Włączanie lokalnej ochrony haseł w usłudze Azure Active Directory

Użytkownicy często tworzą hasła, które używają typowych słów lokalnych, takich jak szkoła, drużyna sportowa lub znana osoba. Te hasła są łatwe do odgadnięcia i słabe przed atakami opartymi na słowniku. Aby wymusić silne hasła w organizacji, usługa Azure Active Directory (Azure AD) Ochrona haseł zapewnia globalną i niestandardową listę zakazanych haseł. Żądanie zmiany hasła kończy się niepowodzeniem, jeśli na liście zakazanych haseł występuje dopasowanie.

Aby chronić środowisko usług lokalna usługa Active Directory Domain Services (AD DS), można zainstalować i skonfigurować ochronę haseł Azure AD do pracy z lokalnym kontrolerem domeny. W tym artykule pokazano, jak włączyć Azure AD ochronę haseł w środowisku lokalnym.

Aby uzyskać więcej informacji na temat działania ochrony haseł Azure AD w środowisku lokalnym, zobacz Jak wymusić ochronę haseł Azure AD dla Windows Server Active Directory.

Zanim rozpoczniesz

W tym artykule pokazano, jak włączyć Azure AD ochronę haseł w środowisku lokalnym. Przed ukończeniem tego artykułu zainstaluj i zarejestruj agentów serwera proxy ochrony haseł Azure AD i agentów kontrolera domeny w lokalnym środowisku usług AD DS.

Włączanie lokalnej ochrony haseł

  1. Zaloguj się do Azure Portal i przejdź doobszaru Metody> uwierzytelnianiazabezpieczeń>usługi Azure Active Directory>.

  2. Ustaw opcję Włącz ochronę haseł na Windows Server Active Directory na wartość Tak.

    Jeśli to ustawienie ma wartość Nie, wszyscy wdrożeni agenci kontrolera domeny ochrony haseł Azure AD przechodzą w tryb spoczynku, w którym wszystkie hasła są akceptowane zgodnie z rzeczywistym użyciem. Nie są wykonywane żadne działania sprawdzania poprawności, a zdarzenia inspekcji nie są generowane.

  3. Zaleca się wstępne ustawienie opcji Tryb na Inspekcja. Po zapoznaniu się z funkcją i wpływem na użytkowników w organizacji możesz przełączyć tryb na wymuszone. Aby uzyskać więcej informacji, zobacz następującą sekcję dotyczącą trybów operacji.

  4. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

    Włączanie lokalnej ochrony haseł w obszarze Metody uwierzytelniania w Azure Portal

Tryby operacyjne

Po włączeniu lokalnej Azure AD ochrony haseł można użyć trybu inspekcji lub trybu wymuszania. Zalecamy, aby początkowe wdrażanie i testowanie zawsze rozpoczynało się w trybie inspekcji. Wpisy w dzienniku zdarzeń powinny być następnie monitorowane, aby przewidzieć, czy jakiekolwiek istniejące procesy operacyjne zostaną zakłócone po włączeniu trybu wymuszania .

Tryb inspekcji

Tryb inspekcji jest przeznaczony jako sposób uruchamiania oprogramowania w trybie "what if". Każda Azure AD usługa agenta dc ochrony haseł ocenia hasło przychodzące zgodnie z aktualnie aktywnymi zasadami.

Jeśli bieżące zasady są skonfigurowane w trybie inspekcji, "złe" hasła powodują komunikaty dziennika zdarzeń, ale są przetwarzane i aktualizowane. To zachowanie jest jedyną różnicą między trybem inspekcji i wymuszania. Wszystkie inne operacje działają tak samo.

Tryb wymuszony

Tryb wymuszony jest przeznaczony jako ostateczna konfiguracja. Podobnie jak w trybie inspekcji, każda Azure AD usługa agenta dc ochrony haseł ocenia przychodzące hasła zgodnie z aktualnie aktywnymi zasadami. Po włączeniu trybu wymuszonego jest jednak odrzucane hasło uznawane za niezabezpieczone zgodnie z zasadami.

Gdy hasło zostanie odrzucone w trybie wymuszonym przez agenta kontrolera domeny ochrony haseł Azure AD, użytkownik końcowy zobaczy podobny błąd, jak gdyby hasło zostało odrzucone przez tradycyjne wymuszanie złożoności hasła lokalnego. Na przykład użytkownik może zobaczyć następujący tradycyjny komunikat o błędzie na ekranie logowania systemu Windows lub zmienić hasło:

"Nie można zaktualizować hasła. Wartość podana dla nowego hasła nie spełnia wymagań dotyczących długości, złożoności ani historii domeny".

Ten komunikat jest tylko jednym z przykładów kilku możliwych wyników. Określony komunikat o błędzie może się różnić w zależności od rzeczywistego oprogramowania lub scenariusza, który próbuje ustawić niezabezpieczone hasło.

Użytkownicy końcowi, których dotyczy problem, mogą wymagać współpracy ze swoimi pracownikami IT, aby zrozumieć nowe wymagania i wybrać bezpieczne hasła.

Uwaga

Azure AD ochrona haseł nie ma kontroli nad określonym komunikatem o błędzie wyświetlanym przez maszynę kliencką, gdy słabe hasło zostanie odrzucone.

Następne kroki

Aby dostosować listę zakazanych haseł dla organizacji, zobacz Konfigurowanie niestandardowej listy haseł ochrony haseł Azure AD.

Aby monitorować zdarzenia lokalne, zobacz Monitorowanie lokalnej ochrony haseł Azure AD.