通过

教程:为Microsoft Entra密码保护配置自定义禁止密码

用户经常创建包含本地常见字词(例如学校、运动团队或名人)的密码。 这些密码很容易猜出,对基于字典的攻击的抵御能力很弱。 若要在组织中强制实施强密码,Microsoft Entra自定义禁止密码列表允许添加特定字符串来评估和阻止。 如果与自定义受禁密码列表中的某个密码匹配,则密码更改请求将会失败。

本教程介绍如何执行下列操作:

  • 启用自定义受禁密码
  • 在自定义受禁密码列表中添加条目
  • 使用受禁密码测试密码更改

先决条件

需有以下资源和特权才能完成本教程:

什么是受禁密码列表?

Microsoft Entra ID包含全局禁止密码列表。 全局受禁密码列表的内容不基于任何外部数据源。 相反,全局禁止密码列表基于Microsoft Entra安全遥测和分析的持续结果。 当用户或管理员尝试更改或重置其凭据时,会根据受禁密码列表检查所需的密码。 如果与全局受禁密码列表中的某个密码匹配,则密码更改请求将会失败。 无法编辑此默认的全局禁止密码列表。

为了灵活控制允许的密码,还可以自定义受禁密码列表。 自定义受禁密码列表与全局受禁密码列表一同应用,可在组织中实施强密码。 可将组织特定的字词添加到自定义受禁密码列表,如以下示例所示:

  • 品牌名称
  • 产品名称
  • 地点,例如公司总部
  • 公司特定的内部字词
  • 具有特定公司含义的缩写
  • 用您的公司当地语言显示的月份和工作日

当用户尝试将某个密码重置为全局或自定义受禁密码列表中的密码时,会看到以下错误消息之一:

  • 很遗憾,你的密码包含单词、短语或模式,这些使你的密码容易被猜出。 请使用其他密码重试。
  • 很遗憾,不能使用该密码,因为它包含管理员已禁止的字词或字符。 请使用其他密码重试。

自定义受禁密码列表限制为最多 1000 个字词。 它并非用于阻止包含大量密码的列表。 若要最大程度地发挥自定义受禁密码列表的优势,请查看自定义受禁密码列表的概念密码评估算法概述

配置自定义受禁密码

让我们启用自定义受禁密码列表并添加一些条目。 随时可以将更多条目添加到自定义受禁密码列表。

若要启用自定义受禁密码列表并在其中添加条目,请完成以下步骤:

  1. 以至少 身份验证策略管理员 身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>身份验证方法,然后密码保护

  3. 将“强制实施自定义列表”选项设置为“是”。

  4. 将字符串添加到“自定义受禁密码列表”,每行添加一个字符串。 以下注意事项和限制适用于自定义受禁密码列表:

    • 自定义受禁密码列表最多可以包含 1000 个字词。
    • 自定义禁止密码列表不区分大小写。
    • 自定义被禁密码列表会考虑常见的字符替换,例如“o”和“0”,或“a”和“@”。
    • 最小字符串长度为 4 个字符,最大字符串长度为 16 个字符。

    按以下示例所示指定自己的自定义受禁密码

    在“身份验证方法”下修改自定义受禁密码列表

  5. 启用密码保护的选项保留为 Windows Server Active DirectoryNo

  6. 若要启用自定义受禁密码和条目,请选择“保存”。

自定义禁止密码列表更新可能需要几个小时才能应用。

对于混合环境,您还可以将 Microsoft Entra 密码保护部署到本地环境。 相同的全局和自定义受禁密码列表将同时用于云和本地密码更改请求。

测试自定义受禁密码列表

若要查看自定义禁止密码列表的运作方式,请尝试将密码更改为在上一节中添加的某个密码的变体。 Microsoft Entra ID尝试处理密码更改时,密码将匹配自定义禁止密码列表中的条目。 然后向用户显示错误。

注意

在用户可以在基于网络的门户中重置其密码之前,Microsoft Entra 租户必须配置为自助式密码重置。 如果需要,用户可以在 https://mysignins.windowsazure.cn/security-info 注册 SSPR

  1. 转到 https://myapplications.windowsazure.cn 页面。

  2. 在右上角选择自己的姓名,然后从下拉菜单中选择“个人资料”。

    选择个人资料

  3. 在“个人资料”页上,选择“更改密码”。

  4. 在“更改密码”页上,输入现有的(旧)密码。 输入并确认包含在上一部分定义的自定义受禁密码列表中的新密码,然后选择“提交”。

  5. 此时将返回一条错误消息,指出管理员已禁止该密码,如以下示例所示:

    尝试使用包含在自定义受禁密码列表中的密码时显示的错误消息

清理资源

如果你不再想要使用本教程中配置的自定义受禁密码列表,请完成以下步骤:

  1. 以至少 身份验证策略管理员 身份登录到 Microsoft Entra 管理中心
  2. 浏览到 Entra ID>身份验证方法,然后密码保护
  3. 将“强制实施自定义列表”选项设置为“否”。
  4. 若要更新自定义受禁密码配置,请选择“保存”。

后续步骤

在本教程中,为Microsoft Entra ID启用和配置了自定义密码保护列表。 你已了解如何执行以下操作:

  • 启用自定义受禁密码
  • 在自定义受禁密码列表中添加条目
  • 使用受禁密码测试密码更改

启用基于风险的Microsoft Entra多重身份验证

  • Last updated on