启用本地Microsoft Entra 密码保护
用户通常会创建使用常见本地单词的密码,例如学校、体育团队或名人。 这些密码很容易猜出,并且对基于字典的攻击很弱。 若要在组织中强制实施强密码,Microsoft Entra Password Protection 提供全局和自定义禁止密码列表。 如果这些受禁密码列表中存在匹配项,密码更改请求将失败。
若要保护本地 Active Directory 域服务(AD DS)环境,可以安装和配置 Microsoft Entra Password Protection,以便于与本地独立控制器(DC)一起使用。 本文介绍如何为本地环境启用 Microsoft Entra Password Protection。
有关如何在本地环境中Microsoft Entra Password Protection 的工作原理的详细信息,请参阅 如何强制实施适用于 Windows Server Active Directory的 Microsoft Entra Password Protection。
开始之前
本文介绍如何为本地环境启用 Microsoft Entra Password Protection。 在完成本文之前,在本地 AD DS 环境中安装和注册 Microsoft Entra Password Protection 代理服务和 DC 代理。
启用本地密码保护
以至少 身份验证管理员身份登录到 Microsoft Entra 管理中心。
浏览到“保护”>“身份验证方法”>“密码保护”。
将“对 Windows Server Active Directory 启用密码保护”选项设置为“是”。
当此设置设置为 “无”时,所有已部署的 Microsoft Entra Password Protection DC 代理将进入静默模式,在该模式下所有密码都会被接受 as-is。 不会执行验证活动,也不会生成审核事件。
建议最初将“模式”设置为“审核”。 在熟悉该功能及其对组织中用户产生的影响后,可将“模式”切换为“强制”。 有关详细信息,请参阅以下关于 操作模式的部分。
准备就绪后,选择保存。
中的身份验证方法下启用本地密码保护
操作模式
启用本地 Microsoft Entra 密码保护时,可以使用“审核”模式或“强制”模式。 建议初始部署和测试始终以审核模式启动。 然后,应监视事件日志中的条目,以预测在启用 强制 模式后是否会对任何现有运营流程造成干扰。
审核模式
“审核”模式是在“假设”模式下运行软件的一种方式。 每个Microsoft Entra Password Protection DC 代理服务根据当前活动策略评估传入的密码。
如果当前策略配置为处于审核模式,则“错误”密码会导致事件日志消息,但已处理和更新。 此行为是审核和强制模式的唯一区别。 所有其他操作的运行方式相同。
强制模式
“强制”模式旨在用作最终配置。 与在审核模式下一样,每个Microsoft Entra Password Protection DC 代理服务都会根据当前活动策略评估传入的密码。 不过,启用强制模式后,会拒绝根据策略被视为不安全的密码。
当 Microsoft Entra Password Protection DC 代理在强制模式下拒绝密码时,最终用户会看到一个类似的错误,就像他们在密码被传统的本地密码复杂性政策拒绝时看到的一样。 例如,用户可能会在 Windows 登录或更改密码屏幕中看到以下传统错误消息:
“无法更新密码。 为新密码提供的值不符合域的长度、复杂性或历史记录要求。
此消息只是几个可能结果的一个示例。 特定错误消息可能会因尝试设置不安全密码的实际软件或方案而异。
受影响的最终用户可能需要与其 IT 人员合作,以了解新要求并选择安全密码。
注意
当 Microsoft Entra Password Protection 拒绝弱密码时,它无法控制客户端计算机所显示的特定错误消息。
后续步骤
若要自定义组织的受禁密码列表,请参阅 配置 Microsoft Entra Password Protection 自定义受禁密码列表。
若要监视本地事件,请参阅监视本地 Microsoft Entra 密码保护。