Tutorial: Mengonfigurasi kata sandi terlarang kustom untuk proteksi kata sandi Azure Active Directory

Pengguna sering membuat kata sandi yang menggunakan kata-kata lokal umum seperti sekolah, tim olahraga, atau orang terkenal. Kata sandi ini mudah ditebak, dan lemah terhadap serangan berbasis kamus. Untuk menerapkan kata sandi kuat di organisasi Anda, daftar kata sandi terlarang kustom Azure Active Directory (Microsoft Azure AD) memungkinkan Anda menambahkan string tertentu untuk dievaluasi dan diblokir. Permintaan perubahan kata sandi akan gagal jika ada kecocokan dalam daftar kata sandi terlarang kustom.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Mengaktifkan kata sandi terlarang kustom
  • Menambahkan entri ke daftar kata sandi terlarang kustom
  • Menguji perubahan kata sandi dengan kata sandi terlarang

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

Apa itu daftar kata sandi terlarang?

Microsoft Azure AD mencakup daftar kata sandi terlarang global. Konten daftar kata sandi terlarang global tidak didasarkan pada sumber data eksternal apa pun. Sebaliknya, daftar kata sandi terlarang global didasarkan pada hasil telemetri dan analisis keamanan Microsoft Azure AD yang sedang berlangsung. Jika pengguna atau administrator mencoba mengubah atau mengatur info masuk mereka, kata sandi yang dikehendaki akan diperiksa untuk mengetahui daftar kata sandi terlarang. Permintaan perubahan kata sandi akan gagal jika ada kecocokan dalam daftar kata sandi terlarang global. Anda tidak dapat mengedit daftar kata sandi terlarang global default ini.

Untuk memberi Anda fleksibilitas dalam kata sandi apa yang diizinkan, Anda juga dapat menentukan daftar kata sandi terlarang kustom. Daftar kata sandi terlarang kustom ini berfungsi bersama daftar kata sandi terlarang global untuk menerapkan kata sandi kuat di organisasi Anda. Istilah khusus organisasi dapat ditambahkan ke daftar kata sandi terlarang kustom, seperti contoh berikut:

  • Nama merek
  • Nama produk
  • Lokasi, seperti kantor pusat perusahaan
  • Istilah internal khusus perusahaan
  • Singkatan yang memiliki arti perusahaan tertentu
  • Bulan dan hari kerja dengan bahasa lokal perusahaan Anda

Saat pengguna mencoba mengatur ulang kata sandi ke sesuatu yang tercantum dalam daftar kata sandi terlarang kustom atau global, mereka akan melihat salah satu pesan kesalahan berikut:

  • Sayangnya, kata sandi Anda mengandung kata, frasa, atau pola yang membuat kata sandi Anda mudah ditebak. Silakan coba lagi dengan kata sandi yang berbeda.
  • Sayangnya, Anda tidak dapat menggunakan kata sandi tersebut karena berisi kata atau karakter yang telah diblokir oleh administrator Anda. Silakan coba lagi dengan kata sandi yang berbeda.

Daftar kata sandi terlarang kustom dibatasi hingga maksimum 1000 istilah. Daftar ini tidak dirancang untuk memblokir daftar kata sandi besar. Untuk mengoptimalkan daftar kata sandi terlarang kustom, tinjau konsep daftar kata sandi terlarang kustom dan ringkasan algoritma evaluasi kata sandi.

Mengonfigurasi kata sandi terlarang kustom

Mari kita aktifkan daftar kata sandi terlarang kustom dan tambahkan beberapa entri. Anda dapat menambahkan entri tambahan ke daftar kata sandi terlarang kustom kapan saja.

Untuk mengaktifkan daftar kata sandi terlarang kustom dan menambahkan entri ke dalamnya, selesaikan langkah-langkah berikut:

  1. Masuk ke portal Microsoft Azure menggunakan akun dengan izin administrator global.

  2. Cari dan pilih Azure Active Directory, lalu pilih Keamanan dari menu di sebelah kiri.

  3. Di bagian header menu Kelola, pilih Metode Autentikasi, lalu Perlindungan kata sandi.

  4. Atur opsi untuk Terapkan daftar kustom ke Ya.

  5. Tambahkan string ke Daftar kata sandi terlarang kustom, satu string per baris. Pertimbangan dan batasan berikut berlaku untuk daftar kata sandi terlarang kustom:

    • Daftar kata sandi terlarang kustom dapat berisi hingga 1000 istilah.
    • Daftar kata sandi terlarang kustom tidak peka huruf besar/kecil.
    • Daftar kata sandi terlarang kustom mempertimbangkan penggantian karakter umum, seperti "o" dan "0", atau "a" dan "@".
    • Panjang string minimum adalah empat karakter, dan maksimum adalah 16 karakter.

    Tentukan kata sandi kustom Anda sendiri untuk di dilarang, seperti yang diperlihatkan dalam contoh berikut

    Modify the custom banned password list under Authentication Methods in the Azure portal

  6. Biarkan opsi untuk Aktifkan proteksi sandi di Active Directory lokal ke Tidak.

  7. Untuk mengaktifkan kata sandi terlarang kustom dan entri Anda, pilih Simpan.

Mungkin diperlukan waktu beberapa jam agar pembaruan pada daftar kata sandi terlarang kustom dapat diterapkan.

Untuk lingkungan hibrid, Anda juga dapat menyebarkan perlindungan kata sandi Microsoft Azure AD ke lingkungan lokal. Daftar kata sandi terlarang kustom dan global yang sama digunakan untuk permintaan perubahan kata sandi lokal dan cloud.

Menguji daftar kata sandi terlarang kustom

Untuk melihat cara kerja daftar kata sandi terlarang kustom, coba ubah kata sandi ke variasi kata sandi yang Anda tambahkan di bagian sebelumnya. Saat Microsoft Azure AD mencoba memproses perubahan kata sandi, kata sandi dicocokkan dengan entri dalam daftar kata sandi terlarang kustom. Kesalahan akan ditampilkan kepada pengguna.

Catatan

Sebelum pengguna dapat mengatur ulang kata sandi di portal berbasis web, penyewa Microsoft Azure AD harus dikonfigurasi untuk pengaturan ulang kata sandi mandiri. Jika perlu, pengguna kemudian dapat mendaftar ke SSPR di https://aka.ms/ssprsetup.

  1. Buka halaman Aplikasi Saya di https://myapps.microsoft.com.

  2. Di pojok kanan atas, pilih nama Anda, lalu pilih Profil dari menu drop-down.

    Select profile

  3. Di halaman Profil, pilih Ubah kata sandi.

  4. Di halaman Ubah kata sandi, masukkan kata sandi yang sudah ada (lama). Masukkan dan konfirmasi kata sandi baru yang ada dalam daftar kata sandi terlarang kustom yang ditentukan di bagian sebelumnya, lalu pilih Kirim.

  5. Pesan kesalahan ditampilkan yang memberi tahu Anda bahwa kata sandi telah diblokir oleh administrator, seperti yang diperlihatkan dalam contoh berikut:

    Error message displayed when you try to use a password that's part of the custom banned password list

Membersihkan sumber daya

Jika Anda tidak ingin lagi menggunakan daftar kata sandi terlarang kustom yang telah dikonfigurasi sebagai bagian dari tutorial ini, selesaikan langkah-langkah berikut:

  1. Masuk ke portal Microsoft Azure.
  2. Cari dan pilih Azure Active Directory, lalu pilih Keamanan dari menu di sebelah kiri.
  3. Di bagian header menu Kelola, pilih Metode Autentikasi, lalu Perlindungan kata sandi.
  4. Atur opsi untuk Terapkan daftar kustom ke Tidak.
  5. Untuk memperbarui konfigurasi kata sandi terlarang kustom, pilih Simpan.

Langkah berikutnya

Dalam tutorial ini, Anda telah mengaktifkan dan mengonfigurasi daftar proteksi kata sandi kustom untuk Microsoft Azure AD. Anda telah mempelajari cara:

  • Mengaktifkan kata sandi terlarang kustom
  • Menambahkan entri ke daftar kata sandi terlarang kustom
  • Menguji perubahan kata sandi dengan kata sandi terlarang