Eliminowanie nieprawidłowych haseł przy użyciu ochrony hasłem Azure Active DirectoryEliminate bad passwords using Azure Active Directory Password Protection

Wiele wskazówek dotyczących zabezpieczeń zaleca, aby nie używać tego samego hasła w wielu miejscach, aby zapewnić jego złożoność oraz uniknąć prostych haseł, takich jak Password123.A lot of security guidance recommends that you don't use the same password in multiple places, to make it complex, and to avoid simple passwords like Password123. Możesz zapewnić użytkownikom wskazówki dotyczące wybierania haseł, ale słabe lub niezabezpieczone hasła często są nadal używane.You can provide your users with guidance on how to choose passwords, but weak or insecure passwords are often still used. Ochrona hasłem w usłudze Azure AD wykrywa i blokuje znane hasła oraz ich warianty, a także może blokować dodatkowe słabe warunki, które są specyficzne dla organizacji.Azure AD Password Protection detects and blocks known weak passwords and their variants, and can also block additional weak terms that are specific to your organization.

W przypadku ochrony hasłem w usłudze Azure AD domyślne globalne listy zakazanych haseł są automatycznie stosowane dla wszystkich użytkowników w dzierżawie usługi Azure AD.With Azure AD Password Protection, default global banned password lists are automatically applied to all users in an Azure AD tenant. Aby móc obsługiwać własne potrzeby biznesowe i bezpieczeństwa, możesz definiować wpisy na liście niestandardowych haseł zabronionych.To support your own business and security needs, you can define entries in a custom banned password list. Gdy użytkownicy zmienią lub zresetują swoje hasła, te zabronione listy haseł są sprawdzane w celu wymuszenia użycia silnych haseł.When users change or reset their passwords, these banned password lists are checked to enforce the use of strong passwords.

Należy używać dodatkowych funkcji, takich jak usługa Azure ad Multi-Factor Authentication, a nie tylko na silnych hasłach wymuszanych przez ochronę hasłem usługi Azure AD.You should use additional features like Azure AD Multi-Factor Authentication, not just rely on strong passwords enforced by Azure AD Password Protection. Aby uzyskać więcej informacji na temat używania wielu warstw zabezpieczeń dla zdarzeń logowania, zobacz PA $ $Word nie ma znaczenia.For more information on using multiple layers of security for your sign-in events, see Your Pa$$word doesn't matter.

Ważne

Ten artykuł koncepcyjny wyjaśnia, jak działa ochrona hasłem w usłudze Azure AD.This conceptual article explains to an administrator how Azure AD Password Protection works. Jeśli jesteś użytkownikiem końcowym już zarejestrowanym do samoobsługowego resetowania hasła i chcesz wrócić do swojego konta, przejdź do strony https://aka.ms/sspr .If you're an end user already registered for self-service password reset and need to get back into your account, go to https://aka.ms/sspr.

Jeśli Twój zespół IT nie włączył możliwości resetowania własnego hasła, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.If your IT team hasn't enabled the ability to reset your own password, reach out to your helpdesk for additional assistance.

Lista zabronionych haseł globalnychGlobal banned password list

Zespół Azure AD Identity Protection stale analizuje dane telemetryczne zabezpieczeń usługi Azure AD szukające często używanych słabych lub złamanych haseł.The Azure AD Identity Protection team constantly analyzes Azure AD security telemetry data looking for commonly used weak or compromised passwords. W związku z tym analiza szuka podstawowych terminów, które często są używane jako podstawa dla słabych haseł.Specifically, the analysis looks for base terms that often are used as the basis for weak passwords. Po znalezieniu słabych terminów są one dodawane do listy globalnie zabronione hasła.When weak terms are found, they're added to the global banned password list. Zawartość globalnej listy zakazanych haseł nie jest oparta na żadnym zewnętrznym źródle danych, ale na wyniki telemetrii i analizy zabezpieczeń usługi Azure AD.The contents of the global banned password list aren't based on any external data source, but on the results of Azure AD security telemetry and analysis.

W przypadku zmiany lub zresetowania hasła dla dowolnego użytkownika w dzierżawie usługi Azure AD bieżąca wersja listy globalna lista haseł jest używana do weryfikowania siły hasła.When a password is changed or reset for any user in an Azure AD tenant, the current version of the global banned password list is used to validate the strength of the password. To sprawdzenie poprawności powoduje użycie silniejszych haseł dla wszystkich klientów usługi Azure AD.This validation check results in stronger passwords for all Azure AD customers.

Lista zakazanych haseł globalnych jest automatycznie stosowana dla wszystkich użytkowników w dzierżawie usługi Azure AD.The global banned password list is automatically applied to all users in an Azure AD tenant. Nie ma nic do włączenia lub skonfigurowania i nie można go wyłączyć.There's nothing to enable or configure, and can't be disabled. Ta globalna lista wykluczonych haseł jest stosowana dla użytkowników, gdy zmieniają lub zresetują własne hasło za pomocą usługi Azure AD.This global banned password list is applied to users when they change or reset their own password through Azure AD.

Uwaga

Cybernetycznymi — przestępcy stosują także podobne strategie w oddziałach, aby identyfikować typowe słabe hasła i różnice.Cyber-criminals also use similar strategies in their attacks to identify common weak passwords and variations. Aby zwiększyć bezpieczeństwo, firma Microsoft nie publikuje zawartości listy globalnie zakazanych haseł.To improve security, Microsoft doesn't publish the contents of the global banned password list.

Niestandardowa lista wykluczonych hasełCustom banned password list

Niektóre organizacje chcą poprawić bezpieczeństwo i dodać własne dostosowania na liście globalnie zakazanych haseł.Some organizations want to improve security and add their own customizations on top of the global banned password list. Aby dodać własne wpisy, możesz użyć Niestandardowa lista wykluczonych haseł.To add your own entries, you can use the custom banned password list. Warunki dodane do listy niestandardowych haseł zabronione powinny być skoncentrowane na warunkach określonych w organizacji, takich jak następujące przykłady:Terms added to the custom banned password list should be focused on organizational-specific terms such as the following examples:

  • Nazwy markiBrand names
  • Nazwy produktówProduct names
  • Lokalizacje, takie jak oddział firmyLocations, such as company headquarters
  • Terminy wewnętrzne specyficzne dla firmyCompany-specific internal terms
  • Skróty, które mają określone znaczenie firmyAbbreviations that have specific company meaning

Gdy warunki są dodawane do listy niestandardowych zakazanych haseł, są łączone z warunkami z listy globalnie zabronione hasła.When terms are added to the custom banned password list, they're combined with the terms in the global banned password list. Zdarzenia zmiany lub resetowania hasła są weryfikowane pod kątem połączonego zestawu list wykluczonych haseł.Password change or reset events are then validated against the combined set of these banned password lists.

Uwaga

Niestandardowa lista wykluczonych haseł jest ograniczona do maksymalnie 1000 warunków.The custom banned password list is limited to a maximum of 1000 terms. Nie jest ona przeznaczona do blokowania bardzo dużych list haseł.It's not designed for blocking extremely large lists of passwords.

Aby w pełni wykorzystać zalety niestandardowej listy zakazanych haseł, należy najpierw zrozumieć, jak są oceniane hasła przed dodaniem warunków do listy niestandardowa zabroniony.To fully leverage the benefits of the custom banned password list, first understand how are passwords evaluated before you add terms to the custom banned list. Takie podejście umożliwia wydajne wykrywanie i blokowanie dużej liczby słabych haseł i ich wariantów.This approach lets you efficiently detect and block large numbers of weak passwords and their variants.

Modyfikowanie niestandardowej listy wykluczonych haseł w obszarze metody uwierzytelniania

Rozważmy klienta o nazwie contoso.Let's consider a customer named Contoso. Firma jest oparta na Londynie i sprawia, że jest to element widget.The company is based in London and makes a product named Widget. W przypadku tego przykładowego klienta wasteful i mniej bezpieczny, aby spróbować zablokować konkretne wahania tych warunków, takich jak następujące:For this example customer, it would be wasteful and less secure to try to block specific variations of these terms such as the following:

  • "Contoso! 1""Contoso!1"
  • "Contoso@London""Contoso@London"
  • "ContosoWidget""ContosoWidget"
  • "! Contoso"!Contoso"
  • "LondonHQ""LondonHQ"

Zamiast tego jest to znacznie bardziej wydajne i bezpieczne, aby blokować tylko kluczowe warunki podstawowe, takie jak następujące przykłady:Instead, it's much more efficient and secure to block only the key base terms, such as the following examples:

  • "Contoso""Contoso"
  • Londyn"London"
  • Walidacj"Widget"

Algorytm walidacji hasła automatycznie blokuje słabe warianty i kombinacje.The password validation algorithm then automatically blocks weak variants and combinations.

Aby rozpocząć korzystanie z listy niestandardowych zakazanych haseł, wykonaj następujące czynności:To get started with using a custom banned password list, complete the following tutorial:

Ataki rozpylania hasła i listy haseł z naruszonymi zabezpieczeniami innych firmPassword spray attacks and third-party compromised password lists

Ochrona hasłem w usłudze Azure AD pomaga chronić przed atakami polegającymi na rozpylaniu hasła.Azure AD Password Protection helps you defend against password spray attacks. Większość ataków z rozpylaczem hasła nie podejmuje więcej niż kilku razy ataków na poszczególne konta.Most password spray attacks don't attempt to attack any given individual account more than a few times. Takie zachowanie zwiększy prawdopodobieństwo wykrycia przy użyciu blokady konta lub innych metod.This behavior would increase the likelihood of detection, either via account lockout or other means.

Zamiast tego większość ataków rozpylaczy hasła przesyła tylko niewielką liczbę znanych słabych haseł do poszczególnych kont w przedsiębiorstwie.Instead, the majority of password spray attacks submit only a small number of the known weakest passwords against each of the accounts in an enterprise. Ta technika umożliwia atakującemu szybkie wyszukiwanie łatwo naruszonego konta i uniknięcie progów wykrycia.This technique allows the attacker to quickly search for an easily compromised account and avoid potential detection thresholds.

Ochrona hasłem w usłudze Azure AD efektywnie blokuje wszystkie znane słabe hasła, które mogą być używane w atakach z rozpylaczem hasła.Azure AD Password Protection efficiently blocks all known weak passwords likely to be used in password spray attacks. Ta ochrona jest oparta na rzeczywistych danych telemetrycznych zabezpieczeń z usługi Azure AD w celu utworzenia listy globalnych zakazanych haseł.This protection is based on real-world security telemetry data from Azure AD to build the global banned password list.

Niektóre witryny sieci Web innych firm wyliczające miliony haseł, które zostały naruszone w ramach wcześniejszych publicznie znanych naruszeń zabezpieczeń.There are some third-party websites that enumerate millions of passwords that have been compromised in previous publicly known security breaches. Jest to typowy dla produktów innych firm do sprawdzania poprawności haseł, które są oparte na porównaniu z wymuszeniem rozliczania do tych milionów haseł.It's common for third-party password validation products to be based on brute-force comparison against those millions of passwords. Jednak te techniki nie są najlepszym sposobem poprawienia ogólnej siły hasła przy użyciu typowych strategii używanych przez osoby atakujące.However, those techniques aren't the best way to improve overall password strength given the typical strategies used by password spray attackers.

Uwaga

Lista zakazanych haseł globalnych nie jest oparta na żadnych źródłach danych innych firm, w tym na listach z naruszonymi hasłami.The global banned password list isn't based on any third-party data sources, including compromised password lists.

Mimo że globalna lista zabronionych jest niewielka w porównaniu z niektórymi listami zbiorczymi innych firm, pochodzi ona z rzeczywistych danych telemetrycznych zabezpieczeń na potrzeby faktycznych ataków na rozpylacze hasła.Although the global banned list is small in comparison to some third-party bulk lists, it's sourced from real-world security telemetry on actual password spray attacks. Takie podejście usprawnia ogólne zabezpieczenia i skuteczność, a algorytm weryfikacji hasła używa również inteligentnych technik dopasowywania rozmytego.This approach improves the overall security and effectiveness, and the password validation algorithm also uses smart fuzzy-matching techniques. W związku z tym usługa Azure AD Password Protection skutecznie wykrywa i blokuje miliony najbardziej typowych słabych haseł z używania w przedsiębiorstwie.As a result, Azure AD Password Protection efficiently detects and blocks millions of the most common weak passwords from being used in your enterprise.

Lokalne scenariusze hybrydoweOn-premises hybrid scenarios

Wiele organizacji ma model tożsamości hybrydowej, który obejmuje lokalne środowiska Active Directory Domain Services (AD DS).Many organizations have a hybrid identity model that includes on-premises Active Directory Domain Services (AD DS) environments. Aby zwiększyć zalety zabezpieczeń usługi Azure AD Password Protection do środowiska AD DS, można zainstalować składniki na serwerach lokalnych.To extend the security benefits of Azure AD Password Protection into your AD DS environment, you can install components on your on-premises servers. Tacy agenci wymagają zdarzeń zmiany hasła w lokalnym środowisku AD DS, aby zachować zgodność z tymi samymi zasadami haseł co w usłudze Azure AD.These agents require password change events in the on-premises AD DS environment to comply with the same password policy as in Azure AD.

Aby uzyskać więcej informacji, zobacz Wymuś ochronę hasłem w usłudze Azure AD dla AD DS.For more information, see Enforce Azure AD Password Protection for AD DS.

Jak są oceniane hasłaHow are passwords evaluated

Gdy użytkownik zmieni lub zresetuje hasło, nowe hasło jest sprawdzane pod kątem siły i złożoności, sprawdzając, czy jest to połączona lista warunków z globalnych i niestandardowych list zakazanych haseł.When a user changes or resets their password, the new password is checked for strength and complexity by validating it against the combined list of terms from the global and custom banned password lists.

Nawet jeśli hasło użytkownika zawiera zabronione hasło, hasło może zostać zaakceptowane, jeśli ogólne hasło jest w inny sposób mocne.Even if a user's password contains a banned password, the password may be accepted if the overall password is otherwise strong enough. Nowo skonfigurowane hasło przechodzi przez następujące kroki w celu oceny jego ogólnej siły, aby określić, czy powinien zostać zaakceptowany czy odrzucony:A newly configured password goes through the following steps to assess its overall strength to determine if it should be accepted or rejected:

Krok 1: NormalizacjaStep 1: Normalization

Nowe hasło najpierw przechodzi przez proces normalizacji.A new password first goes through a normalization process. Ta technika umożliwia zmapowanie małego zestawu zabronionych haseł do znacznie większego zestawu potencjalnie słabych haseł.This technique allows for a small set of banned passwords to be mapped to a much larger set of potentially weak passwords.

Normalizacja ma dwie następujące części:Normalization has the following two parts:

  • Wszystkie wielkie litery ulegają zmianie na małe litery.All uppercase letters are changed to lower case.

  • Następnie są wykonywane typowe podstawienia znaków, takie jak w poniższym przykładzie:Then, common character substitutions are performed, such as in the following example:

    Oryginalna literaOriginal letter Zastąpiona literaSubstituted letter
    00 oo
    11 ll
    $ ss
    @ aa

Rozpatrzmy następujący przykład:Consider the following example:

  • Hasło "puste" jest zabronione.The password "blank" is banned.
  • Użytkownik próbuje zmienić hasło na " Bl@nK ".A user tries to change their password to "Bl@nK".
  • Chociaż " Bl@nk " nie jest zabronione, proces normalizacji konwertuje to hasło na "puste".Even though "Bl@nk" isn't banned, the normalization process converts this password to "blank".
  • To hasło zostanie odrzucone.This password would be rejected.

Krok 2. Sprawdzanie, czy hasło jest uznawane za zabronioneStep 2: Check if password is considered banned

Hasło jest następnie sprawdzane pod kątem innych zachowań dopasowania i generowany jest wynik.A password is then examined for other matching behavior, and a score is generated. Ten końcowy wynik określa, czy żądanie zmiany hasła zostało zaakceptowane lub odrzucone.This final score determines if the password change request is accepted or rejected.

Zachowanie dopasowywania rozmytegoFuzzy matching behavior

Dopasowywanie rozmyte jest używane na znormalizowanym haśle, aby określić, czy zawiera hasło znalezione na listach globalnych lub niestandardowych zakazanych haseł.Fuzzy matching is used on the normalized password to identify if it contains a password found on either the global or the custom banned password lists. Proces dopasowywania zależy od edycji odległości jednego (1) porównania.The matching process is based on an edit distance of one (1) comparison.

Rozpatrzmy następujący przykład:Consider the following example:

  • Hasło "abcdef" jest zabronione.The password "abcdef" is banned.

  • Użytkownik próbuje zmienić hasło na jedną z następujących czynności:A user tries to change their password to one of the following:

    • "abcdeg" — ostatni znak został zmieniony z "f" na "g"'abcdeg' - last character changed from 'f' to 'g'
    • "abcdefg" — "g" dołączony do końca'abcdefg' - 'g' appended to end
    • "abcd"- końcowe "f" zostało usunięte z końca'abcde' - trailing 'f' was deleted from end
  • Każde z powyższych haseł nie jest jawnie zgodne z zakazanym hasłem "abcdef".Each of the above passwords doesn't specifically match the banned password "abcdef".

    Jednak ponieważ każdy przykład znajduje się w zakresie edycji odległości 1 od "abcdef", wszystkie są uważane za zgodne z "abcdef".However, since each example is within an edit distance of 1 of the banned term 'abcdef', they're all considered as a match to "abcdef".

  • Te hasła zostałyby odrzucone.These passwords would be rejected.

Dopasowywanie podciągów (na określonych warunkach)Substring matching (on specific terms)

Dopasowywanie podciągów jest używane w znormalizowanym haśle, aby sprawdzić, czy nazwa użytkownika i nazwisko oraz nazwę dzierżawy zostały użyte.Substring matching is used on the normalized password to check for the user's first and last name as well as the tenant name. Dopasowywanie nazw dzierżawców nie jest wykonywane podczas sprawdzania poprawności haseł na AD DS kontrolerze domeny dla lokalnych scenariuszy hybrydowych.Tenant name matching isn't done when validating passwords on an AD DS domain controller for on-premises hybrid scenarios.

Ważne

Dopasowywanie podciągów jest wymuszane tylko dla nazw i innych warunków, które mają co najmniej cztery znaki.Substring matching is only enforced for names, and other terms, that are at least four characters long.

Rozpatrzmy następujący przykład:Consider the following example:

  • Użytkownik o nazwie Sondowający, który chce zresetować swoje hasło do "p0LL23fb".A user named Poll who wants to reset their password to "p0LL23fb".
  • Po normalizacji to hasło stanie się "poll23fb".After normalization, this password would become "poll23fb".
  • Dopasowywanie podciągów umożliwia znalezienie, że hasło zawiera imię i nazwisko użytkownika "Sonda".Substring matching finds that the password contains the user's first name "Poll".
  • Chociaż "poll23fb" nie została zaprojektowana na liście wykluczonych haseł, w haśle znaleziono ciąg "Sonda".Even though "poll23fb" wasn't specifically on either banned password list, substring matching found "Poll" in the password.
  • To hasło zostanie odrzucone.This password would be rejected.

Obliczanie wynikuScore Calculation

Następnym krokiem jest zidentyfikowanie wszystkich wystąpień zakazanych haseł w znormalizowanym nowym haśle użytkownika.The next step is to identify all instances of banned passwords in the user's normalized new password. Punkty są przypisywane na podstawie następujących kryteriów:Points are assigned based on the following criteria:

  1. Każde z zakazanych haseł, które znajdują się w haśle użytkownika, otrzymuje jeden punkt.Each banned password that's found in a user's password is given one point.
  2. Każdy pozostały znak, który nie jest częścią zakazanego hasła, otrzymuje jeden punkt.Each remaining character that is not part of a banned password is given one point.
  3. Hasło musi zawierać co najmniej pięć (5) punktów do zaakceptowania.A password must be at least five (5) points to be accepted.

W przypadku następnych dwóch przykładowych scenariuszy firma Contoso korzysta z ochrony hasłem usługi Azure AD i ma "contoso" na swojej niestandardowej liście zakazanych haseł.For the next two example scenarios, Contoso is using Azure AD Password Protection and has "contoso" on their custom banned password list. Załóżmy również, że na globalnej liście znajduje się wartość "puste".Let's also assume that "blank" is on the global list.

W poniższym przykładowym scenariuszu użytkownik zmienia swoje hasło na "C0ntos0Blank12":In the following example scenario, a user changes their password to "C0ntos0Blank12":

  • Po normalizacji to hasło przyjmuje wartość "contosoblank12".After normalization, this password becomes "contosoblank12".

  • Proces dopasowywania stwierdza, że to hasło zawiera dwa zabronione hasła: "contoso" i "Blank".The matching process finds that this password contains two banned passwords: "contoso" and "blank".

  • To hasło otrzymuje następujące wyniki:This password is then given the following score:

    [contoso] + [puste] + [1] + [2] = 4 punkty[contoso] + [blank] + [1] + [2] = 4 points

  • Ponieważ to hasło znajduje się poniżej pięciu (5) punktów, jest odrzucane.As this password is under five (5) points, it's rejected.

Spójrzmy nieco inny przykład, aby pokazać, jak dodatkowa złożoność hasła może stworzyć wymaganą liczbę punktów do zaakceptowania.Let's look a slightly different example to show how additional complexity in a password can build the required number of points to be accepted. W poniższym przykładowym scenariuszu użytkownik zmienia swoje hasło na " ContoS0Bl@nkf9 !":In the following example scenario, a user changes their password to "ContoS0Bl@nkf9!":

  • Po normalizacji to hasło zmieni się na "contosoblankf9!".After normalization, this password becomes "contosoblankf9!".

  • Proces dopasowywania stwierdza, że to hasło zawiera dwa zabronione hasła: "contoso" i "Blank".The matching process finds that this password contains two banned passwords: "contoso" and "blank".

  • To hasło otrzymuje następujące wyniki:This password is then given the following score:

    [contoso] + [puste] + [f] + [9] + [!] = 5 punktów[contoso] + [blank] + [f] + [9] + [!] = 5 points

  • Ponieważ to hasło ma co najmniej pięć (5) punktów, zostało zaakceptowane.As this password is at least five (5) points, it's accepted.

Ważne

Algorytm zakazanych haseł, a także globalna lista wykluczonych haseł, można zmienić w dowolnym momencie na platformie Azure na podstawie trwającej analizy zabezpieczeń i badań.The banned password algorithm, along with the global banned password list, can and do change at any time in Azure based on ongoing security analysis and research.

W przypadku usługi lokalnego agenta kontrolera domeny w scenariuszach hybrydowych zaktualizowane algorytmy zaczną obowiązywać dopiero po uaktualnieniu oprogramowania agenta kontrolera domeny.For the on-premises DC agent service in hybrid scenarios, updated algorithms only take effect after the DC agent software is upgraded.

Co widzą użytkownicyWhat do users see

Gdy użytkownik spróbuje zresetować hasło do elementu, który mógłby zostać zabroniony, zostanie wyświetlony następujący komunikat o błędzie:When a user attempts to reset a password to something that would be banned, the following error message is displayed:

"Niestety, hasło zawiera słowo, frazę lub wzorzec, które ułatwiają odgadnięcie hasła. Spróbuj ponownie, używając innego hasła "."Unfortunately, your password contains a word, phrase, or pattern that makes your password easily guessable. Please try again with a different password."

Wymagania licencyjneLicense requirements

UżytkownicyUsers Ochrona hasłem w usłudze Azure AD z listą globalnie zakazanych hasełAzure AD Password Protection with global banned password list Ochrona hasłem w usłudze Azure AD za pomocą niestandardowej listy zablokowanych hasełAzure AD Password Protection with custom banned password list
Użytkownicy tylko w chmurzeCloud-only users Usługa Azure AD — warstwa BezpłatnaAzure AD Free Usługa Azure AD — wersja Premium P1 lub P2Azure AD Premium P1 or P2
Użytkownicy zsynchronizowani z AD DS lokalnychUsers synchronized from on-premises AD DS Usługa Azure AD — wersja Premium P1 lub P2Azure AD Premium P1 or P2 Usługa Azure AD — wersja Premium P1 lub P2Azure AD Premium P1 or P2

Uwaga

Użytkownicy AD DS lokalnych, którzy nie są zsynchronizowani z usługą Azure AD, również korzystają z ochrony hasłem usługi Azure AD na podstawie istniejącej licencji dla synchronizowanych użytkowników.On-premises AD DS users that aren't synchronized to Azure AD also benefit from Azure AD Password Protection based on existing licensing for synchronized users.

Dodatkowe informacje o licencjonowaniu, w tym koszty, można znaleźć w witrynie Azure Active Directory cenowej.Additional licensing information, including costs, can be found on the Azure Active Directory pricing site.

Następne krokiNext steps

Aby rozpocząć korzystanie z listy niestandardowych zakazanych haseł, wykonaj następujące czynności:To get started with using a custom banned password list, complete the following tutorial:

Możesz również włączyć lokalną ochronę hasłem usługi Azure AD.You can also then enable on-premises Azure AD Password Protection.