Tutorial: Konfigurieren von benutzerdefinierten gesperrten Kennwörtern für den Microsoft Entra-Kennwortschutz

Benutzer erstellen häufig Kennwörter, in denen gängige Wörter mit regionalem Bezug verwendet werden, z. B. eine Schule, eine Sportmannschaft oder eine prominente Person. Diese Kennwörter sind leicht zu erraten und halten wörterbuchbasierten Angriffen oft nicht stand. Zum Erzwingen von sicheren Kennwörtern in Ihrer Organisation können Sie über die benutzerdefinierte Microsoft Entra-Liste mit gesperrten Kennwörtern bestimmte Zeichenfolgen hinzufügen, die dann überprüft und gesperrt werden. Die Anforderung einer Kennwortänderung ist nicht erfolgreich, wenn sich eine Übereinstimmung mit der benutzerdefinierten Liste mit gesperrten Kennwörtern ergibt.

In diesem Tutorial lernen Sie Folgendes:

• Aktivieren von benutzerdefinierten gesperrten Kennwörtern
• Hinzufügen von Einträgen zur benutzerdefinierten Liste mit gesperrten Kennwörtern
• Testen von Kennwortänderungen mit einem gesperrten Kennwort

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:

• Funktionierender Microsoft Entra-Mandant, für den mindestens eine P1-Lizenz oder eine Testlizenz für Microsoft Entra ID aktiviert ist.
  • Erstellen Sie ggf. ein kostenloses Konto.
• Ein Konto mit Berechtigungen vom Typ Globaler Administrator.
• Ein Benutzer ohne Administratorrechte mit einem Ihnen bekannten Kennwort, wie z. B. testuser. Sie testen ein Kennwortänderungsereignis, indem Sie im Rahmen des Tutorials dieses Konto nutzen.
  • Wenn Sie Benutzer*innen erstellen müssen, finden Sie weitere Informationen unter Hinzufügen oder Löschen von Benutzer*innen.
  • Zum Testen des Kennwortänderungsvorgangs mit einem gesperrten Kennwort muss für den Microsoft Entra-Mandanten die Self-Service-Kennwortzurücksetzung konfiguriert sein.

Was sind Listen mit gesperrten Kennwörtern?

Microsoft Entra ID enthält eine globale Liste gesperrter Kennwörter. Der Inhalt der globalen Liste mit gesperrten Kennwörtern basiert nicht auf einer externen Datenquelle. Stattdessen basiert die globale Liste mit gesperrten Kennwörtern auf den fortlaufenden Ergebnissen der Microsoft Entra-Sicherheitstelemetriedaten und -Analysen. Wenn ein Benutzer oder Administrator versucht, seine Anmeldeinformationen zu ändern oder zurückzusetzen, wird das gewünschte Kennwort anhand der Liste mit gesperrten Kennwörtern überprüft. Die Anforderung einer Kennwortänderung ist nicht erfolgreich, wenn sich eine Übereinstimmung mit der globalen Liste mit gesperrten Kennwörtern ergibt. Sie können diese globale Standardliste gesperrter Kennwörter nicht bearbeiten.

Sie können auch eine benutzerdefinierte Liste mit gesperrten Kennwörtern definieren, um flexibel festzulegen, welche Kennwörter zulässig sind. Die benutzerdefinierte Liste mit gesperrten Kennwörtern wird zusammen mit der globalen Liste mit gesperrten Kennwörtern eingesetzt, um in Ihrer Organisation die Nutzung sicherer Kennwörter zu erzwingen. Der benutzerdefinierten Liste mit gesperrten Kennwörtern können organisationsspezifische Ausdrücke hinzugefügt werden, z. B.:

• Markennamen
• Produktnamen
• Standorte, z. B. die Hauptniederlassung des Unternehmens
• Interne unternehmensspezifische Ausdrücke
• Abkürzungen mit einer bestimmten unternehmensspezifischen Bedeutung
• Monate und Wochentage mit den lokalen Sprachen Ihres Unternehmens

Wenn ein Benutzer versucht, ein Kennwort auf einen Ausdruck zurückzusetzen, der in der globalen oder benutzerdefinierten Liste mit gesperrten Kennwörtern enthalten ist, wird eine der folgenden Fehlermeldungen angezeigt:

• Ihr Kennwort ist aufgrund eines enthaltenen Worts, Ausdrucks oder Musters leider leicht zu erraten. Wiederholen Sie den Vorgang mit einem anderen Kennwort.
• Unfortunately, you can't use that password because it contains words or characters that have been blocked by your administrator. (Sie können dieses Kennwort nicht verwenden, da es Wörter oder Zeichen enthält, die vom Administrator gesperrt wurden). Wiederholen Sie den Vorgang mit einem anderen Kennwort.

Die benutzerdefinierte Liste mit gesperrten Kennwörtern ist auf maximal 1.000 Ausdrücke beschränkt. Sie ist nicht für lange Listen mit zu sperrenden Kennwörtern ausgelegt. Informieren Sie sich über die Konzepte von benutzerdefinierten Listen mit gesperrten Kennwörtern, und sehen Sie sich die Übersicht über den Algorithmus für die Kennwortauswertung an, um noch mehr Vorteile der benutzerdefinierten Liste mit gesperrten Kennwörtern zu nutzen.

Konfigurieren von benutzerdefinierten gesperrten Kennwörtern

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Wir aktivieren die benutzerdefinierte Liste mit gesperrten Kennwörtern und fügen einige Einträge hinzu. Sie können der benutzerdefinierten Liste mit gesperrten Kennwörtern jederzeit weitere Einträge hinzufügen.

Führen Sie die folgenden Schritte aus, um die benutzerdefinierte Liste mit gesperrten Kennwörtern zu aktivieren und ihr Einträge hinzuzufügen:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

2. Navigieren Sie zuSchutz>Authentifizierungsmethoden und dann zu Kennwortschutz.

3. Legen Sie die Option Benutzerdefinierte Liste erzwingen auf Ja fest.

4. Fügen Sie der benutzerdefinierten Liste mit gesperrten Kennwörtern Zeichenfolgen hinzu. Geben Sie eine Zeichenfolge pro Zeile ein. Für die benutzerdefinierte Liste mit gesperrten Kennwörtern gelten die folgenden Aspekte und Einschränkungen:

   • Die benutzerdefinierte Liste gesperrter Kennwörter kann bis zu 1.000 Ausdrücke umfassen.
   • Bei der benutzerdefinierten Liste gesperrter Kennwörter wird die Groß- und Kleinschreibung nicht beachtet.
   • Bei der benutzerdefinierten Liste mit gesperrten Kennwörtern wird die gängige Ersetzung von Zeichen berücksichtigt, z. B. „o“ und „0“ oder „a“ und „@“.
   • Die Zeichenfolgen müssen mindestens vier und dürfen höchstens 16 Zeichen lang sein.

   Geben Sie Ihre eigenen benutzerdefinierten Kennwörter an, die gesperrt werden sollen. Dies ist im folgenden Beispiel dargestellt.

   

5. Übernehmen Sie für die Option Kennwortschutz für Windows Server Active Directory aktivieren die Einstellung Nein.

6. Wählen Sie Speichern, um die benutzerdefinierte Liste mit gesperrten Kennwörtern und Ihre Einträge zu aktivieren.

Es kann mehrere Stunden dauern, bis Updates der benutzerdefinierten Liste gesperrter Kennwörter angewendet werden.

Für eine Hybridumgebung können Sie den Microsoft Entra-Kennwortschutz auch in einer lokalen Umgebung bereitstellen. Für Anforderungen von Kennwortänderungen werden in der Cloud und in der lokalen Umgebung die gleichen globalen und benutzerdefinierten Listen mit gesperrten Kennwörtern verwendet.

Testen der benutzerdefinierten Liste mit gesperrten Kennwörtern

Ändern Sie ein Kennwort in eine Variante eines Kennworts, das Sie im vorherigen Abschnitt hinzugefügt haben, um die benutzerdefinierte Liste mit gesperrten Kennwörtern in Aktion zu sehen. Wenn Microsoft Entra ID versucht, die Kennwortänderung zu verarbeiten, wird das Kennwort mit einem Eintrag in der benutzerdefinierten Liste mit gesperrten Kennwörtern abgeglichen. Dem Benutzer wird dann ein Fehler angezeigt.

Hinweis

Bevor Benutzer*innen ihr Kennwort im webbasierten Portal zurücksetzen können, muss der Microsoft Entra-Mandant für die Self-Service-Kennwortzurücksetzung konfiguriert werden. Der Benutzer kann sich dann bei Bedarf unter https://aka.ms/ssprsetup für SSPR registrieren.

1. Navigieren Sie zur Seite Meine Apps unter https://myapps.microsoft.com.

2. Klicken Sie in der oberen rechten Ecke auf Ihren Namen, und wählen Sie dann aus dem Dropdownmenü die Option Profil aus.

   

3. Klicken Sie auf der Seite Profil auf Kennwort ändern.

4. Geben Sie auf der Seite Kennwort ändern das vorhandene (alte) Kennwort ein. Geben Sie ein neues Kennwort ein (und bestätigen Sie es durch die erneute Eingabe), das in der benutzerdefinierten Liste mit gesperrten Kennwörtern aus dem vorherigen Abschnitt enthalten ist, und wählen Sie anschließend Senden aus.

5. Es wird eine Fehlermeldung mit dem Hinweis zurückgegeben, dass das Kennwort vom Administrator gesperrt wurde. Dies ist im folgenden Beispiel dargestellt:

   

Bereinigen von Ressourcen

Führen Sie die folgenden Schritte aus, wenn Sie die im Rahmen dieses Tutorials konfigurierte benutzerdefinierte Liste mit gesperrten Kennwörtern nicht mehr nutzen möchten:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
2. Navigieren Sie zuSchutz>Authentifizierungsmethoden und dann zu Kennwortschutz.
3. Legen Sie die Option Benutzerdefinierte Liste erzwingen auf Nein fest.
4. Wählen Sie Speichern aus, um die Konfiguration für die benutzerdefinierten gesperrten Kennwörter zu aktualisieren.

Nächste Schritte

In diesem Tutorial haben Sie als Schutzmaßnahme für Microsoft Entra ID benutzerdefinierte Listen mit gesperrten Kennwörtern aktiviert und konfiguriert. Sie haben Folgendes gelernt:

• Aktivieren von benutzerdefinierten gesperrten Kennwörtern
• Hinzufügen von Einträgen zur benutzerdefinierten Liste mit gesperrten Kennwörtern
• Testen von Kennwortänderungen mit einem gesperrten Kennwort

Aktivieren der risikobasierten Multi-Faktor-Authentifizierung von Microsoft Entra