Поделиться через

Включение локальной защиты паролей Microsoft Entra

  • Статья

Пользователи часто создают пароли, использующие распространенные местные слова, такие как школа, спортивная команда или известный человек. Эти пароли легко угадать и слабы против атак на основе словаря. Для принудительного применения надежных паролей в организации Microsoft Entra Password Protection предоставляет глобальный и настраиваемый список запрещенных паролей. Запрос на изменение пароля завершается ошибкой, если новый пароль совпадает с одним из запрещенных в списке паролей.

Чтобы защитить локальную среду доменных служб Active Directory (AD DS), можно установить и настроить защиту паролей Microsoft Entra для работы с локальным контроллером домена. В этой статье показано, как включить защиту паролей Microsoft Entra для локальной среды.

Дополнительные сведения о том, как защита паролей Microsoft Entra работает в локальной среде, см. в статье Как применить защиту паролей Microsoft Entra для Windows Server Active Directory.

Перед началом работы

В этой статье показано, как включить защиту паролей Microsoft Entra для локальной среды. Прежде чем завершить эту статью, установить и зарегистрировать прокси-службу microsoft Entra Password Protection и агенты контроллера домена в локальной среде AD DS.

Включение локальной защиты паролей

  1. Войдите в центр администрирования Microsoft Entra как минимум администратор проверки подлинности .

  2. Перейдите к защите>методам проверки подлинности>защите паролем.

  3. Установите параметр Включить защиту паролей в Windows Server Active Directory, чтобы да.

    Если для этого параметра задано значение No, все развернутые агенты контроллера домена защиты паролей Microsoft Entra входят в состояние покоя, где все пароли принимаются as-is. Действия проверки не выполняются, а события аудита не создаются.

  4. Рекомендуется изначально задать режима для аудита . После того как вы освоитесь с функцией и влиянием на пользователей в вашей организации, можно переключить режим на принудительный. Дополнительные сведения см. в следующем разделе о режимах операций.

  5. Когда все готово, выберите Сохранить.

    Включить локальную защиту паролей в разделе

Режимы операций

При включении локальной защиты паролей Microsoft Entra можно использовать режим аудита или режим принудительного выполнения . Рекомендуется всегда запускать начальное развертывание и тестирование в режиме аудита. Записи в журнале событий должны отслеживаться, чтобы определить, будут ли существующие операционные процессы нарушены после включения режима принудительного применения .

Режим аудита

режим аудита предназначен для запуска программного обеспечения в режиме моделирования "что если". Служба агента контроллера домена Microsoft Entra Password Protection оценивает входящий пароль в соответствии с текущей активной политикой.

Если текущая политика настроена на режим аудита, неподходящие пароли приводят к сообщениям журнала событий, но обрабатываются и обновляются. Это единственное различие между режимом аудита и режимом принудительного применения. Все остальные операции выполняются одинаково.

Принудительный режим

принудительный режим предназначен как окончательная конфигурация. Как и в режиме аудита, каждая служба агента DC защиты паролей Microsoft Entra Password Protection оценивает входящие пароли в соответствии с текущей активной политикой. Если режим принудительного применения включен, пароль, который считается небезопасным в соответствии с политикой, отклоняется.

Если пароль отклоняется в принудительном режиме агентом контроллера домена защиты паролем Microsoft Entra Password Protection, конечный пользователь видит аналогичную ошибку, например, если пароль был отклонен традиционным применением локальной сложности паролей. Например, пользователь может увидеть следующее традиционное сообщение об ошибке на экране входа в Систему Windows или изменить пароль:

"Не удается обновить пароль. Значение, предоставленное для нового пароля, не соответствует требованиям домена к длине, сложности или истории использования.

Это сообщение является только одним примером нескольких возможных результатов. Определенное сообщение об ошибке может отличаться в зависимости от фактического программного обеспечения или сценария, пытающегося задать небезопасный пароль.

Затронутые пользователи могут работать со своими ИТ-специалистами, чтобы понять новые требования и выбрать безопасные пароли.

Заметка

Защита паролей Microsoft Entra не контролирует определенное сообщение об ошибке, отображаемое клиентским компьютером при отклонении слабого пароля.

Дальнейшие действия

Чтобы настроить список запрещенных паролей для вашей организации, см. настройка настраиваемого списка запрещенных паролей Microsoft Entra Password Protection.

Для мониторинга локальных событий см. Мониторинг локальной защиты паролей Microsoft Entra.