Teilen über

Aktivieren des lokalen Microsoft Entra-Kennwortschutzes

  • Artikel

Benutzer erstellen häufig Kennwörter, die allgemeine lokale Wörter wie eine Schule, ein Sportteam oder eine berühmte Person verwenden. Diese Kennwörter sind leicht zu erraten und schwach gegen wörterbuchbasierte Angriffe. Um starke Kennwörter in Ihrer Organisation durchzusetzen, bietet Microsoft Entra Password Protection eine globale und benutzerdefinierte gesperrte Kennwortliste. Eine Kennwortänderungsanforderung schlägt fehl, wenn eine Übereinstimmung in dieser Liste gesperrter Kennwörter vorhanden ist.

Um Ihre lokale Active Directory Domain Services (AD DS)-Umgebung zu schützen, können Sie Microsoft Entra Password Protection installieren und konfigurieren, um mit Ihrem lokalen DC zu arbeiten. In diesem Artikel erfahren Sie, wie Sie den Microsoft Entra-Kennwortschutz für Ihre lokale Umgebung aktivieren.

Weitere Informationen zur Funktionsweise von Microsoft Entra-Kennwortschutz in einer lokalen Umgebung finden Sie unter So erzwingen Sie Microsoft Entra Password Protection für Windows Server Active Directory.

Bevor Sie beginnen

In diesem Artikel erfahren Sie, wie Sie den Microsoft Entra-Kennwortschutz für Ihre lokale Umgebung aktivieren. Bevor Sie diesen Artikel abschließen, installieren und registrieren Sie den Microsoft Entra Password Protection-Proxydienst und die DC-Agents in Ihrer lokalen AD DS-Umgebung.

Aktivieren des lokalen Kennwortschutzes

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsadministrator an.

  2. Navigieren Sie zu Protection>Authentifizierungsmethoden>Kennwortschutz.

  3. Legen Sie die Option für Kennwortschutz für Windows Server Active Directory aktivieren auf Ja fest.

    Wenn diese Einstellung auf "Nein" festgelegt ist, wechseln alle bereitgestellten Microsoft Entra Password Protection DC-Agents in einen stillen Modus, in dem alle Kennwörter as-isakzeptiert werden. Es werden keine Überprüfungsaktivitäten ausgeführt, und Überwachungsereignisse werden nicht generiert.

  4. Wir empfehlen Ihnen, den Modus anfänglich auf Überwachen festzulegen. Wenn Sie sich mit dem Feature und der Auswirkung auf die Benutzenden Ihrer Organisation vertraut gemacht haben, können Sie den Modus in Erzwungen ändern. Weitere Informationen finden Sie im folgenden Abschnitt zu Betriebsmodi.

  5. Wählen Sie Speichern aus, wenn Sie so weit sind.

    Aktivieren des lokalen Kennwortschutzes unter Authentifizierungsmethoden im Microsoft Entra Admin Center

Betriebsmodi

Wenn Sie den lokalen Microsoft Entra-Kennwortschutz aktivieren, können Sie entweder den Überwachungsmodus oder den Erzwingungsmodus verwenden. Es wird empfohlen, dass die anfängliche Bereitstellung und das Testen immer im Prüfmodus gestartet wird. Einträge im Ereignisprotokoll sollten dann überwacht werden, um zu antizipieren, ob vorhandene betriebliche Prozesse gestört werden, sobald der Modus Erzwingen aktiviert ist.

Überwachungsmodus

Der Modus Überwachen ist als Möglichkeit gedacht, die Software in einem „Was-wäre-wenn“-Modus auszuführen. Jeder Microsoft Entra Password Protection DC-Agentdienst wertet ein eingehendes Kennwort gemäß der derzeit aktiven Richtlinie aus.

Wenn die aktuelle Richtlinie so konfiguriert ist, dass sie sich im Überwachungsmodus befindet, führen "ungültige" Kennwörter zu Ereignisprotokollmeldungen, werden jedoch verarbeitet und aktualisiert. Dieses Verhalten ist der einzige Unterschied zwischen Überwachungs- und Erzwingungsmodus. Alle anderen Vorgänge werden gleich ausgeführt.

Erzwungener Modus

Erzwungener Modus ist als endgültige Konfiguration vorgesehen. Wie im Überwachungsmodus wertet jeder Microsoft Entra Password Protection DC-Agentdienst eingehende Kennwörter gemäß der derzeit aktiven Richtlinie aus. Wenn der erzwungene Modus aktiviert ist, wird jedoch ein Kennwort abgelehnt, das gemäß der Richtlinie als unsicher eingestuft wird.

Wenn ein Kennwort vom Microsoft Entra Password Protection DC-Agent im erzwungenen Modus abgelehnt wird, sieht ein Endbenutzer einen ähnlichen Fehler, wie er sehen würde, ob sein Kennwort durch herkömmliche lokale Kennwortkomplexitätserzwingung abgelehnt wurde. Ein Benutzer kann z. B. die folgende herkömmliche Fehlermeldung bei der Windows-Anmeldung sehen oder den Kennwortbildschirm ändern:

"Das Kennwort kann nicht aktualisiert werden. Der für das neue Kennwort angegebene Wert erfüllt nicht die Länge, Komplexität oder Verlaufsanforderungen der Domäne."

Diese Meldung ist nur ein Beispiel für mehrere mögliche Ergebnisse. Die spezifische Fehlermeldung kann je nach der tatsächlichen Software oder dem tatsächlichen Szenario variieren, in dem versucht wird, ein unsicheres Kennwort festzulegen.

Betroffene Endbenutzer müssen möglicherweise mit ihren IT-Mitarbeitern zusammenarbeiten, um die neuen Anforderungen zu verstehen und sichere Kennwörter auszuwählen.

Anmerkung

Der Microsoft Entra-Kennwortschutz hat keine Kontrolle über die spezifische Fehlermeldung, die vom Clientcomputer angezeigt wird, wenn ein schwaches Kennwort abgelehnt wird.

Nächste Schritte

Informationen zum Anpassen der Liste für gesperrte Kennwörter für Ihre Organisation finden Sie unter Konfigurieren der benutzerdefinierten Kennwortschutzliste von Microsoft Entra Password Protection.

Informationen zur Überwachung von lokalen Ereignissen finden Sie unter Überwachen des lokalen Microsoft Entra-Kennwortschutzes.