組織内の不適切なパスワードを排除するEliminate bad passwords in your organization

Azure AD パスワード保護と禁止パスワードのカスタム リストは、Azure Active Directory のパブリック プレビュー機能です。Azure AD password protection and the custom banned password list are public preview features of Azure Active Directory. 詳細については、「Microsoft Azure プレビューの追加使用条件」を参照してください。For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews

業界のリーダーたちは、複数の場所で同じパスワードを使用しないこと、パスワードを複雑にすること、Password123 のように単純なパスワードにしないことを指示します。Industry leaders tell you not to use the same password in multiple places, to make it complex, and to not make it simple like Password123. 組織は、ユーザーがガイダンスに従うことをどうやって保証できるでしょうか。How can organizations guarantee that their users are following guidance? また、共通のパスワードや、最近のデータ違反に含まれることがわかっているパスワードをユーザーが使用しないようにするにはどうすればよいでしょうか。How can they make sure users aren't using common passwords or passwords that are known to be included in recent data breaches?

グローバル禁止パスワード リストGlobal banned password list

Microsoft は常にサイバー犯罪者の一歩先を行く対策を講じています。Microsoft is always working to stay one step ahead of cyber-criminals. そのため、Azure AD Identity Protection チームは、よく使用され、侵害されたパスワードを継続的に探しています。Therefore the Azure AD Identity Protection team continually look for commonly used and compromised passwords. また、いわゆるグローバル禁止パスワード リストに含まれるあまりにも一般的と見なされるパスワードをブロックしています。They then block those passwords that are deemed too common in what is called the global banned password list. サイバー犯罪者も同様の戦略を攻撃に使用しているため、Microsoft はこのリストの内容を一般公開していません。Cyber-criminals also use similar strategies in their attacks, therefore Microsoft does not publish the contents of this list publicly. これらの脆弱なパスワードは、Microsoft ユーザーにとって現実的な脅威になる前にブロックされます。These vulnerable passwords are blocked before they become a real threat to Microsoft's customers. セキュリティに関する最新の取り組みについて詳しくは、「マイクロソフト セキュリティ インテリジェンス レポート」を参照してください。For more information about current security efforts, see the Microsoft Security Intelligence Report.

プレビュー: カスタムの禁止パスワード リストPreview: Custom banned password list

組織によっては、グローバル禁止パスワード リストの上に、Microsoft がカスタムの禁止パスワード リストと呼ぶ独自のカスタマイズを追加することで、セキュリティをさらに向上することもできます。Some organizations may want to take security one step further by adding their own customizations on top of the global banned password list in what Microsoft calls the custom banned password list. Contoso のような企業ユーザーは、さらにブランド名、企業固有の用語などの項目の変異形をブロックすることもできます。Enterprise customers like Contoso could then choose to block variants of their brand names, company-specific terms, or other items.

カスタムの禁止パスワード リストとオンプレミス Active Directory 統合を有効にする機能は、Azure portal を使用して管理されます。The custom banned password list and the ability to enable on-premises Active Directory integration is managed using the Azure portal.

Azure portal の [認証方法] でカスタムの禁止パスワード リストを変更する

オンプレミスのハイブリッド シナリオOn-premises hybrid scenarios

クラウドのみのアカウントを保護することは有用ですが、多くの組織では、オンプレミスの Windows Server Active Directory などのハイブリッド シナリオを維持しています。Protecting cloud-only accounts is helpful but many organizations maintain hybrid scenarios including on-premises Windows Server Active Directory. オンプレミスの Windows Server Active Directory (プレビュー) エージェント用に Azure AD パスワード保護をインストールして、禁止パスワード リストを既存のインフラストラクチャに拡張することができます。It is possible to install Azure AD password protection for Windows Server Active Directory (preview) agents on-premises to extend the banned password lists to your existing infrastructure. これで、オンプレミスのパスワードを変更、設定、またはリセットするユーザーと管理者は、クラウドのみのユーザーと同じパスワード ポリシーに準拠することが必須になります。Now users and administrators who change, set, or reset passwords on-premises are required to comply with the same password policy as cloud-only users.

禁止パスワード リストのしくみHow does the banned password list work

禁止パスワード リストは、文字列を小文字に変換し、編集距離が 1 以内の既知の禁止パスワードとあいまい一致で比較することで、リスト内のパスワードと照合します。The banned password list matches passwords in the list by converting the string to lowercase and comparing to the known banned passwords within an edit distance of 1 with fuzzy matching.

例: 組織で password という単語がブロックされているExample: The word password is blocked for an organization

  • ユーザーはパスワードを "P@ssword" に設定しようとしています。これは "password" に変換され、password の変異形なので、ブロックされます。A user tries to set their password to "P@ssword" that is converted to "password" and because it is a variant of password is blocked.
  • 管理者は、ユーザー パスワードを "Password123!" に設定しようとします。An administrator attempts to set a users password to "Password123!" これは "password123!" に変換されます。that converted to "password123!" これは password の変異形なのでブロックされます。and because it is a variant of password is blocked.

ユーザーが Azure AD パスワードをリセットまたは変更するたびに、このプロセスが実行され、禁止パスワード リストに含まれないことが確認されます。Each time a user resets or changes their Azure AD password it flows through this process to confirm that it is not on the banned password list. このチェックは、セルフサービスのパスワードのリセット、パスワード ハッシュの同期、およびパススルー認証を使用するハイブリッド シナリオに含まれています。This check is included in hybrid scenarios using self-service password reset, password hash sync, and pass-through authentication.

ライセンスの要件License requirements

グローバル禁止パスワード リストを使用した Azure AD パスワードの保護Azure AD password protection with global banned password list カスタム禁止パスワード リストを使用した Azure AD パスワードの保護Azure AD password protection with custom banned password list
クラウド専用ユーザーCloud-only users Azure AD FreeAzure AD Free Azure AD BasicAzure AD Basic
オンプレミスの Windows Server Active Directory から同期されたユーザーUsers synchronized from on-premises Windows Server Active Directory Azure AD Premium P1 または P2Azure AD Premium P1 or P2 Azure AD Premium P1 または P2Azure AD Premium P1 or P2

追加のライセンス情報 (コストを含む) については、「Azure Active Directory の価格」を参照してください。Additional licensing information, including costs, can be found on the Azure Active Directory pricing site.

ユーザーに表示される画面What do users see

ユーザーがパスワードを禁止されるパスワードにリセットしようとすると、次のエラー メッセージが表示されます。When a user attempts to reset a password to something that would be banned, they see the following error message:

残念ながら、パスワードを簡単に推測できる単語、語句、またはパターンが含まれています。Unfortunately, your password contains a word, phrase, or pattern that makes your password easily guessable. 別のパスワードで再実行してください。Please try again with a different password.

次の手順Next steps