Samouczek: konfigurowanie niestandardowych zabronionych haseł na potrzeby ochrony haseł w usłudze Microsoft Entra

Użytkownicy często tworzą hasła, które używają typowych słów lokalnych, takich jak szkoła, drużyna sportowa lub sławna osoba. Te hasła są łatwe do odgadnięcia i słabe w przypadku ataków opartych na słowniku. Aby wymusić silne hasła w organizacji, lista niestandardowych zakazanych haseł Microsoft Entra umożliwia dodawanie określonych ciągów w celu ich oceny i blokowania. Żądanie zmiany hasła nie powiedzie się, jeśli występuje dopasowanie na niestandardowej liście zakazanych haseł.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

• Włącz niestandardowe zakazane hasła
• Dodawanie wpisów do niestandardowej listy zakazanych haseł
• Testowanie zmian haseł przy użyciu zakazanego hasła

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

• Działający tenant Microsoft Entra z włączoną licencją Microsoft Entra ID P1 lub licencją wersji próbnej.
  • W razie potrzeby utwórz je bezpłatnie.
• Konto z co najmniej rolą administratora zasad uwierzytelniania.
• Użytkownik niebędący administratorem z hasłem, którego znasz, na przykład testuser. Przetestujesz zdarzenie zmiany hasła przy użyciu tego konta w tym samouczku.
  • Jeśli musisz utworzyć użytkownika, zobacz Szybki start: Dodawanie nowych użytkowników do identyfikatora Entra firmy Microsoft.
  • Aby operacja zmiany hasła przy użyciu niedozwolonego hasła mogła zostać przetestowana, dzierżawa Microsoft Entra musi być skonfigurowana do samoobsługowego resetowania hasła.

Co to są listy zakazanych haseł?

Identyfikator entra firmy Microsoft zawiera globalną listę zakazanych haseł. Zawartość globalnej listy zakazanych haseł nie jest oparta na żadnym zewnętrznym źródle danych. Zamiast tego globalna lista zakazanych haseł jest oparta na bieżących wynikach telemetrii i analizy zabezpieczeń firmy Microsoft Entra. Gdy użytkownik lub administrator spróbuje zmienić lub zresetować swoje poświadczenia, żądane hasło jest sprawdzane względem listy zakazanych haseł. Żądanie zmiany hasła kończy się niepowodzeniem, jeśli na globalnej liście zakazanych haseł występuje zgodność. Nie można edytować tej domyślnej globalnej listy zakazanych haseł.

Aby zapewnić elastyczność definiowania dozwolonych haseł, można również zdefiniować niestandardową listę zakazanych haseł. Niestandardowa lista zakazanych haseł działa obok globalnej listy zakazanych haseł, aby wymusić silne hasła w organizacji. Terminy specyficzne dla organizacji można dodać do niestandardowej listy zakazanych haseł, takich jak następujące przykłady:

• Nazwy marek
• Nazwy produktów
• Lokalizacje, takie jak siedziba firmy
• Wewnętrzne warunki specyficzne dla firmy
• Skróty, które mają określone znaczenie firmy
• Miesiące i dni robocze z lokalnymi językami firmy

Gdy użytkownik próbuje zresetować hasło do czegoś, co znajduje się na globalnej lub niestandardowej liście zakazanych haseł, zobaczy jeden z następujących komunikatów o błędach:

• Niestety hasło zawiera słowo, frazę lub wzorzec, który ułatwia odgadywanie hasła. Spróbuj ponownie przy użyciu innego hasła.
• Niestety, nie można użyć tego hasła, ponieważ zawiera on słowa lub znaki, które zostały zablokowane przez administratora. Spróbuj ponownie przy użyciu innego hasła.

Lista niestandardowych zabronionych haseł jest ograniczona do maksymalnie 1000 pozycji. Nie jest przeznaczony do blokowania dużych list haseł. Aby zmaksymalizować zalety niestandardowej listy zakazanych haseł, zapoznaj się z omówieniem niestandardowych pojęć listy zakazanych haseł i algorytmu oceny haseł.

Konfigurowanie niestandardowych haseł zabronionych

Włączmy niestandardową listę zakazanych haseł i dodajmy niektóre wpisy. W dowolnym momencie możesz dodać dodatkowe wpisy do niestandardowej listy zakazanych haseł.

Aby włączyć niestandardową listę zakazanych haseł i dodać do niej wpisy, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

2. Przejdź do Ochrona>Metody uwierzytelniania, a następnie Ochrona hasła.

3. Ustaw opcję Wymuszaj listę niestandardową na Tak.

4. Dodaj ciągi do listy niestandardowych zakazanych haseł, jeden ciąg na wiersz. Do listy niestandardowych zabronionych haseł mają zastosowanie następujące zagadnienia i ograniczenia:

   • Lista niestandardowych zabronionych haseł może zawierać maksymalnie 1000 wpisów.
   • Na liście niestandardowych zabronionych haseł nie jest rozróżniana wielkość liter.
   • Lista niestandardowych zabronionych haseł uwzględnia zastępowanie typowych znaków, takich jak „o” i „0” lub „a” i „@”.
   • Minimalna długość ciągu to cztery znaki, a maksymalna długość to 16 znaków.

   Określ własne niestandardowe hasła do zablokowania, jak pokazano w poniższym przykładzie

   

5. Pozostaw opcję Włącz ochronę haseł w usłudze Active Directory systemu Windows Server na nie.

6. Aby włączyć niestandardowe zakazane hasła i wpisy, wybierz pozycję Zapisz.

Wdrożenie aktualizacji do niestandardowej listy zakazanych haseł może potrwać kilka godzin.

W przypadku środowiska hybrydowego można również wdrożyć ochronę haseł firmy Microsoft w środowisku lokalnym. Te same globalne i niestandardowe listy zakazanych haseł są używane zarówno dla żądań zmiany hasła w chmurze, jak i lokalnych.

Testowanie niestandardowej listy zakazanych haseł

Aby wyświetlić niestandardową listę haseł zakazanych w działaniu, spróbuj zmienić hasło na odmianę hasła, która została dodana w poprzedniej sekcji. Gdy Microsoft Entra ID próbuje przetworzyć zmianę hasła, hasło jest dopasowywane do wpisu na niestandardowej liście zakazanych haseł. Następnie użytkownikowi zostanie wyświetlony komunikat o błędzie.

Uwaga

Zanim użytkownik będzie mógł zresetować swoje hasło w portalu internetowym, dzierżawa Microsoft Entra musi być skonfigurowana na potrzeby samoobsługowego resetowania hasła. W razie potrzeby użytkownik może zarejestrować się do SSPR pod adresem https://aka.ms/ssprsetup.

1. Przejdź do strony Moje aplikacje pod adresem https://myapps.microsoft.com.

2. W prawym górnym rogu wybierz swoją nazwę, a następnie wybierz pozycję Profil z menu rozwijanego.

   

3. Na stronie Profil wybierz pozycję Zmień hasło.

4. Na stronie Zmienianie hasła wprowadź istniejące (stare) hasło. Wprowadź i potwierdź nowe hasło, które znajduje się na niestandardowej liście zakazanych haseł zdefiniowanych w poprzedniej sekcji, a następnie wybierz pozycję Prześlij.

5. Zostanie zwrócony komunikat o błędzie informujący o zablokowaniu hasła przez administratora, jak pokazano w poniższym przykładzie:

   

Czyszczenie zasobów

Jeśli nie chcesz już używać niestandardowej listy zakazanych haseł skonfigurowanych w ramach tego samouczka, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
2. Przejdź do Ochrona>Metody uwierzytelniania, a następnie Ochrona haseł.
3. Ustaw opcję Wymuszaj listę niestandardową na Nie.
4. Aby zaktualizować niestandardową konfigurację zakazanych haseł, wybierz pozycję Zapisz.

Następne kroki

W tym samouczku włączyłeś i skonfigurowałeś niestandardowe listy ochrony hasła dla Microsoft Entra ID. Nauczyłeś się, jak:

• Włącz niestandardowe zakazane hasła
• Dodawanie wpisów do niestandardowej listy zakazanych haseł
• Testowanie zmian haseł przy użyciu zakazanego hasła

Włączanie uwierzytelniania wieloskładnikowego firmy Microsoft opartego na ryzyku