Azure Active Directory-Passthrough-Authentifizierung: Smart LockoutAzure Active Directory Pass-through Authentication: Smart Lockout

ÜbersichtOverview

Active Directory (Azure AD) bietet Schutz gegen Brute-Force-Angriffe auf Kennwörter und verhindert, dass echte Benutzer aus ihrer Office 365-Anwendung oder aus SaaS-Anwendungen ausgeschlossen werden.Azure Active Directory (Azure AD) protects against brute-force password attacks and prevents genuine users from being locked out of their Office 365 and SaaS applications. Diese Funktion namens Smart Lockout wird unterstützt, wenn die Passthrough-Authentifizierung als Anmeldemethode verwendet wird.This capability, called Smart Lockout, is supported when you use Pass-through Authentication as your sign-in method. Smart Lockout ist standardmäßig für alle Mandanten aktiviert, nicht für nur Mandanten, die Passthrough-Authentifizierung verwenden, und es schützt Ihre Benutzerkonten durchgängig.Smart Lockout is enabled by default for all tenants, not just tenants using Pass-through Authentication, and it continuously protects your user accounts.

Smart Lockout verfolgt fehlgeschlagene Anmeldeversuche nach.Smart Lockout keeps track of failed sign-in attempts. Nach einem bestimmten Sperrschwellenwert lässt Smart Lockout eine Sperrdauer wirksam werden.After a certain lockout threshold, it starts a lockout duration. Smart Lockout weist während der Sperrdauer jeden Anmeldeversuch des Angreifers zurück.Smart Lockout rejects any attempts to sign in from the attacker during the lockout duration. Wird der Angriff fortgesetzt, bewirken weitere gescheiterte Anmeldeversuche nach Ablauf der Sperrdauer längere Sperrdauern.If the attack continues, subsequent failed sign-in attempts after the lockout duration ends result in longer lockout durations.

Hinweis

Der Standardsperrschwellenwert beträgt 10 fehlgeschlagene Anmeldeversuche.The default lockout threshold is 10 failed attempts. Die Standardsperrdauer beträgt 60 Sekunden.The default lockout duration is 60 seconds.

Smart Lockout unterscheidet auch zwischen Anmeldeversuchen echter Benutzer und Anmeldeversuchen von Angreifern.Smart Lockout also distinguishes between sign-ins from genuine users and sign-ins from attackers. In den meisten Fällen sperrt es nur die Angreifer.In most cases, it locks out only the attackers. Diese Funktionalität verhindert, dass die echten Benutzer vorsätzlich von den Angreifern ausgesperrt werden.This functionality prevents attackers from maliciously locking out genuine users. Um zwischen echten Benutzern und Angreifern zu unterscheiden, verwendet Smart Lockout das vergangene Anmeldeverhalten, die Geräte und Browser der Benutzer sowie sonstige Indikatoren.Smart Lockout uses past sign-in behavior, the users’ devices and browsers, and other signals to distinguish between genuine users and attackers. Die Algorithmen werden ständig verbessert.The algorithms are constantly improved.

Passthrough-Authentifizierung leitet Kennwortvalidierungsanforderungen an Ihr lokales Active Directory (AD) weiter. Daher müssen Sie Angreifer daran hindern, die Active Directory-Konten Ihrer Benutzer sperren zu können.Pass-through Authentication forwards password validation requests to on-premises Active Directory, so you need to prevent attackers from locking out your users’ Active Directory accounts. Active Directory hat eigene Kontosperrungsrichtlinien, insbesondere die Richtlinien Kontensperrungsschwelle und Zurücksetzungsdauer des Kontosperrungszählers.Active Directory has its own account lockout policies, specifically, Account lockout threshold and Reset account lockout counter after policies. Konfigurieren Sie den Azure AD-Sperrschwellenwert und die Azure AD-Sperrdauer entsprechend, um Angriffe in der Cloud herausfiltern, bevor sie das lokale Active Directory erreichen.Configure the Azure AD lockout threshold and lockout duration values appropriately to filter out attacks in the cloud before they reach on-premises Active Directory.

Hinweis

Die Smart Lookout-Funktion ist kostenlos und ist standardmäßig für alle Kunden aktiviert.The Smart Lockout feature is free and is on by default for all customers. Zum Modifizieren der Werte der Kontensperrungsschwelle und der Sperrungsdauer von Azure AD mit der Graph-API muss Ihr Mandant für Azure AD Premium P2 aktiviert sein.However, modifying Azure AD’s Lockout Threshold and Lockout Duration values using Graph API needs your tenant to be activated for Azure AD Premium P2.

Um sicherzustellen, dass die lokalen Active Directory-Konten Ihrer Benutzer gut geschützt sind, müssen Sie folgende Voraussetzungen gewährleisten:To ensure that your users’ on-premises Active Directory accounts are well protected, you need to ensure that:

  • Der Azure AD-Sperrschwellenwert ist kleiner als der Schwellenwert für eine Active Directory-Kontosperrung.The Azure AD lockout threshold is less than the Active Directory account lockout threshold. Legen Sie die Werte so fest, dass der Schwellenwert für eine Active Directory-Kontosperrung mindestens das Zwei- oder Dreifache des Azure AD-Sperrschwellenwerts beträgt.Set the values so that the Active Directory account lockout threshold is at least two or three times longer than the Azure AD lockout threshold.
  • Die Azure AD-Sperrdauer (ausgedrückt in Sekunden) ist länger als die Active Directory-Zurücksetzungsdauer des Kontosperrungszählers (ausgedrückt in Minuten).The Azure AD lockout duration (represented in seconds) is longer than the Active Directory reset account lockout counter after duration (represented in minutes).

Wichtig

Derzeit können die Cloudkonten der Benutzer nicht von einem Administrator entsperrt werden, wenn sie von Smart Lockout gesperrt wurden.Currently an administrator can't unlock the users' cloud accounts if they have been locked out by the Smart Lockout capability. Der Administrator muss warten, bis die Sperrdauer abgelaufen ist.The administrator must wait for the lockout duration to expire.

Überprüfen Ihrer Active Directory-KontosperrungsrichtlinienVerify your Active Directory account lockout policies

Gehen Sie folgendermaßen vor, um Ihre Active Directory-Kontosperrungsrichtlinien zu überprüfen:Use the following instructions to verify your Active Directory account lockout policies:

  1. Öffnen Sie das Gruppenrichtlinienverwaltungstool.Open the Group Policy Management tool.
  2. Bearbeiten Sie die Gruppenrichtlinie, die auf alle Benutzer angewendet wird, beispielsweise die Standarddomänenrichtlinie.Edit the group policy that's applied to all users, for example, the Default Domain Policy.
  3. Navigieren Sie zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kontosperrungsrichtlinien.Browse to Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Account Lockout Policy.
  4. Überprüfen Sie Ihre Werte für Kontensperrungsschwelle und Zurücksetzungsdauer des Kontosperrungszählers.Verify your Account lockout threshold and Reset account lockout counter after values.

Active Directory-Kontosperrungsrichtlinien

Verwenden der Graph-API, um die Smart Lockout-Werte Ihres Mandanten zu verwalten (erfordert eine Premium-Lizenz)Use the Graph API to manage your tenant’s Smart Lockout values (requires a Premium license)

Wichtig

Das Verändern der Werte für die Azure AD-Sperrschwelle und die Azure AD-Sperrdauer durch Verwenden der Graph-API ist eine Azure AD Premium P2-Funktion.Modifying the Azure AD lockout threshold and lockout duration values by using Graph API is an Azure AD Premium P2 feature. Sie müssen dafür auch ein globaler Administrator Ihres Mandanten sein.It also needs you to be a global administrator on your tenant.

Sie können Graph-Tester verwenden, um die Werte von Azure AD Smart Lockout zu lesen, festzulegen und zu aktualisieren.You can use Graph Explorer to read, set, and update the Azure AD Smart Lockout values. Sie können diese Vorgänge auch programmgesteuert ausführen.You can also do these operations programmatically.

Anzeigen der Smart Lockout-WerteView Smart Lockout values

Um die Smart Lockout-Werte Ihres Mandanten anzuzeigen, führen Sie die folgenden Schritte aus:Follow these steps to view your tenant’s Smart Lockout values:

  1. Melden Sie sich bei Graph-Tester als globaler Administrator Ihres Mandanten an.Sign in to Graph Explorer as a global administrator of your tenant. Wenn Sie dazu aufgefordert werden, gewähren Sie Zugriff für die angeforderten Berechtigungen.If you're prompted, grant access for the requested permissions.
  2. Wählen Sie Berechtigungen ändern aus, und wählen Sie dann die Berechtigung Directory.ReadWrite.All aus.Select Modify permissions, and then select the Directory.ReadWrite.All permission.
  3. Konfigurieren Sie die Graph-API-Anforderung wie folgt: Legen Sie die Version auf BETA, den Anforderungstyp auf GET und die URL auf https://graph.microsoft.com/beta/<your-tenant-domain>/settings fest.Configure the Graph API request as follows: Set the version to BETA, the request type to GET, and the URL to https://graph.microsoft.com/beta/<your-tenant-domain>/settings.
  4. Wählen Sie Abfrage ausführen, um die Smart Lockout-Werte Ihres Mandanten anzuzeigen.Select Run Query to see your tenant's Smart Lockout values. Wenn Sie die Werte Ihres Mandanten zuvor nicht festgelegt haben, sehen Sie einen leeren Bereich.If you haven't set your tenant's values before, you see an empty set.

Festlegen der Smart Lockout-WerteSet Smart Lockout values

Um die Smart Lockout-Werte Ihres Mandanten festzulegen, führen Sie die folgenden Schritte aus (nur beim ersten Mal erforderlich):Follow these steps to set your tenant’s Smart Lockout values (required for the first time only):

  1. Melden Sie sich bei Graph-Tester als globaler Administrator Ihres Mandanten an.Sign in to Graph Explorer as a global administrator of your tenant. Wenn Sie dazu aufgefordert werden, gewähren Sie Zugriff für die angeforderten Berechtigungen.If you're prompted, grant access for the requested permissions.
  2. Wählen Sie Berechtigungen ändern aus, und wählen Sie dann die Berechtigung Directory.ReadWrite.All aus.Select Modify permissions, and then select the Directory.ReadWrite.All permission.
  3. Konfigurieren Sie die Graph-API-Anforderung wie folgt: Legen Sie die Version auf BETA, den Anforderungstyp auf POST und die URL auf https://graph.microsoft.com/beta/<your-tenant-domain>/settings fest.Configure the Graph API request as follows: Set the version to BETA, the request type to POST, and the URL to https://graph.microsoft.com/beta/<your-tenant-domain>/settings.
  4. Kopieren Sie die folgende JSON-Anforderung in das Feld Anforderungstext.Copy and paste the following JSON request into the Request Body field.
  5. Wählen Sie Abfrage ausführen aus, um die Smart Lockout-Werte Ihres Mandanten festzulegen.Select Run Query to set your tenant's Smart Lockout values.
{
  "templateId": "5cf42378-d67d-4f36-ba46-e8b86229381d",
  "values": [
    {
      "name": "LockoutDurationInSeconds",
      "value": "300"
    },
    {
      "name": "LockoutThreshold",
      "value": "5"
    },
    {
      "name" : "BannedPasswordList",
      "value": ""
    },
    {
      "name" : "EnableBannedPasswordCheck",
      "value": "false"
    }
  ]
}

Hinweis

Falls Sie diese nicht verwenden, können Sie die Werte für BannedPasswordList und EnableBannedPasswordCheck leer ("") bzw. gleich false belassen.If you don't use them, you can leave the BannedPasswordList and EnableBannedPasswordCheck values as empty ("") and false respectively.

Überprüfen Sie, ob Sie die Smart Lockout-Werte Ihres Mandanten korrekt festgelegt haben. Führen Sie dazu die Schritte in Anzeigen der Smart Lockout-Werte aus.Verify that you have set your tenant's Smart Lockout values correctly by using the steps in View Smart Lockout values.

Aktualisieren der Smart Lockout-WerteUpdate Smart Lockout values

Um die Smart Lockout-Werte Ihres Mandanten zu aktualisieren (sofern Sie diese zuvor festgelegt haben), führen Sie die folgenden Schritte aus:Follow these steps to update your tenant’s Smart Lockout values (if you set them before):

  1. Melden Sie sich bei Graph-Tester als globaler Administrator Ihres Mandanten an.Sign in to Graph Explorer as a global administrator of your tenant. Wenn Sie dazu aufgefordert werden, gewähren Sie Zugriff für die angeforderten Berechtigungen.If you're prompted, grant access for the requested permissions.
  2. Wählen Sie Berechtigungen ändern aus, und wählen Sie dann die Berechtigung Directory.ReadWrite.All aus.Select Modify permissions, and then select the Directory.ReadWrite.All permission.
  3. Um die Smart Lockout-Werte Ihres Mandanten anzuzeigen, führen Sie die folgenden Schritte aus.Follow these steps to view your tenant's Smart Lockout values. Kopieren Sie den id-Wert (eine GUID) des Elements mit displayName als PasswordRuleSettings.Copy the id value (a GUID) of the item with displayName as PasswordRuleSettings.
  4. Konfigurieren Sie die Graph-API-Anforderung wie folgt: Legen Sie die Version auf BETA, den Anforderungstyp auf PATCH und die URL auf https://graph.microsoft.com/beta/<your-tenant-domain>/settings/<id> fest.Configure the Graph API request as follows: Set the version to BETA, the request type to PATCH, and the URL to https://graph.microsoft.com/beta/<your-tenant-domain>/settings/<id>. Verwenden Sie die GUID aus Schritt 3 für <id>.Use the GUID from step 3 for <id>.
  5. Kopieren Sie die folgende JSON-Anforderung in das Feld Anforderungstext.Copy and paste the following JSON request into the Request Body field. Ändern Sie die Smart Lockout-Werte geeignet.Change the Smart Lockout values as appropriate.
  6. Wählen Sie Abfrage ausführen, um die Smart Lockout-Werte Ihres Mandanten zu aktualisieren.Select Run Query to update your tenant's Smart Lockout values.
{
  "values": [
    {
      "name": "LockoutDurationInSeconds",
      "value": "30"
    },
    {
      "name": "LockoutThreshold",
      "value": "4"
    },
    {
      "name" : "BannedPasswordList",
      "value": ""
    },
    {
      "name" : "EnableBannedPasswordCheck",
      "value": "false"
    }
  ]
}

Überprüfen Sie, ob Sie die Smart Lockout-Werte Ihres Mandanten korrekt aktualisiert haben. Führen Sie dazu die Schritte in Anzeigen der Smart Lockout-Werte aus.Verify that you have updated your tenant's Smart Lockout values correctly by using the steps in View Smart Lockout values.

Nächste SchritteNext steps

UserVoice: Anfordern neuer Features über das Azure Active Directory-ForumUserVoice: Use the Azure Active Directory Forum to file new feature requests.