Ausschließen von ungeeigneten Kennwörtern mit dem Azure Active Directory-KennwortschutzEliminate bad passwords using Azure Active Directory Password Protection

Viele Sicherheitsanleitungen enthalten die Empfehlung, dass dasselbe Kennwort nicht mehrfach verwendet werden sollte, dass es komplex sein muss und dass einfache Versionen wie Kennwort123 vermieden werden sollten.A lot of security guidance recommends that you don't use the same password in multiple places, to make it complex, and to avoid simple passwords like Password123. Sie können für Ihre Benutzer zwar eine Anleitung zum Wählen von Kennwörtern bereitstellen, aber unsichere Kennwörter werden trotzdem häufig verwendet.You can provide your users with guidance on how to choose passwords, but weak or insecure passwords are often still used. Der Azure AD-Kennwortschutz erkennt und blockiert bekannte unsichere Kennwörter und deren Varianten und kann außerdem unsichere Ausdrücke blockieren, die spezifisch für Ihre Organisation sind.Azure AD Password Protection detects and blocks known weak passwords and their variants, and can also block additional weak terms that are specific to your organization.

Beim Azure AD-Kennwortschutz werden globale Standardlisten mit gesperrten Kennwörtern automatisch auf alle Benutzer eines Azure AD-Mandanten angewendet.With Azure AD Password Protection, default global banned password lists are automatically applied to all users in an Azure AD tenant. Zur Unterstützung Ihrer eigenen Geschäfts- und Sicherheitsanforderungen können Sie Einträge in einer benutzerdefinierten Liste mit gesperrten Kennwörtern definieren.To support your own business and security needs, you can define entries in a custom banned password list. Wenn Benutzer ihre Kennwörter ändern oder zurücksetzen, werden diese anhand dieser Listen mit gesperrten Kennwörtern überprüft, um die Nutzung von sicheren Kennwörtern zu erzwingen.When users change or reset their passwords, these banned password lists are checked to enforce the use of strong passwords.

Sie sollten auch zusätzliche Features wie Azure AD Multi-Factor Authentication nutzen und sich nicht nur auf die sicheren Kennwörter verlassen, die mit dem Azure AD-Kennwortschutz erzwungen werden.You should use additional features like Azure AD Multi-Factor Authentication, not just rely on strong passwords enforced by Azure AD Password Protection. Weitere Informationen zur Verwendung mehrerer Sicherheitsebenen für Ihre Anmeldeereignisse finden Sie unter Ihr Kennwort spielt keine Rolle.For more information on using multiple layers of security for your sign-in events, see Your Pa$$word doesn't matter.

Wichtig

In diesem Konzeptartikel wird für Administratoren beschrieben, wie der Azure AD-Kennwortschutz funktioniert.This conceptual article explains to an administrator how Azure AD Password Protection works. Wenn Sie bereits als Endbenutzer für die Self-Service-Kennwortzurücksetzung registriert sind und den Zugriff auf Ihr Konto verloren haben, navigieren Sie zu https://aka.ms/sspr.If you're an end user already registered for self-service password reset and need to get back into your account, go to https://aka.ms/sspr.

Wenn Ihr IT-Team die Möglichkeit zum Zurücksetzen Ihres eigenen Kennworts nicht aktiviert hat, wenden Sie sich an den Helpdesk, um weitere Unterstützung zu erhalten.If your IT team hasn't enabled the ability to reset your own password, reach out to your helpdesk for additional assistance.

Liste global gesperrter KennwörterGlobal banned password list

Das Azure AD Identity Protection-Team analysiert ständig die Azure AD-Sicherheitstelemetriedaten und sucht nach unsicheren oder kompromittierten Kennwörtern, die häufig verwendet werden.The Azure AD Identity Protection team constantly analyzes Azure AD security telemetry data looking for commonly used weak or compromised passwords. Bei der Analyse wird vor allem nach grundlegenden Ausdrücken gesucht, die häufig als Basis für unsichere Kennwörter dienen.Specifically, the analysis looks for base terms that often are used as the basis for weak passwords. Wenn unsichere Ausdrücke gefunden werden, werden sie in die globale Liste mit den gesperrten Kennwörtern aufgenommen.When weak terms are found, they're added to the global banned password list. Der Inhalt der globalen Liste mit den gesperrten Kennwörtern basiert nicht auf einer externen Datenquelle, sondern auf den Ergebnissen der Azure AD-Sicherheitstelemetriedaten und -Analyse.The contents of the global banned password list aren't based on any external data source, but on the results of Azure AD security telemetry and analysis.

Wenn ein Kennwort für einen Benutzer auf einem Azure AD-Mandanten geändert oder zurückgesetzt wird, wird die aktuelle Version der globalen Liste mit den gesperrten Kennwörtern verwendet, um die Sicherheit des Kennworts zu überprüfen.When a password is changed or reset for any user in an Azure AD tenant, the current version of the global banned password list is used to validate the strength of the password. Diese Überprüfung führt zu einer höheren Sicherheit der Kennwörter aller Azure AD-Kunden.This validation check results in stronger passwords for all Azure AD customers.

Die globale Liste mit den gesperrten Kennwörtern wird automatisch auf alle Benutzer eines Azure AD-Mandanten angewendet.The global banned password list is automatically applied to all users in an Azure AD tenant. Sie müssen nichts aktivieren oder konfigurieren, und sie kann nicht deaktiviert werden.There's nothing to enable or configure, and can't be disabled. Diese globale Liste mit gesperrten Kennwörtern wird auf Benutzer angewendet, wenn diese ihr eigenes Kennwort über Azure AD ändern oder zurücksetzen.This global banned password list is applied to users when they change or reset their own password through Azure AD.

Hinweis

Cyberkriminelle verwenden bei ihren Angriffen ähnliche Strategien, um häufig verwendete unsichere Kennwörter und deren Varianten zu identifizieren.Cyber-criminals also use similar strategies in their attacks to identify common weak passwords and variations. Zur Verbesserung der Sicherheit wird der Inhalt der globalen Liste mit den gesperrten Kennwörtern von Microsoft nicht veröffentlicht.To improve security, Microsoft doesn't publish the contents of the global banned password list.

Benutzerdefinierte Liste gesperrter KennwörterCustom banned password list

Einige Organisationen möchten die Sicherheit verbessern und zusätzlich zur globalen Liste mit den gesperrten Kennwörtern eigene Anpassungen verwenden.Some organizations want to improve security and add their own customizations on top of the global banned password list. Zum Hinzufügen Ihrer eigenen Einträge können Sie eine benutzerdefinierte Liste mit gesperrten Kennwörtern nutzen.To add your own entries, you can use the custom banned password list. Bei den Ausdrücken, die der benutzerdefinierten Liste mit den gesperrten Kennwörtern hinzugefügt werden, sollte der Schwerpunkt auf organisationsspezifischen Ausdrücken liegen, z. B.:Terms added to the custom banned password list should be focused on organizational-specific terms such as the following examples:

  • MarkennamenBrand names
  • ProduktnamenProduct names
  • Standorte, z. B. die Hauptniederlassung des UnternehmensLocations, such as company headquarters
  • Interne unternehmensspezifische AusdrückeCompany-specific internal terms
  • Abkürzungen mit einer bestimmten unternehmensspezifischen BedeutungAbbreviations that have specific company meaning

Nachdem die Ausdrücke der benutzerdefinierten Liste mit den gesperrten Kennwörtern hinzugefügt wurden, werden sie mit den Ausdrücken in der globalen Liste mit den gesperrten Kennwörtern kombiniert.When terms are added to the custom banned password list, they're combined with the terms in the global banned password list. Ereignisse zum Ändern oder Zurücksetzen von Kennwörtern werden dann anhand der kombinierten Listen mit den gesperrten Kennwörtern überprüft.Password change or reset events are then validated against the combined set of these banned password lists.

Hinweis

Die benutzerdefinierte Liste mit gesperrten Kennwörtern ist auf maximal 1.000 Ausdrücke beschränkt.The custom banned password list is limited to a maximum of 1000 terms. Dieses Feature ist nicht für die Sperrung von äußerst umfangreichen Listen mit Kennwörtern ausgelegt.It's not designed for blocking extremely large lists of passwords.

Um die Vorteile der benutzerdefinierten Liste mit den gesperrten Kennwörtern bestmöglich zu nutzen, sollten Sie sich zuerst mit der Auswertung von Kennwörtern vertraut machen, bevor Sie der benutzerdefinierten Sperrliste Ausdrücke hinzufügen.To fully leverage the benefits of the custom banned password list, first understand how are passwords evaluated before you add terms to the custom banned list. Bei diesem Ansatz können Sie große Mengen von unsicheren Kennwörtern und deren Varianten effizient erkennen und blockieren.This approach lets you efficiently detect and block large numbers of weak passwords and their variants.

Ändern der benutzerdefinierten Liste gesperrter Kennwörter unter „Authentifizierungsmethoden“

Angenommen, der Kunde ist Contoso.Let's consider a customer named Contoso. Das Unternehmen befindet sich in London und stellt ein Produkt mit dem Namen Widget her.The company is based in London and makes a product named Widget. Für diesen Beispielkunden wäre es sowohl unnötig als auch weniger sicher, bestimmte Varianten dieser Ausdrücke zu blockieren, z. B.:For this example customer, it would be wasteful and less secure to try to block specific variations of these terms such as the following:

  • „Contoso!1“"Contoso!1"
  • "Contoso@London""Contoso@London"
  • „ContosoWidget“"ContosoWidget"
  • „!Contoso“"!Contoso"
  • „LondonHQ“"LondonHQ"

Stattdessen ist es viel effizienter und sicherer, nur die grundlegenden Schlüsselausdrücke zu sperren, z. B. Folgendes:Instead, it's much more efficient and secure to block only the key base terms, such as the following examples:

  • „Contoso“"Contoso"
  • „London“"London"
  • „Widget“"Widget"

Der Algorithmus für die Kennwortüberprüfung blockiert dann automatisch unsichere Varianten und Kombinationen.The password validation algorithm then automatically blocks weak variants and combinations.

Arbeiten Sie das folgende Tutorial durch, um in die Nutzung einer benutzerdefinierten Liste mit gesperrten Kennwörtern einzusteigen:To get started with using a custom banned password list, complete the following tutorial:

Kennwort-Spray-Angriffe und kompromittierte Kennwortlisten von DrittanbieternPassword spray attacks and third-party compromised password lists

Mit dem Azure AD-Kennwortschutz können Sie sich gegen Kennwort-Spray-Angriffe verteidigen.Azure AD Password Protection helps you defend against password spray attacks. Bei den meisten Kennwort-Spray-Angriffen wird nicht versucht, ein einzelnes Konto mehr als nur einige Male anzugreifen.Most password spray attacks don't attempt to attack any given individual account more than a few times. Dies würde nämlich zu einer erhöhten Entdeckungswahrscheinlichkeit führen, indem das Konto gesperrt oder eine andere Verteidigungsmaßnahme angewendet wird.This behavior would increase the likelihood of detection, either via account lockout or other means.

Bei der Mehrheit der Kennwort-Spray-Angriffe wird stattdessen nur eine geringe Anzahl von bekanntermaßen sehr unsicheren Kennwörtern für die einzelnen Konten eines Unternehmens übermittelt.Instead, the majority of password spray attacks submit only a small number of the known weakest passwords against each of the accounts in an enterprise. Dieses Verfahren ermöglicht es dem Angreifer, schnell nach einem leicht zu kompromittierenden Konto zu suchen und mögliche Schwellenwerte für die Erkennung zu vermeiden.This technique allows the attacker to quickly search for an easily compromised account and avoid potential detection thresholds.

Beim Azure AD-Kennwortschutz werden alle bekannten unsicheren Kennwörter, die ggf. bei Kennwort-Spray-Angriffen zum Einsatz kommen, effizient blockiert.Azure AD Password Protection efficiently blocks all known weak passwords likely to be used in password spray attacks. Dieser Schutz basiert auf realen Sicherheitstelemetriedaten von Azure AD, mit denen die globale Liste mit den gesperrten Kennwörtern erstellt wird.This protection is based on real-world security telemetry data from Azure AD to build the global banned password list.

Es gibt einige Websites von Drittanbietern, auf denen Millionen von Kennwörtern aufgelistet sind, die bei früheren öffentlich bekannten Sicherheitsverletzungen kompromittiert wurden.There are some third-party websites that enumerate millions of passwords that have been compromised in previous publicly known security breaches. Es kommt häufig vor, dass Drittanbieterprodukte zur Kennwortüberprüfung auf einem Brute-Force-Vergleich mit diesen Millionen von Kennwörtern basieren.It's common for third-party password validation products to be based on brute-force comparison against those millions of passwords. Diese Verfahren sind aber angesichts der typischen Strategien, die bei Kennwort-Spray-Angriffen zum Einsatz kommen, nicht die beste Möglichkeit, um die allgemeine Kennwortsicherheit zu verbessern.However, those techniques aren't the best way to improve overall password strength given the typical strategies used by password spray attackers.

Hinweis

Die globale Liste mit den gesperrten Kennwörtern basiert nicht auf Datenquellen von Drittanbietern, z. B. Listen mit kompromittierten Kennwörtern.The global banned password list isn't based on any third-party data sources, including compromised password lists.

Die globale Liste mit den gesperrten Kennwörtern ist gegenüber den langen Listen der Drittanbieter zwar vergleichsweise kurz, aber die Ausdrücke stammen aus realen Sicherheitstelemetriedaten wirklicher Kennwort-Spray-Angriffe.Although the global banned list is small in comparison to some third-party bulk lists, it's sourced from real-world security telemetry on actual password spray attacks. Mit diesem Ansatz wird die allgemeine Sicherheit und Effektivität verbessert, und darüber hinaus werden für den Algorithmus für die Kennwortüberprüfung intelligente Verfahren mit Fuzzyübereinstimmungen genutzt.This approach improves the overall security and effectiveness, and the password validation algorithm also uses smart fuzzy-matching techniques. Daher können mit dem Azure AD-Kennwortschutz Millionen von häufig genutzten unsicheren Kennwörtern erkannt und für die Verwendung in Ihrem Unternehmen blockiert werden.As a result, Azure AD Password Protection efficiently detects and blocks millions of the most common weak passwords from being used in your enterprise.

Lokale HybridszenarienOn-premises hybrid scenarios

Viele Organisationen verfügen über ein Hybrididentitätsmodell, das lokale AD DS-Umgebungen (Active Directory Domain Services) umfasst.Many organizations have a hybrid identity model that includes on-premises Active Directory Domain Services (AD DS) environments. Um die Sicherheitsvorteile des Azure AD-Kennwortschutzes auch auf Ihre AD DS-Umgebung auszuweiten, können Sie Komponenten auf Ihren lokalen Servern installieren.To extend the security benefits of Azure AD Password Protection into your AD DS environment, you can install components on your on-premises servers. Mit diesen Agents wird erzwungen, dass bei Kennwortänderungsereignissen in der lokalen AD DS-Umgebung dieselbe Kennwortrichtlinie wie in Azure AD eingehalten wird.These agents require password change events in the on-premises AD DS environment to comply with the same password policy as in Azure AD.

Weitere Informationen finden Sie unter Erzwingen des Azure AD-Kennwortschutzes für Windows Server Active Directory.For more information, see Enforce Azure AD Password Protection for AD DS.

Auswerten von KennwörternHow are passwords evaluated

Wenn ein Benutzer sein Kennwort ändert oder zurücksetzt, wird das neue Kennwort auf Sicherheit und Komplexität überprüft, indem es mit der kombinierten Liste mit Ausdrücken aus der globalen und der benutzerdefinierten Liste mit den gesperrten Kennwörtern verglichen wird.When a user changes or resets their password, the new password is checked for strength and complexity by validating it against the combined list of terms from the global and custom banned password lists.

Falls das Kennwort eines Benutzers ein gesperrtes Kennwort enthält, kann es ggf. trotzdem akzeptiert werden, sofern das gesamte Kennwort ansonsten sicher genug ist.Even if a user's password contains a banned password, the password may be accepted if the overall password is otherwise strong enough. Ein neu konfiguriertes Kennwort durchläuft die folgenden Schritte, um seine allgemeine Sicherheit beurteilen und feststellen zu können, ob es akzeptiert oder abgelehnt werden sollte:A newly configured password goes through the following steps to assess its overall strength to determine if it should be accepted or rejected:

Schritt 1: NormalisierungStep 1: Normalization

Ein neues Kennwort durchläuft zunächst einen Normalisierungsprozess.A new password first goes through a normalization process. Diese Technik ermöglicht es, einen kleinen Satz verbotener Kennwörter auf einen viel größeren Satz potenziell schwacher Kennwörter zu übertragen.This technique allows for a small set of banned passwords to be mapped to a much larger set of potentially weak passwords.

Die Normalisierung besteht aus den beiden folgenden Schritten:Normalization has the following two parts:

  • Alle Großbuchstaben werden in Kleinbuchstaben umgewandelt.All uppercase letters are changed to lower case.

  • Anschließend werden häufige Zeichenersetzungen durchgeführt, z. B.:Then, common character substitutions are performed, such as in the following example:

    Ursprünglicher BuchstabeOriginal letter Ersetzter BuchstabeSubstituted letter
    00 oo
    11 ll
    $ ss
    @ aa

Betrachten Sie das folgende Beispiel:Consider the following example:

  • Das Kennwort „blank“ ist gesperrt.The password "blank" is banned.
  • Ein Benutzer versucht, sein Kennwort in „Bl@nK“ zu ändern.A user tries to change their password to "Bl@nK".
  • „Bl@nk“ ist zwar nicht gesperrt, aber vom Normalisierungsprozess wird dieses Kennwort in „blank“ konvertiert.Even though "Bl@nk" isn't banned, the normalization process converts this password to "blank".
  • Dieses Kennwort wird abgelehnt.This password would be rejected.

Schritt 2: Überprüfen, ob das Kennwort als gesperrt angesehen wirdStep 2: Check if password is considered banned

Für das Kennwort wird dann ein Abgleich auf andere Übereinstimmungen durchgeführt, und es wird eine Bewertung mit einer Punktzahl generiert.A password is then examined for other matching behavior, and a score is generated. Anhand dieser abschließenden Bewertung wird ermittelt, ob die angeforderte Kennwortänderung akzeptiert oder abgelehnt wird.This final score determines if the password change request is accepted or rejected.

Verhaltens der FuzzyübereinstimmungFuzzy matching behavior

Die Fuzzyübereinstimmung wird für das normalisierte Kennwort verwendet, um festzustellen, ob es ein Kennwort enthält, das entweder in der globalen oder in der benutzerdefinierten Liste der gesperrten Kennwörter enthalten ist.Fuzzy matching is used on the normalized password to identify if it contains a password found on either the global or the custom banned password lists. Der Abgleichsprozess basiert auf einer Edit-Distanz eines (1) Vergleichs.The matching process is based on an edit distance of one (1) comparison.

Betrachten Sie das folgende Beispiel:Consider the following example:

  • Das Kennwort „abcdef“ ist gesperrt.The password "abcdef" is banned.

  • Ein Benutzer versucht, sein Kennwort in eine der folgenden Varianten zu ändern:A user tries to change their password to one of the following:

    • „abcdeg“: letztes Zeichen von „f“ in „g“ geändert'abcdeg' - last character changed from 'f' to 'g'
    • „abcdefg“: „g“ am Ende angefügt'abcdefg' - 'g' appended to end
    • „abcde“: „f“ am Ende gelöscht'abcde' - trailing 'f' was deleted from end
  • Alle obigen Kennwörter ergeben keine genaue Übereinstimmung mit dem gesperrten Kennwort „abcdef“.Each of the above passwords doesn't specifically match the banned password "abcdef".

    Da der „Änderungsabstand“ für jedes Beispiel aber nur ein Zeichen bzw. einen Schritt gegenüber dem gesperrten Ausdruck „abcdef“ beträgt, werden alle als Übereinstimmung mit „abcdef“ eingestuft.However, since each example is within an edit distance of 1 of the banned term 'abcdef', they're all considered as a match to "abcdef".

  • Diese Kennwörter werden abgelehnt.These passwords would be rejected.

Abgleich der Teilzeichenfolge (für bestimmte Ausdrücke)Substring matching (on specific terms)

Der Abgleich der Teilzeichenfolge wird für das normalisierte Kennwort genutzt, um eine Überprüfung auf den Vor- und Nachnamen des Benutzers sowie auf den Mandantennamen durchzuführen.Substring matching is used on the normalized password to check for the user's first and last name as well as the tenant name. Der Abgleich mit dem Mandantennamen erfolgt nicht, wenn Kennwörter auf einem AD DS-Domänencontroller für lokale Hybridszenarien überprüft werden.Tenant name matching isn't done when validating passwords on an AD DS domain controller for on-premises hybrid scenarios.

Wichtig

Ein Abgleich der Teilzeichenfolge wird nur für Namen und andere Ausdrücke erzwungen, die mindestens vier Zeichen lang sind.Substring matching is only enforced for names, and other terms, that are at least four characters long.

Betrachten Sie das folgende Beispiel:Consider the following example:

  • Ein Benutzer mit dem Namen „Poll“ möchten sein Kennwort in „p0LL23fb“ ändern.A user named Poll who wants to reset their password to "p0LL23fb".
  • Nach der Normalisierung lautet dieses Kennwort „poll23fb“.After normalization, this password would become "poll23fb".
  • Durch den Abgleich der Teilzeichenfolge wird festgestellt, dass das Kennwort den Vornamen des Benutzers („Poll“) enthält.Substring matching finds that the password contains the user's first name "Poll".
  • Obwohl „poll23fb“ in keiner Liste mit den gesperrten Kennwörtern enthalten war, wurde beim Abgleich der Teilzeichenfolge „Poll“ im Kennwort gefunden.Even though "poll23fb" wasn't specifically on either banned password list, substring matching found "Poll" in the password.
  • Dieses Kennwort wird abgelehnt.This password would be rejected.

BewertungsberechnungScore Calculation

Der nächste Schritt besteht darin, alle Fälle von verbotenen Kennwörtern in dem normalisierten neuen Kennwort des Benutzers zu identifizieren.The next step is to identify all instances of banned passwords in the user's normalized new password. Punkte werden anhand der folgenden Kriterien zugewiesen:Points are assigned based on the following criteria:

  1. Für jedes gesperrte Kennwort, das sich im Kennwort eines Benutzers befindet, wird ein Punkt vergeben.Each banned password that's found in a user's password is given one point.
  2. Für jedes verbleibende Zeichen, das nicht zu einem gesperrten Kennwort gehört, wird ein Punkt vergeben.Each remaining character that is not part of a banned password is given one point.
  3. Ein Kennwort muss mindestens fünf (5) Punkte aufweisen, um akzeptiert zu werden.A password must be at least five (5) points to be accepted.

In den beiden nächsten Beispielszenarien verwendet Contoso den Azure AD-Kennwortschutz und hat „contoso“ auf die benutzerdefinierte Liste mit den gesperrten Kennwörtern gesetzt.For the next two example scenarios, Contoso is using Azure AD Password Protection and has "contoso" on their custom banned password list. Außerdem ist „blank“ in der globalen Liste enthalten.Let's also assume that "blank" is on the global list.

Im folgenden Beispielszenario ändert ein Benutzer sein Kennwort in „C0ntos0Blank12“:In the following example scenario, a user changes their password to "C0ntos0Blank12":

  • Nach der Normalisierung lautet dieses Kennwort „contosoblank12“.After normalization, this password becomes "contosoblank12".

  • Beim Abgleichprozess wird ermittelt, dass dieses Kennwort zwei gesperrte Kennwörter enthält: „contoso“ und „blank“.The matching process finds that this password contains two banned passwords: "contoso" and "blank".

  • Dieses Kennwort erhält dann die folgende Bewertung:This password is then given the following score:

    [contoso] + [blank] + [1] + [2] = 4 Punkte[contoso] + [blank] + [1] + [2] = 4 points

  • Da für das Kennwort keine fünf (5) Punkte erreicht wurden, wird es abgelehnt.As this password is under five (5) points, it's rejected.

Wir sehen uns nun ein etwas anderes Beispiel an, um zu veranschaulichen, wie zusätzliche Komplexität bei einem Kennwort zur erforderlichen Anzahl von Punkten und somit zur Akzeptanz führen kann.Let's look a slightly different example to show how additional complexity in a password can build the required number of points to be accepted. Im folgenden Beispielszenario ändert ein Benutzer sein Kennwort in „ContoS0Bl@nkf9“:In the following example scenario, a user changes their password to "ContoS0Bl@nkf9!":

  • Nach der Normalisierung lautet dieses Kennwort „contosoblankf9!“.After normalization, this password becomes "contosoblankf9!".

  • Beim Abgleichprozess wird ermittelt, dass dieses Kennwort zwei gesperrte Kennwörter enthält: „contoso“ und „blank“.The matching process finds that this password contains two banned passwords: "contoso" and "blank".

  • Dieses Kennwort erhält dann die folgende Bewertung:This password is then given the following score:

    [contoso] + [blank] + [f] + [9] + [!] = 5 Punkte[contoso] + [blank] + [f] + [9] + [!] = 5 points

  • Da für dieses Kennwort mindestens fünf (5) Punkte erzielt werden, wird es akzeptiert.As this password is at least five (5) points, it's accepted.

Wichtig

Der Algorithmus für gesperrte Kennwörter und die globale Liste mit den gesperrten Kennwörtern können sich in Azure basierend auf der laufenden Sicherheitsanalyse und -forschung jederzeit ändern.The banned password algorithm, along with the global banned password list, can and do change at any time in Azure based on ongoing security analysis and research.

In Hybridszenarien werden aktualisierte Algorithmen für den lokalen DC-Agent-Dienst erst nach einem Upgrade der DC-Agent-Software wirksam.For the on-premises DC agent service in hybrid scenarios, updated algorithms only take effect after the DC agent software is upgraded.

Anzeige für BenutzerWhat do users see

Wenn ein Benutzer versucht, ein Kennwort auf einen Wert zurückzusetzen, der gesperrt werden würde, wird die folgende Fehlermeldung angezeigt:When a user attempts to reset a password to something that would be banned, the following error message is displayed:

„Ihr Kennwort ist aufgrund eines enthaltenen Worts, Ausdrucks oder Musters leider leicht zu erraten. Wiederholen Sie den Vorgang mit einem anderen Kennwort.“"Unfortunately, your password contains a word, phrase, or pattern that makes your password easily guessable. Please try again with a different password."

LizenzanforderungenLicense requirements

BenutzerUsers Kennwortschutz für Azure AD mit globaler Liste gesperrter KennwörterAzure AD Password Protection with global banned password list Kennwortschutz für Azure AD mit benutzerdefinierter Liste gesperrter KennwörterAzure AD Password Protection with custom banned password list
Reine CloudbenutzerCloud-only users Azure AD FreeAzure AD Free Azure AD Premium P1 oder P2Azure AD Premium P1 or P2
Über lokale AD DS-Instanz synchronisierte BenutzerUsers synchronized from on-premises AD DS Azure AD Premium P1 oder P2Azure AD Premium P1 or P2 Azure AD Premium P1 oder P2Azure AD Premium P1 or P2

Hinweis

Lokale AD DS-Benutzer, die nicht mit Azure AD synchronisiert werden, profitieren basierend auf der vorhandenen Lizenzierung für synchronisierte Benutzer ebenfalls vom Azure AD-Kennwortschutz.On-premises AD DS users that aren't synchronized to Azure AD also benefit from Azure AD Password Protection based on existing licensing for synchronized users.

Weitere Informationen zur Lizenzierung einschließlich der Kosten finden Sie unter Azure Active Directory – Preise.Additional licensing information, including costs, can be found on the Azure Active Directory pricing site.

Nächste SchritteNext steps

Arbeiten Sie das folgende Tutorial durch, um in die Nutzung einer benutzerdefinierten Liste mit gesperrten Kennwörtern einzusteigen:To get started with using a custom banned password list, complete the following tutorial:

Sie haben dann auch die Möglichkeit, den lokalen Azure AD-Kennwortschutz zu aktivieren.You can also then enable on-premises Azure AD Password Protection.