Esercitazione: Configurare password personalizzate escluse per password di protezione di Azure Active Directory

Gli utenti creano spesso password che usano parole locali comuni, ad esempio il nome di una scuola, una squadra sportiva o un personaggio famoso. Queste password sono facili da indovinare e vulnerabili ad attacchi basati su dizionario. Per applicare password complesse all'interno dell'organizzazione, usare l'elenco di password personalizzate escluse di Azure Active Directory (Azure AD), che consente di aggiungere stringhe specifiche da valutare e bloccare. In questo modo una richiesta di modifica della password non verrà eseguita, se la password è presente nell'elenco di password personalizzate escluse.

In questa esercitazione si apprenderà come:

  • Abilitare password personalizzate escluse
  • Configurare l'elenco personalizzato password escluse
  • Testare le modifiche della password con una password vietata

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

Che cosa sono gli elenchi di password escluse?

Azure AD include un elenco globale di password escluse. Il contenuto dell'elenco globale di password escluse non si basa su un'origine dati esterna, ma sui risultati restituiti continuamente dalla telemetria e dall'analisi della sicurezza di Azure AD. Quando un utente o un amministratore prova a modificare o reimpostare le proprie credenziali, la password specificata viene confrontata con l'elenco di password escluse. La richiesta di modifica della password non verrà eseguita se la password è presente nell'elenco globale di password escluse. Non è possibile modificare questo elenco globale di password escluse.

Per una maggiore flessibilità sui termini consentiti nelle password, è anche possibile definire un elenco di password personalizzate escluse. L'uso congiunto dell'elenco di password personalizzate escluse e dell'elenco globale di password escluse consente di applicare password complesse nell'organizzazione. I termini specifici dell'organizzazione possono essere aggiunti all'elenco di password personalizzate escluse, come negli esempi seguenti:

  • Nomi di marchio
  • Nomi di prodotto
  • Località, ad esempio la sede centrale aziendale
  • Termini interni specifici della società
  • Abbreviazioni con un significato specifico per la società

Quando un utente prova a reimpostare una password specificando un termine incluso nell'elenco globale o personalizzato delle password escluse, viene visualizzato uno dei messaggi di errore seguenti:

  • La password contiene una parola, una frase o uno schema che la rende facile da indovinare. Riprovare con una password diversa.
  • Non è possibile usare la password perché contiene parole o caratteri bloccati dall'amministratore. Riprovare con una password diversa.

L'elenco di password personalizzate escluse è limitato a un massimo di 1000 termini. Non è quindi pensato per bloccare elenchi contenenti un numero elevato di password. Per sfruttare al massimo i vantaggi dell'elenco di password personalizzate escluse, vedere i concetti relativi all'elenco di password personalizzate escluse e la panoramica degli algoritmi di valutazione delle password.

Configurare le password personalizzate escluse

Verrà abilitato l'elenco di password personalizzate escluse e verranno aggiunte alcune voci. È possibile aggiungere altre voci all'elenco di password personalizzate escluse in qualsiasi momento.

Per abilitare l'elenco di password personalizzate escluse e aggiungervi voci, seguire questa procedura:

  1. Accedere al portale di Azure usando un account con autorizzazioni di amministratore globale.

  2. Cercare e selezionare Azure Active Directory, quindi scegliere Sicurezza dal menu a sinistra.

  3. Nell'intestazione di menu Gestisci selezionare Metodi di autenticazione e quindi Protezione con password.

  4. Impostare l'opzione Imponi elenco personalizzato su .

  5. Aggiungere stringhe all'Elenco password personalizzate escluse, una stringa per riga. Per l'elenco di password personalizzate escluse valgono le considerazioni e le limitazioni seguenti:

    • L'elenco di password personalizzate escluse può contenere fino a 1000 termini.
    • L'elenco personalizzato di password escluse fa distinzione tra maiuscole e minuscole.
    • L'elenco di password personalizzate escluse tiene conto della sostituzione dei caratteri comuni, ad esempio "o" e "0" oppure "a" e "@".
    • La lunghezza minima delle stringhe è quattro caratteri, la massima è 16 caratteri.

    Specificare le password personalizzate da escludere, come illustrato nell'esempio seguente.

    Modificare l'elenco personalizzato di password escluse nella sezione Metodi di autenticazione nel portale di Azure

  6. Lasciare l'opzione Abilita la password di protezione in Windows Server Active Directory impostata su No.

  7. Per abilitare le password personalizzate escluse e le voci, selezionare Salva.

Potrebbero essere necessarie diverse ore prima che l'aggiornamento dell'elenco personalizzato di password escluse venga applicato.

Per un ambiente ibrido, è anche possibile distribuire la password di protezione di Azure AD in un ambiente locale. Per le richieste di modifica delle password locali e cloud vengono usati Gli stessi elenchi globali e personalizzati di password escluse.

Testare l'elenco di password personalizzate escluse

Per vedere come funziona l'elenco di password personalizzate escluse, provare a cambiare la password specificando una variante di una aggiunta nella sezione precedente. Quando Azure AD prova a elaborare la modifica della password, la password viene confrontata con una voce nell'elenco di password personalizzate escluse. Viene quindi visualizzato un errore.

Nota

Prima che un utente possa reimpostare la propria password nel portale basato sul Web, è necessario che il tenant di Azure AD venga configurato per la reimpostazione delle password self-service. Se necessario, l'utente può quindi eseguire la registrazione per SSPR all'indirizzo https://aka.ms/ssprsetup.

  1. Passare alla pagina App personali all'indirizzo https://myapps.microsoft.com.

  2. Nell'angolo in alto a destra selezionare il proprio nome, quindi scegliere Profilo dal menu a discesa.

    Selezionare un profilo

  3. Nella pagina Profilo selezionare Cambia password.

  4. Nella pagina Cambia password immettere la password esistente (precedente). Immettere e confermare una nuova password inclusa nell'elenco di password personalizzate escluse definito nella sezione precedente e quindi selezionare Invia.

  5. Viene restituito un messaggio di errore che indica che la password è stata bloccata dall'amministratore, come illustrato nell'esempio seguente:

    Messaggio di errore visualizzato quando si prova a usare una password che fa parte dell'elenco di password personalizzate escluse

Pulire le risorse

Se non si vuole più usare l'elenco di password personalizzate escluse configurato durante questa esercitazione, seguire questa procedura:

  1. Accedere al portale di Azure.
  2. Cercare e selezionare Azure Active Directory, quindi scegliere Sicurezza dal menu a sinistra.
  3. Nell'intestazione di menu Gestisci selezionare Metodi di autenticazione e quindi Protezione con password.
  4. Impostare l'opzione Imponi elenco personalizzato su No.
  5. Per aggiornare la configurazione delle password personalizzate escluse, selezionare Salva.

Passaggi successivi

In questa esercitazione sono stati abilitati e configurati elenchi di password di protezione personalizzate per Azure AD. Si è appreso come:

  • Abilitare password personalizzate escluse
  • Configurare l'elenco personalizzato password escluse
  • Testare le modifiche della password con una password vietata