Share via

Mengaktifkan Perlindungan Kata Sandi Microsoft Entra lokal

  • Artikel

Pengguna sering membuat kata sandi yang menggunakan kata-kata lokal umum seperti sekolah, tim olahraga, atau orang terkenal. Kata sandi ini mudah ditebak, dan lemah terhadap serangan berbasis kamus. Untuk menerapkan kata sandi yang kuat di organisasi Anda, Perlindungan Kata Sandi Microsoft Entra menyediakan daftar kata sandi terlarang global dan kustom. Permintaan perubahan kata sandi akan gagal jika ada kecocokan dalam daftar kata sandi yang dilarang ini.

Untuk melindungi lingkungan Active Directory lokal Domain Services (AD DS), Anda dapat menginstal dan mengonfigurasi Perlindungan Kata Sandi Microsoft Entra untuk bekerja dengan DC lokal Anda. Artikel ini memperlihatkan kepada Anda cara mengaktifkan Perlindungan Kata Sandi Microsoft Entra untuk lingkungan lokal Anda.

Untuk informasi selengkapnya tentang cara kerja Perlindungan Kata Sandi Microsoft Entra di lingkungan lokal, lihat Cara menerapkan Perlindungan Kata Sandi Microsoft Entra untuk Direktori Aktif Windows Server.

Sebelum Anda mulai

Artikel ini memperlihatkan kepada Anda cara mengaktifkan Perlindungan Kata Sandi Microsoft Entra untuk lingkungan lokal Anda. Sebelum Anda menyelesaikan artikel ini, instal dan daftarkan layanan proksi Perlindungan Kata Sandi Microsoft Entra dan agen DC di lingkungan AD DS lokal Anda.

Mengaktifkan perlindungan kata sandi lokal

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Autentikasi.

  2. Telusuri perlindungan kata sandi metode>Autentikasi Perlindungan.>

  3. Atur opsi untuk Mengaktifkan perlindungan kata sandi pada Direktori Aktif Server Windows ke Ya.

    Ketika pengaturan ini diatur ke Tidak, semua agen DC Perlindungan Kata Sandi Microsoft Entra yang disebarkan masuk ke mode berhenti di mana semua kata sandi diterima apa adanya. Tidak ada aktivitas validasi yang dilakukan, dan peristiwa audit tidak dihasilkan.

  4. Disarankan untuk terlebih dahulu mengatur Mode ke Audit. Setelah merasa nyaman dengan fitur dan dampaknya pada pengguna di organisasi, Anda dapat mengalihkan Mode ke Terapkan. Untuk mengetahui informasi selengkapnya, lihat bagian berikut di mode operasi.

  5. Jika sudah siap, pilih Simpan.

    Enable on-premises password protection under Authentication Methods in the Microsoft Entra admin center

Mode operasi

Saat mengaktifkan Perlindungan Kata Sandi Microsoft Entra lokal, Anda dapat menggunakan mode audit atau mode pemberlakuan . Kami menyarankan agar penyebaran dan pengujian awal selalu dimulai dalam mode audit. Entri dalam log peristiwa kemudian harus dipantau untuk mengantisipasi apakah ada proses operasional yang ada akan terganggu setelah mode Terapkan diaktifkan.

Mode audit

Mode Audit dimaksudkan sebagai cara untuk menjalankan perangkat lunak dalam mode "bagaimana jika". Setiap layanan agen DC Perlindungan Kata Sandi Microsoft Entra mengevaluasi kata sandi masuk sesuai dengan kebijakan yang saat ini aktif.

Jika kebijakan saat ini dikonfigurasi berada dalam mode audit, kata sandi "buruk" mengakibatkan pesan log peristiwa tetapi diproses dan diperbarui. Perilaku ini adalah satu-satunya perbedaan antara mode audit dan terapkan. Semua operasi lainnya berjalan sama.

Mode Diterapkan

Mode Diterapkan dimaksudkan sebagai konfigurasi akhir. Seperti saat dalam mode audit, setiap layanan agen DC Perlindungan Kata Sandi Microsoft Entra mengevaluasi kata sandi masuk sesuai dengan kebijakan yang saat ini aktif. Namun, ketika mode yang diterapkan diaktifkan, kata sandi yang dianggap tidak aman sesuai dengan kebijakan ditolak.

Ketika kata sandi ditolak dalam mode yang diberlakukan oleh agen DC Perlindungan Kata Sandi Microsoft Entra, pengguna akhir melihat kesalahan serupa seperti yang akan mereka lihat apakah kata sandi mereka ditolak oleh penegakan kompleksitas kata sandi lokal tradisional. Misalnya, pengguna mungkin melihat pesan kesalahan tradisional berikut di layar masuk Windows atau mengubah kata sandi:

"Tidak dapat memperbarui kata sandi. Nilai yang disediakan untuk kata sandi baru tidak memenuhi persyaratan panjang, kompleksitas, atau riwayat domain."

Pesan ini hanya salah satu contoh dari beberapa kemungkinan hasil. Pesan kesalahan tertentu dapat bervariasi tergantung pada perangkat lunak atau skenario aktual yang mencoba mengatur kata sandi yang tidak aman.

Pengguna akhir yang terkena dampak mungkin perlu bekerja dengan staf IT mereka untuk memahami persyaratan baru dan memilih kata sandi yang aman.

Catatan

Perlindungan Kata Sandi Microsoft Entra tidak memiliki kontrol atas pesan kesalahan tertentu yang ditampilkan oleh komputer klien ketika kata sandi yang lemah ditolak.

Langkah berikutnya

Untuk mengkustomisasi daftar kata sandi terlarang untuk organisasi Anda, lihat Mengonfigurasi daftar kata sandi terlarang kustom Perlindungan Kata Sandi Microsoft Entra.

Untuk memantau peristiwa lokal, lihat Memantau Perlindungan Kata Sandi Microsoft Entra lokal.