Aracılığıyla paylaş

Şirket içi Microsoft Entra Parola Korumasını etkinleştirme

  • Makale

Kullanıcılar genellikle okul, spor takımı veya ünlü bir kişi gibi yaygın yerel sözcükleri kullanan parolalar oluşturur. Bu parolaları tahmin etmek kolaydır ve sözlük tabanlı saldırılara karşı zayıftır. Kuruluşunuzda güçlü parolalar uygulamak için Microsoft Entra Password Protection genel ve özel yasaklanmış bir parola listesi sağlar. Bu yasaklanmış parola listesinde bir eşleşme varsa parola değiştirme isteği başarısız olur.

şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ortamınızı korumak için Microsoft Entra Password Protection'ı şirket içi DC'nizle çalışacak şekilde yükleyebilir ve yapılandırabilirsiniz. Bu makalede, şirket içi ortamınız için Microsoft Entra Parola Koruması'nı etkinleştirme işlemleri gösterilmektedir.

Microsoft Entra Password Protection'ın şirket içi ortamda nasıl çalıştığı hakkında daha fazla bilgi için bkz . Windows Server Active Directory için Microsoft Entra Password Protection'ı zorunlu kılma.

Başlamadan önce

Bu makalede, şirket içi ortamınız için Microsoft Entra Parola Koruması'nı etkinleştirme işlemleri gösterilmektedir. Bu makaleyi tamamlamadan önce Microsoft Entra Parola Koruması proxy hizmetini ve DC aracılarını şirket içi AD DS ortamınıza yükleyin ve kaydedin.

Şirket içi parola korumasını etkinleştirme

Bahşiş

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik Doğrulama Yönetici istrator olarak oturum açın.

  2. Koruma>Kimlik Doğrulaması yöntemleri>Parola koruması'na göz atın.

  3. Windows Server Active Directory'de parola korumasını etkinleştir seçeneğini Evet olarak ayarlayın.

    Bu ayar Hayır olarak ayarlandığında, dağıtılan tüm Microsoft Entra Password Protection DC aracıları tüm parolaların olduğu gibi kabul edildiği sessiz moda geçer. Bir doğrulama etkinliği gerçekleştirilmez ve denetim olayları oluşturulmaz.

  4. Başlangıçta Modun Denetim olarak ayarlanması önerilir. Özellik ve kuruluşunuzdaki kullanıcılar üzerindeki etkisi konusunda rahat olduktan sonra Modu Zorunlu olarak değiştirebilirsiniz. Daha fazla bilgi için aşağıdaki işlem modları bölümüne bakın.

  5. Hazır olduğunuzda Kaydet'i seçin.

    Enable on-premises password protection under Authentication Methods in the Microsoft Entra admin center

İşlem modları

Şirket içi Microsoft Entra Parola Koruması'nı etkinleştirdiğinizde, denetim modunu veya zorlama modunu kullanabilirsiniz. İlk dağıtım ve testin her zaman denetim modunda başlatılmasını öneririz. Daha sonra zorlama modu etkinleştirildikten sonra mevcut işlem işlemlerinin bozulup bozulmayacağını tahmin etmek için olay günlüğündeki girdiler izlenmelidir.

Denetim modu

Denetim modu, yazılımı "durum" modunda çalıştırmanın bir yolu olarak tasarlanmıştır. Her Microsoft Entra Password Protection DC aracı hizmeti, şu anda etkin olan ilkeye göre gelen bir parolayı değerlendirir.

Geçerli ilke denetim modunda olacak şekilde yapılandırılmışsa, "hatalı" parolalar olay günlüğü iletileriyle sonuçlanır, ancak işlenir ve güncelleştirilir. Bu davranış, denetim ve zorlama modu arasındaki tek farktır. Diğer tüm işlemler aynı şekilde çalışır.

Zorlanan Mod

Zorunlu mod, son yapılandırma olarak tasarlanmıştır. Denetim modunda olduğu gibi, her Microsoft Entra Password Protection DC aracı hizmeti gelen parolaları şu anda etkin olan ilkeye göre değerlendirir. Zorlanan mod etkinleştirildiğinde ilkeye göre güvenli olmadığı kabul edilen bir parola reddedilir.

Microsoft Entra Password Protection DC aracısı tarafından zorunlu modda bir parola reddedildiğinde, son kullanıcı parolalarının geleneksel şirket içi parola karmaşıklığı zorlaması tarafından reddedilip reddedildiğini göreceği gibi benzer bir hata görür. Örneğin, bir kullanıcı Windows oturum açma veya parola değiştirme ekranında aşağıdaki geleneksel hata iletisini görebilir:

"Parola güncelleştirilemedi. Yeni parola için sağlanan değer, etki alanının uzunluk, karmaşıklık veya geçmiş gereksinimlerini karşılamıyor."

Bu ileti, birkaç olası sonucun yalnızca bir örneğidir. Belirli bir hata iletisi, güvenli olmayan bir parola ayarlamaya çalışan gerçek yazılıma veya senaryoya bağlı olarak değişebilir.

Etkilenen son kullanıcıların yeni gereksinimleri anlamak ve güvenli parolalar seçmek için BT personeliyle birlikte çalışması gerekebilir.

Dekont

Microsoft Entra Password Protection, zayıf bir parola reddedildiğinde istemci makine tarafından görüntülenen belirli hata iletisi üzerinde hiçbir denetime sahip değildir.

Sonraki adımlar

Kuruluşunuz için yasaklanmış parola listesini özelleştirmek için bkz . Microsoft Entra Password Protection özel yasaklanmış parola listesini yapılandırma.

Şirket içi olayları izlemek için bkz . Şirket içi Microsoft Entra Password Protection'ı izleme.