Zelfstudie: Aangepaste verboden wachtwoorden configureren voor Microsoft Entra-wachtwoordbeveiliging

Gebruikers maken vaak wachtwoorden waarin woorden voorkomen die lokaal veel worden gebruikt, zoals de naam van een school, een sportvereniging of een beroemde persoon. Deze wachtwoorden zijn gemakkelijk te raden en zijn slecht bestand tegen zogenaamde woordenboekaanvallen. Als u sterke wachtwoorden in uw organisatie wilt afdwingen, kunt u in de aangepaste lijst met verboden wachtwoorden van Microsoft Entra specifieke tekenreeksen toevoegen om deze te evalueren en te blokkeren. Een aanvraag voor het wijzigen van een wachtwoord mislukt als er een match is met de aangepaste lijst met verboden wachtwoorden.

In deze zelfstudie leert u het volgende:

• Een aangepaste lijst met verboden wachtwoorden inschakelen
• Vermeldingen toevoegen aan de aangepaste lijst met verboden wachtwoorden
• Wachtwoordwijzigingen test met een verboden wachtwoord

Vereisten

Voor het voltooien van deze zelfstudie hebt u de volgende resources en machtigingen nodig:

• Een werkende Microsoft Entra-tenant waarvoor ten minste een Microsoft Entra ID P1 of proeflicentie is ingeschakeld.
  • Maak er gratis een indien nodig.
• Een account met de bevoegdheden van een globale beheerder.
• Een niet-beheerder met een wachtwoord dat u kent, zoals testuser. U gaat dit account gebruiken in deze zelfstudie om een wachtwoordwijziging te testen.
  • Als u een gebruiker wilt maken, raadpleegt u quickstart: Nieuwe gebruikers toevoegen aan Microsoft Entra-id.
  • Als u de bewerking voor wachtwoordwijziging wilt testen met behulp van een verboden wachtwoord, moet de Microsoft Entra-tenant worden geconfigureerd voor selfservice voor wachtwoordherstel.

Wat zijn lijsten met verboden wachtwoorden?

Microsoft Entra ID bevat een algemene lijst met verboden wachtwoorden. De inhoud van deze lijst is niet gebaseerd op een externe gegevensbron, In plaats daarvan is de algemene lijst met verboden wachtwoorden gebaseerd op de lopende resultaten van microsoft Entra-beveiligingstelemetrie en -analyse. Wanneer een gebruiker of beheerder probeert zijn of haar referenties te wijzigen of opnieuw in te stellen, wordt het nieuwe wachtwoord gecontroleerd aan de hand van de lijst met verboden wachtwoorden. De aanvraag voor het wijzigen van het wachtwoord mislukt als er een match is met de algemene lijst met verboden wachtwoorden. U kunt deze standaardlijst met verboden wachtwoorden niet aanpassen.

Om u flexibiliteit te geven bij het weigeren van bepaalde wachtwoorden, kunt u ook een aangepaste lijst met verboden wachtwoorden definiëren. Deze aangepaste lijst wordt naast de algemene lijst met verboden wachtwoorden gebruikt om sterke wachtwoord af te dwingen in uw organisatie. Organisatiespecifieke termen kunnen worden toegevoegd aan de aangepaste lijst met verboden wachtwoorden. Enkele voorbeelden:

• Merknamen
• Productnamen
• Locaties, zoals het hoofdkantoor van het bedrijf
• Bedrijfsspecifieke interne termen
• Afkortingen met een specifieke betekenis binnen het bedrijf
• Maanden en weekdagen met de lokale talen van uw bedrijf

Wanneer gebruikers proberen een nieuw wachtwoord in te stellen dat overeenkomt met een vermelding in de algemene of aangepaste lijst met verboden wachtwoorden, zien ze een foutbericht van deze strekking:

• Uw wachtwoord bevat een woord, woordgroep of patroon waardoor het wachtwoord gemakkelijk te raden is. Probeer het opnieuw met een ander wachtwoord.
• U kunt dat wachtwoord niet gebruiken omdat het woorden of tekens bevat die door uw beheerder zijn geblokkeerd. Probeer het opnieuw met een ander wachtwoord.

De aangepaste lijst met verboden wachtwoorden kan maximaal 1000 termen bevatten. De lijst is niet bedoeld om hele grote aantallen wachtwoorden te blokkeren. Lees de onderwerpen over de concepten van de aangepaste lijst met verboden wachtwoorden en het overzicht van het algoritme voor wachtwoordevaluatie om optimaal gebruik te maken van de aangepaste lijst met verboden wachtwoorden.

Aangepaste verboden wachtwoorden configureren

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Laten we de aangepaste lijst met verboden wachtwoorden inschakelen en enkele woorden toevoegen. U kunt op ieder moment aanvullende vermeldingen toevoegen aan de aangepaste lijst met verboden wachtwoorden.

Voer de volgende stappen uit om de aangepaste lijst met verboden wachtwoorden in te schakelen en vermeldingen toe te voegen:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleid Beheer istrator.

2. Blader naar >beveiligingsverificatiemethoden en vervolgens wachtwoordbeveiliging.

3. Stel Aangepaste lijst afdwingen in op Ja.

4. Voeg tekenreeksen toe aan het vak Aangepaste lijst met verboden wachtwoorden, één tekenreeks per regel. De volgende overwegingen en beperkingen zijn van toepassing op de aangepaste lijst met verboden wachtwoorden:

   • De aangepaste lijst met verboden wachtwoorden kan maximaal 1000 termen bevatten.
   • De aangepaste lijst met verboden wachtwoorden is niet hoofdlettergevoelig.
   • De aangepaste lijst met verboden wachtwoorden ondersteunt het vervangen van veelvoorkomende tekens, zoals 'o' en '0' of 'a' en '@'.
   • De minimumlengte van een tekenreeks is vier tekens en de maximumlengte is 16 tekens.

   Geef de woorden op die u wilt verbieden in wachtwoorden, zoals wordt weergegeven in het volgende voorbeeld:

   

5. Laat de optie Wachtwoordbeveiliging op Windows Server Active Directory inschakelen op Nee staan.

6. Selecteer Opslaan om de aangepaste lijst met verboden wachtwoorden in te schakelen.

Het kan enkele uren duren voordat wijzigingen in de aangepaste lijst met verboden wachtwoorden zijn doorgevoerd.

Voor een hybride omgeving kunt u microsoft Entra-wachtwoordbeveiliging ook implementeren in een on-premises omgeving. Bij de evaluatie van aanvragen voor het wijzigen van wachtwoorden worden voor zowel de cloud als on-premises dezelfde algemene en aangepaste lijsten met verboden wachtwoorden gebruikt.

Aangepaste lijst met verboden wachtwoorden testen

Als u de aangepaste lijst met verboden wachtwoorden in actie wilt zien, probeert u uw wachtwoord te wijzigen in een variant die u in de vorige sectie hebt toegevoegd. Wanneer Microsoft Entra ID de wachtwoordwijziging probeert te verwerken, wordt het wachtwoord vergeleken met een vermelding in de aangepaste lijst met verboden wachtwoorden. Vervolgens wordt er een fout weergegeven aan de gebruiker.

Notitie

Voordat een gebruiker het wachtwoord opnieuw kan instellen in de webportal, moet de Microsoft Entra-tenant worden geconfigureerd voor selfservice voor wachtwoordherstel. Indien nodig kan de gebruiker zich dan registreren voor SSPR op https://aka.ms/ssprsetup.

1. Ga naar de pagina Mijn apps op https://myapps.microsoft.com.

2. Selecteer in de rechterbovenhoek uw naam en kies Profiel in het vervolgkeuzemenu.

   

3. Selecteer op de pagina Profiel de optie Wachtwoord wijzigen.

4. Voer op de pagina Wachtwoord wijzigen het bestaande (oude) wachtwoord in. Voer een nieuw wachtwoord in dat op de aangepaste lijst met verboden wachtwoorden staat die u in de vorige sectie hebt gedefinieerd en bevestig dit. Selecteer vervolgens verzenden.

5. Er wordt een foutbericht weergegeven met de mededeling dat het wachtwoord is geblokkeerd door de beheerder, zoals in het volgende voorbeeld:

   

Resources opschonen

Als u geen gebruik meer wilt maken van de aangepaste lijst met verboden wachtwoorden die u als onderdeel van deze zelfstudie hebt geconfigureerd, voert u de volgende stappen uit:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleid Beheer istrator.
2. Blader naar >beveiligingsverificatiemethoden en vervolgens wachtwoordbeveiliging.
3. Stel Aangepaste lijst afdwingen in op Nee.
4. Als u de configuratie voor aangepaste verboden wachtwoorden wilt bijwerken, selecteert u Opslaan.

Volgende stappen

In deze zelfstudie hebt u aangepaste lijsten voor wachtwoordbeveiliging voor Microsoft Entra-id ingeschakeld en geconfigureerd. U hebt geleerd hoe u:

• Een aangepaste lijst met verboden wachtwoorden inschakelen
• Vermeldingen toevoegen aan de aangepaste lijst met verboden wachtwoorden
• Wachtwoordwijzigingen test met een verboden wachtwoord

Op risico gebaseerde Microsoft Entra-verificatie met meerdere factoren inschakelen