Microsoft Entra Password Protection นั้นยอดเยี่ยมเมื่อคุณต้องการปกป้ององค์กรจากรหัสผ่านผู้ใช้ที่ไม่รัดกุม นั่นเป็นเพราะว่า Microsoft วิเคราะห์ข้อมูลการวัดและส่งข้อมูลทางไกลด้านความปลอดภัยของ Microsoft Entra อย่างต่อเนื่อง โดยมองหารหัสผ่านที่ไม่รัดกุมหรือถูกบุกรุกที่ใช้กันทั่วไป และเก็บรักษารายการรหัสผ่านที่ถูกแบนทั่วโลก ในบทความนี้ คุณจะได้เรียนรู้วิธีกำหนดค่าและเปิดใช้งาน Microsoft Entra Password Protection สำหรับ Active Directory ภายในองค์กรเพื่อป้องกันการใช้รหัสผ่านที่ไม่รัดกุมในองค์กร
การแนะนำ
ใน Active Directory คุณสามารถเปิดใช้งาน GPO ที่สามารถช่วยให้คุณใช้รหัสผ่านที่รัดกุมในองค์กรได้ เช่น:
- ความยาวรหัสผ่านขั้นต่ำ
- อายุรหัสผ่านขั้นต่ำ
- อายุรหัสผ่านสูงสุด
- รหัสผ่านต้องเป็นไปตามข้อกำหนดด้านความซับซ้อน
- บังคับใช้ประวัติรหัสผ่าน
นั่นไม่ได้หมายความว่าคุณจะปกป้ององค์กรจากการถูกโจมตีได้ เพราะผู้ดูแลระบบและผู้ใช้สามารถสร้างรหัสผ่านที่ไม่รัดกุม หรือที่เรียกว่ารหัสผ่านที่รู้จัก ซึ่งคุณไม่ต้องการ!
มีรหัสผ่านที่รู้จักกันดีนับพันที่ผู้ใช้ใช้ทุกวัน รหัสผ่านบางส่วนที่รู้จักกันดีคือ:
- ยินดีต้อนรับ01!
- P@ssw0rd1234
- เฟอร์รารี่เรด!@
นั่นคือตอนที่ Microsoft Entra Password Protection เป็นฟีเจอร์ที่ยอดเยี่ยมในการปรับใช้ใน Microsoft Entra ID และ AD ภายในองค์กร เรามาเรียนรู้เพิ่มเติมอีกหน่อยเกี่ยวกับเรื่องนั้น
หลักเกณฑ์ด้านความปลอดภัยหลายข้อแนะนำว่าอย่าใช้รหัสผ่านเดียวกันในหลายที่ ทำให้ซับซ้อน และหลีกเลี่ยงรหัสผ่านง่ายๆ เช่น Password123 คุณสามารถให้คำแนะนำแก่ผู้ใช้เกี่ยวกับวิธีเลือกรหัสผ่านได้ แต่มักจะยังคงใช้รหัสผ่านที่ไม่รัดกุมหรือไม่ปลอดภัย
Microsoft Entra Password Protection ตรวจจับและบล็อกรหัสผ่านที่คาดเดายากและตัวแปรต่างๆ นอกจากนี้ยังสามารถบล็อกเงื่อนไขที่ไม่รัดกุมเพิ่มเติมที่เฉพาะเจาะจงสำหรับองค์กรของคุณได้
ใบอนุญาตการป้องกันรหัสผ่านของ Microsoft Entra
ดูตารางด้านล่างสำหรับสิทธิ์การใช้งาน Microsoft Entra Password Protection
| ผู้ใช้ | การป้องกันรหัสผ่าน Microsoft Entra พร้อมรายการรหัสผ่านที่ถูกแบนทั่วโลก | การป้องกันรหัสผ่าน Microsoft Entra พร้อมรายการรหัสผ่านที่ถูกแบนแบบกำหนดเอง |
|---|---|---|
| ผู้ใช้ระบบคลาวด์เท่านั้น | Microsoft Entra ID ฟรี | Microsoft Entra ID P1 หรือ P2 |
| ผู้ใช้ซิงโครไนซ์จาก AD DS ในสถานที่ | Microsoft Entra ID P1 หรือ P2 | Microsoft Entra ID P1 หรือ P2 |
คุณต้องมี Microsoft Entra ID P1 หรือ P2 สำหรับผู้ใช้ที่ซิงโครไนซ์จาก Active Directory Domain Services (AD DS) ภายในองค์กรจึงจะทำงานได้
ไดอะแกรมการป้องกันรหัสผ่าน Microsoft Entra
แผนภาพต่อไปนี้แสดงวิธีที่ส่วนประกอบพื้นฐานของ Microsoft Entra Password Protection ทำงานร่วมกันในสภาพแวดล้อม Active Directory ภายในองค์กร
- ผู้ใช้ร้องขอการเปลี่ยนแปลงรหัสผ่านไปยังตัวควบคุมโดเมน
- ที่dll ตัวกรองรหัสผ่าน DC Agentรับคำขอตรวจสอบรหัสผ่านจากระบบปฏิบัติการและส่งต่อไปยังบริการตัวแทน DC การป้องกันรหัสผ่านของ Microsoft Entraติดตั้งบน DC จากนั้นตัวแทนนี้จะตรวจสอบว่ารหัสผ่านสอดคล้องกับนโยบายรหัสผ่านที่จัดเก็บไว้ในเครื่องหรือไม่
- เจ้าหน้าที่ใน DC ทุก ๆ 1 ชั่วโมงจะระบุตำแหน่งผ่านทางเอสซีพี(จุดเชื่อมต่อบริการ) ในเขตป่าไม้บริการพร็อกซีการป้องกันรหัสผ่านของ Microsoft Entraเพื่อดาวน์โหลดสำเนานโยบายรหัสผ่านใหม่จาก Microsoft Entra ID
- Agent บน DC ได้รับเวอร์ชันนโยบายรหัสผ่านใหม่จาก Microsoft Entra ผ่านบริการพร็อกซีและจัดเก็บไว้ในซิสวอลการเปิดใช้งานนโยบายใหม่นี้เพื่อจำลองแบบไปยัง DC อื่น ๆ ทั้งหมดในโดเมนเดียวกัน

นโยบายการป้องกันรหัสผ่านของ Microsoft Entra ถูกจัดเก็บไว้ใน Sysvol

วิธีกำหนดค่าการป้องกันรหัสผ่าน Entra ของ Microsoft
เราจะทำตามขั้นตอนด้านล่างและตรวจสอบให้แน่ใจว่าทุกอย่างเรียบร้อยก่อนที่เราจะเปิดใช้งาน Microsoft Entra Password Protection สำหรับ Active Directory ภายในองค์กร
เปิดใช้งานการเขียนกลับรหัสผ่าน Microsoft Entra
อ่านเพิ่มเติมในบทความ: เปิดใช้งานการรีเซ็ตรหัสผ่านแบบบริการตนเอง
ตรวจสอบให้แน่ใจว่าคุณเห็นข้อความ Your on-premises writeback client is up and running และคุณลักษณะ เปิดใช้งานการเขียนกลับรหัสผ่านสำหรับผู้ใช้ที่ซิงค์ ถูกเปิดใช้งาน

ดาวน์โหลดซอฟต์แวร์ที่จำเป็นในการป้องกันรหัสผ่านของ Microsoft Entra
มีตัวติดตั้งที่จำเป็นสองตัวสำหรับการปรับใช้ Microsoft Entra Password Protection ภายในองค์กร:
- พร็อกซีการป้องกันรหัสผ่าน Entra ของ Microsoft (AzureADPasswordProtectionProxySetup.msi)
- ตัวแทน DC การป้องกันรหัสผ่าน Entra ของ Microsoft (AzureADPasswordProtectionDCAgentSetup.msi)
ดาวน์โหลดตัวติดตั้งทั้งสองจากไฟล์ศูนย์ดาวน์โหลดไมโครซอฟต์-

ตอนนี้เรามีทั้งตัวติดตั้งที่จำเป็นแล้ว เราก็ไปยังขั้นตอนต่อไปได้
ข้อกำหนดเบื้องต้นของบริการพร็อกซีการป้องกันรหัสผ่านของ Microsoft Entra
ข้อกำหนดต่อไปนี้ใช้กับบริการพร็อกซีการป้องกันรหัสผ่านของ Microsoft Entra:
- Windows Server 2012 R2 หรือใหม่กว่า
- ติดตั้ง .NET 4.7.2 แล้วหรือสูงกว่า
- อย่าติดตั้งบน RODC (ตัวควบคุมโดเมนแบบอ่านอย่างเดียว)
- อนุญาตการรับส่งข้อมูล HTTP TLS 1.2 ขาออก
- บัญชีผู้ดูแลระบบส่วนกลางจำเป็นต้องลงทะเบียนบริการพร็อกซีการป้องกันรหัสผ่านของ Microsoft Entra เป็นครั้งแรกในผู้เช่าที่กำหนด
- การเข้าถึงเครือข่ายไปยังปลายทาง: https://login.microsoftonline.com, https://enterpriseregistration.windows.net และ https://autoupdate.msappproxy.net
บริการพร็อกซีการป้องกันรหัสผ่านของ Microsoft Entraอัปเกรดโดยอัตโนมัติ- การอัปเกรดอัตโนมัติใช้บริการ Microsoft Entra Connect Agent Updater ซึ่งติดตั้งเคียงข้างกันกับบริการพร็อกซี
ติดตั้งและกำหนดค่าบริการพร็อกซีการป้องกันรหัสผ่านของ Microsoft Entra
ติดตั้งบริการพร็อกซีการป้องกันรหัสผ่านของ Microsoft Entra บนเซิร์ฟเวอร์สมาชิกในสภาพแวดล้อม AD DS ในสถานที่ของคุณ นอกจากนี้ คุณสามารถใช้เซิร์ฟเวอร์สมาชิกเฉพาะสำหรับบริการพร็อกซีได้ เมื่อติดตั้งแล้ว บริการพร็อกซีการป้องกันรหัสผ่านของ Microsoft Entra จะสื่อสารกับ Microsoft Entra ID เพื่อรักษาสำเนาของรายการรหัสผ่านส่วนกลางและที่ลูกค้าถูกแบนสำหรับผู้เช่า Microsoft Entra ของคุณ
บันทึก:อย่าติดตั้งบริการพร็อกซีบนตัวควบคุมโดเมน (DC) หรือตัวควบคุมโดเมนแบบอ่านอย่างเดียว (RODC)
เราขอแนะนำพร็อกซีเซิร์ฟเวอร์ Microsoft Entra Password Protection อย่างน้อยสองตัวต่อฟอเรสต์เพื่อความซ้ำซ้อน ในตัวอย่างของเรา เราจะติดตั้งบนเซิร์ฟเวอร์สมาชิก AP-01 (เซิร์ฟเวอร์แอปพลิเคชัน)
วาง AzureADPasswordProtectionProxySetup.msi ในซี: ติดตั้งโฟลเดอร์ จากนั้นวิ่งพรอมต์คำสั่งในฐานะผู้ดูแลระบบและเริ่มตัวติดตั้ง AzureADPasswordProtectionProxySetup.msi
C:InstallAzureADPasswordProtectionProxySetup.msiดำเนินการตามการตั้งค่าชุดพร็อกซีการป้องกันรหัสผ่านของ Microsoft Entra เมื่อเสร็จแล้วให้คลิกที่ปิด-

ตรวจสอบว่าพร็อกซีการป้องกันรหัสผ่านของ Microsoft Entra ปรากฏขึ้นโปรแกรมและคุณสมบัติ-

เรียกใช้ Windows PowerShell (64 บิต) ในฐานะผู้ดูแลระบบ นำเข้าโมดูล AzureADPasswordProtection
Import-Module AzureADPasswordProtectionตรวจสอบว่าบริการพร็อกซีการป้องกันรหัสผ่านของ Microsoft Entra กำลังทำงานอยู่
Get-Service AzureADPasswordProtectionProxy | flผลลัพธ์ที่ได้จะแสดงสถานะของการวิ่ง
Name : AzureADPasswordProtectionProxy
DisplayName : Azure AD Password Protection Proxy
Status : Running
DependentServices : {}
ServicesDependedOn : {SAMSS, KEYISO, RPCSS}
CanPauseAndContinue : False
CanShutdown : False
CanStop : True
ServiceType : Win32OwnProcessบริการพร็อกซีกำลังทำงานบนเครื่อง แต่ไม่มีข้อมูลรับรองในการสื่อสารกับ Microsoft Entra ID ลงทะเบียนพร็อกซีเซิร์ฟเวอร์ Microsoft Entra Password Protection ด้วย Microsoft Entra ID โดยใช้ข้อมูลรับรองผู้ดูแลระบบส่วนกลางของคุณ ทำเช่นนั้นกับพร็อกซีเซิร์ฟเวอร์ Microsoft Entra Password Protection ทุกตัว
บันทึก:อาจมีความล่าช้าอย่างเห็นได้ชัดหลังจากที่คุณเรียกใช้ cmdlet ด้านล่างเป็นครั้งแรก เว้นแต่มีการรายงานความล้มเหลว ไม่ต้องกังวลกับความล่าช้านี้
Register-AzureADPasswordProtectionProxy -AccountUpn ''ลงทะเบียนฟอเรสต์ Active Directory ในสถานที่ด้วยข้อมูลประจำตัวที่จำเป็นในการสื่อสารกับ Microsoft Entra ID โดยใช้ Register-AzureADPasswordProtectionForest PowerShell cmdlet
บันทึก:หากมีการติดตั้งพร็อกซีเซิร์ฟเวอร์ Microsoft Entra Password Protection หลายเครื่องในสภาพแวดล้อมของคุณ ไม่สำคัญว่าคุณจะใช้พร็อกซีเซิร์ฟเวอร์ใดในการลงทะเบียนฟอเรสต์ ขั้นตอนนี้รันหนึ่งครั้งต่อฟอเรสต์
cmdlet ต้องการข้อมูลประจำตัวของผู้ดูแลระบบส่วนกลางหรือผู้ดูแลระบบความปลอดภัยสำหรับผู้เช่า Microsoft Entra ของคุณ นอกจากนี้ยังต้องการสิทธิ์ผู้ดูแลระบบ Active Directory Enterprise ภายในองค์กรอีกด้วย คุณต้องเรียกใช้ cmdlet นี้โดยใช้บัญชีที่มีสิทธิ์ของผู้ดูแลระบบภายใน บัญชี Microsoft Entra ID ที่ใช้ในการลงทะเบียนฟอเรสต์อาจแตกต่างจากบัญชี Active Directory ภายในองค์กร
บันทึก:อาจมีความล่าช้าอย่างเห็นได้ชัดหลังจากที่คุณเรียกใช้ cmdlet ด้านล่างเป็นครั้งแรก เว้นแต่มีการรายงานความล้มเหลว ไม่ต้องกังวลกับความล่าช้านี้
Register-AzureADPasswordProtectionForest -AccountUpn ''ตรวจสอบว่าบริการพร็อกซีมีประสิทธิภาพดี
Test-AzureADPasswordProtectionProxyHealth -TestAllผลลัพธ์จะแสดงทั้งหมดเป็นผ่านไป-
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyTLSConfiguration Passed
VerifyProxyRegistration Passed
VerifyAzureConnectivity Passedโหมดการตรวจสอบการป้องกันรหัสผ่านของ Microsoft Entra
ตรวจสอบว่า Microsoft Entra Password Protection ถูกตั้งค่าในโหมดการตรวจสอบ ก่อนที่จะไปยังขั้นตอนถัดไปและติดตั้งบริการตัวแทน DC ของ Microsoft Entra Password Protection ตามค่าเริ่มต้น จะถูกตั้งค่าเป็นโหมดการตรวจสอบ
บันทึก:หากตั้งค่าการป้องกันรหัสผ่าน Microsoft Entra เป็นโหมดการตรวจสอบ ความพยายามจะถูกบันทึกเท่านั้น (บันทึกเหตุการณ์)
ลงชื่อเข้าใช้ที่ศูนย์การจัดการ Microsoft Entra- นำทางไปยังการป้องกัน > วิธีการรับรองความถูกต้อง > การป้องกันด้วยรหัสผ่าน- อีกวิธีหนึ่งคือการค้นหาการป้องกันรหัสผ่านที่ด้านบน
เราขอแนะนำให้เปิดใช้งานฟีเจอร์บังคับใช้รายการที่กำหนดเองและเพิ่มชื่อบริษัท ตรวจสอบให้แน่ใจว่าโหมดการตรวจสอบมีการใช้งานอยู่ คลิกบันทึก-

ข้อกำหนดเบื้องต้นของตัวแทน Microsoft Entra Password Protection DC
ข้อกำหนดต่อไปนี้ใช้กับตัวแทน Microsoft Entra Password Protection DC:
- Windows Server 2012 R2 หรือใหม่กว่า
- ติดตั้ง .NET 4.7.2 แล้วหรือสูงกว่า
- อย่าติดตั้งบน RODC (ตัวควบคุมโดเมนแบบอ่านอย่างเดียว)
- การจำลองระบบไฟล์แบบกระจาย (DFSR) สำหรับการจำลองแบบ sysvol หากโดเมนของคุณไม่ได้ใช้ DFSR อยู่แล้ว คุณต้องย้ายจาก RFS (File Replication System – รุ่นก่อนหน้าของ DFSR) ไปยัง DFSR ก่อนที่จะติดตั้ง Microsoft Entra Password Protection
เอเจนต์ DC การป้องกันรหัสผ่าน Entra ของ Microsoftไม่อัพเกรดโดยอัตโนมัติ- แต่การปรับรุ่นด้วยตนเองสามารถทำได้โดยการเรียกใช้โปรแกรมติดตั้งซอฟต์แวร์ AzureADPasswordProtectionDCAgentSetup-msi เวอร์ชันล่าสุด ซอฟต์แวร์เวอร์ชันล่าสุดมีอยู่ในศูนย์ดาวน์โหลดไมโครซอฟต์-
ติดตั้งบริการตัวแทน DC การป้องกันรหัสผ่านของ Microsoft Entra
ติดตั้งบริการตัวแทน DC ของ Microsoft Entra Password Protection บนตัวควบคุมโดเมนในสถานที่- ในตัวอย่างของเรา เรามีตัวควบคุมโดเมนเพียงตัวเดียวในองค์กร
วาง AzureADPasswordProtectionDCAgentSetup.msi ในซี: ติดตั้งโฟลเดอร์บนตัวควบคุมโดเมน จากนั้นวิ่งพรอมต์คำสั่งในฐานะผู้ดูแลระบบและเริ่มตัวติดตั้ง AzureADPasswordProtectionDCAgentSetup.msi
C:installAzureADPasswordProtectionDCAgentSetup.msiไปที่วิซาร์ดการติดตั้งแล้วคลิกเสร็จ-

คลิกที่ใช่เพื่อรีสตาร์ทตัวควบคุมโดเมน หากคุณมี DC เพียงหนึ่งตัวในสภาพแวดล้อม ให้กำหนดเวลาการรีสตาร์ท

ตรวจสอบว่า Microsoft Entra Password Protection DC Agent แสดงมาโปรแกรมและคุณสมบัติ-

เรียกใช้ Windows PowerShell (64 บิต) ในฐานะผู้ดูแลระบบ ตรวจสอบว่าตัวควบคุมโดเมนใดที่มีการติดตั้ง Microsoft Entra Password Protection DC Agent
Get-AzureADPasswordProtectionDCAgentข้อมูลทั้งหมดจะปรากฏในเอาต์พุต
ServerFQDN : DC01-2022.exoip.local
SoftwareVersion : 1.2.177.1
Domain : exoip.local
Forest : exoip.local
PasswordPolicyDateUTC : 4/16/2024 5:32:02 PM
HeartbeatUTC : 4/16/2024 5:30:59 PM
AzureTenant : exoip.comตรวจสอบว่าตัวแทน DC มีสุขภาพดี
Test-AzureADPasswordProtectionDCAgentHealth -TestAllผลลัพธ์จะแสดงทั้งหมดเป็นผ่านไป-
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyPasswordFilterDll Passed
VerifyForestRegistration Passed
VerifyEncryptionDecryption Passed
VerifyDomainIsUsingDFSR Passed
VerifyAzureConnectivity Passedตรวจสอบโหมดการตรวจสอบการป้องกันรหัสผ่านของ Microsoft Entra
เมื่อคุณเปิดใช้งานโหมดการตรวจสอบการป้องกันรหัสผ่านของ Microsoft Entra สำหรับ Active Directory ภายในองค์กร กิจกรรมจะลงทะเบียนเมื่อมีการรีเซ็ตหรือเปลี่ยนรหัสผ่าน ตัวอย่างเช่น จะแสดงหากรหัสผ่านใหม่ที่ผู้ดูแลระบบ ฝ่ายช่วยเหลือ หรือผู้ใช้ตั้งไว้ถูกปฏิเสธหรือยอมรับ
เพื่อดูการทำงานและตรวจสอบว่าใช้งานได้ มารีเซ็ตรหัสผ่านใน Active Directory สำหรับผู้ใช้ทดสอบ ขั้นแรก สร้างรหัสผ่านที่รัดกุม หลังจากนั้นให้รีเซ็ตรหัสผ่านอีกครั้ง แต่คราวนี้ใช้รหัสผ่านที่คาดเดายาก
แนะนำให้อ่าน:
บันทึกเหตุการณ์ตัวแทน DC ของ Microsoft Entra Password Protection
เริ่มโปรแกรมดูเหตุการณ์บนตัวควบคุมโดเมน นำทางไปยังบันทึกแอปพลิเคชันและบริการ > Microsoft > AzureADPasswordProtection > DCAgent > Admin-
นโยบายรหัสผ่าน Microsoft Entra ID ปฏิเสธรหัสผ่าน
เมื่อ Microsoft Entra ID ปฏิเสธรหัสผ่าน มันจะแสดงรหัสเหตุการณ์ 10025และรหัสเหตุการณ์ 30009-
เหตุการณ์ 10025 DCAgent
โดยปกติแล้วการรีเซ็ตรหัสผ่านสำหรับผู้ใช้ที่ระบุจะถูกปฏิเสธ เนื่องจากไม่สอดคล้องกับนโยบายรหัสผ่าน Azure ในปัจจุบัน นโยบายรหัสผ่าน Azure ปัจจุบันได้รับการกำหนดค่าสำหรับโหมดการตรวจสอบเท่านั้น ดังนั้นจึงยอมรับรหัสผ่าน โปรดดูข้อความบันทึกเหตุการณ์ที่เกี่ยวข้องสำหรับรายละเอียดเพิ่มเติม

เหตุการณ์ 30009 DCAgent
โดยปกติแล้วการรีเซ็ตรหัสผ่านสำหรับผู้ใช้ที่ระบุจะถูกปฏิเสธ เนื่องจากตรงกับโทเค็นอย่างน้อยหนึ่งรายการที่อยู่ในรายการรหัสผ่านที่ถูกแบนทั่วโลกของ Microsoft ของนโยบายรหัสผ่าน Azure ปัจจุบัน นโยบายรหัสผ่าน Azure ปัจจุบันได้รับการกำหนดค่าสำหรับโหมดการตรวจสอบเท่านั้น ดังนั้นจึงยอมรับรหัสผ่าน

นโยบายรหัสผ่านของ Microsoft Entra ยอมรับรหัสผ่าน
เมื่อ Microsoft Entra ID ตรวจสอบรหัสผ่านว่าเป็นไปตามข้อกำหนด ก็จะแสดงรหัสเหตุการณ์ 10015
เหตุการณ์ 10015 DCAgent
การรีเซ็ตรหัสผ่านสำหรับผู้ใช้ที่ระบุได้รับการตรวจสอบแล้วว่าสอดคล้องกับนโยบายรหัสผ่าน Azure ปัจจุบัน

รายงานสรุปการป้องกันรหัสผ่านของ Microsoft Entra
รับรายงานสรุปที่แสดงจำนวนชุดรหัสผ่านใหม่ที่ได้รับการตรวจสอบและจำนวนชุดที่ไม่ผ่าน
Get-AzureADPasswordProtectionSummaryReportผลลัพธ์จะปรากฏขึ้น
DomainController : DC01-2022.exoip.local
PasswordChangesValidated : 0
PasswordSetsValidated : 4
PasswordChangesRejected : 0
PasswordSetsRejected : 0
PasswordChangeAuditOnlyFailures : 0
PasswordSetAuditOnlyFailures : 3
PasswordChangeErrors : 0
PasswordSetErrors : 0ขั้นตอนถัดไปซึ่งเป็นขั้นตอนสุดท้ายคือการเปลี่ยนจากโหมดการตรวจสอบเป็นโหมดบังคับใช้
บังคับใช้การป้องกันรหัสผ่าน Entra ของ Microsoft
ลงชื่อเข้าใช้ที่ศูนย์การจัดการ Microsoft Entra- นำทางไปยังการป้องกัน > วิธีการรับรองความถูกต้อง > การป้องกันด้วยรหัสผ่าน- อีกวิธีหนึ่งคือการค้นหาการป้องกันรหัสผ่านที่ด้านบน
บันทึก:หากตั้งค่าเป็นบังคับใช้ ผู้ใช้จะถูกป้องกันไม่ให้ตั้งรหัสผ่านที่ถูกแบน และความพยายามจะถูกบันทึกไว้
เปิดใช้งานโหมดบังคับใช้- คลิกบันทึก-

รีสตาร์ท Microsoft Entra Password Protection DC Agent บนตัวควบคุมโดเมนทั้งหมด
สำคัญ:หากต้องการให้การเปลี่ยนแปลงมีผลทันที ให้รีสตาร์ทเอเจนต์ DC บนตัวควบคุมโดเมนทั้งหมด

ตรวจสอบโหมดบังคับใช้การป้องกันรหัสผ่านของ Microsoft Entra
ไปที่ผู้ใช้ Active Directory และคอมพิวเตอร์และเปลี่ยนรหัสผ่านผู้ใช้เป็นรหัสผ่านที่ไม่รัดกุมหรือถูกบุกรุก หลังจากที่คุณคลิกตกลงข้อความแสดงข้อผิดพลาดด้านล่างปรากฏขึ้น:
บริการโดเมน Active Directory
Windows ไม่สามารถเปลี่ยนรหัสผ่านสำหรับ Ruth Dickens ได้เนื่องจาก:
รหัสผ่านไม่เป็นไปตามข้อกำหนดนโยบายรหัสผ่าน ตรวจสอบความยาวรหัสผ่านขั้นต่ำ ความซับซ้อนของรหัสผ่าน และข้อกำหนดประวัติรหัสผ่าน

คุณตั้งค่า Microsoft Entra Password Protection สำหรับ Active Directory ภายในองค์กรสำเร็จแล้ว
บทสรุป
คุณได้เรียนรู้วิธีกำหนดค่า Microsoft Entra Password Protection สำหรับ Active Directory ภายในองค์กร ขั้นแรก ให้ทำตามขั้นตอนเพื่อกำหนดค่า Microsoft Entra Password Protection ในโหมดการตรวจสอบ จากนั้น หลังจากที่ทุกอย่างลงตัวและคุณพอใจแล้ว ให้เปลี่ยนจากโหมดการตรวจสอบเป็นบังคับใช้
Microsoft Entra Password Protection สำหรับภายในองค์กรใช้รายการรหัสผ่านที่ถูกแบนและกำหนดเองแบบสากลเดียวกันซึ่งจัดเก็บไว้ใน Microsoft Entra ID และตรวจสอบการเปลี่ยนแปลงรหัสผ่านในองค์กรแบบเดียวกันกับที่ Microsoft Entra ID ทำกับการเปลี่ยนแปลงบนระบบคลาวด์
หากคุณไม่มีผู้เช่า Microsoft Entra (ระบบคลาวด์) และมีเฉพาะสภาพแวดล้อมภายในองค์กร ให้ทำตามขั้นตอนในบทความวิธีการรักษาความปลอดภัยรหัสผ่าน Active Directory จากการละเมิด การกำหนดค่านี้จะใช้รายการรหัสผ่าน Have I Been Pwned เพื่อปกป้องระบบภายในองค์กรจากรหัสผ่านที่ไม่รัดกุม ถูกละเมิด และเป็นที่รู้จัก
คุณสนุกกับบทความนี้หรือไม่? คุณอาจต้องการอัปเกรด Microsoft Entra Connect อย่าลืมติดตามเราและแบ่งปันบทความนี้















