チュートリアル: Microsoft Entra ID のパスワードを保護するためのカスタムの禁止パスワードを構成する

ユーザーは多くの場合、学校、スポーツ チーム、有名人などのありふれたローカル単語を使用してパスワードを作成します。 これらのパスワードは簡単に推測できるため、辞書ベースの攻撃に対しては脆弱です。 組織で強力なパスワードを適用するために、Microsoft Entra カスタム禁止パスワード リストを使用すると、評価およびブロックする特定の文字列を追加できます。 カスタムの禁止パスワードの一覧に一致するものがある場合、パスワードの変更要求はエラーとなります。

このチュートリアルで学習する内容は次のとおりです。

前提条件

このチュートリアルを完了するには、以下のリソースと特権が必要です。

• Microsoft Entra ID P1 以上か試用版のライセンスが有効になっている稼働中の Microsoft Entra テナント。
  • 必要に応じて、 無料で作成します。
• 少なくとも 認証ポリシー管理者 ロールを持つアカウント。
• あなたが知っているパスワードを持つ管理者以外のユーザー、例えばtestuser。 このチュートリアルでは、このアカウントを使用してパスワード変更イベントをテストします。
  • ユーザーを作成する必要がある場合は、「 クイック スタート: Microsoft Entra ID に新しいユーザーを追加する」を参照してください。
  • 禁止パスワードを使用してパスワード変更操作をテストするには、Microsoft Entra テナントが セルフサービス パスワード リセット用に構成されている必要があります。

禁止パスワードの一覧とは

Microsoft Entra ID には、グローバル禁止パスワード リストが含まれています。 グローバル禁止パスワードの一覧の内容は、どの外部データ ソースにも基づいていません。 代わりに、グローバル禁止パスワードの一覧は、Microsoft Entra のセキュリティ テレメトリと分析の継続的な結果に基づいています。 ユーザーまたは管理者が自分の資格情報を変更またはリセットしようとすると、希望するパスワードが禁止パスワードの一覧に照らしてチェックされます。 グローバル禁止パスワードの一覧に一致するものがある場合、パスワードの変更要求はエラーとなります。 この既定のグローバル禁止パスワード リストを編集することはできません。

許可されるパスワードの柔軟性を高めるために、カスタムの禁止パスワードの一覧を定義することもできます。 カスタムの禁止パスワードの一覧とグローバル禁止パスワードの一覧を組み合わせて使用することで、自分の組織内に強力なパスワードを適用できます。 カスタムの禁止パスワードの一覧には、次の例のような組織固有の用語を追加できます。

• ブランド名
• 製品名
• 場所 (本社など)
• 会社固有の内部用語
• 会社固有の意味を持つ略語
• 会社のローカル言語を使用した月と平日

ユーザーが、パスワードをグローバルまたはカスタムの禁止パスワードの一覧に記載されているものにリセットしようとすると、次のエラー メッセージのいずれかが表示されます。

• 残念ながら、パスワードを簡単に推測できる単語、語句、またはパターンが含まれています。 別のパスワードで再実行してください。
• 残念ながら、管理者によってブロックされている単語または文字が含まれているためにそのパスワードを使用できません。 別のパスワードで再実行してください。

カスタムの禁止パスワードの一覧は、最大 1,000 個の用語に制限されています。 多数のパスワードをブロックできるようには設計されていません。 カスタム禁止パスワード リストの利点を最大限に活用するには、 カスタム禁止パスワード リストの概念 と パスワード評価アルゴリズムの概要を確認します。

カスタムの禁止パスワードを構成する

カスタムの禁止パスワードの一覧を有効にし、いくつかのエントリを追加してみましょう。 カスタムの禁止パスワードの一覧には、いつでも新しいエントリを追加できます。

カスタムの禁止パスワードの一覧を有効にし、エントリを追加するには、次の手順を実行します。

1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>Authentication メソッド、パスワード保護の順に参照します。

3. [ カスタム リストの適用] オプションを [はい] に設定します。

4. カスタム禁止パスワード リストに、1 行に 1 つの文字列を追加します。 カスタムの禁止パスワードの一覧には、次の考慮事項と制限事項が適用されます。

   • カスタムの禁止パスワードの一覧には、最大 1,000 個の用語を含めることができます。
   • カスタム禁止パスワード リストでは、大文字と小文字は区別されません。
   • カスタムの禁止パスワードの一覧では、一般的な文字の置き換え ("o" と "0" や "a" と "@" など) が考慮されています。
   • 最小文字数は 4 文字で、最大文字数は 16 文字です。

   次の例に示すように、禁止する独自のカスタム パスワードを指定します

   

5. [Windows Server Active Directory でのパスワード保護を有効にする] のオプションは [いいえ] のままにします。

6. カスタム禁止パスワードとエントリを有効にするには、[ 保存] を選択します。

カスタム禁止パスワード リストの更新が適用されるまでに数時間かかることがあります。

ハイブリッド環境の場合は、 Microsoft Entra パスワード保護をオンプレミス環境に展開することもできます。 クラウドとオンプレミスの両方のパスワード変更要求に対して、同一のグローバルおよびカスタム禁止パスワードの一覧が使用されます。

カスタムの禁止パスワードの一覧をテストする

カスタムの禁止パスワードの一覧が機能していることを確認するには、パスワードを、前のセクションで追加したパスワードとわずかに異なるものに変更してみます。 Microsoft Entra ID でパスワードの変更が処理される際に、そのパスワードがカスタムの禁止パスワードの一覧にあるエントリと照合されます。 すると、エラーがユーザーに表示されます。

1. の https://myapps.microsoft.com ページに移動します。

2. 右上隅で自分の名前を選択し、ドロップダウン メニューから [ プロファイル ] を選択します。

   

3. [ プロファイル ] ページで、[ パスワードの変更] を選択します。

4. [ パスワードの変更 ] ページで、既存の (古い) パスワードを入力します。 前のセクションで定義したカスタム禁止パスワードリストにある新しいパスワードを入力して確認し、[ 送信] を選択します。

5. 次の例に示すように、管理者によってパスワードがブロックされたことを示すエラー メッセージが返されます。

   

リソースをクリーンアップする

このチュートリアルの一環として構成したカスタムの禁止パスワードの一覧をもう使用しない場合は、次の手順を実行します。

1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
2. Entra ID>Authentication メソッド、パスワード保護の順に参照します。
3. [ カスタム リストを適用する] のオプションを [いいえ] に設定します。
4. カスタム禁止パスワード構成を更新するには、[ 保存] を選択します。

次のステップ

このチュートリアルでは、Microsoft Entra ID のカスタムのパスワード保護一覧を有効にし、構成しました。 以下の方法を学習しました。