Partager via

Activer la protection par mot de passe Microsoft Entra locale

  • Article

Les utilisateurs créent souvent des mots de passe qui utilisent des mots locaux courants tels qu’une école, une équipe sportive ou une personne célèbre. Ces mots de passe sont faciles à deviner et faibles contre les attaques basées sur des dictionnaires. Pour appliquer des mots de passe forts dans votre organisation, Microsoft Entra Password Protection fournit une liste globale et personnalisée de mots de passe interdits. Une demande de modification de mot de passe échoue en cas de correspondance dans cette liste de mots de passe interdits.

Pour protéger votre environnement Active Directory Domain Services (AD DS) local, vous pouvez installer et configurer la protection par mot de passe Microsoft Entra pour qu’elle fonctionne avec votre contrôleur de domaine local. Cet article explique comment activer la protection par mot de passe Microsoft Entra pour votre environnement local.

Pour plus d’informations sur le fonctionnement de la protection par mot de passe Microsoft Entra dans un environnement local, consultez Comment appliquer la protection par mot de passe Microsoft Entra pour Windows Server Active Directory.

Avant de commencer

Cet article explique comment activer la protection par mot de passe Microsoft Entra pour votre environnement local. Avant de terminer cet article, installer et inscrire le service proxy de protection par mot de passe Microsoft Entra et les agents DC dans votre environnement AD DS local.

Activer la protection par mot de passe locale

  1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’administrateur d’authentification .

  2. Accédez à Protection>Méthodes d’authentification>Protection par mot de passe.

  3. Définissez l’option Activer la protection par mot de passe sur Windows Server Active Directory sur Oui.

    Lorsque ce paramètre est défini sur Non, tous les agents Contrôleur de domaine de la protection par mot de passe Microsoft Entra déployés passent en mode inactif, mode dans lequel tous les mots de passe sont acceptés tels quels. Aucune activité de validation n’est effectuée et les événements d’audit ne sont pas générés.

  4. Il est recommandé de définir initialement le Mode sur Audit. Une fois que vous êtes familiarisé avec la fonctionnalité et l’impact observé sur les utilisateurs de votre organisation, vous pouvez changer le Mode pour Appliqué. Pour plus d’informations, consultez la section suivante sur modes d’opération.

  5. Lorsque vous êtes prêt, sélectionnez Enregistrer.

    Activer la protection par mot de passe locale sous méthodes d’authentification dans le centre d’administration Microsoft Entra

Modes d’opération

Lorsque vous activez la protection par mot de passe Microsoft Entra en local, vous pouvez utiliser le mode audit ou le mode appliqué. Nous recommandons que le déploiement initial et les tests démarrent toujours en mode audit. Les entrées dans le journal des événements doivent ensuite être supervisées pour anticiper les perturbations éventuelles d’un processus opérationnel existant une fois le mode Appliqué activé.

Mode d’audit

Le mode Audit est conçu comme un moyen d’exécuter le logiciel dans un mode de « simulation ». Chaque service d’agent Contrôleur de domaine de la protection par mot de passe Microsoft Entra évalue un mot de passe entrant en fonction de la stratégie active.

Si la stratégie actuelle est configurée pour être en mode audit, les mots de passe « faibles » entraînent des messages dans le journal des événements mais sont traités et mis à jour. Ce comportement est la seule différence entre l’audit et le mode d’application. Toutes les autres opérations s’exécutent de la même façon.

Mode Appliqué

Le mode imposé est destiné à la configuration finale. Tout comme dans le mode d’audit, chaque service d’agent Contrôleur de domaine de la protection par mot de passe Microsoft Entra évalue les mots de passe entrants en fonction de la stratégie active. Cependant, lorsque le mode d’application est activé, un mot de passe, considéré comme non sécurisé selon la stratégie, est rejeté.

Lorsqu’un mot de passe est refusé en mode d’application par l’agent Contrôleur de domaine de la protection par mot de passe Microsoft Entra, l’utilisateur final voit le même type d’erreur que si son mot de passe était rejeté par la mise en œuvre des principes de protection des informations personnelles locale sur la stratégie de complexité du mot de passe habituelle. Par exemple, un utilisateur peut voir le message d’erreur traditionnel suivant sur l’écran d’ouverture de session Windows ou modifier le mot de passe :

« Impossible de mettre à jour le mot de passe. La valeur fournie pour le nouveau mot de passe ne répond pas aux exigences de longueur, de complexité ou d’historique du domaine. »

Ce message n’est qu’un exemple de plusieurs résultats possibles. Le message d’erreur spécifique peut varier en fonction du logiciel ou du scénario réel qui tente de définir un mot de passe non sécurisé.

Les utilisateurs finaux concernés peuvent avoir besoin de travailler avec leur personnel informatique pour comprendre les nouvelles exigences et choisir des mots de passe sécurisés.

Remarque

Microsoft Entra Password Protection n’a aucun contrôle sur le message d’erreur spécifique affiché par l’ordinateur client lorsqu’un mot de passe faible est rejeté.

Étapes suivantes

Pour personnaliser la liste de mots de passe interdits pour votre organisation, consultez Configurer la liste de mots de passe interdits personnalisée Microsoft Entra Password Protection.

Pour surveiller les événements sur site, consultez Surveillance de la protection par mot de passe Microsoft Entra sur site.