Dela via

Aktivera lokalt Microsoft Entra-lösenordsskydd

  • Artikel

Användare skapar ofta lösenord som använder vanliga lokala ord, till exempel en skola, ett idrottslag eller en känd person. Dessa lösenord är lätta att gissa och svaga mot ordlistebaserade attacker. För att framtvinga starka lösenord i din organisation tillhandahåller Microsoft Entra Password Protection en global och anpassad lista över förbjudna lösenord. En begäran om lösenordsändring misslyckas om det finns en matchning i listan över förbjudna lösenord.

För att skydda din lokala Active Directory Domain Services-miljö (AD DS) kan du installera och konfigurera Microsoft Entra Password Protection så att det fungerar med din lokala domänkontrollant. Den här artikeln visar hur du aktiverar Microsoft Entra Password Protection för din lokala miljö.

Mer information om hur Microsoft Entra Password Protection fungerar i en lokal miljö finns i Så här framtvingar du Microsoft Entra Password Protection för Windows Server Active Directory.

Innan du börjar

Den här artikeln visar hur du aktiverar Microsoft Entra Password Protection för din lokala miljö. Innan du slutför den här artikeln installera och registrera Microsoft Entra Password Protection-proxytjänsten och DC-agenter i din lokala AD DS-miljö.

Aktivera lokalt lösenordsskydd

  1. Logga in på administrationscentret för Microsoft Entra med behörighet som minst autentiseringsadministratör.

  2. Bläddra till Protection>autentiseringsmetoder>Lösenordsskydd.

  3. Ange alternativet för Aktivera lösenordsskydd på Windows Server Active Directory till Ja.

    När den här inställningen är inställd på Ingengår alla distribuerade Microsoft Entra Password Protection DC-agenter i ett quiescent-läge där alla lösenord accepteras as-is. Inga valideringsaktiviteter utförs och granskningshändelser genereras inte.

  4. Vi rekommenderar att du först anger Läge till Granskning. När du är nöjd med funktionen och påverkan på användare i din organisation kan du växla Läge till Framtvingad. Mer information finns i följande avsnitt om driftlägen.

  5. När du är klar väljer du Spara.

    Aktivera lokalt lösenordsskydd under Autentiseringsmetoder i administrationscentret för Microsoft Entra

Driftlägen

När du aktiverar lokalt Microsoft Entra-lösenordsskydd kan du använda antingen granskningsläge eller genomdrivningsläge. Vi rekommenderar att den inledande distributionen och testningen alltid börjar i granskningsläge. Poster i händelseloggen bör sedan övervakas för att förutse om de befintliga driftsprocesserna skulle störas när Implementera-läge har aktiverats.

Granskningsläge

Granskningsläge är avsett som ett sätt att köra programvaran i ett "tänk om"-läge. Varje Microsoft Entra Password Protection DC-agenttjänst utvärderar ett inkommande lösenord enligt den aktuella aktiva principen.

Om den aktuella principen är konfigurerad för att vara i granskningsläge resulterar "felaktiga" lösenord i händelseloggmeddelanden men bearbetas och uppdateras. Det här beteendet är den enda skillnaden mellan gransknings- och framtvingandeläge. Alla andra operationer körs på samma sätt.

Framtvingat läge

Framtvingat-läge är avsett som den slutliga konfigurationen. Precis som i granskningsläge utvärderar varje Microsoft Entra Password Protection DC-agenttjänst inkommande lösenord enligt den aktuella aktiva principen. När framtvingat läge är aktiverat avvisas dock ett lösenord som anses osäkert enligt principen.

När ett lösenord avvisas i framtvingat läge av Microsoft Entra Password Protection DC-agenten ser en slutanvändare ett liknande fel som de skulle se om deras lösenord avvisades av traditionell lokal tillämpning av lösenordskomplexitet. En användare kan till exempel se följande traditionella felmeddelande på Windows-inloggningsskärmen eller ändra lösenordsskärmen:

"Det går inte att uppdatera lösenordet. Värdet för det nya lösenordet uppfyller inte kraven på längd, komplexitet eller historik för domänen."

Det här meddelandet är bara ett exempel på flera möjliga resultat. Det specifika felmeddelandet kan variera beroende på den faktiska programvaran eller scenariot som försöker ange ett osäkert lösenord.

Berörda slutanvändare kan behöva samarbeta med IT-personalen för att förstå de nya kraven och välja säkra lösenord.

Not

Microsoft Entra Password Protection har ingen kontroll över det specifika felmeddelande som visas av klientdatorn när ett svagt lösenord avvisas.

Nästa steg

Om du vill anpassa listan över förbjudna lösenord för din organisation kan du läsa Konfigurera listan med anpassade förbjudna lösenord för Microsoft Entra-lösenordsskydd.

Information om hur du övervakar lokala händelser finns i Övervakning av lokala Microsoft Entra-lösenordsskydd.