Delen via

On-premises Microsoft Entra-wachtwoordbeveiliging inschakelen

  • Artikel

Gebruikers maken vaak wachtwoorden die gebruikmaken van veelgebruikte lokale woorden, zoals een school, sportteam of beroemde persoon. Deze wachtwoorden zijn eenvoudig te raden en zwak tegen aanvallen op basis van woordenlijst. Als u sterke wachtwoorden in uw organisatie wilt afdwingen, biedt Microsoft Entra Password Protection een algemene en aangepaste lijst met verboden wachtwoorden. Een aanvraag voor wachtwoordwijziging mislukt als er een overeenkomst is in deze lijst met verboden wachtwoorden.

Als u uw on-premises Ad DS-omgeving (Active Directory Domain Services) wilt beveiligen, kunt u Microsoft Entra-wachtwoordbeveiliging installeren en configureren voor gebruik met uw on-premises DC. In dit artikel leest u hoe u Microsoft Entra-wachtwoordbeveiliging inschakelt voor uw on-premises omgeving.

Zie Microsoft Entra-wachtwoordbeveiliging afdwingen voor Windows Server Active Directory-voor meer informatie over hoe Microsoft Entra-wachtwoordbeveiliging werkt in een on-premises omgeving.

Voordat u begint

In dit artikel leest u hoe u Microsoft Entra-wachtwoordbeveiliging inschakelt voor uw on-premises omgeving. Voordat u dit artikel voltooit, de Microsoft Entra Password Protection-proxyservice en DC-agents installeren en registreren in uw on-premises AD DS-omgeving.

On-premises wachtwoordbeveiliging inschakelen

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Verificatiebeheerder.

  2. Blader naar Beveiliging>Authenticatiemethoden>wachtwoordbeveiliging.

  3. Stel de optie voor Wachtwoordbeveiliging inschakelen op Windows Server Active Directory- in op Ja-.

    Wanneer deze instelling is ingesteld op Geen, gaan alle geïmplementeerde Microsoft Entra Password Protection DC-agents in een stille modus waarin alle wachtwoorden worden geaccepteerd as-is. Er worden geen validatieactiviteiten uitgevoerd en controlegebeurtenissen worden niet gegenereerd.

  4. Het is raadzaam om de modus in eerste instantie in te stellen op Audit-. Nadat u vertrouwd bent met de functie en de impact op gebruikers in uw organisatie, kunt u de modus overschakelen naar afgedwongen. Zie de volgende sectie over bewerkingsmodivoor meer informatie.

  5. Wanneer u klaar bent, selecteert u Opslaan.

    on-premises wachtwoordbeveiliging inschakelen onder Verificatiemethoden in het Microsoft Entra-beheercentrum

Bewerkingsmodi

Wanneer u on-premises Microsoft Entra-wachtwoordbeveiliging inschakelt, kunt u controlemodus gebruiken of modus afdwingen. We raden u aan om de eerste implementatie en het testen altijd te starten in de controlemodus. De vermeldingen in het gebeurtenislogboek moeten vervolgens worden gecontroleerd om te anticiperen op mogelijke verstoringen van bestaande operationele processen zodra de Afdwing-modus is ingeschakeld.

Controlemodus

Auditmodus is bedoeld als een manier om de software uit te voeren in de "what if"-modus. Elke Microsoft Entra Password Protection DC-agentservice evalueert een binnenkomend wachtwoord volgens het huidige actieve beleid.

Als het huidige beleid is geconfigureerd voor de controlemodus, resulteren 'slechte' wachtwoorden in gebeurtenislogboekberichten, maar worden verwerkt en bijgewerkt. Dit gedrag is het enige verschil tussen de controlemodus en de handhavingsmodus. Alle andere bewerkingen worden hetzelfde uitgevoerd.

Afgedwongen modus

Afgedwongen-modus is bedoeld als de uiteindelijke configuratie. Net als in de controlemodus evalueert elke Microsoft Entra Password Protection DC-agentservice binnenkomende wachtwoorden op basis van het huidige actieve beleid. Wanneer de afgedwongen modus echter is ingeschakeld, wordt een wachtwoord dat als onveilig wordt beschouwd, geweigerd volgens het beleid.

Wanneer een wachtwoord wordt geweigerd in de afgedwongen modus door de Microsoft Entra Password Protection DC-agent, ziet een eindgebruiker een vergelijkbare fout zoals ze zouden zien of hun wachtwoord werd geweigerd door traditionele on-premises afdwinging van wachtwoordcomplexiteit. Een gebruiker kan bijvoorbeeld het volgende traditionele foutbericht zien op het Windows-aanmeldscherm of op het scherm voor wachtwoordwijziging.

'Kan het wachtwoord niet bijwerken. De opgegeven waarde voor het nieuwe wachtwoord voldoet niet aan de lengte, complexiteit of geschiedenisvereisten van het domein.

Dit bericht is slechts één voorbeeld van verschillende mogelijke resultaten. Het specifieke foutbericht kan variëren, afhankelijk van de daadwerkelijke software of het scenario dat een onveilig wachtwoord probeert in te stellen.

Betrokken eindgebruikers moeten mogelijk samenwerken met hun IT-medewerkers om inzicht te hebben in de nieuwe vereisten en om veilige wachtwoorden te kiezen.

Notitie

Microsoft Entra Password Protection heeft geen controle over het specifieke foutbericht dat door de clientcomputer wordt weergegeven wanneer een zwak wachtwoord wordt geweigerd.

Volgende stappen

Om de lijst met verboden wachtwoorden voor uw organisatie aan te passen, zie Configureren van de aangepaste lijst met verboden wachtwoorden voor Microsoft Entra-zwakheidsbeveiliging.

Zie Monitoring van on-premises gebeurtenissen met Microsoft Entra-wachtwoordbeveiliging.