Konfigurieren der Liste benutzerdefinierter gesperrter KennwörterConfiguring the custom banned password list

Viele Organisationen stellen fest, dass ihre Benutzer für ihre Kennwörter allgemeine Wörter verwenden, wie z.B. ihre Schule, ein Sportteam oder eine berühmte Person, sodass die Kennwörter leicht zu erraten sind.Many organizations find their users create passwords using common local words such as a school, sports team, or famous person, leaving them easy to guess. Mit der benutzerdefinierten Liste gesperrter Kennwörter von Microsoft können Organisationen Zeichenfolgen festlegen, die zusätzlich zur globalen Liste gesperrter Kennwörter ausgewertet und blockiert werden, wenn Benutzer oder Administratoren Kennwörter ändern oder zurücksetzen.Microsoft's custom banned password list allows organizations to add strings to evaluate and block, in addition to the global banned password list, when users and administrators attempt to change or reset a password.

Hinzufügen zur benutzerdefinierten ListeAdd to the custom list

Zum Konfigurieren der benutzerdefinierten Liste gesperrter Kennwörter ist eine Azure Active Directory Premium P1- oder P2-Lizenz erforderlich.Configuring the custom banned password list requires an Azure Active Directory Premium P1 or P2 license. Weitere Informationen zur Azure Active Directory-Lizenzierung finden Sie in auf der Seite Azure Active Directory – Preise.For more detailed information about Azure Active Directory licensing, see the Azure Active Directory pricing page.

  1. Melden Sie sich im Azure-Portal an, und navigieren Sie zu Azure Active Directory, Authentifizierungsmethoden und dann zu Kennwortschutz.Sign in to the Azure portal and browse to Azure Active Directory, Authentication methods, then Password protection.
  2. Legen Sie die Option Benutzerdefinierte Liste erzwingen auf Ja fest.Set the option Enforce custom list, to Yes.
  3. Fügen Sie der benutzerdefinierten Liste gesperrter Kennwörter Zeichenfolgen hinzu. Geben Sie eine Zeichenfolge pro Zeile ein.Add strings to the Custom banned password list, one string per line
    • Die benutzerdefinierte Liste gesperrter Kennwörter kann bis zu 1.000 Ausdrücke umfassen.The custom banned password list can contain up to 1000 terms.
    • Bei der benutzerdefinierten Liste gesperrter Kennwörter wird die Groß- und Kleinschreibung nicht beachtet.The custom banned password list is case-insensitive.
    • Die benutzerdefinierte Liste gesperrter Kennwörter berücksichtigt die Ersetzung häufiger Zeichen.The custom banned password list considers common character substitution.
      • Beispiel: „o“ und „0“ oder „a“ und „@“Example: "o" and "0" or "a" and "@"
    • Die Zeichenfolgen müssen mindestens vier und höchstens 16 Zeichen lang sein.The minimum string length is four characters and the maximum is 16 characters.
  4. Wenn Sie alle Zeichenfolgen hinzugefügt haben, klicken Sie auf Speichern.When you have added all strings, click Save.

Hinweis

Es kann mehrere Stunden dauern, bis Updates der benutzerdefinierten Liste gesperrter Kennwörter angewendet werden.It may take several hours for updates to the custom banned password list to be applied.

Hinweis

Die benutzerdefinierte Liste gesperrter Kennwörter ist auf maximal 1.000 Ausdrücke beschränkt.The custom banned password list is limited to having a maximum of 1000 terms. Sie dient nicht zum Blockieren von äußerst umfangreichen Kennwortlisten.It is not designed for blocking extremely large lists of passwords. Um die Vorteile der benutzerdefinierten Liste gesperrter Kennwörter umfassend nutzen zu können, empfiehlt Microsoft, sich zunächst mit dem Konzept und der Verwendung der Liste (siehe Benutzerdefinierte Liste gesperrter Kennwörter) und dem Kennwortauswertungsalgorithmus (siehe Auswerten von Kennwörtern) vertraut zu machen.In order to fully leverage the benefits of the custom banned password list, Microsoft recommends that you first review and understand the intended design and usage of the custom banned password list (see Custom banned password list), and also the password evaluation algorithm (see How are passwords evaluated).

Ändern der benutzerdefinierten Liste gesperrter Kennwörter unter „Authentifizierungsmethoden“ im Azure-Portal

So funktioniert'sHow it works

Jedes Mal, wenn ein Benutzer oder Administrator ein Azure AD-Kennwort zurücksetzt oder ändert, wird es mit den benutzerdefinierten Listen gesperrter Kennwörter abgeglichen, um zu bestätigen, dass es sich auf keiner Liste befindet.Each time a user or administrator resets or changes an Azure AD password, it flows through the banned password lists to confirm that it is not on a list. Diese Überprüfung wird bei allen mithilfe von Azure AD festgelegten oder geänderten Kennwörter durchgeführt.This check is included in any passwords set or changed using Azure AD.

Anzeige für BenutzerWhat do users see

Wenn ein Benutzer versucht, ein Kennwort auf einen Wert zurückzusetzen, der gesperrt würde, wird eine der folgenden Fehlermeldungen angezeigt:When a user attempts to reset a password to something that would be banned, they see one of the following error messages:

  • Ihr Kennwort ist aufgrund eines enthaltenen Worts, Ausdrucks oder Musters leider leicht zu erraten.Unfortunately, your password contains a word, phrase, or pattern that makes your password easily guessable. Wiederholen Sie den Vorgang mit einem anderen Kennwort.Please try again with a different password.
  • Unfortunately, you can't use that password because it contains words or characters that have been blocked by your administrator. (Sie können dieses Kennwort nicht verwenden, da es Wörter oder Zeichen enthält, die vom Administrator gesperrt wurden).Unfortunately, you can't use that password because it contains words or characters that have been blocked by your administrator. Wiederholen Sie den Vorgang mit einem anderen Kennwort.Please try again with a different password.

Nächste SchritteNext steps

Konzeptionelle Übersicht über Listen gesperrter KennwörterConceptual overview of the banned password lists

Konzeptionelle Übersicht über den Azure AD-KennwortschutzConceptual overview of Azure AD password protection

Aktivieren der lokalen Integration der Listen gesperrter KennwörterEnable on-premises integration with the banned password lists