オンプレミスの Microsoft Entra パスワード保護を有効にする
多くの場合、ユーザーは、学校、スポーツ チーム、有名人物などの一般的なローカル語を使用するパスワードを作成します。 これらのパスワードは推測が簡単で、辞書ベースの攻撃に対して脆弱です。 組織で強力なパスワードを適用するために、Microsoft Entra Password Protection には、グローバルおよびカスタムの禁止パスワード リストが用意されています。 これらの禁止パスワード リストに一致するものがある場合、パスワード変更要求は失敗します。
オンプレミスの Active Directory Domain Services (AD DS) 環境を保護するには、オンプレミス DC と連携するように Microsoft Entra Password Protection をインストールして構成します。 この記事では、オンプレミス環境で Microsoft Entra パスワード保護を有効にする方法について説明します。
オンプレミス環境での Microsoft Entra パスワード保護の動作の詳細については、「Windows Server Active Directoryに Microsoft Entra パスワード保護を適用する方法」を参照してください。
開始する前に
この記事では、オンプレミス環境で Microsoft Entra パスワード保護を有効にする方法について説明します。 この記事を完了する前に、オンプレミスの AD DS 環境に Microsoft Entra パスワード保護プロキシ サービスと DC エージェントをインストールして登録します。
オンプレミスのパスワード保護を有効にする
少なくとも 認証管理者として、Microsoft Entra 管理センター にサインインします。
保護>認証方法>パスワード保護に移動します。
Windows Server Active Directory でパスワード保護を有効にするオプションを [はい]に設定します。
この設定を [なし] に設定すると、展開されているすべての Microsoft Entra Password Protection DC エージェントが休止モードに移行し、すべてのパスワードが as-is受け入れられます。 検証アクティビティは実行されず、監査イベントは生成されません。
最初に、モード を 監査に設定することをお勧めします。 この機能と組織内のユーザーへの影響に慣れた後は、モードの を 強制に切り替えることができます。 詳細については、操作モードの次のセクションを参照してください。
準備ができたら、[保存] を選択します。
![Microsoft Entra 管理センターの [認証方法] でオンプレミスのパスワード保護を有効にする](media/howto-password-ban-bad-on-premises-operations/enable-configure-custom-banned-passwords-cropped.png)
![Microsoft Entra 管理センターの [認証方法] でオンプレミスのパスワード保護を有効にする](media/howto-password-ban-bad-on-premises-operations/enable-configure-custom-banned-passwords.png#lightbox)
操作モード
オンプレミスの Microsoft Entra パスワード保護を有効にする場合は、監査モード または 強制モード を使用できます。 初期デプロイとテストは常に監査モードで開始することをお勧めします。 その後、イベント ログのエントリを監視して、モードを強制 有効にすると、既存の運用プロセスが妨げられるかどうかを予測する必要があります。
監査モード
監査 モードは、"what if" モードでソフトウェアを実行する方法として意図されています。 各 Microsoft Entra Password Protection DC エージェント サービスは、現在アクティブなポリシーに従って受信パスワードを評価します。
現在のポリシーが監査モードに構成されている場合、"無効" のパスワードはイベント ログ メッセージになりますが、処理および更新されます。 この動作は、監査モードと強制モードの唯一の違いです。 その他の操作はすべて同じように実行されます。
強制モード
強制 モードは、最終的な構成として使用されます。 監査モードの場合と同様に、各 Microsoft Entra Password Protection DC エージェント サービスは、現在アクティブなポリシーに従って受信パスワードを評価します。 ただし、強制モードが有効になっている場合、ポリシーに従って安全でないと見なされるパスワードは拒否されます。
Microsoft Entra Password Protection DC エージェントによってパスワードが強制モードで拒否されると、エンド ユーザーは、従来のオンプレミスのパスワードの複雑さの適用によってパスワードが拒否されたかどうかを確認するのと同様のエラーが表示されます。 たとえば、ユーザーが Windows ログオンまたはパスワードの変更画面に次の従来のエラー メッセージを表示する場合があります。
"パスワードを更新できません。 新しいパスワードに指定された値が、ドメインの長さ、複雑さ、または履歴の要件を満たしていません。
このメッセージは、考えられるいくつかの結果の 1 つの例にすぎません。 具体的なエラー メッセージは、セキュリティで保護されていないパスワードを設定しようとしている実際のソフトウェアまたはシナリオによって異なる場合があります。
影響を受けるエンド ユーザーは、IT スタッフと協力して新しい要件を理解し、セキュリティで保護されたパスワードを選択する必要があります。
手記
Microsoft Entra Password Protection は、脆弱なパスワードが拒否されたときにクライアント コンピューターによって表示される特定のエラー メッセージを制御しません。
次の手順
組織の禁止パスワード リストをカスタマイズするには、「Microsoft Entra Password Protection カスタム禁止パスワード リストの構成を参照してください。
オンプレミスのイベントを監視するには、「オンプレミスの Microsoft Entra Password Protectionの監視」を参照してください。