlu, buat secara gratis.
• Akun dengan hak istimewa administrator global.
• Pengguna non-administrator dengan kata sandi yang Anda kenal, seperti testuser. Anda dapat menguji peristiwa perubahan kata sandi menggunakan akun ini dalam tutorial ini.
  • Jika Anda perlu membuat pengguna, lihat Mulai Cepat: Menambahkan pengguna baru ke ID Microsoft Entra.
  • Untuk menguji operasi perubahan kata sandi menggunakan kata sandi yang dilarang, penyewa Microsoft Entra harus dikonfigurasi untuk pengaturan ulang kata sandi mandiri.

Apa itu daftar kata sandi terlarang?

ID Microsoft Entra menyertakan daftar kata sandi terlarang global. Konten daftar kata sandi terlarang global tidak didasarkan pada sumber data eksternal apa pun. Sebaliknya, daftar kata sandi terlarang global didasarkan pada hasil telemetri dan analisis keamanan Microsoft Entra yang sedang berlangsung. Jika pengguna atau administrator mencoba mengubah atau mengatur info masuk mereka, kata sandi yang dikehendaki akan diperiksa untuk mengetahui daftar kata sandi terlarang. Permintaan perubahan kata sandi akan gagal jika ada kecocokan dalam daftar kata sandi terlarang global. Anda tidak dapat mengedit daftar kata sandi terlarang global default ini.

Untuk memberi Anda fleksibilitas dalam kata sandi apa yang diizinkan, Anda juga dapat menentukan daftar kata sandi terlarang kustom. Daftar kata sandi terlarang kustom ini berfungsi bersama daftar kata sandi terlarang global untuk menerapkan kata sandi kuat di organisasi Anda. Istilah khusus organisasi dapat ditambahkan ke daftar kata sandi terlarang kustom, seperti contoh berikut:

• Nama merek
• Nama produk
• Lokasi, seperti kantor pusat perusahaan
• Istilah internal khusus perusahaan
• Singkatan yang memiliki arti perusahaan tertentu
• Bulan dan hari kerja dengan bahasa lokal perusahaan Anda

Saat pengguna mencoba mengatur ulang kata sandi ke sesuatu yang tercantum dalam daftar kata sandi terlarang kustom atau global, mereka akan melihat salah satu pesan kesalahan berikut:

• Sayangnya, kata sandi Anda mengandung kata, frasa, atau pola yang membuat kata sandi Anda mudah ditebak. Silakan coba lagi dengan kata sandi yang berbeda.
• Sayangnya, Anda tidak dapat menggunakan kata sandi tersebut karena berisi kata atau karakter yang telah diblokir oleh administrator Anda. Silakan coba lagi dengan kata sandi yang berbeda.

Daftar kata sandi terlarang kustom dibatasi hingga maksimum 1000 istilah. Daftar ini tidak dirancang untuk memblokir daftar kata sandi besar. Untuk mengoptimalkan daftar kata sandi terlarang kustom, tinjau konsep daftar kata sandi terlarang kustom dan ringkasan algoritma evaluasi kata sandi.

Mengonfigurasi kata sandi terlarang kustom

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Mari kita aktifkan daftar kata sandi terlarang kustom dan tambahkan beberapa entri. Anda dapat menambahkan entri tambahan ke daftar kata sandi terlarang kustom kapan saja.

Untuk mengaktifkan daftar kata sandi terlarang kustom dan menambahkan entri ke dalamnya, selesaikan langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.

2. Telusuri metode Autentikasi Perlindungan>, lalu Perlindungan kata sandi.

3. Atur opsi untuk Terapkan daftar kustom ke Ya.

4. Tambahkan string ke Daftar kata sandi terlarang kustom, satu string per baris. Pertimbangan dan batasan berikut berlaku untuk daftar kata sandi terlarang kustom:

   • Daftar kata sandi terlarang kustom dapat berisi hingga 1000 istilah.
   • Daftar kata sandi terlarang kustom tidak peka huruf besar/kecil.
   • Daftar kata sandi terlarang kustom mempertimbangkan penggantian karakter umum, seperti "o" dan "0", atau "a" dan "@".
   • Panjang string minimum adalah empat karakter, dan maksimum adalah 16 karakter.

   Tentukan kata sandi kustom Anda sendiri untuk di dilarang, seperti yang diperlihatkan dalam contoh berikut

   

5. Biarkan opsi untuk Aktifkan proteksi sandi di Active Directory lokal ke Tidak.

6. Untuk mengaktifkan kata sandi terlarang kustom dan entri Anda, pilih Simpan.

Mungkin diperlukan waktu beberapa jam agar pembaruan pada daftar kata sandi terlarang kustom dapat diterapkan.

Untuk lingkungan hibrid, Anda juga dapat menyebarkan perlindungan kata sandi Microsoft Entra ke lingkungan lokal. Daftar kata sandi terlarang kustom dan global yang sama digunakan untuk permintaan perubahan kata sandi lokal dan cloud.

Menguji daftar kata sandi terlarang kustom

Untuk melihat cara kerja daftar kata sandi terlarang kustom, coba ubah kata sandi ke variasi kata sandi yang Anda tambahkan di bagian sebelumnya. Ketika ID Microsoft Entra mencoba memproses perubahan kata sandi, kata sandi dicocokkan dengan entri dalam daftar kata sandi terlarang kustom. Kesalahan akan ditampilkan kepada pengguna.

Catatan

Sebelum pengguna dapat mengatur ulang kata sandi mereka di portal berbasis web, penyewa Microsoft Entra harus dikonfigurasi untuk pengaturan ulang kata sandi layanan mandiri. Jika perlu, pengguna kemudian dapat mendaftar ke SSPR di https://aka.ms/ssprsetup.

1. Buka halaman Aplikasi Saya di https://myapps.microsoft.com.

2. Di pojok kanan atas, pilih nama Anda, lalu pilih Profil dari menu drop-down.

   

3. Di halaman Profil, pilih Ubah kata sandi.

4. Di halaman Ubah kata sandi, masukkan kata sandi yang sudah ada (lama). Masukkan dan konfirmasi kata sandi baru yang ada dalam daftar kata sandi terlarang kustom yang ditentukan di bagian sebelumnya, lalu pilih Kirim.

5. Pesan kesalahan ditampilkan yang memberi tahu Anda bahwa kata sandi telah diblokir oleh administrator, seperti yang diperlihatkan dalam contoh berikut:

   

Membersihkan sumber daya

Jika Anda tidak ingin lagi menggunakan daftar kata sandi terlarang kustom yang telah dikonfigurasi sebagai bagian dari tutorial ini, selesaikan langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.
2. Telusuri metode Autentikasi Perlindungan>, lalu Perlindungan kata sandi.
3. Atur opsi untuk Terapkan daftar kustom ke Tidak.
4. Untuk memperbarui konfigurasi kata sandi terlarang kustom, pilih Simpan.

Langkah berikutnya

Dalam tutorial ini, Anda mengaktifkan dan mengonfigurasi daftar perlindungan kata sandi kustom untuk ID Microsoft Entra. Anda mempelajari cara untuk:

• Mengaktifkan kata sandi terlarang kustom
• Menambahkan entri ke daftar kata sandi terlarang kustom
• Menguji perubahan kata sandi dengan kata sandi terlarang

Mengaktifkan autentikasi multifaktor Microsoft Entra berbasis risiko