Helyszíni Microsoft Entra jelszóvédelem engedélyezése
A felhasználók gyakran olyan jelszavakat hoznak létre, amelyek gyakran használnak helyi szavakat, például egy iskolát, egy sportcsapatot vagy egy híres személyt. Ezek a jelszavak könnyen kitalálhatóak, és gyengeek a szótáralapú támadások ellen. Az erős jelszavak szervezeten belüli kényszerítéséhez a Microsoft Entra Password Protection egy globális és egyéni tiltott jelszólistát biztosít. A jelszóváltoztatási kérés meghiúsul, ha egyezés van a tiltott jelszólistában.
A helyi Active Directory Tartományi szolgáltatások (AD DS) környezetének védelme érdekében telepítheti és konfigurálhatja a Microsoft Entra Password Protectiont a helyszíni tartományvezérlővel való együttműködésre. Ez a cikk bemutatja, hogyan engedélyezheti a Microsoft Entra Password Protectiont a helyszíni környezetben.
A Microsoft Entra Password Protection helyszíni környezetben való működésével kapcsolatos további információkért lásd : Microsoft Entra Password Protection kényszerítése a Windows Server Active Directoryhoz.
Előkészületek
Ez a cikk bemutatja, hogyan engedélyezheti a Microsoft Entra Password Protectiont a helyszíni környezetben. A cikk elvégzése előtt telepítse és regisztrálja a Microsoft Entra Password Protection proxyszolgáltatást és a DC-ügynököket a helyszíni AD DS-környezetben.
Helyszíni jelszóvédelem engedélyezése
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési Rendszergazda istratorként.
Keresse meg a Védelmi>hitelesítési módszerek jelszóvédelem parancsát.>
Állítsa a Jelszóvédelem engedélyezése a Windows Server Active Directoryban beállítást Igen értékre.
Ha ez a beállítás Nem értékre van állítva, az összes üzembe helyezett Microsoft Entra Password Protection DC-ügynök kiugró módba kerül, ahol a rendszer minden jelszót elfogad. No validation activities are performed, and audit events aren't generated.
Javasoljuk, hogy először állítsa a módot naplózásra. Miután elégedett a funkcióval és a szervezet felhasználóira gyakorolt hatásával, átválthat a Mód kényszerítve módra. További információkért tekintse meg a működési módokról szóló alábbi szakaszt.
Ha elkészült, válassza a Mentés lehetőséget.
Működési módok
A helyszíni Microsoft Entra Password Protection engedélyezésekor használhat naplózási módot vagy kényszerítő módot. Javasoljuk, hogy a kezdeti üzembe helyezés és tesztelés mindig naplózási módban induljon el. Az eseménynapló bejegyzéseit ezután figyelni kell annak előrejelzése érdekében, hogy a kényszerítési mód engedélyezése után a meglévő működési folyamatok zavarják-e őket.
Naplózási mód
A naplózási mód a szoftver "what if" módban való futtatásának módja. Minden Microsoft Entra Password Protection DC-ügynökszolgáltatás kiértékeli a bejövő jelszót az aktuálisan aktív szabályzatnak megfelelően.
Ha a jelenlegi szabályzat naplózási módban van konfigurálva, a "hibás" jelszavak eseménynapló-üzeneteket eredményeznek, de a rendszer feldolgozzák és frissítik. Ez a viselkedés az egyetlen különbség a naplózási és kényszerítési mód között. Minden más művelet ugyanúgy fut.
Kényszerített mód
A kényszerített mód a végső konfiguráció. Mint naplózási módban, minden Microsoft Entra Password Protection DC-ügynökszolgáltatás kiértékeli a bejövő jelszavakat az aktuálisan aktív szabályzatnak megfelelően. Ha azonban a kényszerített mód engedélyezve van, a szabályzat szerint nem biztonságosnak ítélt jelszót a rendszer elutasítja.
Ha a Microsoft Entra Password Protection DC-ügynök kényszerített módban utasít el egy jelszót, a végfelhasználó hasonló hibát lát, mintha azt látná, hogy a jelszót a hagyományos helyszíni jelszó-összetettség-kényszerítés elutasította-e. Előfordulhat például, hogy a felhasználó a következő hagyományos hibaüzenetet látja a Windows bejelentkezéskor vagy a jelszó módosítása képernyőn:
"A jelszó nem frissíthető. Az új jelszóhoz megadott érték nem felel meg a tartomány hosszára, összetettségére vagy előzményére vonatkozó követelményeknek."
Ez az üzenet csak egy példa több lehetséges eredményre. Az adott hibaüzenet a nem biztonságos jelszót beállítani próbáló szoftvertől vagy forgatókönyvtől függően változhat.
Előfordulhat, hogy az érintett végfelhasználóknak együtt kell működniük az informatikai személyzettel az új követelmények megértéséhez és a biztonságos jelszavak kiválasztásához.
Megjegyzés:
A Microsoft Entra Password Protection nem szabályozza az ügyfélszámítógép által a gyenge jelszó elutasításakor megjelenő konkrét hibaüzenetet.
További lépések
Ha testre szeretné szabni a szervezet tiltott jelszólistáját, olvassa el a Microsoft Entra Password Protection egyéni tiltott jelszólista konfigurálása című témakört.
A helyszíni események monitorozásához tekintse meg a helyszíni Microsoft Entra Password Protection monitorozását.