教學課程:設定 Microsoft Entra 密碼保護的自訂禁用密碼

  • 文章

使用者通常會建立可使用通用本機字組的密碼,例如學校、運動團隊或有名人員。 這些密碼很容易猜測,而且對字典型攻擊很弱。 若要在您的組織中強制執行強密碼,Microsoft Entra 自定義禁用密碼清單可讓您新增特定字串來評估和封鎖。 如果自定義禁用密碼清單中有相符項目,密碼變更要求就會失敗。

在本教學課程中,您將了解如何:

  • 啟用自定義禁用密碼
  • 將專案新增至自定義禁用密碼清單
  • 使用禁用密碼測試密碼變更

必要條件

若要完成本教學課程,您需要下列資源和許可權:

  • 至少已啟用 Microsoft Entra ID P1 或試用版授權的工作 Microsoft Entra 租使用者。
  • 具有 全域管理員 許可權的帳戶。
  • 具有您知道密碼的非系統管理員使用者,例如 testuser。 在本教學課程中,您會使用此帳戶測試密碼變更事件。

什麼是禁用密碼清單?

Microsoft Entra ID 包含全域禁用密碼清單。 全域禁用密碼清單的內容並非以任何外部數據源為基礎。 相反地,全域禁用密碼清單是以 Microsoft Entra 安全性遙測和分析的持續結果為基礎。 當使用者或系統管理員嘗試變更或重設其認證時,會根據禁用密碼清單檢查所需的密碼。 如果全域禁用密碼清單中有相符項目,密碼變更要求就會失敗。 您無法編輯此預設的全域禁用密碼清單。

若要提供您允許哪些密碼的彈性,您也可以定義自定義禁用密碼清單。 自定義禁用密碼清單會與全域禁用密碼清單一起運作,以在您的組織中強制執行強密碼。 組織特定字詞可以新增至自定義禁用密碼清單,例如下列範例:

  • 品牌名稱
  • 產品名稱
  • 位置,例如公司總部
  • 公司特有的內部字詞
  • 具有特定公司意義的縮寫
  • 公司當地語言的月份和工作日

當使用者嘗試將密碼重設為全域或自定義禁用密碼清單中的某個專案時,他們會看到下列其中一個錯誤訊息:

  • 不幸的是,您的密碼包含一個單字、片語或模式,可讓您輕鬆猜測密碼。 請使用不同的密碼再試一次。
  • 不幸的是,您無法使用該密碼,因為它包含系統管理員已封鎖的文字或字元。 請使用不同的密碼再試一次。

自定義禁用密碼清單限制為最多 1000 個字詞。 它並非針對封鎖大型密碼清單而設計。 若要最大化自定義禁用密碼清單的優點,請檢閱自定義禁用密碼清單概念和密碼評估演算法概觀。

設定自訂禁用密碼

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

讓我們啟用自定義禁用密碼清單,並新增一些專案。 您可以隨時將其他專案新增至自訂禁用密碼清單。

若要啟用自訂禁用密碼清單,並將專案新增至其中,請完成下列步驟:

  1. 以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [保護>驗證方法],然後流覽 [密碼保護]。

  3. 將 [強制執行自定義清單] 的選項設定為 []。

  4. 將字串新增至 自定義禁用密碼清單,每行一個字串。 下列考慮和限制適用於自訂禁用密碼清單:

    • 自定義禁用密碼清單最多可以包含1000個字詞。
    • 自定義禁用密碼清單不區分大小寫。
    • 自定義禁用密碼清單會考慮常見的字元替代,例如 “o” 和 “0”,或 “a” 和 “@”。
    • 字串長度下限為四個字元,最大值為 16 個字元。

    指定要禁止的自定義密碼,如下列範例所示

    Modify the custom banned password list under Authentication methods

  5. 將 [在 Windows Server Active Directory 上啟用密碼保護] 選項保留為 [否]。

  6. 若要啟用自定義禁用密碼和您的專案,請選取 [ 儲存]。

套用自定義禁用密碼清單的更新可能需要數小時的時間。

針對混合式環境,您也可以 將 Microsoft Entra 密碼保護部署到內部部署環境。 雲端和內部部署密碼變更要求使用相同的全域和自定義禁用密碼清單。

測試自定義禁用密碼清單

若要查看作用中的自定義禁用密碼清單,請嘗試將密碼變更為您在上一節中新增的密碼變化。 當 Microsoft Entra ID 嘗試處理密碼變更時,密碼會與自定義禁用密碼清單中的專案相符。 然後向用戶顯示錯誤。

注意

用戶必須先設定 Microsoft Entra 租使用者,才能在網頁型入口網站中重設其密碼。 如有需要,用戶可以在 https://aka.ms/ssprsetup註冊 SSPR。

  1. 移至 位於 的 [我的應用程式] 頁面https://myapps.microsoft.com

  2. 在右上角選取您的名稱,然後從下拉功能表中選擇 [配置檔 ]。

    Select profile

  3. 在 [ 配置檔] 頁面上,選取 [ 變更密碼]。

  4. 在 [ 變更密碼] 頁面上,輸入現有的 (old) 密碼。 輸入並確認您在上一節中定義的自定義禁用密碼清單中的新密碼,然後選取 [ 提交]。

  5. 傳回錯誤訊息,告知系統管理員已封鎖密碼,如下列範例所示:

    Error message displayed when you try to use a password that's part of the custom banned password list

清除資源

如果您不想再使用已設定為本教學課程一部分的自定義禁用密碼清單,請完成下列步驟:

  1. 以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護>驗證方法],然後流覽 [密碼保護]。
  3. 將 [強制執行自定義清單] 的選項設定為 [否]。
  4. 若要更新自定義禁用密碼組態,請選取 [ 儲存]。

下一步

在本教學課程中,您已啟用並設定 Microsoft Entra ID 的自定義密碼保護清單。 您已了解如何︰

  • 啟用自定義禁用密碼
  • 將專案新增至自定義禁用密碼清單
  • 使用禁用密碼測試密碼變更

啟用風險型 Microsoft Entra 多重要素驗證