Aktivera lokalt Microsoft Entra ID-lösenordsskydd

  • Artikel

Användare skapar ofta lösenord som använder vanliga lokala ord, till exempel en skola, ett idrottslag eller en känd person. Dessa lösenord är lätta att gissa och svaga mot ordlistebaserade attacker. För att framtvinga starka lösenord i din organisation tillhandahåller Microsoft Entra Password Protection en global och anpassad lista över förbjudna lösenord. En begäran om lösenordsändring misslyckas om det finns en matchning i listan över förbjudna lösenord.

För att skydda din lokal Active Directory Domain Services-miljö (AD DS) kan du installera och konfigurera Microsoft Entra Password Protection så att det fungerar med din lokala domänkontrollant. Den här artikeln visar hur du aktiverar Microsoft Entra Password Protection för din lokala miljö.

Mer information om hur Microsoft Entra Password Protection fungerar i en lokal miljö finns i Så här framtvingar du Microsoft Entra-lösenordsskydd för Windows Server Active Directory.

Innan du börjar

Den här artikeln visar hur du aktiverar Microsoft Entra Password Protection för din lokala miljö. Innan du slutför den här artikeln installerar och registrerar du proxytjänsten Microsoft Entra Password Protection och DC-agenterna i din lokala AD DS-miljö.

Aktivera lokalt lösenordsskydd

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

  1. Logga in på administrationscentret för Microsoft Entra som minst autentiseringsadministratör.

  2. Bläddra till Skydd>Autentiseringsmetoder>Lösenordsskydd.

  3. Ange alternativet Aktivera lösenordsskydd i Windows Server Active Directory till Ja.

    När den här inställningen är inställd på Nej går alla distribuerade Microsoft Entra Password Protection DC-agenter i ett quiescent-läge där alla lösenord accepteras som de är. Inga valideringsaktiviteter utförs och granskningshändelser genereras inte.

  4. Vi rekommenderar att du först ställer in LägetGranskning. När du är nöjd med funktionen och påverkan på användare i din organisation kan du växla Läge till Framtvingat. Mer information finns i följande avsnitt om driftlägen.

  5. När du är klar väljer du Spara.

    Enable on-premises password protection under Authentication Methods in the Microsoft Entra admin center

Driftlägen

När du aktiverar lokalt Microsoft Entra-lösenordsskydd kan du använda granskningsläge eller framtvinga läge. Vi rekommenderar att den inledande distributionen och testningen alltid börjar i granskningsläge. Poster i händelseloggen bör sedan övervakas för att förutse om befintliga operativa processer skulle störas när Framtvinga läge har aktiverats.

Granskningsläge

Granskningsläget är avsett som ett sätt att köra programvaran i ett "tänk om"-läge. Varje Microsoft Entra Password Protection DC-agenttjänst utvärderar ett inkommande lösenord enligt den aktuella aktiva principen.

Om den aktuella principen är konfigurerad för att vara i granskningsläge resulterar "felaktiga" lösenord i händelseloggmeddelanden men bearbetas och uppdateras. Det här beteendet är den enda skillnaden mellan gransknings- och framtvingandeläge. Alla andra åtgärder körs på samma sätt.

Framtvingat läge

Framtvingat läge är avsett som den slutliga konfigurationen. Precis som i granskningsläge utvärderar varje Microsoft Entra Password Protection DC-agenttjänst inkommande lösenord enligt den aktuella aktiva principen. När framtvingat läge är aktiverat avvisas dock ett lösenord som anses osäkert enligt principen.

När ett lösenord avvisas i framtvingat läge av Microsoft Entra Password Protection DC-agenten ser en slutanvändare ett liknande fel som de skulle se om deras lösenord avvisades av traditionell lokal tillämpning av lösenordskomplexitet. En användare kan till exempel se följande traditionella felmeddelande på Windows-inloggningsskärmen eller ändra lösenordsskärmen:

"Det går inte att uppdatera lösenordet. Värdet för det nya lösenordet uppfyller inte kraven på längd, komplexitet eller historik för domänen."

Det här meddelandet är bara ett exempel på flera möjliga resultat. Det specifika felmeddelandet kan variera beroende på den faktiska programvaran eller scenariot som försöker ange ett osäkert lösenord.

Berörda slutanvändare kan behöva samarbeta med IT-personalen för att förstå de nya kraven och välja säkra lösenord.

Kommentar

Microsoft Entra Password Protection har ingen kontroll över det specifika felmeddelande som visas av klientdatorn när ett svagt lösenord avvisas.

Nästa steg

Information om hur du anpassar listan över förbjudna lösenord för din organisation finns i Konfigurera listan med anpassade förbjudna lösenord i Microsoft Entra Password Protection.

Information om hur du övervakar lokala händelser finns i Övervaka lokalt Microsoft Entra-lösenordsskydd.