Руководство по настройке пользовательских списков запрещенных слов для защиты паролем в Microsoft Entra
Многие пользователи создают пароли с характерными распространенными словами, например названием школы, спортивной команды или именем известного человека. Такие пароли легко угадать и они плохо защищены от атак на основе словарей. Чтобы применить надежные пароли в организации, список запрещенных паролей Microsoft Entra позволяет добавлять определенные строки для оценки и блокировки. Запрос на изменение пароля завершится ошибкой, если новый пароль совпадает со строкой из списка запрещенных паролей.
Из этого руководства вы узнаете, как выполнить следующие задачи:
- Включение пользовательского списка запрещенных паролей
- Добавление записей в пользовательский список запрещенных паролей
- Проверка невозможности смены пароля на любой из запрещенных
Необходимые компоненты
Для работы с этим учебником требуются следующие ресурсы и разрешения:
- Рабочий клиент Microsoft Entra с включенной лицензией Microsoft Entra ID P1 или пробной лицензией.
- Создайте ее бесплатно, если нужно.
- Учетная запись с ролью администратора политики проверки подлинности.
- Тестовый пользователь без прав администратора, пароль которого вам известен, например testuser. В рамках этого руководства вы протестируете событие смены пароля, используя эту учетную запись.
- Если вам нужно создать пользователя, см . краткое руководство. Добавление новых пользователей в идентификатор Microsoft Entra ID.
- Чтобы проверить операцию изменения пароля с помощью запрещенного пароля, клиент Microsoft Entra должен быть настроен для самостоятельного сброса пароля.
Что такое список запрещенных паролей?
Идентификатор Microsoft Entra содержит глобальный список запрещенных паролей. Содержимое глобального списка запрещенных паролей не зависит от какого-либо внешнего источника данных. Вместо этого глобальный список запрещенных паролей основан на текущих результатах телеметрии и анализа безопасности Microsoft Entra. Когда пользователь или администратор пытается изменить или сбросить учетные данные, выбранный пароль проверяется по списку запрещенных паролей. Этот запрос на изменение пароля завершится ошибкой, если новый пароль совпадает со строкой из глобального списка запрещенных паролей. Этот глобальный список запрещенных паролей по умолчанию нельзя изменить.
Чтобы обеспечить гибкость в определении разрешенных паролей, вы можете дополнительно определить пользовательский список запрещенных паролей. Пользовательский список запрещенных паролей применяется наравне с глобальным списком запрещенных паролей, чтобы обеспечить использование надежных паролей в организации. В пользовательский список запрещенных паролей можно добавить важные или типичные для организации термины, например:
- Названия торговых марок
- Названия продуктов
- расположения подразделений компании, например штаб-квартиры;
- характерные для организации слова внутреннего употребления;
- аббревиатуры, имеющие важное значение для конкретной организации.
- Месяцы и дни недели с локальными языками вашей компании
Если пользователь при сбросе пароля попытается указать любую строку из пользовательского или глобального списка запрещенных паролей, он увидит одно из следующих сообщений об ошибке:
- Пароль содержит слово, фразу или шаблон, которые легко угадать. Попробуйте указать другой пароль.
- К сожалению, вы не можете использовать этот пароль, так как он содержит слова или символы, заблокированные администратором. Попробуйте указать другой пароль.
Длина пользовательского списка заблокированных паролей ограничена значением 1000 элементов. Он не предназначен для блокирования больших списков паролей. Чтобы получить максимальную пользу от пользовательского списка запрещенных паролей, ознакомьтесь с концепцией применения пользовательского списка запрещенных паролей и обзорными сведениями об алгоритме оценки паролей.
Настройка пользовательского списка запрещенных паролей
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Давайте попробуем включить пользовательский список запрещенных паролей и добавить в него несколько записей. Вы в любое время можете добавлять записи в пользовательский список запрещенных паролей.
Чтобы включить пользовательский список запрещенных паролей и добавить в него несколько записей, выполните следующую процедуру:
Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
Перейдите к методам проверки подлинности защиты>, а затем защита паролей.
Для параметра Принудительный настраиваемый список задайте значение Да.
Добавьте по одной строке на каждую линию в пользовательский список запрещенных паролей. Для пользовательского списка запрещенных паролей действуют следующие рекомендации и ограничения:
- Пользовательский список запрещенных паролей может содержать не больше 1000 терминов.
- В нем также учитывается регистр.
- В пользовательском списке запрещенных паролей учитывается стандартная подстановка символов, например "o" вместо "0" и "a" вместо "\@".
- Минимальная длина строки составляет четыре символа, а максимальная — 16 символов.
Укажите собственные значения паролей для запрета, как показано в следующем примере.
Для параметра Включить защиту паролем в Windows Server Active Directory оставьте значение Нет.
Чтобы включить пользовательский список запрещенных паролей с указанными вами значениями, щелкните Сохранить.
Применение изменений для пользовательского списка заблокированных паролей может занять несколько часов.
Для гибридной среды можно также развернуть защиту паролей Microsoft Entra в локальной среде. Для облачных и локальных запросов на смену паролей используются одни и те же глобальный и пользовательский списки запрещенных паролей.
Тестирование пользовательского списка запрещенных паролей
Чтобы проверить, как действует пользовательский список запрещенных паролей, попробуйте изменить пароль так, чтобы он содержал любое из слов, добавленных в предыдущем разделе. Когда идентификатор Microsoft Entra пытается обработать изменение пароля, пароль сопоставляется с записью в пользовательском списке запрещенных паролей. Пользователь получит сообщение об ошибке.
Примечание.
Прежде чем пользователь сможет сбросить пароль на веб-портале, клиент Microsoft Entra должен быть настроен для самостоятельного сброса пароля. При необходимости пользователь может зарегистрироваться для SSPR на странице https://aka.ms/ssprsetup.
Перейдите на страницу Мои приложения в https://myapps.microsoft.com.
Вверху справа щелкните имя и выберите Профиль в раскрывающемся меню.
На странице Профиль щелкните Изменить пароль.
На странице Изменение пароля введите существующий (старый) пароль. Введите и подтвердите новый пароль, включенный в пользовательский список запрещенных паролей, который вы определили в предыдущем разделе, а затем щелкните Отправить.
Вы получите сообщение об ошибке, в котором сказано, что пароль заблокирован администратором, как показано в следующем примере:
Очистка ресурсов
Если вы решили отказаться от применения пользовательского списка запрещенных паролей, который вы настроили при работе с этим руководством, выполните следующую процедуру.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
- Перейдите к методам проверки подлинности защиты>, а затем защита паролей.
- Для параметра Принудительный настраиваемый список задайте значение Нет.
- Чтобы обновить конфигурацию пользовательского списка запрещенных паролей, щелкните Сохранить.
Следующие шаги
В этом руководстве вы включили и настроили настраиваемые списки защиты паролей для идентификатора Microsoft Entra. Вы научились выполнять следующие задачи:
- Включение пользовательского списка запрещенных паролей
- Добавление записей в пользовательский список запрещенных паролей
- Проверка невозможности смены пароля на любой из запрещенных