チュートリアル: Microsoft Entra ID のパスワードを保護するためのカスタムの禁止パスワードを構成する
ユーザーは多くの場合、学校、スポーツ チーム、有名人などのありふれたローカル単語を使用してパスワードを作成します。 これらのパスワードは簡単に推測できるため、辞書ベースの攻撃に対しては脆弱です。 組織で強力なパスワードを適用するために、Microsoft Entra カスタム禁止パスワード リストを使用すると、評価およびブロックする特定の文字列を追加できます。 カスタムの禁止パスワードの一覧に一致するものがある場合、パスワードの変更要求はエラーとなります。
このチュートリアルで学習する内容は次のとおりです。
- カスタムの禁止パスワードを有効にする
- カスタムの禁止パスワードの一覧にエントリを追加する
- 禁止パスワードを使用してパスワードの変更をテストする
前提条件
このチュートリアルを完了するには、以下のリソースと特権が必要です。
- Microsoft Entra ID P1 以上か試用版のライセンスが有効になっている稼働中の Microsoft Entra テナント。
- 必要に応じて、無料で作成できます。
- 少なくとも認証ポリシー管理者ロールを持つアカウント。
- パスワードがわかっている管理者以外のユーザー (testuser など)。 このチュートリアルでは、このアカウントを使用してパスワード変更イベントをテストします。
- ユーザーを作成する必要がある場合は、クイックスタート: Microsoft Entra ID への新しいユーザーの追加に関する記事を参照してください。
- 禁止パスワードを使用してパスワードの変更操作をテストするには、Microsoft Entra テナントをセルフサービス パスワード リセット用に構成しておく必要があります。
禁止パスワードの一覧とは
Microsoft Entra ID には、グローバル禁止パスワード リストが含まれています。 グローバル禁止パスワードの一覧の内容は、どの外部データ ソースにも基づいていません。 代わりに、グローバル禁止パスワードの一覧は、Microsoft Entra のセキュリティ テレメトリと分析の継続的な結果に基づいています。 ユーザーまたは管理者が自分の資格情報を変更またはリセットしようとすると、希望するパスワードが禁止パスワードの一覧に照らしてチェックされます。 グローバル禁止パスワードの一覧に一致するものがある場合、パスワードの変更要求はエラーとなります。 この既定のグローバル禁止パスワード リストを編集することはできません。
許可されるパスワードの柔軟性を高めるために、カスタムの禁止パスワードの一覧を定義することもできます。 カスタムの禁止パスワードの一覧とグローバル禁止パスワードの一覧を組み合わせて使用することで、自分の組織内に強力なパスワードを適用できます。 カスタムの禁止パスワードの一覧には、次の例のような組織固有の用語を追加できます。
- ブランド名
- 製品名
- 場所 (本社など)
- 会社固有の内部用語
- 会社固有の意味を持つ略語
- 会社のローカル言語を使用した月と平日
ユーザーが、パスワードをグローバルまたはカスタムの禁止パスワードの一覧に記載されているものにリセットしようとすると、次のエラー メッセージのいずれかが表示されます。
- 残念ながら、パスワードを簡単に推測できる単語、語句、またはパターンが含まれています。 別のパスワードで再実行してください。
- 残念ながら、管理者によってブロックされている単語または文字が含まれているためにそのパスワードを使用できません。 別のパスワードで再実行してください。
カスタムの禁止パスワードの一覧は、最大 1,000 個の用語に制限されています。 多数のパスワードをブロックできるようには設計されていません。 カスタムの禁止パスワードの一覧の利点を最大限に活用するには、カスタムの禁止パスワードの一覧の概念とパスワード評価アルゴリズムの概要を確認してください。
カスタムの禁止パスワードを構成する
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
カスタムの禁止パスワードの一覧を有効にし、いくつかのエントリを追加してみましょう。 カスタムの禁止パスワードの一覧には、いつでも新しいエントリを追加できます。
カスタムの禁止パスワードの一覧を有効にし、エントリを追加するには、次の手順を実行します。
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
[保護]>[認証方法]、[パスワード保護] の順に進みます。
[カスタム リストの適用] オプションを [はい] に設定します。
[カスタムの禁止パスワードの一覧] に文字列 (1 行に 1 文字列) を追加します。 カスタムの禁止パスワードの一覧には、次の考慮事項と制限事項が適用されます。
- カスタムの禁止パスワードの一覧には、最大 1,000 個の用語を含めることができます。
- カスタム禁止パスワード リストでは、大文字と小文字は区別されません。
- カスタムの禁止パスワードの一覧では、一般的な文字の置き換え ("o" と "0" や "a" と "@" など) が考慮されています。
- 最小文字数は 4 文字で、最大文字数は 16 文字です。
次の例に示すように、禁止する独自のカスタム パスワードを指定します
[Windows Server Active Directory のパスワード保護を有効にする] オプションは、 [いいえ] のままにします。
カスタムの禁止パスワードとエントリを有効にするには、 [保存] を選択します。
カスタム禁止パスワード リストの更新が適用されるまでに数時間かかることがあります。
ハイブリッド環境では、オンプレミスの環境に Microsoft Entra パスワード保護をデプロイすることもできます。 クラウドとオンプレミスの両方のパスワード変更要求には、同じグローバルおよびカスタムの禁止パスワード リストが使用されます。
カスタムの禁止パスワードの一覧をテストする
カスタムの禁止パスワードの一覧が機能していることを確認するには、パスワードを、前のセクションで追加したパスワードとわずかに異なるものに変更してみます。 Microsoft Entra ID でパスワードの変更が処理される際に、そのパスワードがカスタムの禁止パスワードの一覧にあるエントリと照合されます。 すると、エラーがユーザーに表示されます。
Note
ユーザーが Web ベースのポータルで自分のパスワードをリセットできるように、あらかじめ Microsoft Entra テナントをセルフサービス パスワード リセット用に構成しておく必要があります。 ユーザーは、必要に応じて https://aka.ms/ssprsetup で SSPR に登録することができます。
の https://myapps.microsoft.com ページに移動します。
右上隅にあるご自身の名前を選択し、ドロップダウン メニューから [プロファイル] を選択します。
[プロファイル] ページの [パスワードの変更] を選択します。
[パスワードの変更] ページで、既存の (古い) パスワードを入力します。 前のセクションで定義したカスタムの禁止パスワードの一覧にある新しいパスワードを入力して確認し、 [送信] を選択します。
次の例に示すように、管理者によってパスワードがブロックされたことを示すエラー メッセージが返されます。
リソースをクリーンアップする
このチュートリアルの一環として構成したカスタムの禁止パスワードの一覧をもう使用しない場合は、次の手順を実行します。
- 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
- [保護]>[認証方法]、[パスワード保護] の順に進みます。
- [カスタム リストの適用] オプションを [いいえ] に設定します。
- カスタムの禁止パスワード構成を更新するには、 [保存] を選択します。
次のステップ
このチュートリアルでは、Microsoft Entra ID のカスタムのパスワード保護一覧を有効にし、構成しました。 以下の方法を学習しました。
- カスタムの禁止パスワードを有効にする
- カスタムの禁止パスワードの一覧にエントリを追加する
- 禁止パスワードを使用してパスワードの変更をテストする