Självstudie: Konfigurera anpassade förbjudna lösenord för Microsoft Entra-lösenordsskydd
Användare skapar ofta lösenord som använder vanliga lokala ord, till exempel en skola, ett idrottslag eller en känd person. Dessa lösenord är lätta att gissa och svaga mot ordlistebaserade attacker. Om du vill framtvinga starka lösenord i din organisation kan du med microsoft Entras anpassade lista över förbjudna lösenord lägga till specifika strängar för att utvärdera och blockera. En begäran om lösenordsändring misslyckas om det finns en matchning i listan över anpassade förbjudna lösenord.
I den här självstudiekursen får du lära du dig att:
- Aktivera anpassade förbjudna lösenord
- Lägga till poster i listan över anpassade förbjudna lösenord
- Testa lösenordsändringar med ett förbjudet lösenord
Förutsättningar
För att slutföra den här självstudien behöver du följande resurser och behörigheter:
- En fungerande Microsoft Entra-klient med minst en Microsoft Entra ID P1- eller utvärderingslicens aktiverad.
- Skapa en kostnadsfritt om det behövs.
- Ett konto med minst rollen Administratör för autentiseringsprincip.
- En icke-administratörsanvändare med ett lösenord som du känner till, till exempel testuser. Du testar en händelse för lösenordsändring med det här kontot i den här självstudien.
- Om du behöver skapa en användare kan du läsa Snabbstart: Lägga till nya användare i Microsoft Entra-ID.
- För att testa åtgärden för lösenordsändring med ett förbjudet lösenord måste Microsoft Entra-klienten konfigureras för självbetjäning av lösenordsåterställning.
Vad är listor över förbjudna lösenord?
Microsoft Entra-ID innehåller en global lista över förbjudna lösenord. Innehållet i den globala listan över förbjudna lösenord baseras inte på någon extern datakälla. I stället baseras den globala listan över förbjudna lösenord på de pågående resultaten av Microsoft Entra-säkerhetstelemetri och analys. När en användare eller administratör försöker ändra eller återställa sina autentiseringsuppgifter kontrolleras det önskade lösenordet mot listan över förbjudna lösenord. Begäran om lösenordsändring misslyckas om det finns en matchning i den globala listan över förbjudna lösenord. Du kan inte redigera den här standardlistan över globala förbjudna lösenord.
För att ge dig flexibilitet i vilka lösenord som tillåts kan du också definiera en lista över anpassade förbjudna lösenord. Listan över anpassade förbjudna lösenord fungerar tillsammans med den globala listan över förbjudna lösenord för att framtvinga starka lösenord i din organisation. Organisationsspecifika termer kan läggas till i listan över anpassade förbjudna lösenord, till exempel följande exempel:
- Varumärken
- Produktnamn
- Platser, till exempel företagets huvudkontor
- Företagsspecifika interna termer
- Förkortningar som har specifik betydelse för företaget
- Månader och vardagar med företagets lokala språk
När en användare försöker återställa ett lösenord till något som finns i listan över globala eller anpassade förbjudna lösenord visas något av följande felmeddelanden:
- Lösenordet innehåller tyvärr ett ord, en fras eller ett mönster som gör det enkelt att gissa lösenordet. Försök igen med ett annat lösenord.
- Tyvärr kan du inte använda lösenordet eftersom det innehåller ord eller tecken som har blockerats av administratören. Försök igen med ett annat lösenord.
Listan över anpassade förbjudna lösenord är begränsad till högst 1 000 termer. Den är inte utformad för att blockera stora listor med lösenord. Om du vill maximera fördelarna med listan över anpassade förbjudna lösenord läser du översikten över anpassade förbjudna lösenordslistor och algoritmen för lösenordsutvärdering.
Konfigurera anpassade förbjudna lösenord
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Nu ska vi aktivera listan över anpassade förbjudna lösenord och lägga till några poster. Du kan lägga till ytterligare poster i listan över anpassade förbjudna lösenord när som helst.
Utför följande steg för att aktivera listan över anpassade förbjudna lösenord och lägga till poster i den:
Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
Bläddra till Metoder för skyddsautentisering>och sedan Lösenordsskydd.
Ange alternativet för Framtvinga anpassad lista till Ja.
Lägg till strängar i listan med anpassade förbjudna lösenord, en sträng per rad. Följande överväganden och begränsningar gäller för listan över anpassade förbjudna lösenord:
- Listan med anpassade förbjudna lösenord kan innehålla upp till 1 000 villkor.
- Listan med anpassade förbjudna lösenord är skiftlägeskänslig.
- Listan över anpassade förbjudna lösenord tar hänsyn till vanlig teckenersättning, till exempel "o" och "0", eller "a" och "@".
- Den minsta stränglängden är fyra tecken och maximalt 16 tecken.
Ange egna anpassade lösenord som ska förbjudas, som du ser i följande exempel
Låt alternativet Aktivera lösenordsskydd i Windows Server Active Directory vara Nej.
Om du vill aktivera anpassade förbjudna lösenord och dina poster väljer du Spara.
Det kan ta flera timmar innan uppdateringar av listan över anpassade förbjudna lösenord tillämpas.
För en hybridmiljö kan du även distribuera Microsoft Entra-lösenordsskydd till en lokal miljö. Samma globala och anpassade listor över förbjudna lösenord används för både molnbaserade och lokala begäranden om lösenordsändring.
Testa listan över anpassade förbjudna lösenord
Om du vill se den anpassade listan över förbjudna lösenord i praktiken kan du försöka ändra lösenordet till en variant av ett som du lade till i föregående avsnitt. När Microsoft Entra-ID:t försöker bearbeta lösenordsändringen matchas lösenordet mot en post i listan över anpassade förbjudna lösenord. Ett fel visas sedan för användaren.
Kommentar
Innan en användare kan återställa sitt lösenord i den webbaserade portalen måste Microsoft Entra-klientorganisationen konfigureras för lösenordsåterställning via självbetjäning. Om det behövs kan användaren sedan registrera sig för SSPR på https://aka.ms/ssprsetup.
Gå till sidan Moje aplikacije på https://myapps.microsoft.com.
I det övre högra hörnet väljer du ditt namn och sedan Profil på den nedrullningsbara menyn.
På sidan Profil väljer du Ändra lösenord.
På sidan Ändra lösenord anger du det befintliga (gamla) lösenordet. Ange och bekräfta ett nytt lösenord som finns i listan över anpassade förbjudna lösenord som du definierade i föregående avsnitt och välj sedan Skicka.
Ett felmeddelande returneras som anger att lösenordet har blockerats av administratören, enligt följande exempel:
Rensa resurser
Om du inte längre vill använda listan över anpassade förbjudna lösenord som du har konfigurerat som en del av den här självstudien utför du följande steg:
- Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
- Bläddra till Metoder för skyddsautentisering>och sedan Lösenordsskydd.
- Ange alternativet för Framtvinga anpassad lista till Nej.
- Om du vill uppdatera den anpassade konfigurationen av förbjudna lösenord väljer du Spara.
Nästa steg
I den här självstudien har du aktiverat och konfigurerat anpassade lösenordsskyddslistor för Microsoft Entra-ID. Du har lärt dig att:
- Aktivera anpassade förbjudna lösenord
- Lägga till poster i listan över anpassade förbjudna lösenord
- Testa lösenordsändringar med ett förbjudet lösenord