Esercitazione: Configurare password personalizzate escluse per password di protezione di Microsoft Entra
Gli utenti creano spesso password che usano parole locali comuni, ad esempio il nome di una scuola, una squadra sportiva o un personaggio famoso. Queste password sono facili da indovinare e vulnerabili ad attacchi basati su dizionario. Per applicare password complesse nell'organizzazione, l'elenco di password personalizzate di Microsoft Entra personalizzato consente di aggiungere stringhe specifiche per valutare e bloccare. In questo modo una richiesta di modifica della password non verrà eseguita, se la password è presente nell'elenco di password personalizzate escluse.
In questa esercitazione si apprenderà come:
- Abilitare password personalizzate escluse
- Configurare l'elenco personalizzato password escluse
- Testare le modifiche della password con una password vietata
Prerequisiti
Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:
- Tenant microsoft Entra funzionante con almeno una licenza microsoft Entra ID P1 o versione di valutazione abilitata.
- Se necessario, crearne uno gratuitamente.
- Un account con almeno il ruolo Di amministratore criteri di autenticazione.
- Un utente non amministratore con una password conosciuta, ad esempio testuser. Questo account verrà usato per testare un evento di modifica della password in questa esercitazione.
- Se è necessario creare un utente, vedere Avvio rapido: Aggiungere nuovi utenti all'ID Microsoft Entra.
- Per testare l'operazione di modifica della password usando una password vietata, il tenant di Microsoft Entra deve essere configurato per la reimpostazione della password self-service.
Che cosa sono gli elenchi di password escluse?
Microsoft Entra ID include un elenco globale di password escluse. Il contenuto dell'elenco globale di password escluse non si basa su un'origine dati esterna, L'elenco globale delle password escluse si basa invece sui risultati in corso della telemetria e dell'analisi della sicurezza di Microsoft Entra. Quando un utente o un amministratore prova a modificare o reimpostare le proprie credenziali, la password specificata viene confrontata con l'elenco di password escluse. La richiesta di modifica della password non verrà eseguita se la password è presente nell'elenco globale di password escluse. Non è possibile modificare questo elenco globale di password escluse.
Per una maggiore flessibilità sui termini consentiti nelle password, è anche possibile definire un elenco di password personalizzate escluse. L'uso congiunto dell'elenco di password personalizzate escluse e dell'elenco globale di password escluse consente di applicare password complesse nell'organizzazione. I termini specifici dell'organizzazione possono essere aggiunti all'elenco di password personalizzate escluse, come negli esempi seguenti:
- Nomi di marchio
- Nomi di prodotto
- Località, ad esempio la sede centrale aziendale
- Termini interni specifici della società
- Abbreviazioni con un significato specifico per la società
- Mesi e giorni feriali con le lingue locali dell'azienda
Quando un utente prova a reimpostare una password specificando un termine incluso nell'elenco globale o personalizzato delle password escluse, viene visualizzato uno dei messaggi di errore seguenti:
- La password contiene una parola, una frase o uno schema che la rende facile da indovinare. Riprovare con una password diversa.
- Non è possibile usare la password perché contiene parole o caratteri bloccati dall'amministratore. Riprovare con una password diversa.
L'elenco di password personalizzate escluse è limitato a un massimo di 1000 termini. Non è quindi pensato per bloccare elenchi contenenti un numero elevato di password. Per sfruttare al massimo i vantaggi dell'elenco di password personalizzate escluse, vedere i concetti relativi all'elenco di password personalizzate escluse e la panoramica degli algoritmi di valutazione delle password.
Configurare le password personalizzate escluse
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Verrà abilitato l'elenco di password personalizzate escluse e verranno aggiunte alcune voci. È possibile aggiungere altre voci all'elenco di password personalizzate escluse in qualsiasi momento.
Per abilitare l'elenco di password personalizzate escluse e aggiungervi voci, seguire questa procedura:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dei criteri di autenticazione.
Passare a Metodi di autenticazione di protezione>, quindi Protezione password.
Impostare l'opzione Imponi elenco personalizzato su Sì.
Aggiungere stringhe all'Elenco password personalizzate escluse, una stringa per riga. Per l'elenco di password personalizzate escluse valgono le considerazioni e le limitazioni seguenti:
- L'elenco di password personalizzate escluse può contenere fino a 1000 termini.
- L'elenco personalizzato di password escluse fa distinzione tra maiuscole e minuscole.
- L'elenco di password personalizzate escluse tiene conto della sostituzione dei caratteri comuni, ad esempio "o" e "0" oppure "a" e "\@".
- La lunghezza minima delle stringhe è quattro caratteri, la massima è 16 caratteri.
Specificare le password personalizzate da escludere, come illustrato nell'esempio seguente.
Lasciare l'opzione Abilita la password di protezione in Windows Server Active Directory impostata su No.
Per abilitare le password personalizzate escluse e le voci, selezionare Salva.
Potrebbero essere necessarie diverse ore prima che l'aggiornamento dell'elenco personalizzato di password escluse venga applicato.
Per un ambiente ibrido, è anche possibile distribuire la protezione password di Microsoft Entra in un ambiente locale. Per le richieste di modifica delle password locali e cloud vengono usati Gli stessi elenchi globali e personalizzati di password escluse.
Testare l'elenco di password personalizzate escluse
Per vedere come funziona l'elenco di password personalizzate escluse, provare a cambiare la password specificando una variante di una aggiunta nella sezione precedente. Quando Microsoft Entra ID tenta di elaborare la modifica della password, la password viene confrontata con una voce nell'elenco personalizzato delle password escluse. Viene quindi visualizzato un errore.
Nota
Prima che un utente possa reimpostare la password nel portale basato sul Web, il tenant di Microsoft Entra deve essere configurato per la reimpostazione della password self-service. Se necessario, l'utente può quindi eseguire la registrazione per SSPR all'indirizzo https://aka.ms/ssprsetup.
Passare alla pagina App personali all'indirizzo https://myapps.microsoft.com.
Nell'angolo in alto a destra selezionare il proprio nome, quindi scegliere Profilo dal menu a discesa.
Nella pagina Profilo selezionare Cambia password.
Nella pagina Cambia password immettere la password esistente (precedente). Immettere e confermare una nuova password inclusa nell'elenco di password personalizzate escluse definito nella sezione precedente e quindi selezionare Invia.
Viene restituito un messaggio di errore che indica che la password è stata bloccata dall'amministratore, come illustrato nell'esempio seguente:
Pulire le risorse
Se non si vuole più usare l'elenco di password personalizzate escluse configurato durante questa esercitazione, seguire questa procedura:
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dei criteri di autenticazione.
- Passare a Metodi di autenticazione di protezione>, quindi Protezione password.
- Impostare l'opzione Imponi elenco personalizzato su No.
- Per aggiornare la configurazione delle password personalizzate escluse, selezionare Salva.
Passaggi successivi
In questa esercitazione sono stati abilitati e configurati elenchi di protezione password personalizzati per Microsoft Entra ID. Contenuto del modulo:
- Abilitare password personalizzate escluse
- Configurare l'elenco personalizzato password escluse
- Testare le modifiche della password con una password vietata