Share via

Helyszíni Microsoft Entra jelszóvédelem engedélyezése

  • Cikk

A felhasználók gyakran olyan jelszavakat hoznak létre, amelyek gyakran használnak helyi szavakat, például egy iskolát, egy sportcsapatot vagy egy híres személyt. Ezek a jelszavak könnyen kitalálhatóak, és gyengeek a szótáralapú támadások ellen. Az erős jelszavak szervezeten belüli kényszerítéséhez a Microsoft Entra Password Protection egy globális és egyéni tiltott jelszólistát biztosít. A jelszóváltoztatási kérés meghiúsul, ha egyezés van a tiltott jelszólistában.

A helyi Active Directory Tartományi szolgáltatások (AD DS) környezetének védelme érdekében telepítheti és konfigurálhatja a Microsoft Entra Password Protectiont a helyszíni tartományvezérlővel való együttműködésre. Ez a cikk bemutatja, hogyan engedélyezheti a Microsoft Entra Password Protectiont a helyszíni környezetben.

A Microsoft Entra Password Protection helyszíni környezetben való működésével kapcsolatos további információkért lásd : Microsoft Entra Password Protection kényszerítése a Windows Server Active Directoryhoz.

Előkészületek

Ez a cikk bemutatja, hogyan engedélyezheti a Microsoft Entra Password Protectiont a helyszíni környezetben. A cikk elvégzése előtt telepítse és regisztrálja a Microsoft Entra Password Protection proxyszolgáltatást és a DC-ügynököket a helyszíni AD DS-környezetben.

Helyszíni jelszóvédelem engedélyezése

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési Rendszergazda istratorként.

  2. Keresse meg a Védelmi>hitelesítési módszerek jelszóvédelem parancsát.>

  3. Állítsa a Jelszóvédelem engedélyezése a Windows Server Active Directoryban beállítást Igen értékre.

    Ha ez a beállítás Nem értékre van állítva, az összes üzembe helyezett Microsoft Entra Password Protection DC-ügynök kiugró módba kerül, ahol a rendszer minden jelszót elfogad. No validation activities are performed, and audit events aren't generated.

  4. Javasoljuk, hogy először állítsa a módot naplózásra. Miután elégedett a funkcióval és a szervezet felhasználóira gyakorolt hatásával, átválthat a Mód kényszerítve módra. További információkért tekintse meg a működési módokról szóló alábbi szakaszt.

  5. Ha elkészült, válassza a Mentés lehetőséget.

    Enable on-premises password protection under Authentication Methods in the Microsoft Entra admin center

Működési módok

A helyszíni Microsoft Entra Password Protection engedélyezésekor használhat naplózási módot vagy kényszerítő módot. Javasoljuk, hogy a kezdeti üzembe helyezés és tesztelés mindig naplózási módban induljon el. Az eseménynapló bejegyzéseit ezután figyelni kell annak előrejelzése érdekében, hogy a kényszerítési mód engedélyezése után a meglévő működési folyamatok zavarják-e őket.

Naplózási mód

A naplózási mód a szoftver "what if" módban való futtatásának módja. Minden Microsoft Entra Password Protection DC-ügynökszolgáltatás kiértékeli a bejövő jelszót az aktuálisan aktív szabályzatnak megfelelően.

Ha a jelenlegi szabályzat naplózási módban van konfigurálva, a "hibás" jelszavak eseménynapló-üzeneteket eredményeznek, de a rendszer feldolgozzák és frissítik. Ez a viselkedés az egyetlen különbség a naplózási és kényszerítési mód között. Minden más művelet ugyanúgy fut.

Kényszerített mód

A kényszerített mód a végső konfiguráció. Mint naplózási módban, minden Microsoft Entra Password Protection DC-ügynökszolgáltatás kiértékeli a bejövő jelszavakat az aktuálisan aktív szabályzatnak megfelelően. Ha azonban a kényszerített mód engedélyezve van, a szabályzat szerint nem biztonságosnak ítélt jelszót a rendszer elutasítja.

Ha a Microsoft Entra Password Protection DC-ügynök kényszerített módban utasít el egy jelszót, a végfelhasználó hasonló hibát lát, mintha azt látná, hogy a jelszót a hagyományos helyszíni jelszó-összetettség-kényszerítés elutasította-e. Előfordulhat például, hogy a felhasználó a következő hagyományos hibaüzenetet látja a Windows bejelentkezéskor vagy a jelszó módosítása képernyőn:

"A jelszó nem frissíthető. Az új jelszóhoz megadott érték nem felel meg a tartomány hosszára, összetettségére vagy előzményére vonatkozó követelményeknek."

Ez az üzenet csak egy példa több lehetséges eredményre. Az adott hibaüzenet a nem biztonságos jelszót beállítani próbáló szoftvertől vagy forgatókönyvtől függően változhat.

Előfordulhat, hogy az érintett végfelhasználóknak együtt kell működniük az informatikai személyzettel az új követelmények megértéséhez és a biztonságos jelszavak kiválasztásához.

Megjegyzés:

A Microsoft Entra Password Protection nem szabályozza az ügyfélszámítógép által a gyenge jelszó elutasításakor megjelenő konkrét hibaüzenetet.

További lépések

Ha testre szeretné szabni a szervezet tiltott jelszólistáját, olvassa el a Microsoft Entra Password Protection egyéni tiltott jelszólista konfigurálása című témakört.

A helyszíni események monitorozásához tekintse meg a helyszíni Microsoft Entra Password Protection monitorozását.