Tutorial: Configurar palavras-passe personalizadas banidas para proteção de palavras-passe do Microsoft Entra

Os usuários geralmente criam senhas que usam palavras locais comuns, como escola, equipe esportiva ou pessoa famosa. Essas senhas são fáceis de adivinhar e fracas contra ataques baseados em dicionários. Para impor senhas fortes em sua organização, a lista de senhas proibidas personalizadas do Microsoft Entra permite que você adicione cadeias de caracteres específicas para avaliar e bloquear. Uma solicitação de alteração de senha falhará se houver uma correspondência na lista de senhas proibidas personalizadas.

Neste tutorial, ficará a saber como:

• Ativar palavras-passe personalizadas proibidas
• Adicionar entradas à lista de senhas proibidas personalizadas
• Testar alterações de senha com uma senha proibida

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

• Um locatário do Microsoft Entra em funcionamento com pelo menos uma ID P1 do Microsoft Entra ou uma licença de avaliação habilitada.
  • Se necessário, crie um gratuitamente.
• Uma conta com privilégios de administrador global.
• Um usuário não administrador com uma senha que você conhece, como testuser. Você testa um evento de alteração de senha usando esta conta neste tutorial.
  • Se você precisar criar um usuário, consulte Guia de início rápido: adicionar novos usuários ao ID do Microsoft Entra.
  • Para testar a operação de alteração de senha usando uma senha proibida, o locatário do Microsoft Entra deve ser configurado para redefinição de senha de autoatendimento.

O que são listas de senhas proibidas?

O Microsoft Entra ID inclui uma lista global de senhas proibidas. O conteúdo da lista global de senhas proibidas não se baseia em nenhuma fonte de dados externa. Em vez disso, a lista global de senhas proibidas é baseada nos resultados contínuos da telemetria e análise de segurança do Microsoft Entra. Quando um usuário ou administrador tenta alterar ou redefinir suas credenciais, a senha desejada é verificada em relação à lista de senhas proibidas. A solicitação de alteração de senha falhará se houver uma correspondência na lista global de senhas proibidas. Não é possível editar esta lista global padrão de senhas proibidas.

Para lhe dar flexibilidade nas palavras-passe permitidas, também pode definir uma lista de palavras-passe proibidas personalizada. A lista de senhas proibidas personalizada funciona junto com a lista global de senhas proibidas para impor senhas fortes em sua organização. Termos específicos da organização podem ser adicionados à lista de senhas proibidas personalizadas, como os seguintes exemplos:

• Nomes de marcas
• Nomes de produtos
• Locais, como a sede da empresa
• Termos internos específicos da empresa
• Abreviaturas com significado específico de empresa
• Meses e dias úteis com os idiomas locais da sua empresa

Quando um usuário tenta redefinir uma senha para algo que está na lista global ou personalizada de senhas proibidas, ele vê uma das seguintes mensagens de erro:

• Infelizmente, a sua palavra-passe contém uma palavra, frase ou padrão que torna a sua palavra-passe facilmente adivinhável. Tente novamente com uma senha diferente.
• Infelizmente, você não pode usar essa senha porque ela contém palavras ou caracteres que foram bloqueados pelo administrador. Tente novamente com uma senha diferente.

A lista de senhas personalizadas proibidas é limitada a um máximo de 1000 termos. Não foi concebido para bloquear grandes listas de palavras-passe. Para maximizar os benefícios da lista de senhas proibidas personalizadas, revise os conceitos da lista de senhas proibidas personalizadas e a visão geral do algoritmo de avaliação de senha.

Configurar palavras-passe personalizadas banidas

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Vamos ativar a lista de senhas proibidas personalizadas e adicionar algumas entradas. Você pode adicionar entradas adicionais à lista de senhas proibidas personalizadas a qualquer momento.

Para habilitar a lista de senhas proibidas personalizadas e adicionar entradas a ela, conclua as seguintes etapas:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

2. Navegue até Métodos de autenticação de proteção>e, em seguida, Proteção por senha.

3. Defina a opção Impor lista personalizada como Sim.

4. Adicione cadeias de caracteres à lista de senhas proibidas personalizadas, uma cadeia de caracteres por linha. As seguintes considerações e limitações aplicam-se à lista de senhas proibidas personalizadas:

   • A lista de senhas proibidas personalizadas pode conter até 1000 termos.
   • A lista de senhas proibidas personalizada não diferencia maiúsculas de minúsculas.
   • A lista de senhas proibidas personalizadas considera a substituição de caracteres comuns, como "o" e "0", ou "a" e "@".
   • O comprimento mínimo da cadeia de caracteres é de quatro caracteres e o máximo é de 16 caracteres.

   Especifique suas próprias senhas personalizadas para banir, como mostrado no exemplo a seguir

   

5. Deixe a opção Ativar proteção por senha no Ative Directory do Windows Server como Não.

6. Para ativar as palavras-passe personalizadas banidas e as suas entradas, selecione Guardar.

Pode levar várias horas para que as atualizações da lista de senhas proibidas personalizadas sejam aplicadas.

Para um ambiente híbrido, você também pode implantar a proteção por senha do Microsoft Entra em um ambiente local. As mesmas listas de senhas proibidas globais e personalizadas são usadas para solicitações de alteração de senha na nuvem e no local.

Testar lista de senhas proibidas personalizadas

Para ver a lista de senhas proibidas personalizada em ação, tente alterar a senha para uma variação de uma que você adicionou na seção anterior. Quando o Microsoft Entra ID tenta processar a alteração de senha, a senha é comparada com uma entrada na lista de senhas proibidas personalizadas. Um erro é então exibido para o usuário.

Nota

Antes que um usuário possa redefinir sua senha no portal baseado na Web, o locatário do Microsoft Entra deve ser configurado para redefinição de senha de autoatendimento. Se necessário, o usuário pode se registrar para SSPR em https://aka.ms/ssprsetup.

1. Vá para a página Meus Aplicativos em https://myapps.microsoft.com.

2. No canto superior direito, selecione seu nome e escolha Perfil no menu suspenso.

   

3. Na página Perfil, selecione Alterar senha.

4. Na página Alterar palavra-passe, introduza a palavra-passe existente (antiga). Introduza e confirme uma nova palavra-passe que esteja na lista de palavras-passe proibidas personalizadas que definiu na secção anterior e, em seguida, selecione Submeter.

5. É retornada uma mensagem de erro informando que a senha foi bloqueada pelo administrador, conforme mostrado no exemplo a seguir:

   

Clean up resources (Limpar recursos)

Se você não quiser mais usar a lista de senhas proibidas personalizada que configurou como parte deste tutorial, conclua as seguintes etapas:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
2. Navegue até Métodos de autenticação de proteção>e, em seguida, Proteção por senha.
3. Defina a opção para Impor lista personalizada como Não.
4. Para atualizar a configuração de senha proibida personalizada, selecione Salvar.

Próximos passos

Neste tutorial, você habilitou e configurou listas personalizadas de proteção por senha para o Microsoft Entra ID. Aprendeu a:

• Ativar palavras-passe personalizadas proibidas
• Adicionar entradas à lista de senhas proibidas personalizadas
• Testar alterações de senha com uma senha proibida

Habilite a autenticação multifator do Microsoft Entra baseada em risco