Aktivieren des lokalen Microsoft Entra-Kennwortschutzes

Benutzer erstellen häufig Kennwörter, in denen gängige Wörter mit regionalem Bezug verwendet werden, z. B. eine Schule, eine Sportmannschaft oder eine prominente Person. Diese Kennwörter sind leicht zu erraten und halten wörterbuchbasierten Angriffen oft nicht stand. Um sichere Kennwörter in Ihrer Organisation zu erzwingen, stellt der Microsoft Entra-Kennwortschutz eine globale und benutzerdefinierte Liste gesperrter Kennwörter bereit. Die Anforderung einer Kennwortänderung ist nicht erfolgreich, wenn sich eine Übereinstimmung mit dieser Liste mit gesperrten Kennwörtern ergibt.

Um Ihre lokale Active Directory Domain Services-Umgebung (AD DS) zu schützen, können Sie den Microsoft Entra-Kennwortschutz installieren und konfigurieren, sodass Ihr lokaler DC verwendet wird. In diesem Artikel wird erläutert, wie Sie den Microsoft Entra-Kennwortschutz für Ihre lokale Umgebung aktivieren.

Weitere Informationen zur Funktionsweise des Microsoft Entra-Kennwortschutzes in einer lokalen Umgebung finden Sie unter Erzwingen des Microsoft Entra-Kennwortschutzes für Windows Server Active Directory.

Voraussetzungen

In diesem Artikel wird erläutert, wie Sie den Microsoft Entra-Kennwortschutz für Ihre lokale Umgebung aktivieren. Führen Sie die Installation und Registrierung des Proxydiensts und der DC-Agents für den Microsoft Entra-Kennwortschutz in Ihrer lokalen AD DS-Umgebung durch, bevor Sie diesen Artikel durcharbeiten.

Aktivieren des lokalen Kennwortschutzes

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsadministrator an.

  2. Navigieren Sie zu Schutz>Authentifizierungsmethoden>Kennwortschutz.

  3. Legen Sie die Option für Kennwortschutz für Windows Server Active Directory aktivieren auf Ja fest.

    Wenn diese Einstellung auf Nein festgelegt ist, werden alle bereitgestellten DC-Agents für den Microsoft Entra-Kennwortschutz in einen Ruhemodus versetzt, in dem alle Kennwörter akzeptiert werden. Es werden keine Überprüfungsaktivitäten durchgeführt und keine Überwachungsereignisse generiert.

  4. Wir empfehlen Ihnen, den Modus anfänglich auf Überwachen festzulegen. Wenn Sie sich mit dem Feature und der Auswirkung auf die Benutzer Ihrer Organisation vertraut gemacht haben, können Sie den Modus in Erzwungen ändern. Weitere Informationen finden Sie unten im Abschnitt Betriebsmodi.

  5. Wählen Sie Speichern aus, wenn Sie so weit sind.

    Enable on-premises password protection under Authentication Methods in the Microsoft Entra admin center

Betriebsmodi

Beim Aktivieren des lokalen Microsoft Entra-Kennwortschutzes können Sie entweder den Modus Überwachen oder Erzwingen verwenden. Wir empfehlen Ihnen, bei der anfänglichen Bereitstellung und beim Testen immer im Überwachungsmodus zu beginnen. Die Einträge im Ereignisprotokoll sollten dann überwacht werden, um antizipieren zu können, ob bestehende Betriebsvorgänge ggf. gestört werden, wenn der Modus Erzwingen aktiviert wird.

Überwachungsmodus

Der Modus Überwachen ist als Möglichkeit gedacht, die Software in einem „Was-wäre-wenn“-Modus auszuführen. Jeder DC-Agent-Dienst des Microsoft Entra-Kennwortschutzes wertet ein eingehendes Kennwort gemäß der derzeit aktiven Richtlinie aus.

Wenn die aktuelle Richtlinie im Überwachungsmodus konfiguriert ist, führen „unzulässige“ Kennwörter zu Ereignisprotokollmeldungen, aber sie werden verarbeitet und aktualisiert. Dieses Verhalten ist der einzige Unterschied zwischen dem Überwachungs- und dem Erzwingungsmodus. Alle anderen Vorgänge sind identisch.

Erzwingungsmodus

Der Modus Erzwingen dient als endgültige Konfiguration. Wie im Überwachungsmodus wertet jeder DC-Agent-Dienst des Microsoft Entra-Kennwortschutzes eingehende Kennwörter gemäß der derzeit aktiven Richtlinie aus. Bei aktiviertem Erzwingungsmodus wird ein Kennwort, das basierend auf der Richtlinie als unsicher angesehen wird, aber abgelehnt.

Wenn ein Kennwort im Erzwingungsmodus vom DC-Agent des Microsoft Entra-Kennwortschutzes abgelehnt wird, wird für Endbenutzer ein ähnlicher Fehler wie bei der Ablehnung des Kennworts durch die herkömmliche lokale Erzwingung der Kennwortkomplexität angezeigt. Beispielsweise wird einem Benutzer die folgende herkömmliche Fehlermeldung auf dem Windows-Bildschirm zum Anmelden bzw. Ändern des Kennworts angezeigt:

„Kennwort konnte nicht aktualisiert werden. Der Wert für das neue Kennwort erfüllt nicht die Anforderungen der Domäne hinsichtlich Länge, Komplexität oder Verlauf.“

Diese Meldung ist nur ein Beispiel von mehreren möglichen Ergebnissen. Die spezifische Fehlermeldung kann je nach Software oder Szenario variieren, für die bzw. das ein unsicheres Kennwort festgelegt werden soll.

Betroffene Endbenutzer müssen sich unter Umständen bei ihrer IT-Abteilung über die neuen Anforderungen informieren, die für die Wahl sicherer Kennwörter gelten.

Hinweis

Der Microsoft Entra-Kennwortschutz hat keine Kontrolle über die speziellen Fehlermeldungen, die beim Ablehnen eines schwachen Kennworts vom Clientcomputer angezeigt werden.

Nächste Schritte

Informationen zur Anpassung der Liste mit gesperrten Kennwörtern für Ihre Organisation finden Sie unter Tutorial: Konfigurieren einer benutzerdefinierten Liste mit gesperrten Kennwörtern für den Microsoft Entra-Kennwortschutz.

Informationen zur Überwachung von lokalen Ereignissen finden Sie unter Überwachen des lokalen Microsoft Entra-Kennwortschutzes.