組織内の不適切なパスワードを排除するEliminate bad passwords in your organization

Azure AD パスワード保護と禁止パスワードのカスタム リストは、Azure Active Directory のパブリック プレビュー機能です。Azure AD password protection and the custom banned password list are public preview features of Azure Active Directory. 詳細については、「Microsoft Azure プレビューの追加使用条件」を参照してください。For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews

業界のリーダーたちは、複数の場所で同じパスワードを使用しないこと、パスワードを複雑にすること、Password123 のように単純なパスワードにしないことを指示します。Industry leaders tell you not to use the same password in multiple places, to make it complex, and to not make it simple like Password123. 組織は、ユーザーがガイダンスに従うことをどうやって保証できるでしょうか。How can organizations guarantee that their users are following guidance? また、共通のパスワードや、最近のデータ違反に含まれることがわかっているパスワードをユーザーが使用しないようにするにはどうすればよいでしょうか。How can they make sure users aren't using common passwords or passwords that are known to be included in recent data breaches?

グローバル禁止パスワード リストGlobal banned password list

Microsoft は常にサイバー犯罪者の一歩先を行く対策を講じています。Microsoft is always working to stay one step ahead of cyber-criminals. そのため、Azure AD Identity Protection チームは、よく使用され、侵害されたパスワードを継続的に探しています。Therefore the Azure AD Identity Protection team continually look for commonly used and compromised passwords. また、いわゆるグローバル禁止パスワード リストに含まれるあまりにも一般的と見なされるパスワードをブロックしています。They then block those passwords that are deemed too common in what is called the global banned password list. サイバー犯罪者も同様の戦略を攻撃に使用しているため、Microsoft はこのリストの内容を一般公開していません。Cyber-criminals also use similar strategies in their attacks, therefore Microsoft does not publish the contents of this list publicly. これらの脆弱なパスワードは、Microsoft ユーザーにとって現実的な脅威になる前にブロックされます。These vulnerable passwords are blocked before they become a real threat to Microsoft's customers. セキュリティに関する最新の取り組みについて詳しくは、「マイクロソフト セキュリティ インテリジェンス レポート」を参照してください。For more information about current security efforts, see the Microsoft Security Intelligence Report.

更新:カスタムの禁止パスワードの一覧Preview: Custom banned password list

組織によっては、グローバル禁止パスワード リストの上に、Microsoft がカスタムの禁止パスワード リストと呼ぶ独自のカスタマイズを追加することで、セキュリティをさらに向上することもできます。Some organizations may want to take security one step further by adding their own customizations on top of the global banned password list in what Microsoft calls the custom banned password list. Contoso のような企業ユーザーは、さらにブランド名、企業固有の用語などの項目の変異形をブロックすることもできます。Enterprise customers like Contoso could then choose to block variants of their brand names, company-specific terms, or other items.

カスタムの禁止パスワード リストとオンプレミス Active Directory 統合を有効にする機能は、Azure portal を使用して管理されます。The custom banned password list and the ability to enable on-premises Active Directory integration is managed using the Azure portal.

Azure portal の [認証方法] でカスタムの禁止パスワード リストを変更する

オンプレミスのハイブリッド シナリオOn-premises hybrid scenarios

クラウドのみのアカウントを保護することは有用ですが、多くの組織では、オンプレミスの Windows Server Active Directory などのハイブリッド シナリオを維持しています。Protecting cloud-only accounts is helpful but many organizations maintain hybrid scenarios including on-premises Windows Server Active Directory. オンプレミスの Windows Server Active Directory (プレビュー) エージェント用に Azure AD パスワード保護をインストールして、禁止パスワード リストを既存のインフラストラクチャに拡張することができます。It is possible to install Azure AD password protection for Windows Server Active Directory (preview) agents on-premises to extend the banned password lists to your existing infrastructure. これで、オンプレミスのパスワードを変更、設定、またはリセットするユーザーと管理者は、クラウドのみのユーザーと同じパスワード ポリシーに準拠することが必須になります。Now users and administrators who change, set, or reset passwords on-premises are required to comply with the same password policy as cloud-only users.

パスワードの評価方法How are passwords evaluated

ユーザーが自分のパスワードを変更またはリセットするたびに、新しいパスワードをグローバルとカスタムの両方の禁止パスワード リスト (後者が構成されている場合) に対して検証することで、その強度と複雑さのチェックされます。Whenever a user changes or resets their password, the new password is checked for strength and complexity by validating it against both the global and the custom banned password list (if the latter is configured).

ユーザーのパスワードに禁止パスワードが含まれている場合でも、パスワード全体が十分に強力な場合は、そのパスワードが受け入れられる可能性があります。Even if a user’s password contains a banned password, the password may still be accepted if the overall password is strong enough otherwise. 新しく構成されたパスワードは、受け入れるべきか拒否すべきかを決定するために、次の手順を踏んで全体的な強度が評価されます。A newly configured password will go through the following steps to assess its overall strength to determine if it should be accepted or rejected.

手順 1:正規化Step 1: Normalization

新しいパスワードは、まず、正規化プロセスを完了します。A new password first goes through a normalization process. これにより、少数の禁止パスワードを、脆弱な可能性のある非常に大きいパスワードのセットにマップすることができます。This allows for a small set of banned passwords to be mapped to a much larger set of potentially weak passwords.

正規化は、2 つの部分に分かれています。Normalization has two parts. 最初に、すべて大文字の文字が小文字に変更されます。First, all uppercase letters are changed to lower case. 次に、次の例のように、共通の文字置換が実行されます。Second, common character substitutions are performed, for example:

元の文字Original letter 置換される文字Substituted letter
'0''0' 'o''o'
'1''1' 'l''l'
'$''$' 's''s'
'" data-throw-if-not-resolved="False" data-raw-source="@'</span><span class="sxs-lookup"><span data-stu-id="6d70e-143">'" sourceFile="articles/active-directory/authentication/concept-password-ban-bad.md" sourceStartLineNumber="63">" data-throw-if-not-resolved="False" data-raw-source="@'</span></span> | <span data-ttu-id="6d70e-144">'" sourceFile="articles/active-directory/authentication/concept-password-ban-bad.md" sourceStartLineNumber="63">a''a'

例: “blank” というパスワードが禁止されていて、ユーザーがパスワードを "Bl@nK" に変更しようとしているとします。Example: assume that the password “blank” is banned, and a user tries to change their password to “Bl@nK”. "Bl@nk" が特に禁止されていないとしても、正規化プロセスによりこのパスワードは、禁止パスワードである "blank" に変換されます。Even though “Bl@nk” is not specifically banned, the normalization process converts this password to “blank”, which is a banned password.

手順 2:パスワードが禁止と見なされるかどうか確認するStep 2: Check if password is considered banned

あいまい一致の動作Fuzzy matching behavior

あいまい一致は、グローバルまたはカスタムのいずれかの禁止パスワード リストにあるパスワードが含まれているかどうかを確認するために、正規化されたパスワードに対して使用されます。Fuzzy matching is used on the normalized password to identify if it contains a password found on either the global or the custom banned password lists. 一致プロセスは、編集距離 1 の比較に基づいています。The matching process is based on an edit distance of one (1) comparison.

例: “abcdef” というパスワードが禁止されていて、ユーザーが自分のパスワードを次のいずれかに変更しようとしているとします。Example: assume that the password “abcdef” is banned, and a user tries to change their password to one of the following:

'abcdeg'     (最後の文字を 'f' から 'g' に変更) 'abcdefg'   * (末尾に 'g' を追加)* 'abcde'     * (末尾の 'f' を末尾から削除)*‘abcdeg’    (last character changed from ‘f’ to ‘g’) ‘abcdefg’   ’(g’ appended to end) ‘abcde’     (trailing ‘f’ was deleted from end)

上のパスワードのそれぞれは、厳密に言えば禁止パスワード "abcdef" に一致しません。Each of the above passwords does not specifically match the banned password "abcdef". ただし、それぞれの例は禁止されているトークン 'abcdef' の編集距離 1 以内にあるため、これらはすべて "abcdef" に一致するものと見なされます。However, since each example is within an edit distance of 1 of the banned token ‘abcdef’, they are all considered as a match to “abcdef”.

部分文字列の照合 (特定の条件下)Substring matching (on specific terms)

部分文字列の照合は、正規化されたパスワードに対して、ユーザーの氏名とテナント名を確認するために使用されます (テナント名の照合は、Active Directory ドメイン コントローラー上でパスワードを検証する場合は行われないことに注意してください)。Substring matching is used on the normalized password to check for the user’s first and last name as well as the tenant name (note that tenant name matching is not done when validating passwords on an Active Directory domain controller).

例: John Doe というユーザーが、自分のパスワードを "J0hn123fb" にリセットしようとしているとします。Example: assume that we have a user John Doe that wants to reset his password to “J0hn123fb”. 正規化後、このパスワードは “john123fb” になります。After normalization, this password would become “john123fb”. 部分文字列の照合により、このパスワードにはユーザーの名前 "John" が含まれることがわかります。Substring matching finds that the password contains the user’s first name “John”. "J0hn123fb" が厳密にはどちらの禁止パスワード リストにも含まれていないとしても、部分文字列ではパスワード内に "John" が見つかりました。Even though “J0hn123fb” was not specifically on either banned password list, substring matching found “John" in the password. そのため、このパスワードは拒否されます。Therefore this password would be rejected.

スコアの計算Score Calculation

次の手順では、ユーザーの正規化された新しいパスワード内の、禁止されたパスワードのすべてのインスタンスを特定します。The next step is to identify all instances of banned passwords in the user's normalized new password. その後、以下を実行します。Then:

  1. ユーザーのパスワードに含まれる各禁止パスワードには、1 ポイントが与えられます。Each banned password that is found in a user’s password is given one point.
  2. 残りの一意の各文字には、1 ポイントが与えられます。Each remaining unique character is given one point.
  3. パスワードが受け入れられるには、少なくとも 5 ポイント必要です。A password must be at least 5 points for it to be accepted.

次の 2 つの例では、Contoso が Azure AD のパスワード保護を使用していて、カスタム リストに "contoso" が含まれていると仮定します。For the next two examples, let’s assume that Contoso is using Azure AD Password Protection and has “contoso” on their custom list. また、”blank" がグローバル リストに含まれていることも仮定します。Let’s also assume that “blank” is on the global list.

例: ユーザーが自分のパスワードを “C0ntos0Blank12” に変更しますExample: a user changes their password to “C0ntos0Blank12”

正規化後、このパスワードは “contosoblank12” になります。After normalization, this password becomes “contosoblank12”. 照合プロセスにより、このパスワードには contoso と blank という 2 つの禁止パスワードが含まれていることがわかります。The matching process finds that this password contains two banned passwords: contoso and blank. このパスワードには以下のスコアが与えられます。This password is then given a score:

[contoso] + [blank] = [1] + [2] = 4 ポイント。このパスワードは 5 ポイント未満のため、拒否されます。[contoso] + [blank] = [1] + [2] = 4 points Since this password is under 5 points, it will be rejected.

例: ユーザーが自分のパスワードを “ContoS0Bl@nkf9” に変更します。Example: a user changes their password to “ContoS0Bl@nkf9!”.

正規化後、このパスワードは “contosoblankf9!” になります。After normalization, this password becomes “contosoblankf9!”. 照合プロセスにより、このパスワードには contoso と blank という 2 つの禁止パスワードが含まれていることがわかります。The matching process finds that this password contains two banned passwords: contoso and blank. このパスワードには以下のスコアが与えられます。This password is then given a score:

[contoso] + [blank] + [f] + [9] + [!] = 5 ポイント。このパスワードは 5 ポイント以上であるため、受け入れられます。[contoso] + [blank] + [f] + [9] + [!] = 5 points Since this password is at least 5 points, it is accepted.

重要

禁止パスワード アルゴリズムとグローバル リストは、継続的なセキュリティ分析および調査に基づいて Azure でいつでも変更できることに注意してください。Please note that the banned password algorithm along with the global list can and do change at any time in Azure based on ongoing security analysis and research. オンプレミスの DC エージェント サービスの場合、更新されたアルゴリズムは DC エージェント ソフトウェアが再インストールされた後でのみ有効になります。For the on-premise DC agent service, updated algorithms will only take effect after the DC agent software is re-installed.

ライセンスの要件License requirements

グローバル禁止パスワード リストを使用した Azure AD パスワードの保護Azure AD password protection with global banned password list カスタム禁止パスワード リストを使用した Azure AD パスワードの保護Azure AD password protection with custom banned password list
クラウド専用ユーザーCloud-only users Azure AD FreeAzure AD Free Azure AD BasicAzure AD Basic
オンプレミスの Windows Server Active Directory から同期されたユーザーUsers synchronized from on-premises Windows Server Active Directory Azure AD Premium P1 または P2Azure AD Premium P1 or P2 Azure AD Premium P1 または P2Azure AD Premium P1 or P2

追加のライセンス情報 (コストを含む) については、「Azure Active Directory の価格」を参照してください。Additional licensing information, including costs, can be found on the Azure Active Directory pricing site.

ユーザーに表示される画面What do users see

ユーザーがパスワードを禁止されるパスワードにリセットしようとすると、次のエラー メッセージが表示されます。When a user attempts to reset a password to something that would be banned, they see the following error message:

残念ながら、パスワードを簡単に推測できる単語、語句、またはパターンが含まれています。Unfortunately, your password contains a word, phrase, or pattern that makes your password easily guessable. 別のパスワードで再実行してください。Please try again with a different password.

次の手順Next steps