On-premises Microsoft Entra-wachtwoordbeveiliging inschakelen

  • Artikel

Gebruikers maken vaak wachtwoorden waarin woorden voorkomen die lokaal veel worden gebruikt, zoals de naam van een school, een sportvereniging of een beroemde persoon. Deze wachtwoorden zijn gemakkelijk te raden en zijn slecht bestand tegen zogenaamde woordenboekaanvallen. Als u sterke wachtwoorden in uw organisatie wilt afdwingen, biedt Microsoft Entra Password Protection een algemene en aangepaste lijst met verboden wachtwoorden. Een aanvraag voor het wijzigen van een wachtwoord mislukt als er een match is met deze verboden wachtwoorden.

Als u uw on-premises Active Directory-domein Services-omgeving (AD DS) wilt beveiligen, kunt u Microsoft Entra-wachtwoordbeveiliging installeren en configureren voor gebruik met uw on-premises DC. In dit artikel leest u hoe u Microsoft Entra-wachtwoordbeveiliging inschakelt voor uw on-premises omgeving.

Zie Microsoft Entra-wachtwoordbeveiliging afdwingen voor Windows Server Active Directory voor meer informatie over hoe Microsoft Entra-wachtwoordbeveiliging werkt in een on-premises omgeving.

Voordat u begint

In dit artikel leest u hoe u Microsoft Entra-wachtwoordbeveiliging inschakelt voor uw on-premises omgeving. Voordat u dit artikel voltooit, installeert en registreert u de Microsoft Entra Password Protection-proxyservice en DC-agents in uw on-premises AD DS-omgeving.

On-premises wachtwoordbeveiliging inschakelen

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatie-Beheer istrator.

  2. Blader naar >beveiligingsverificatiemethoden>voor wachtwoordbeveiliging.

  3. Stel de optie Wachtwoordbeveiliging op Windows Server Active Directory inschakelen in op Ja.

    Wanneer deze instelling is ingesteld op Nee, gaan alle geïmplementeerde Dc-agents voor Microsoft Entra Password Protection in een stillopende modus waar alle wachtwoorden als zodanig worden geaccepteerd. Er worden geen validatieactiviteiten uitgevoerd en controlegebeurtenissen worden niet gegenereerd.

  4. Het is raadzaam om de modus in eerste instantie in te stellen op Controle. Nadat u vertrouwd bent met de functie en de impact op gebruikers in uw organisatie, kunt u de modus overschakelen naar Afdwingen. Zie de volgende sectie over de bewerkingsmodi voor meer informatie.

  5. Selecteer Opslaan wanneer u klaar bent.

    Enable on-premises password protection under Authentication Methods in the Microsoft Entra admin center

Bewerkingsmodi

Wanneer u on-premises Microsoft Entra-wachtwoordbeveiliging inschakelt, kunt u de controlemodus gebruiken of de modus afdwingen. We raden u aan om de eerste implementatie en het testen altijd te starten in de controlemodus. Vermeldingen in het gebeurtenislogboek moeten vervolgens worden bewaakt om te anticiperen of bestaande operationele processen worden gestoord zodra de modus Afdwingen is ingeschakeld.

Modus Controle

De controlemodus is bedoeld als een manier om de software uit te voeren in een 'what if'-modus. Elke Microsoft Entra Password Protection DC-agentservice evalueert een binnenkomend wachtwoord volgens het huidige actieve beleid.

Als het huidige beleid is geconfigureerd voor controlemodus, resulteren 'ongeldige' wachtwoorden in gebeurtenislogboekberichten, maar worden verwerkt en bijgewerkt. Dit gedrag is het enige verschil tussen controle- en afdwingingsmodus. Alle andere bewerkingen worden hetzelfde uitgevoerd.

Modus Afdwingen

De modus Afdwingen is bedoeld als de uiteindelijke configuratie. Net als in de controlemodus evalueert elke Microsoft Entra Password Protection DC-agentservice binnenkomende wachtwoorden op basis van het huidige actieve beleid. Wanneer de modus Afdwingen is ingeschakeld, wordt een wachtwoord dat als onveilig wordt beschouwd, echter geweigerd volgens het beleid.

Wanneer een wachtwoord wordt geweigerd in de afgedwongen modus door de Microsoft Entra Password Protection DC-agent, ziet een eindgebruiker een vergelijkbare fout zoals ze zouden zien of hun wachtwoord werd geweigerd door traditionele on-premises afdwinging van wachtwoordcomplexiteit. Een gebruiker kan bijvoorbeeld het volgende traditionele foutbericht zien op het Windows-aanmeldingsscherm of het scherm wachtwoord wijzigen:

'Kan het wachtwoord niet bijwerken. De waarde die is opgegeven voor het nieuwe wachtwoord voldoet niet aan de lengte, complexiteit of geschiedenisvereisten van het domein.'

Dit bericht is slechts één voorbeeld van verschillende mogelijke resultaten. Het specifieke foutbericht kan variëren, afhankelijk van de daadwerkelijke software of het scenario dat een onveilig wachtwoord probeert in te stellen.

Getroffen eindgebruikers moeten mogelijk samenwerken met hun IT-personeel om inzicht te hebben in de nieuwe vereisten en om veilige wachtwoorden te kiezen.

Notitie

Microsoft Entra Password Protection heeft geen controle over het specifieke foutbericht dat door de clientcomputer wordt weergegeven wanneer een zwak wachtwoord wordt geweigerd.

Volgende stappen

Als u de lijst met verboden wachtwoorden voor uw organisatie wilt aanpassen, raadpleegt u De aangepaste lijst met verboden wachtwoorden voor Microsoft Entra-wachtwoordbeveiliging configureren.

Zie On-premises Microsoft Entra-wachtwoordbeveiliging bewaken om on-premises gebeurtenissen te bewaken.