Helyszíni Azure Active Directory-jelszóvédelem engedélyezése

  • Cikk
  • 2 perc alatt elolvasható

A felhasználók gyakran olyan jelszavakat hoznak létre, amelyek gyakori helyi szavakat használnak, például egy iskolát, egy sportcsapatot vagy egy híres személyt. Ezek a jelszavak könnyen kitalálhatóak, és gyengeek a szótáralapú támadásokkal szemben. Az erős jelszavak cégen belüli kényszerítéséhez a Azure Active Directory (Azure AD) Password Protection globális és egyéni tiltott jelszólistát biztosít. A jelszóváltoztatási kérelem meghiúsul, ha egyezés található a tiltott jelszólistában.

A helyi Active Directory Domain Services- (AD DS-) környezet védelme érdekében telepítheti és konfigurálhatja az Azure AD Password Protectiont, hogy működjön a helyszíni tartományvezérlővel. Ez a cikk bemutatja, hogyan engedélyezheti az Azure AD Password Protectiont a helyszíni környezetben.

Az Azure AD Password Protection helyszíni környezetben való működésével kapcsolatos további információkért lásd: Az Azure AD Password Protection kényszerítése Windows Server Active Directory.

Előkészületek

Ez a cikk bemutatja, hogyan engedélyezheti az Azure AD Password Protectiont a helyszíni környezetben. A cikk elvégzése előtt telepítse és regisztrálja az Azure AD Password Protection proxyszolgáltatást és a DC-ügynököket a helyszíni AD DS-környezetben.

Helyszíni jelszóvédelem engedélyezése

  1. Jelentkezzen be a Azure Portal, és keresse meg a Azure Active Directory>SecurityAuthentication>methodsPassword protection metódust>.

  2. Állítsa a jelszóvédelem engedélyezésének beállítását Windows Server Active Directory Igen értékre.

    Ha ez a beállítás Nem értékre van állítva, az összes üzembe helyezett Azure AD Password Protection DC-ügynök leválasztott üzemmódba lép, ahol az összes jelszó elfogadva lesz. A rendszer nem végez érvényesítési tevékenységeket, és nem hoz létre naplózási eseményeket.

  3. Javasoljuk, hogy először állítsa a MódotNaplózás értékre. Miután megismerkedett a funkcióval és a szervezet felhasználóira gyakorolt hatásával, átválthat kényszerített módra. További információkért tekintse meg a működési módokról szóló alábbi szakaszt.

  4. Ha elkészült, válassza a Mentés lehetőséget.

    Enable on-premises password protection under Authentication Methods in the Azure portal

Működési módok

A helyszíni Azure AD Password Protection engedélyezésekor használhat naplózási módot vagy kényszerítő módot. Javasoljuk, hogy a kezdeti üzembe helyezés és tesztelés mindig naplózási módban induljon el. Ezután figyelni kell az eseménynapló bejegyzéseit, hogy előre jelezhesse, a rendszer megzavarja-e a meglévő működési folyamatokat a kényszerítési mód engedélyezése után.

Naplózási mód

A naplózási mód a szoftver "what if" módban való futtatásának módja. Minden Azure AD Password Protection DC-ügynökszolgáltatás kiértékeli a bejövő jelszót az aktuálisan aktív szabályzatnak megfelelően.

Ha a jelenlegi szabályzat naplózási módban van konfigurálva, a "rossz" jelszavak eseménynapló-üzeneteket eredményeznek, de a feldolgozásuk és frissítésük megtörtént. Ez a viselkedés az egyetlen különbség a naplózási és kényszerítési mód között. Minden más művelet ugyanúgy fut.

Kényszerített mód

A kényszerített mód a végső konfiguráció. Mint naplózási módban, minden Azure AD Password Protection DC-ügynökszolgáltatás kiértékeli a bejövő jelszavakat az aktuálisan aktív szabályzatnak megfelelően. Ha azonban a kényszerített mód engedélyezve van, a szabályzat szerint nem biztonságosnak ítélt jelszavakat a rendszer elutasítja.

Ha az Azure AD Jelszóvédelem tartományvezérlő ügynöke kényszerített módban elutasít egy jelszót, a végfelhasználók hasonló hibát látnak, mintha a hagyományos helyszíni jelszóbonyolultság kényszerítése elutasítaná a jelszavát. A felhasználók például a következő hagyományos hibaüzenetet láthatják a Windows bejelentkezési vagy jelszómódosítási képernyőn:

"A jelszó nem frissíthető. Az új jelszóhoz megadott érték nem felel meg a tartomány hosszára, összetettségére vagy előzményére vonatkozó követelményeknek."

Ez az üzenet csak egy példa több lehetséges eredményre. Az adott hibaüzenet a nem biztonságos jelszó beállítására tett tényleges szoftvertől vagy forgatókönyvtől függően változhat.

Előfordulhat, hogy az érintett végfelhasználóknak együtt kell működniük az informatikai részleggel az új követelmények megértéséhez és a biztonságos jelszavak kiválasztásához.

Megjegyzés

Az Azure AD Password Protection nem szabályozza az ügyfélszámítógép által a gyenge jelszó elutasítása esetén megjelenő konkrét hibaüzenetet.

Következő lépések

A szervezet letiltott jelszólistájának testreszabásához tekintse meg az Azure AD Password Protection egyéni tiltott jelszavak listájának konfigurálását.

A helyszíni események monitorozásához tekintse meg a helyszíni Azure AD Password Protection monitorozását.