啟用內部部署Microsoft Entra Password Protection
使用者通常會建立使用常見當地文字的密碼,例如學校、體育團隊或名人。 這些密碼容易被猜到,對於字典型攻擊的防御能力很弱。 若要在您的組織中強制執行強密碼,Microsoft Entra Password Protection 提供全域和自定義禁用密碼清單。 如果這些禁用密碼清單中有相符項目,密碼變更要求就會失敗。
若要保護您的內部部署 Active Directory Domain Services (AD DS) 環境,您可以安裝和設定 Microsoft Entra Password Protection,以搭配內部部署 DC 使用。 本文說明如何為內部部署環境啟用 Microsoft Entra Password Protection。
如需如何在內部部署環境中Microsoft Entra Password Protection 運作的詳細資訊,請參閱 如何針對 Windows Server Active Directory強制執行 Microsoft Entra Password Protection。
開始之前
本文說明如何為內部部署環境啟用 Microsoft Entra Password Protection。 在您完成本文之前,在內部部署 AD DS 環境中 安裝和註冊 Microsoft Entra Password Protection Proxy 服務和 DC 代理程式。
啟用內部部署密碼保護
至少以 驗證管理員的身分登入 Microsoft Entra 管理中心。
瀏覽至 Protection>驗證方法,>密碼保護。
將 [在 Windows Server Active Directory 上啟用密碼保護] 選項設定為 [] [是]。
當此設定設為 不時,所有已部署的 Microsoft Entra Password Protection DC 代理程式都會進入靜止模式,接受所有的密碼 as-is。 不會執行驗證活動,也不會產生稽核事件。
建議一開始將 模式 設定為 稽核。 在您熟悉此功能和對組織中使用者的影響之後,您可以將 [模式] 切換為 [強制 ]。 如需更多資訊,請參閱以下有關 作業模式的節。
等準備好時,請選擇 儲存。
作業模式
當您啟用內部部署Microsoft Entra Password Protection 時,您可以使用 稽核 模式或 強制執行 模式。 建議初始部署和測試一律以稽核模式開始。 然後,應監視事件記錄檔中的項目,以預期一旦啟用 強制 模式,任何現有的運行程序是否會受到干擾。
稽核模式
稽核 模式旨在以「假設情境」模式運行軟體。 每個Microsoft Entra Password Protection DC 代理程式服務都會根據目前使用中原則評估傳入的密碼。
如果目前的原則設定為稽核模式,"不合規的" 密碼會產生成事件日誌消息,但仍會被處理和更新。 此行為是稽核與強制執行模式的唯一差異。 所有其他作業的運作方式都一樣。
強制模式
強制 模式是最終配置的用意。 如同在稽核模式中,每個Microsoft Entra Password Protection DC 代理程式服務都會根據目前使用中原則評估傳入密碼。 不過,啟用強制模式時,會拒絕根據原則視為不安全的密碼。
當Microsoft Entra Password Protection DC 代理程式以強制模式拒絕密碼時,使用者會看到類似的錯誤,就像他們看到其密碼是否遭到傳統內部部署密碼複雜度強制執行拒絕一樣。 例如,使用者可能會在 Windows 登入或變更密碼畫面上看到下列傳統錯誤訊息:
「無法更新密碼。 為新密碼提供的值不符合網域的長度、複雜度或歷程記錄需求。
此訊息只是數個可能結果的其中一個範例。 特定錯誤訊息可能會根據嘗試設定不安全密碼的實際軟體或案例而有所不同。
受影響的終端使用者可能需要與其IT人員合作,以瞭解新的需求,並選擇安全的密碼。
注意
Microsoft Entra Password Protection 無法控制拒絕弱式密碼時用戶端電腦所顯示的特定錯誤訊息。
後續步驟
若要自訂貴組織的禁用密碼清單,請參閱 設定 Microsoft Entra Password Protection 自定義禁用密碼清單。
若要監視內部部署事件,請參閱 監視內部部署Microsoft Entra Password Protection。