Technisch-organisatorische Maßnahmen sind wichtig für den Betrieb im Unternehmen einerseits zur Risikominimierung und andererseits um gesetzliche Vorgaben zu erfüllen. Im Rahmen dessen wurde nun die Azure AD Passwort Protection GA, also generell verfügbar und ist damit nicht mehr in Preview. Ihr könnt damit eure Umgebung nun besser vor schwachen Passwörtern oder auch vor password spray attacks schützen:
Funktionen
- Passen Sie Ihre intelligente Sperrschwelle (Anzahl der Ausfälle bis zur ersten Sperrung) und Dauer (Dauer der Sperrdauer) an.
- Geben Sie die verbotenen Passwort-Zeichenketten für Ihr Unternehmen in das dafür vorgesehene Textfeld ein (eine Zeichenkette pro Zeile) und schalten Sie die Durchsetzung Ihrer benutzerdefinierten Liste ein. Wir empfehlen dies dringend für alle Kunden, die mehrere Marken und Produkte haben, mit denen sich ihre Benutzer identifizieren.
- Erweitern Sie den Schutz vor verbotenen Passwörtern auf Ihr Active Directory, indem Sie den Passwortschutz für Windows Server Active Directory aktivieren.
- Beginnen Sie mit dem Auditmodus, der den Passwortschutz im “Was wäre wenn”-Modus ausführt. Sobald Sie für die Durchsetzung des Passwortschutzes bereit sind, schalten Sie den Modus auf Erzwungen um, um den Schutz der Benutzer zu starten, indem Sie die Verwendung schwacher Passwörter verhindern.
OnPremises Schutz
Natürlich könnt Ihr auch eure On-Premises Umgebung (lokale AD) mit in den Schutz aufnehmen. Hierfür benötigt ihr den aktuellen Client mit dem Namen “Azure AD Password Protection for Windows Server Active Directory ” (LINK) mindestens in der Version 1.2.116.0 oder höher.
Eine Installationsanleitung für eine stille Installation findet ihr hier LINK.
Lizensierung
Um diese Funktion zu nutzen benötigt ihr eine Azure AD Lizenz.
Alle synchronisierten Benutzer müssen für die Verwendung von Azure AD Password Protection for Windows Server Active Directory lizenziert sein.
Feedback
Ihr könnt auch für diese Funktion direktes Feedback an die Produktgruppe geben. Dazu schreibt bitte in englischer Sprache eine Email an: aadppfeedback@microsoft.com.
Dokumentation
https://docs.microsoft.com/azure/active-directory/authentication/concept-password-ban-bad