Włączanie lokalnej ochrony hasłem Microsoft Entra

  • Artykuł

Użytkownicy często tworzą hasła, które używają typowych słów lokalnych, takich jak szkoła, drużyna sportowa lub sławna osoba. Te hasła są łatwe do odgadnięcia i słabe w przypadku ataków opartych na słowniku. Aby wymusić silne hasła w organizacji, usługa Microsoft Entra Password Protection udostępnia globalną i niestandardową listę zakazanych haseł. Żądanie zmiany hasła kończy się niepowodzeniem, jeśli na liście zakazanych haseł występuje dopasowanie.

Aby chronić środowisko usług lokalna usługa Active Directory Domain Services (AD DS), możesz zainstalować i skonfigurować ochronę haseł firmy Microsoft w celu pracy z lokalnym kontrolerem domeny. W tym artykule pokazano, jak włączyć ochronę haseł firmy Microsoft dla środowiska lokalnego.

Aby uzyskać więcej informacji na temat sposobu działania ochrony haseł w usłudze Microsoft Entra w środowisku lokalnym, zobacz Jak wymusić ochronę haseł firmy Microsoft dla usługi Active Directory systemu Windows Server.

Zanim rozpoczniesz

W tym artykule pokazano, jak włączyć ochronę haseł firmy Microsoft dla środowiska lokalnego. Przed ukończeniem tego artykułu zainstaluj i zarejestruj usługę proxy ochrony haseł firmy Microsoft i agentów kontrolera domeny w lokalnym środowisku usług AD DS.

Włączanie lokalnej ochrony haseł

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator uwierzytelniania.

  2. Przejdź do strony Ochrona>metod>uwierzytelniania Ochrona haseł.

  3. Ustaw opcję Włącz ochronę haseł w usłudze Active Directory systemu Windows Server na wartość Tak.

    Jeśli to ustawienie ma wartość Nie, wszyscy wdrożeni agenci dc ochrony haseł firmy Microsoft przechodzą w tryb spoczynku, w którym wszystkie hasła są akceptowane zgodnie z rzeczywistym użyciem. Nie są wykonywane żadne działania weryfikacji poprawności, a zdarzenia inspekcji nie są generowane.

  4. Zaleca się wstępne ustawienie trybu na Inspekcja. Po zapoznaniu się z funkcją i wpływem na użytkowników w organizacji możesz przełączyć tryb na wymuszone. Aby uzyskać więcej informacji, zobacz następującą sekcję dotyczącą trybów operacji.

  5. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

    Enable on-premises password protection under Authentication Methods in the Microsoft Entra admin center

Tryby działania

Po włączeniu lokalnej ochrony haseł firmy Microsoft można użyć trybu inspekcji lub trybu wymuszania . Zalecamy, aby początkowe wdrażanie i testowanie zawsze rozpoczynało się w trybie inspekcji. Wpisy w dzienniku zdarzeń powinny być następnie monitorowane, aby przewidzieć, czy jakiekolwiek istniejące procesy operacyjne będą zakłócane po włączeniu trybu wymuszania .

Tryb inspekcji

Tryb inspekcji jest przeznaczony jako sposób uruchamiania oprogramowania w trybie "what if". Każda usługa agenta dc ochrony haseł firmy Microsoft ocenia hasło przychodzące zgodnie z aktualnie aktywnymi zasadami.

Jeśli bieżące zasady są skonfigurowane tak, aby były w trybie inspekcji, "złe" hasła powodują komunikaty dziennika zdarzeń, ale są przetwarzane i aktualizowane. To zachowanie jest jedyną różnicą między trybem inspekcji i wymuszania. Wszystkie inne operacje działają tak samo.

Tryb wymuszony

Tryb wymuszony jest przeznaczony jako ostateczna konfiguracja. Podobnie jak w trybie inspekcji, każda usługa agenta DC ochrony haseł firmy Microsoft ocenia przychodzące hasła zgodnie z aktualnie aktywnymi zasadami. W przypadku włączenia trybu wymuszonego hasło uznawane za niezabezpieczone zgodnie z zasadami jest odrzucane.

Gdy hasło zostanie odrzucone w trybie wymuszonym przez agenta kontrolera domeny ochrony haseł firmy Microsoft, użytkownik końcowy zobaczy podobny błąd, jak gdyby hasło zostało odrzucone przez tradycyjne lokalne wymuszanie złożoności hasła. Na przykład użytkownik może zobaczyć następujący tradycyjny komunikat o błędzie na ekranie logowania systemu Windows lub zmienić hasło:

"Nie można zaktualizować hasła. Wartość podana dla nowego hasła nie spełnia wymagań dotyczących długości, złożoności ani historii domeny".

Ten komunikat jest tylko jednym przykładem kilku możliwych wyników. Określony komunikat o błędzie może się różnić w zależności od rzeczywistego oprogramowania lub scenariusza, który próbuje ustawić niezabezpieczone hasło.

Użytkownicy końcowi, których dotyczy problem, mogą potrzebować współpracy ze swoimi pracownikami IT, aby zrozumieć nowe wymagania i wybrać bezpieczne hasła.

Uwaga

Usługa Microsoft Entra Password Protection nie ma kontroli nad określonym komunikatem o błędzie wyświetlanym przez komputer kliencki, gdy słabe hasło zostanie odrzucone.

Następne kroki

Aby dostosować listę zakazanych haseł dla organizacji, zobacz Konfigurowanie niestandardowej listy haseł zabronionych przez firmę Microsoft ochrony haseł.

Aby monitorować zdarzenia lokalne, zobacz Monitorowanie lokalnej ochrony haseł firmy Microsoft.