Tutorial: Configurar senhas proibidas personalizadas para proteção de senha do Microsoft Entra

Os usuários geralmente criam senhas que usam palavras locais comuns, como uma escola, uma equipe esportiva ou uma pessoa famosa. Essas senhas são fáceis de serem adivinhadas e fracas contra os ataques baseados em dicionário. Para impor senhas fortes em sua organização, a lista de senhas proibidas personalizadas do Microsoft Entra permite adicionar cadeias de caracteres específicas para avaliar e bloquear. Uma solicitação de alteração de senha falhará se houver uma correspondência na lista personalizada de senhas proibidas.

Neste tutorial, você aprenderá a:

• Habilitar senhas proibidas personalizadas
• Adicionar entradas à lista personalizada de senhas proibidas
• Testar alterações de senha com uma senha proibida

Pré-requisitos

Para concluir este tutorial, você precisará dos seguintes recursos e privilégios:

• Um locatário funcional do Microsoft Entra com pelo menos uma licença do Microsoft Entra ID P1 ou licença de avaliação habilitada.
  • Se necessário, crie um gratuitamente.
• Uma conta com pelo menos a função Administrador de Política de Autenticação.
• Um usuário que não seja administrador com uma senha que você conheça, como testuser. Você testará um evento de alteração de senha usando essa conta neste tutorial.
  • Se você precisar criar um usuário, confira Início Rápido: Adicionar novos usuários ao Microsoft Entra ID.
  • Para testar a operação de alteração de senha usando uma senha proibida, o locatário do Microsoft Entra precisará ser configurado para a redefinição de senha self-service.

O que são listas de senhas proibidas?

O Microsoft Entra ID inclui uma lista global de senhas proibidas. O conteúdo da lista global de senhas proibidas não se baseia em nenhuma fonte de dados externa. Em vez disso, a lista global de senhas proibidas se baseia nos resultados contínuos da telemetria e da análise de segurança do Microsoft Entra. Quando um usuário ou um administrador tenta alterar ou redefinir as respectivas credenciais, a senha desejada é verificada em relação à lista de senhas proibidas. A solicitação de alteração de senha falhará se houver uma correspondência na lista global de senhas proibidas. Não é possível editar essa lista global padrão de senhas proibidas.

Para oferecer flexibilidade em quais senhas são permitidas, você também pode definir uma lista personalizada de senhas proibidas. A lista personalizada de senhas proibidas funciona junto com a lista global de senhas proibidas para impor senhas fortes na sua organização. Os termos específicos da organização podem ser adicionados à lista personalizada de senhas proibidas, como os seguintes exemplos:

• Nomes de marcas
• Nomes de produtos
• Localizações, como a sede da empresa
• Termos internos específicos da empresa
• Abreviações que tenham um significado específico para a empresa
• Meses e dias da semana com os idiomas locais da sua empresa

Quando um usuário tenta redefinir uma senha para algo que está na lista global ou personalizada de senhas proibidas, ele vê uma das seguintes mensagens de erro:

• Infelizmente, sua senha contém uma palavra, uma frase ou um padrão que pode ser facilmente adivinhado. Tente novamente com uma senha diferente.
• Você não pode usar essa senha, porque ela contém palavras ou caracteres que foram bloqueados pelo administrador. Tente novamente com uma senha diferente.

A lista personalizada de senhas proibidas é limitada a um máximo de 1.000 termos. Ela não foi projetada para bloquear listas grandes de senhas. Para maximizar os benefícios da lista personalizada de senhas proibidas, examine os conceitos da lista personalizada de senhas proibidas e a visão geral do algoritmo de avaliação de senha.

Configurar senhas proibidas personalizadas

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Vamos habilitar a lista personalizada de senhas proibidas e adicionar algumas entradas. Você pode adicionar mais entradas à lista personalizada de senhas proibidas a qualquer momento.

Para habilitar a lista personalizada de senhas proibidas e adicionar entradas a ela, conclua as seguintes etapas:

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.

2. Navegue até Proteção>Métodos de autenticação e proteção por senha.

3. Defina a opção Impor lista personalizada como Sim.

4. Adicione cadeias de caracteres à Lista personalizada de senhas proibidas, uma cadeia de caracteres por linha. As seguintes considerações e limitações se aplicam à lista personalizada de senhas proibidas:

   • A lista personalizada de senhas proibidas pode conter até 1.000 termos.
   • A lista de senhas proibidas personalizada não diferencia maiúsculas de minúsculas.
   • A lista personalizada de senhas proibidas considera a substituição de caracteres comuns, como "o" e "0" ou "a" e "\@".
   • O tamanho mínimo da cadeia de caracteres é de quatro caracteres; o máximo é de 16 caracteres.

   Especifique as próprias senhas personalizadas a serem proibidas, conforme mostrado no exemplo a seguir

   

5. Mantenha a opção Habilitar proteção de senha no Windows Server Active Directory como Não.

6. Para habilitar as senhas proibidas personalizadas e as entradas, selecione Salvar.

É possível que demore várias horas até que as atualizações da lista de senhas proibidas sejam aplicadas.

Em um ambiente híbrido, você também pode implantar a proteção de senha do Microsoft Entra em um ambiente local. As mesmas listas de senhas proibidas globais e personalizadas são usadas para solicitações de alteração de senha local e de nuvem.

Testar a lista personalizada de senhas proibidas

Para ver a lista personalizada de senhas proibidas em ação, tente alterar a senha para uma variação de uma que você adicionou na seção anterior. Quando o Microsoft Entra ID tenta processar a alteração de senha, ela é comparada com uma entrada na lista de senhas proibidas personalizadas. Um erro é então exibido para o usuário.

Observação

Para que o usuário possa redefinir a senha no portal baseado na Web, o locatário do Microsoft Entra precisa ser configurado para a redefinição de senha self-service. Se necessário, o usuário poderá se registrar na SSPR em https://aka.ms/ssprsetup.

1. Acesse a página Meus Aplicativos em https://myapps.microsoft.com.

2. No canto superior direito, selecione o seu nome e, em seguida, escolha Perfil no menu suspenso.

   

3. Na página Perfil, selecione Alterar senha.

4. Na página Alterar a senha, insira a senha existente (antiga). Insira e confirme uma nova senha na lista personalizada de senhas proibidas que você definiu na seção anterior e, em seguida, selecione Enviar.

5. É retornada uma mensagem de erro que informa que a senha foi bloqueada pelo administrador, conforme mostrado no seguinte exemplo:

   

Limpar os recursos

Se você não desejar mais usar a lista personalizada de senhas proibidas configurada como parte deste tutorial, conclua as seguintes etapas:

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
2. Navegue até Proteção>Métodos de autenticação e proteção por senha.
3. Defina a opção Impor lista personalizada como Não.
4. Para atualizar a configuração personalizada de senhas proibidas, selecione Salvar.

Próximas etapas

Neste tutorial, você habilitou e configurou listas personalizadas de proteção de senha para o Microsoft Entra ID. Você aprendeu a:

• Habilitar senhas proibidas personalizadas
• Adicionar entradas à lista personalizada de senhas proibidas
• Testar alterações de senha com uma senha proibida

Habilitar a autenticação multifator baseada em risco do Microsoft Entra