Sdílet prostřednictvím

Povolení místní ochrany heslem Microsoft Entra

  • Článek

Uživatelé často vytvářejí hesla, která používají běžná místní slova, jako je škola, sportovní tým nebo známá osoba. Tato hesla se snadno hádají a jsou slabá vůči útokům založeným na slovníku. Pokud chcete vynutit silná hesla ve vaší organizaci, microsoft Entra Password Protection poskytuje globální a vlastní seznam zakázaných hesel. Žádost o změnu hesla selže, pokud je v seznamu zakázaných hesel shoda.

Pokud chcete chránit místní prostředí služby Active Directory Domain Services (AD DS), můžete nainstalovat a nakonfigurovat ochranu heslem Microsoft Entra tak, aby fungovala s místním řadičem domény. V tomto článku se dozvíte, jak povolit ochranu heslem Microsoft Entra pro vaše místní prostředí.

Další informace o tom, jak Microsoft Entra Password Protection funguje v místním prostředí, naleznete v tématu Jak vynutit ochranu heslem Microsoft Entra pro Windows Server Active Directory.

Než začnete

V tomto článku se dozvíte, jak povolit ochranu heslem Microsoft Entra pro vaše místní prostředí. Než dokončíte tento článek, nainstalovat a zaregistrovat službu proxy služby Microsoft Entra Password Protection a agenty DC ve vašem místním prostředí SLUŽBY AD DS.

Povolení místní ochrany heslem

  1. Přihlaste se do centra pro správu Microsoft Entra jako alespoň správce ověřování.

  2. Přejděte na Ochrana>Metody ověřování>Ochrana heslem.

  3. Nastavte možnost Povolit ochranu heslem ve službě Windows Server Active Directory na Ano.

    Pokud je toto nastavení nastaveno na Ne, všichni nasazení agenti řadiče domény ochrany hesel Microsoft Entra přejdou do klidového režimu, kde jsou přijímána všechna hesla as-is. Neprovádí se žádné aktivity ověřování a negenerují se události auditu.

  4. Doporučujeme nejprve nastavit režim na audit. Jakmile budete s funkcí a dopadem na uživatele ve vaší organizaci, můžete přepnout režimu na Vynucené. Další informace najdete v následující části o režimech provozu.

  5. Až budete připraveni, vyberte Uložit.

    Aktivace ochrany hesla pro místní prostředí v sekci Metody ověřování v Centru správy Microsoft Entra

Režimy provozu

Když povolíte místní ochranu hesla Microsoft Entra, můžete použít buď režim auditu nebo režim vynucení . Doporučujeme, aby se počáteční nasazení a testování vždy spustilo v režimu auditu. Položky v protokolu událostí by se pak měly monitorovat, aby se předvídalo, zda by po povolení režimu Enforce byly narušeny nějaké existující provozní procesy.

Režim auditu

Režim auditu je určen jako způsob, jak software spustit v režimu "co kdyby". Každá služba DC agenta Microsoft Entra Password Protection vyhodnocuje příchozí heslo podle aktuálně platné zásady.

Pokud je aktuální zásada nakonfigurována tak, aby byla v režimu auditu, "špatná" hesla vyvolají zprávy v protokolu událostí, ale jsou zpracována a aktualizována. Toto chování je jediným rozdílem mezi režimem auditování a vynucení. Všechny ostatní operace běží stejně.

Vynucený režim

vynucený režim je určen jako konečná konfigurace. Podobně jako v režimu auditu vyhodnocuje každá služba agenta DC služby Microsoft Entra Password Protection příchozí hesla podle aktuálně aktivních zásad. Pokud je režim vynucení povolen, heslo, které je považováno za nezabezpečené podle zásad, je odmítnuto.

Pokud je heslo odmítnuto v režimu vynucení agentem řadiče domény Microsoft Entra Password Protection, koncový uživatel uvidí podobnou chybu, jako by viděl, kdyby bylo heslo odmítnuto tradičním způsobem vymáhání složitosti hesel na místních serverech. Uživatel může například vidět následující tradiční chybovou zprávu na přihlašovací obrazovce systému Windows nebo změnit heslo:

Nelze aktualizovat heslo. Hodnota zadaná pro nové heslo nesplňuje požadavky na délku, složitost nebo historii domény."

Tato zpráva je pouze jedním z příkladů několika možných výsledků. Konkrétní chybová zpráva se může lišit v závislosti na skutečném softwaru nebo scénáři, který se pokouší nastavit nezabezpečené heslo.

Ovlivnění koncoví uživatelé možná budou muset spolupracovat se svými it pracovníky, aby porozuměli novým požadavkům a zvolili si zabezpečená hesla.

Poznámka

Microsoft Entra Password Protection nemá žádnou kontrolu nad konkrétní chybovou zprávou zobrazenou klientským počítačem při odmítnutí slabého hesla.

Další kroky

Pokud chcete přizpůsobit seznam zakázaných hesel pro vaši organizaci, přečtěte si téma Konfigurace vlastního seznamu zakázaných hesel microsoft Entra Password Protection.

Chcete-li monitorovat místní události, podívejte se na Monitorování Microsoft Entra Password Protection pro lokální použití.