教程:为 Microsoft Entra 密码保护配置自定义受禁密码

  • 项目

用户经常创建包含本地常见字词(例如学校、运动团队或名人)的密码。 这些密码很容易猜出,对基于字典的攻击的抵御能力很弱。 若要在组织中实施强密码,可以通过 Microsoft Entra 自定义受禁密码列表来添加要评估和阻止的特定字符串。 如果与自定义受禁密码列表中的某个密码匹配,则密码更改请求将会失败。

本教程介绍如何执行下列操作:

  • 启用自定义受禁密码
  • 在自定义受禁密码列表中添加条目
  • 使用受禁密码测试密码更改

先决条件

需有以下资源和特权才能完成本教程:

  • 至少启用 Microsoft Entra ID P1 或试用许可证的有效 Microsoft Entra 租户。
  • 一个拥有全局管理员特权的帐户。
  • 你知道其密码的非管理员测试用户,例如 testuser。 在本教程中,你将使用此帐户测试密码更改事件。

什么是受禁密码列表?

Microsoft Entra ID 包括全局受禁密码列表。 全局受禁密码列表的内容不基于任何外部数据源。 全局受禁密码列表基于不断更新的 Microsoft Entra 安全遥测和分析结果。 当用户或管理员尝试更改或重置其凭据时,会根据受禁密码列表检查所需的密码。 如果与全局受禁密码列表中的某个密码匹配,则密码更改请求将会失败。 无法编辑此默认的全局禁止密码列表。

为了灵活控制允许的密码,还可以自定义受禁密码列表。 自定义受禁密码列表与全局受禁密码列表一同应用,可在组织中实施强密码。 可将组织特定的字词添加到自定义受禁密码列表,如以下示例所示:

  • 品牌名称
  • 产品名称
  • 地点,例如公司总部
  • 公司特定的内部字词
  • 具有特定公司含义的缩写
  • 使用你的公司当地语言的月份和工作日

当用户尝试将某个密码重置为全局或自定义受禁密码列表中的密码时,会看到以下错误消息之一:

  • 很遗憾,你的密码包含单词、短语或模式,这些使你的密码容易被猜出。 请使用其他密码重试。
  • 很遗憾,不能使用该密码,因为它包含管理员已禁止的字词或字符。 请使用其他密码重试。

自定义受禁密码列表限制为最多 1000 个字词。 它并非用于阻止包含大量密码的列表。 若要最大程度地发挥自定义受禁密码列表的优势,请查看自定义受禁密码列表的概念密码评估算法概述

配置自定义受禁密码

提示

本文中的步骤可能因开始使用的门户而略有不同。

让我们启用自定义受禁密码列表并添加一些条目。 随时可以将更多条目添加到自定义受禁密码列表。

若要启用自定义受禁密码列表并在其中添加条目,请完成以下步骤:

  1. 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心

  2. 浏览到“保护”>“身份验证方法”,然后选择“密码保护”。

  3. 将“强制实施自定义列表”选项设置为“是”。

  4. 将字符串添加到“自定义受禁密码列表”,每行添加一个字符串。 以下注意事项和限制适用于自定义受禁密码列表:

    • 自定义受禁密码列表最多可以包含 1000 个字词。
    • 自定义禁止密码列表不区分大小写。
    • 自定义受禁密码列表考虑常见的似形字符,例如“o”和“0”,或者“a”和“@”。
    • 最小字符串长度为 4 个字符,最大字符串长度为 16 个字符。

    按以下示例所示指定自己的自定义受禁密码

    Modify the custom banned password list under Authentication methods

  5. 将“对 Windows Server Active Directory 启用密码保护”选项保留设置为“否”。

  6. 若要启用自定义受禁密码和条目,请选择“保存”。

自定义禁止密码列表更新可能需要几个小时才能应用。

对于混合环境,还可以将 Microsoft Entra 密码保护部署到本地环境。 相同的全局和自定义受禁密码列表将同时用于云和本地密码更改请求。

测试自定义受禁密码列表

若要查看自定义禁止密码列表的运作方式,请尝试将密码更改为在上一节中添加的某个密码的变体。 当 Microsoft Entra ID 尝试处理密码更改时,该密码将与自定义受禁密码列表中的某个条目相匹配。 然后向用户显示错误。

注意

必须先为 Microsoft Entra 租户配置自助式密码重置,用户才能在基于 Web 的门户中重置其密码。 如果需要,用户可以在 https://aka.ms/ssprsetup 注册 SSPR

  1. https://myapps.microsoft.com 上转到“我的应用”页。

  2. 在右上角选择自己的姓名,然后从下拉菜单中选择“个人资料”。

    Select profile

  3. 在“个人资料”页上,选择“更改密码”。

  4. 在“更改密码”页上,输入现有的(旧)密码。 输入并确认包含在上一部分定义的自定义受禁密码列表中的新密码,然后选择“提交”。

  5. 此时将返回一条错误消息,指出管理员已禁止该密码,如以下示例所示:

    Error message displayed when you try to use a password that's part of the custom banned password list

清理资源

如果你不再想要使用本教程中配置的自定义受禁密码列表,请完成以下步骤:

  1. 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心
  2. 浏览到“保护”>“身份验证方法”,然后选择“密码保护”。
  3. 将“强制实施自定义列表”选项设置为“否”。
  4. 若要更新自定义受禁密码配置,请选择“保存”。

后续步骤

在本教程中,你为 Microsoft Entra ID 启用并配置了自定义密码保护列表。 你已了解如何执行以下操作:

  • 启用自定义受禁密码
  • 在自定义受禁密码列表中添加条目
  • 使用受禁密码测试密码更改

启用基于风险的 Microsoft Entra 多重身份验证