Включение локальной службы защиты паролем Microsoft Entra

Многие пользователи создают пароли с характерными распространенными словами, например названием школы, спортивной команды или именем известного человека. Такие пароли легко угадать и они плохо защищены от атак на основе словарей. Для принудительного применения надежных паролей в организации Microsoft Entra Password Protection предоставляет глобальный и настраиваемый список запрещенных паролей. Запрос на изменение пароля завершается ошибкой, если новый пароль совпадает с каким-либо паролем из списка запрещенных паролей.

Чтобы защитить среду доменных служб локальная служба Active Directory (AD DS), можно установить и настроить защиту паролей Microsoft Entra для работы с локальным контроллером домена. В этой статье показано, как включить защиту паролей Microsoft Entra для локальной среды.

Дополнительные сведения о том, как microsoft Entra Password Protection работает в локальной среде, см. в статье "Как применить защиту паролей Microsoft Entra для Windows Server Active Directory".

Подготовка к работе

В этой статье показано, как включить защиту паролей Microsoft Entra для локальной среды. Прежде чем завершить эту статью, установите и зарегистрируйте прокси-службу защиты паролей Microsoft Entra и агенты контроллера домена в локальной среде AD DS.

Включение локальной службы защиты паролей

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator проверки подлинности.

  2. Перейдите к методам>проверки подлинности защиты> паролей.

  3. Для параметра Включить защиту паролем в Windows Server Active Directory установите значение Да.

    Если для этого параметра задано значение "Нет", все развернутые агенты контроллера домена защиты паролей Microsoft записываются в режим очереди, где все пароли принимаются как есть. Действия проверки не выполняются, и события аудита не создаются.

  4. Рекомендуется изначально установить Режим на Аудит. После того, как вы достаточно ознакомитесь с этой функцией и ее влиянием на пользователей в организации, можно переключить Режим на Принудительно. Дополнительные сведения см. ниже в разделе о режимах работы.

  5. Когда все будет готово, щелкните Сохранить.

    Enable on-premises password protection under Authentication Methods in the Microsoft Entra admin center

Режимы работы

При включении локальной защиты паролей Microsoft Entra можно использовать режим аудита или режим принудительного применения . Для первоначального развертывания и тестирования рекомендуется всегда включать режим аудита. Затем следует отслеживать записи в журнале событий, чтобы предугадать, нарушит ли включение режима Принудительно какие-либо существующие рабочие процессы.

Режим аудита

Режим Аудит предназначен для запуска программного обеспечения в режиме "что если". Каждая служба агента контроллера домена защиты паролей Майкрософт оценивает входящий пароль в соответствии с активной политикой в настоящее время.

Если в текущей политике настроен режим аудита, "неверные" пароли приводят к записи сообщений в журнал событий, но обрабатываются и изменяются. Такое поведение представляет собой единственное отличие между режимами аудита и принудительного применения. Все остальные операции выполняются одинаково.

Режим принудительного применения

Режим Принудительно предназначен для окончательной конфигурации. Как и в режиме аудита, каждая служба агента dc защиты паролей Microsoft Entra Password Protection оценивает входящие пароли в соответствии с активной политикой в настоящее время. Если включен режим принудительного применения, пароль, который считается небезопасным в соответствии с политикой, отклоняется.

Если пароль отклоняется в принудительном режиме агентом контроллера домена защиты паролем Microsoft Entra Password Protection, конечный пользователь видит аналогичную ошибку, например, если пароль был отклонен традиционным применением локальной сложности паролей. Например, пользователь может увидеть следующее традиционное сообщение об ошибке на экране входа или смены пароля Windows:

"Не удалось изменить пароль. Новый пароль не соответствует требованиям к длине, сложности или истории, установленным для домена"

Это сообщение является лишь одним из примеров нескольких возможных результатов. Сообщение об ошибке зависит от программного обеспечения или сценария, в котором предпринимается попытка установить небезопасный пароль.

Пользователям, получившим подобное сообщение, может потребоваться обратиться к персоналу отдела ИТ, чтобы ознакомиться с новыми требованиями и выбрать безопасные пароли.

Примечание.

Защита паролей Microsoft Entra не контролирует определенное сообщение об ошибке, отображаемое клиентским компьютером при отклонении слабого пароля.

Следующие шаги

Сведения о настройке списка запрещенных паролей для вашей организации см. в разделе "Настройка списка запрещенных паролей Microsoft Entra Password Protection".

Сведения о мониторинге локальных событий см. в статье "Мониторинг локальной защиты паролей Microsoft Entra".