Oktatóanyag: Egyéni tiltott jelszavak konfigurálása az Azure Active Directory jelszóvédelméhez

A felhasználók gyakran olyan jelszavakat hoznak létre, amelyek gyakori helyi szavakat használnak, például egy iskolát, egy sportcsapatot vagy egy híres személyt. Ezek a jelszavak könnyen kitalálhatóak, és gyengék a szótáralapú támadásokkal szemben. Az erős jelszavak szervezeten belüli kényszerítéséhez a Azure Active Directory (Azure AD) egyéni tiltott jelszólistája lehetővé teszi adott sztringek hozzáadását a kiértékeléséhez és letiltásához. A jelszóváltoztatási kérés meghiúsul, ha egyezés szerepel az egyéni tiltott jelszólistában.

Ezen oktatóanyag segítségével megtanulhatja a következőket:

  • Egyéni tiltott jelszavak engedélyezése
  • Bejegyzések hozzáadása az egyéni tiltott jelszavak listájához
  • Jelszómódosítások tesztelése tiltott jelszóval

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra lesz szüksége:

Mik azok a tiltott jelszólisták?

Az Azure AD tartalmaz egy globálisan tiltott jelszólistát. A globálisan tiltott jelszólista tartalma nem külső adatforráson alapul. Ehelyett a globálisan letiltott jelszólista az Azure AD biztonsági telemetriai és elemzési eredményein alapul. Amikor egy felhasználó vagy rendszergazda megkísérli módosítani vagy alaphelyzetbe állítani a hitelesítő adatait, a rendszer ellenőrzi a kívánt jelszót a tiltott jelszavak listájában. A jelszóváltoztatási kérelem meghiúsul, ha egyezés van a globális tiltott jelszólistában. Ez az alapértelmezett globális tiltott jelszólista nem szerkeszthető.

Ha rugalmasan szeretné megadni a jelszavak használatát, egyéni tiltott jelszólistát is definiálhat. Az egyéni tiltott jelszólista a globális tiltott jelszólistával együtt működik, hogy erős jelszavakat kényszerítsen ki a szervezetben. A szervezetspecifikus kifejezések hozzáadhatók az egyéni tiltott jelszavak listájához, például az alábbi példák:

  • Márkanevek
  • Terméknevek
  • Helyek, például a cég székhelye
  • Vállalatspecifikus belső kifejezések
  • Adott vállalati jelentéssel rendelkező rövidítések
  • Hónapok és hétköznapok a vállalat helyi nyelveivel

Amikor egy felhasználó egy globális vagy egyéni tiltott jelszólistán szereplő jelszóra próbál új jelszót visszaállítani, az alábbi hibaüzenetek egyikét látja:

  • Sajnos a jelszó tartalmaz egy szót, kifejezést vagy mintát, amely könnyen kitalálhatóvá teszi a jelszót. Próbálkozzon újra egy másik jelszóval.
  • Sajnos nem használhatja ezt a jelszót, mert olyan szavakat vagy karaktereket tartalmaz, amelyeket a rendszergazda blokkolt. Próbálkozzon újra egy másik jelszóval.

Az egyéni tiltott jelszólista legfeljebb 1000 kifejezésre korlátozódik. Nem a nagy jelszólisták blokkolására szolgál. Az egyéni tiltott jelszólista előnyeinek maximalizálása érdekében tekintse át az egyéni tiltott jelszólista alapelveit és a jelszó-kiértékelési algoritmus áttekintését.

Egyéni tiltott jelszavak konfigurálása

Engedélyezzük az egyéni tiltott jelszólistát, és adjunk hozzá néhány bejegyzést. Bármikor hozzáadhat további bejegyzéseket az egyéni tiltott jelszavak listájához.

Az egyéni tiltott jelszólista engedélyezéséhez és bejegyzések hozzáadásához hajtsa végre az alábbi lépéseket:

  1. Jelentkezzen be a Azure Portal globális rendszergazdai engedélyekkel rendelkező fiókkal.

  2. Keresse meg és válassza ki a Azure Active Directory, majd válassza a bal oldali menü Biztonság elemét.

  3. A Kezelés menü fejlécében válassza a Hitelesítési módszerek, majd a Jelszóvédelem lehetőséget.

  4. Állítsa az egyéni lista kényszerítésebeállítást Igen értékre.

  5. Sztringek hozzáadása az egyéni tiltott jelszavak listájához, soronként egy sztring. Az egyéni tiltott jelszavak listájára az alábbi szempontok és korlátozások vonatkoznak:

    • Az egyéni tiltott jelszólista legfeljebb 1000 kifejezést tartalmazhat.
    • Az egyéni tiltott jelszólista nem megkülönbözteti a kis- és nagybetűket.
    • Az egyéni tiltott jelszólista a gyakori karakterhelyettesítéseket veszi figyelembe, például az "o" és a "0", az "a" és a "@" karaktert.
    • A minimális sztringhossz négy karakter, a maximális érték pedig 16 karakter.

    Adja meg a betiltandó egyéni jelszavakat az alábbi példában látható módon

    Modify the custom banned password list under Authentication Methods in the Azure portal

  6. Hagyja bejelölve a jelszóvédelem engedélyezését a Windows Server Active Directorya Nem beállításra.

  7. Az egyéni tiltott jelszavak és a bejegyzések engedélyezéséhez válassza a Mentés lehetőséget.

Az egyéni tiltott jelszólista frissítéseinek alkalmazása több órát is igénybe vehet.

Hibrid környezet esetén az Azure AD jelszóvédelmet helyszíni környezetben is üzembe helyezheti. Ugyanezek a globális és egyéni tiltott jelszólisták a felhőbeli és a helyszíni jelszóváltoztatási kérésekhez is használhatók.

Egyéni tiltott jelszólista tesztelése

Ha működés közben szeretné megtekinteni az egyéni tiltott jelszólistát, próbálja meg az előző szakaszban hozzáadott jelszóváltozatra módosítani. Amikor az Azure AD megpróbálja feldolgozni a jelszómódosítást, a rendszer egyezteti a jelszót az egyéni tiltott jelszólista egyik bejegyzésével. Ekkor megjelenik egy hiba a felhasználó számára.

Megjegyzés

Mielőtt egy felhasználó alaphelyzetbe állíthatja a jelszavát a webes portálon, az Azure AD-bérlőt konfigurálni kell az önkiszolgáló jelszó-visszaállításhoz. Ha szükséges, a felhasználó regisztrálhat az SSPR-hez a következő címen https://aka.ms/ssprsetup: .

  1. Lépjen a Saját alkalmazások lapra a következő helyenhttps://myapps.microsoft.com: .

  2. A jobb felső sarokban válassza ki a nevét, majd válassza a Legördülő menü Profil elemét.

    Select profile

  3. A Profil lapon válassza a Jelszó módosítása lehetőséget.

  4. A Jelszó módosítása lapon adja meg a meglévő (régi) jelszót. Adjon meg és erősítse meg az előző szakaszban megadott egyéni tiltott jelszólistában szereplő új jelszót, majd válassza a Küldés lehetőséget.

  5. A rendszer egy hibaüzenetet ad vissza, amely közli, hogy a jelszót a rendszergazda letiltotta, ahogy az alábbi példában látható:

    Error message displayed when you try to use a password that's part of the custom banned password list

Az erőforrások eltávolítása

Ha már nem szeretné használni az oktatóanyag részeként konfigurált egyéni tiltott jelszólistát, hajtsa végre a következő lépéseket:

  1. Jelentkezzen be az Azure Portalra.
  2. Keresse meg és válassza ki a Azure Active Directory, majd válassza a bal oldali menü Biztonság elemét.
  3. A Kezelés menü fejlécében válassza a Hitelesítési módszerek, majd a Jelszóvédelem lehetőséget.
  4. Az egyéni lista kikényszerítésének beállítása Nem értékre.
  5. Az egyéni tiltott jelszókonfiguráció frissítéséhez válassza a Mentés lehetőséget.

Következő lépések

Ebben az oktatóanyagban engedélyezte és konfigurálta az egyéni jelszóvédelmi listákat az Azure AD-hez. Megtanulta végrehajtani az alábbi műveleteket:

  • Egyéni tiltott jelszavak engedélyezése
  • Bejegyzések hozzáadása az egyéni tiltott jelszavak listájához
  • Jelszómódosítások tesztelése tiltott jelszóval