啟用內部部署 Microsoft Entra 密碼保護
使用者通常會建立可使用通用本機字組的密碼,例如學校、運動團隊或有名人員。 這些密碼很容易猜測,而且對字典型攻擊很弱。 為了在您的組織中強制執行強式密碼,Microsoft Entra 密碼保護提供了全域和自訂禁用密碼清單。 如果這些禁用密碼清單中有相符項目,密碼變更要求就會失敗。
若要保護您的內部部署 Active Directory Domain Services (AD DS) 環境,您可以安裝和設定 Microsoft Entra 密碼保護,以與您的內部部署 DC 搭配運作。 本文說明如何為內部部署環境啟用 Microsoft Entra Password Protection。
如需 Microsoft Entra 密碼保護在內部部署環境中運作方式的詳細資訊,請參閱 如何針對 Windows Server Active Directory 強制執行 Microsoft Entra Password Protection。
開始之前
本文說明如何為內部部署環境啟用 Microsoft Entra Password Protection。 在您完成本文之前, 請先在內部部署 AD DS 環境中安裝和註冊 Microsoft Entra Password Protection Proxy 服務和 DC 代理程式 。
啟用內部部署密碼保護
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
以至少驗證 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [保護>驗證方法>密碼保護]。
將 [在 Windows Server Active Directory 上啟用密碼保護] 選項設定為 [是]。
當此設定設定設定為 [否] 時,所有已部署的 Microsoft Entra Password Protection DC 代理程式都會進入靜止模式,其中所有密碼都會依原狀接受。 不會執行驗證活動,也不會產生稽核事件。
建議一開始將 [模式] 設定為 [稽核]。 在您熟悉此功能以及對您組織中的使用者的影響之後,您可以將 [模式] 切換為 [強制]。 如需詳細資訊,請參閱關於作業模式的下一節。
準備好時,請選取 [ 儲存]。
作業模式
當您啟用內部部署 Microsoft Entra Password Protection 時,您可以使用 稽核 模式或 強制執行 模式。 建議初始部署和測試一律以稽核模式開始。 然後應該監視事件記錄檔中的專案,以預期啟用 [強制執行模式] 之後,是否有任何現有的作業程式會受到干擾。
稽核模式
稽核 模式是用來以「假設」模式執行軟體的方式。 每個 Microsoft Entra Password Protection DC 代理程式服務都會根據目前使用中原則評估傳入密碼。
如果目前的原則設定為處於稽核模式,「不正確的」密碼會導致事件記錄檔訊息,但會處理並更新。 此行為是稽核與強制執行模式的唯一差異。 所有其他作業都會執行相同。
強制模式
強制模式是做為最終組態。 如同在稽核模式中,每個 Microsoft Entra Password Protection DC 代理程式服務都會根據目前使用中原則評估傳入密碼。 不過,啟用強制模式時,會拒絕根據原則視為不安全的密碼。
當 Microsoft Entra Password Protection DC 代理程式以強制模式拒絕密碼時,使用者會看到類似的錯誤,就像他們看到其密碼是否遭到傳統內部部署密碼複雜度強制執行拒絕一樣。 例如,使用者可能會在 Windows 登入或變更密碼畫面上看到下列傳統錯誤訊息:
「無法更新密碼。 為新密碼提供的值不符合網域的長度、複雜度或歷程記錄需求。
此訊息只是數個可能結果的其中一個範例。 特定錯誤訊息可能會根據嘗試設定不安全密碼的實際軟體或案例而有所不同。
受影響的終端使用者可能需要與其IT人員合作,以瞭解新的需求,並選擇安全的密碼。
注意
Microsoft Entra Password Protection 無法控制在拒絕弱式密碼時用戶端電腦所顯示的特定錯誤訊息。
下一步
若要自定義貴組織的禁用密碼清單,請參閱 設定 Microsoft Entra Password Protection 自定義禁用密碼清單。
若要監視內部部署事件,請參閱 監視內部部署 Microsoft Entra Password Protection。