Samouczek: konfigurowanie niestandardowych zabronionych haseł na potrzeby ochrony haseł w usłudze Microsoft Entra

Użytkownicy często tworzą hasła, które używają typowych słów lokalnych, takich jak szkoła, drużyna sportowa lub sławna osoba. Te hasła są łatwe do odgadnięcia i słabe w przypadku ataków opartych na słowniku. Aby wymusić silne hasła w organizacji, lista niestandardowych zakazanych haseł firmy Microsoft umożliwia dodawanie określonych ciągów do oceny i blokowania. Żądanie zmiany hasła kończy się niepowodzeniem, jeśli na niestandardowej liście zakazanych haseł występuje dopasowanie.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

• Włączanie niestandardowych zakazanych haseł
• Dodawanie wpisów do niestandardowej listy zakazanych haseł
• Testowanie zmian haseł przy użyciu zakazanego hasła

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

• Działająca dzierżawa firmy Microsoft Entra z włączoną licencją microsoft Entra ID P1 lub wersji próbnej.
  • W razie potrzeby utwórz je bezpłatnie.
• Konto z uprawnieniami administratora globalnego.
• Użytkownik niebędący administratorem z hasłem, na przykład testuser. Przetestujesz zdarzenie zmiany hasła przy użyciu tego konta w tym samouczku.
  • Jeśli musisz utworzyć użytkownika, zobacz Szybki start: Dodawanie nowych użytkowników do identyfikatora Entra firmy Microsoft.
  • Aby przetestować operację zmiany hasła przy użyciu zakazanego hasła, dzierżawa firmy Microsoft Entra musi być skonfigurowana do samoobsługowego resetowania hasła.

Co to są listy zakazanych haseł?

Identyfikator entra firmy Microsoft zawiera globalną listę zakazanych haseł. Zawartość globalnej listy zakazanych haseł nie jest oparta na żadnym zewnętrznym źródle danych. Zamiast tego globalna lista zakazanych haseł jest oparta na bieżących wynikach telemetrii i analizy zabezpieczeń firmy Microsoft Entra. Gdy użytkownik lub administrator spróbuje zmienić lub zresetować swoje poświadczenia, żądane hasło jest sprawdzane względem listy zakazanych haseł. Żądanie zmiany hasła kończy się niepowodzeniem, jeśli na globalnej liście zakazanych haseł występuje dopasowanie. Nie można edytować tej domyślnej globalnej listy zakazanych haseł.

Aby zapewnić elastyczność definiowania dozwolonych haseł, można również zdefiniować niestandardową listę zakazanych haseł. Niestandardowa lista zakazanych haseł działa obok globalnej listy zakazanych haseł, aby wymusić silne hasła w organizacji. Terminy specyficzne dla organizacji można dodać do niestandardowej listy zakazanych haseł, takich jak następujące przykłady:

• Marki
• Nazwy produktów
• Lokalizacje, takie jak siedziba firmy
• Wewnętrzne warunki specyficzne dla firmy
• Skróty, które mają określone znaczenie firmy
• Miesiące i dni robocze z lokalnymi językami firmy

Gdy użytkownik próbuje zresetować hasło do czegoś, co znajduje się na globalnej lub niestandardowej liście zakazanych haseł, zobaczy jeden z następujących komunikatów o błędach:

• Niestety hasło zawiera słowo, frazę lub wzorzec, który ułatwia odgadywanie hasła. Spróbuj ponownie przy użyciu innego hasła.
• Niestety, nie można użyć tego hasła, ponieważ zawiera on słowa lub znaki, które zostały zablokowane przez administratora. Spróbuj ponownie przy użyciu innego hasła.

Niestandardowa lista zakazanych haseł jest ograniczona do maksymalnie 1000 terminów. Nie jest przeznaczony do blokowania dużych list haseł. Aby zmaksymalizować zalety niestandardowej listy zakazanych haseł, zapoznaj się z omówieniem niestandardowych pojęć listy zakazanych haseł i algorytmu oceny haseł.

Konfigurowanie niestandardowych haseł zabronionych

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Włączmy niestandardową listę zakazanych haseł i dodajmy niektóre wpisy. W dowolnym momencie możesz dodać dodatkowe wpisy do niestandardowej listy zakazanych haseł.

Aby włączyć niestandardową listę zakazanych haseł i dodać do niej wpisy, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zasad uwierzytelniania.

2. Przejdź do opcji Metody uwierzytelniania ochrony>, a następnie pozycję Ochrona haseł.

3. Ustaw opcję Wymuszaj listę niestandardową na Tak.

4. Dodaj ciągi do listy Niestandardowe zakazane hasło, jeden ciąg na wiersz. Następujące zagadnienia i ograniczenia dotyczą niestandardowej listy zakazanych haseł:

   • Niestandardowa lista zakazanych haseł może zawierać maksymalnie 1000 terminów.
   • Niestandardowa lista zakazanych haseł jest niewrażliwa na wielkość liter.
   • Niestandardowa lista zakazanych haseł uwzględnia podstawianie wspólnych znaków, takie jak "o" i "0" lub "a" i "@".
   • Minimalna długość ciągu to cztery znaki, a maksymalna długość to 16 znaków.

   Określ własne niestandardowe hasła do zablokowania, jak pokazano w poniższym przykładzie

   

5. Pozostaw opcję Włącz ochronę haseł w usłudze Active Directory systemu Windows Server na nie.

6. Aby włączyć niestandardowe zakazane hasła i wpisy, wybierz pozycję Zapisz.

Zastosowanie niestandardowej listy zakazanych haseł może potrwać kilka godzin.

W przypadku środowiska hybrydowego można również wdrożyć ochronę haseł firmy Microsoft w środowisku lokalnym. Te same globalne i niestandardowe listy zakazanych haseł są używane zarówno dla żądań zmiany haseł w chmurze, jak i lokalnych.

Testowanie niestandardowej listy zakazanych haseł

Aby wyświetlić niestandardową listę haseł zakazanych w działaniu, spróbuj zmienić hasło na odmianę hasła, która została dodana w poprzedniej sekcji. Gdy identyfikator entra firmy Microsoft próbuje przetworzyć zmianę hasła, hasło jest dopasowywane do wpisu na niestandardowej liście zakazanych haseł. Następnie użytkownikowi zostanie wyświetlony komunikat o błędzie.

Uwaga

Aby użytkownik mógł zresetować swoje hasło w portalu internetowym, należy skonfigurować dzierżawę firmy Microsoft Entra na potrzeby samoobsługowego resetowania hasła. W razie potrzeby użytkownik może zarejestrować się w usłudze samoobsługowego resetowania hasła pod adresem https://aka.ms/ssprsetup.

1. Przejdź do strony Moje aplikacje pod adresem https://myapps.microsoft.com.

2. W prawym górnym rogu wybierz swoją nazwę, a następnie wybierz pozycję Profil z menu rozwijanego.

   

3. Na stronie Profil wybierz pozycję Zmień hasło.

4. Na stronie Zmienianie hasła wprowadź istniejące (stare) hasło. Wprowadź i potwierdź nowe hasło, które znajduje się na niestandardowej liście zakazanych haseł zdefiniowanych w poprzedniej sekcji, a następnie wybierz pozycję Prześlij.

5. Zostanie zwrócony komunikat o błędzie informujący o zablokowaniu hasła przez administratora, jak pokazano w poniższym przykładzie:

   

Czyszczenie zasobów

Jeśli nie chcesz już używać niestandardowej listy zakazanych haseł skonfigurowanych w ramach tego samouczka, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zasad uwierzytelniania.
2. Przejdź do opcji Metody uwierzytelniania ochrony>, a następnie pozycję Ochrona haseł.
3. Ustaw opcję Wymuszaj listę niestandardową na Nie.
4. Aby zaktualizować niestandardową konfigurację zakazanych haseł, wybierz pozycję Zapisz.

Następne kroki

W tym samouczku włączono i skonfigurowano niestandardowe listy ochrony haseł dla identyfikatora Entra firmy Microsoft. W tym samouczku omówiono:

• Włączanie niestandardowych zakazanych haseł
• Dodawanie wpisów do niestandardowej listy zakazanych haseł
• Testowanie zmian haseł przy użyciu zakazanego hasła

Włączanie uwierzytelniania wieloskładnikowego firmy Microsoft opartego na ryzyku