Povolení místní ochrany heslem Microsoft Entra

  • Článek

Uživatelé často vytvářejí hesla, která používají běžná místní slova, jako je škola, sportovní tým nebo známá osoba. Tato hesla se snadno hádají a jsou slabá vůči útokům založeným na slovníku. Pokud chcete vynutit silná hesla ve vaší organizaci, microsoft Entra Password Protection poskytuje globální a vlastní seznam zakázaných hesel. Žádost o změnu hesla selže, pokud je v seznamu zakázaných hesel shoda.

Pokud chcete chránit prostředí služby místní Active Directory Domain Services (AD DS), můžete nainstalovat a nakonfigurovat ochranu heslem Microsoft Entra tak, aby fungovala s místním řadičem domény. V tomto článku se dozvíte, jak povolit ochranu heslem Microsoft Entra pro vaše místní prostředí.

Další informace o tom, jak microsoft Entra Password Protection funguje v místním prostředí, naleznete v tématu Jak vynutit ochranu heslem Microsoft Entra pro Windows Server Active Directory.

Než začnete

V tomto článku se dozvíte, jak povolit ochranu heslem Microsoft Entra pro vaše místní prostředí. Před dokončením tohoto článku nainstalujte a zaregistrujte proxy službu Microsoft Entra Password Protection a agenty dc ve vašem místním prostředí SLUŽBY AD DS.

Povolení místní ochrany heslem

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň ověřovací Správa istrator.

  2. Přejděte k metodám>ověřování ochrany> heslem.

  3. Nastavte možnost Povolit ochranu heslem ve službě Windows Server Active Directory na ano.

    Pokud je toto nastavení nastaveno na Ne, všichni nasazení agenti DC služby Microsoft Entra Password Protection přejdou do režimu nedostupného stavu, kde jsou všechna hesla přijata tak, jak jsou. Neprovádí se žádné aktivity ověřování a negenerují se události auditu.

  4. Doporučujeme nejprve nastavit režim na audit. Jakmile budete s funkcí a dopadem na uživatele ve vaší organizaci obeznámeni, můžete přepnout režim na vynucené. Další informace najdete v následující části o režimech provozu.

  5. Až budete připraveni, vyberte Uložit.

    Enable on-premises password protection under Authentication Methods in the Microsoft Entra admin center

Režimy provozu

Když povolíte místní ochranu heslem Microsoft Entra, můžete použít režim auditu nebo režim vynucování . Doporučujeme, aby se počáteční nasazení a testování vždy spustilo v režimu auditu. Položky v protokolu událostí by se pak měly monitorovat a předvídat, jestli by se po povolení režimu vynucení rušily nějaké existující provozní procesy.

Režim auditu

Režim auditu je určený jako způsob, jak software spustit v režimu "what if". Každá služba agenta DC služby Microsoft Entra Password Protection vyhodnotí příchozí heslo podle aktuálně aktivních zásad.

Pokud je aktuální zásada nakonfigurovaná tak, aby byla v režimu auditu, výsledkem chybných hesel jsou zprávy protokolu událostí, ale zpracovávají se a aktualizují. Toto chování je jediným rozdílem mezi režimem auditování a vynucení. Všechny ostatní operace běží stejně.

Vynucený režim

Vynucený režim je určen jako konečná konfigurace. Podobně jako v režimu auditu vyhodnocuje každá služba agenta DC služby Microsoft Entra Password Protection příchozí hesla podle aktuálně aktivních zásad. Pokud je režim vynucení povolen, heslo, které je považováno za nezabezpečené podle zásad, je odmítnuto.

Pokud je heslo odmítnuto v režimu vynucení agentem ŘADIČE domény Microsoft Entra Password Protection, koncový uživatel uvidí podobnou chybu, jako by viděl, jestli bylo heslo odmítnuto tradičním vynucením složitosti místních hesel. Uživatel může například vidět následující tradiční chybovou zprávu na přihlašovací obrazovce systému Windows nebo změnit heslo:

Nelze aktualizovat heslo. Hodnota zadaná pro nové heslo nesplňuje požadavky na délku, složitost nebo historii domény."

Tato zpráva je pouze jedním z příkladů několika možných výsledků. Konkrétní chybová zpráva se může lišit v závislosti na skutečném softwaru nebo scénáři, který se pokouší nastavit nezabezpečené heslo.

Ovlivnění koncoví uživatelé možná budou muset spolupracovat se svými it pracovníky, aby porozuměli novým požadavkům a zvolili si zabezpečená hesla.

Poznámka:

Microsoft Entra Password Protection nemá žádnou kontrolu nad konkrétní chybovou zprávou zobrazenou klientským počítačem při odmítnutí slabého hesla.

Další kroky

Pokud chcete přizpůsobit seznam zakázaných hesel pro vaši organizaci, přečtěte si téma Konfigurace vlastního seznamu zakázaných hesel microsoft Entra Password Protection.

Pokud chcete monitorovat místní události, přečtěte si téma Monitorování místní ochrany heslem Microsoft Entra.