So richten Sie Kennwortrichtlinien in Microsoft Enterprise ID ein

Wenn Sie mit den Kennwortrichtlinien von Azure Active Directory experimentieren, kann es schnell unübersichtlich werden. Besonders, wenn Sie Ablaufdatum, Sperreinstellungen anpassen oder schwache Kennwörter verhindern möchten. Es ist überraschend, wie viel Sie beeinflussen können – wenn Sie wissen, wo Sie suchen müssen. Manchmal sind die Standardrichtlinien zu streng oder entsprechen einfach nicht den Bedürfnissen Ihrer Organisation. Durch deren Anpassung können Sie die Sicherheit erhöhen oder einfach den Aufwand für die Benutzer reduzieren.

So beheben oder ändern Sie Kennwortrichtlinien in Azure AD

So ändern Sie die Kennwortablaufrichtlinie in Azure AD

Azure AD erzwingt standardmäßig kein Ablaufdatum für Passwörter – was für manche in Ordnung ist, für andere aber zu Chaos führt. Wenn Passwörter nach einer bestimmten Zeit (z. B.90 Tagen) ablaufen sollen, müssen Sie die Einstellungen im Microsoft 365 Admin Center vornehmen. Dies ist hilfreich, da es regelmäßige Passwortaktualisierungen erzwingt und somit das Risiko verringert, dass gestohlene Anmeldeinformationen dauerhaft gültig bleiben.

Navigieren Sie im Microsoft 365 Admin Center zu EinstellungenSicherheit & DatenschutzKennwortablaufrichtlinie. Hier können Sie die Option „Kennwort soll nie ablaufen“ deaktivieren. In diesem Fall läuft das Kennwort nach dem von Ihnen gewählten Zeitraum (z. B.90 Tage) ab. Benutzer erhalten außerdem 14 Tage vor Ablauf eine Benachrichtigung – das ist hilfreich, damit sie nicht überrascht werden.

Bei manchen Konfigurationen funktioniert dieser Schritt nicht sofort – manchmal hilft ein kurzes Aktualisieren des Browsers oder ein Ab- und erneutes Anmelden. Denn natürlich muss Azure AD es unnötig kompliziert machen.

Für eine detailliertere Steuerung können Sie Kennwortrichtlinien auch über PowerShell verwalten. Installieren Sie dazu zunächst das MSOnline-Modul und stellen Sie die Verbindung her.

Install-Module MSOnlineConnect-MsolService

Überprüfen Sie die aktuellen Passwortablaufeinstellungen für Ihre Domain:

Get-MsolPasswordPolicy -DomainName yourdomain.com

Hier werden Informationen wie Benachrichtigungstage und Gültigkeitszeitraum angezeigt. Möchten Sie das ändern? Führen Sie Folgendes aus:

Set-MsolPasswordPolicy -DomainName yourdomain.com -ValidityPeriod 180 -NotificationDays 21

Dadurch werden Passwörter so eingestellt, dass sie alle 180 Tage ablaufen, wobei Benachrichtigungen 21 Tage vor Ablauf versendet werden. Ich weiß nicht genau warum, aber bei einer Konfiguration funktionierte es einwandfrei, bei einer anderen brauchte es ein paar Versuche, bis es klappte. Seltsam, aber so ist Azure eben manchmal.

Für individuelle Benutzereinstellungen benötigen Sie das Azure AD-Modul. Führen Sie Folgendes aus:

Connect-AzureAD

Und dann die Passwortablaufzeit für einen Benutzer deaktivieren:

Set-AzureADUser -ObjectId "[email protected]" -PasswordPolicies DisablePasswordExpiration

Um zu überprüfen, ob das Passwort eines bestimmten Benutzers so eingestellt ist, dass es nie abläuft, verwenden Sie:

Get-AzureADUser -ObjectId "[email protected]" | Select-Object @{N="PasswordNeverExpires";E={$_. PasswordPolicies -contains "DisablePasswordExpiration"}}

Das Ergebnis ist entweder „Wahr“ oder „Falsch“ – hilfreich bei Prüfungen.

So verwalten Sie die Kontosperrungseinstellungen in Azure AD

Haben Sie schon einmal erlebt, dass ein Konto nach zu vielen fehlgeschlagenen Anmeldeversuchen gesperrt wurde? Azure AD sperrt ein Konto standardmäßig nach zehn Fehlversuchen für eine Minute. Nicht gerade benutzerfreundlich, aber ein guter Ausgangspunkt. Um diese Einstellung anzupassen, gehen Sie zu Azure Active DirectorySicherheitAuthentifizierungsmethodenKennwortschutz. Hier können Sie die Schwellenwerte für die Kontosperrung festlegen und deren Dauer anpassen.

  • Sperrschwelle – wie viele fehlgeschlagene Versuche vor der Sperrung erfolgen (Standardwert ist 10);
  • Sperrdauer in Sekunden – wie lange die Sperre anhält; Standardwert: 60 Sekunden.

Wenn ein Konto gesperrt wird, sehen Nutzer eine Meldung wie: „ Ihr Konto wurde vorübergehend gesperrt, um unbefugte Nutzung zu verhindern…“. Die Sperrregeln scheinen zwar klar zu sein, aber manchmal wird der Sperrzähler scheinbar grundlos zurückgesetzt. Ich verstehe nicht, warum das manchmal so inkonsistent ist – typisch Aurora, oder?

Zusätzlich können Sie die Anmeldeprotokolle einsehen, um zu sehen, wer diese Sperren auslöst und wann. Sie finden diese Funktion im Portal unter „Azure AD-Anmeldungen“. Das ist äußerst praktisch, um Störenfriede aufzuspüren oder einfach zu überprüfen, ob alle Anmeldeversuche normal verlaufen.

Wie man schwache oder häufig verwendete Passwörter in Azure AD blockiert

Das hier ist interessant. Azure AD bietet eine Funktion namens Kennwortschutz, die häufig verwendete oder schwache Passwörter wie „Password123“ oder „admin“ blockiert. Sie können diese Funktion aktivieren und bei Bedarf sogar eine eigene Sperrliste hinzufügen. Das ist sinnvoll, da es verhindert, dass Benutzer Passwörter wählen, die jeder kennt – wie die Klassiker „P@ssw0rd“ oder „welcome123“.

Gehen Sie zu Azure AD > Sicherheit > Authentifizierungsmethoden > Kennwortschutz. Aktivieren Sie „Benutzerdefinierte Liste erzwingen“, wenn Sie eigene gesperrte Kennwörter hinzufügen möchten. Sie können bis zu 1000 Einträge eingeben, was für die meisten Benutzer ausreichen sollte. Wenn jemand versucht, sein Kennwort in ein schwaches oder gesperrtes Kennwort zu ändern, erhält er die Meldung: „Dieses Kennwort kann leider nicht verwendet werden, da es gesperrte Wörter oder Zeichen enthält…“. Das ist hilfreich, da schwache Kennwörter so gar nicht erst ins System gelangen.

Wenn Sie eine lokale Umgebung nutzen und diese Richtlinie auch dort anwenden möchten, benötigen Sie Azure AD Premium P1 oder P2 und müssen anschließend den Kennwortschutz-Proxydienst bereitstellen. Die Einrichtung ist etwas aufwendig, lohnt sich aber, wenn Kennwortsicherheit wichtig ist. Die Tools ( GitHub-Repository: Winhance ) können Ihnen dabei helfen, insbesondere wenn Sie Kennwörter zunächst lokal überprüfen möchten.

Für synchronisierte Hybridumgebungen müssen Sie Folgendes EnforceCloudPasswordPolicyForPasswordSyncedUsersin PowerShell aktivieren:

Set-MsolDirSyncFeature -Feature EnforceCloudPasswordPolicyForPasswordSyncedUsers -Enable $true

Dadurch wird sichergestellt, dass sich auch synchronisierte Benutzer an die Liste der verbotenen Passwörter halten – denn natürlich sollte auch Ihre lokale Richtlinie solide sein.

Zusammenfassung

Die Verwaltung von Kennwortrichtlinien in Azure AD ist nicht ganz einfach, aber mit etwas Recherche im Admin-Portal und PowerShell durchaus machbar. Ob Sie ein Ablaufdatum für Kennwörter erzwingen, Konten effizienter sperren oder schwache Kennwörter komplett blockieren möchten – die entsprechenden Optionen stehen Ihnen zur Verfügung. Beachten Sie jedoch, dass sich Einstellungen manchmal nicht sofort ändern. Warten Sie daher ein paar Minuten – oder melden Sie sich ab und wieder an – und prüfen Sie, ob die Änderungen übernommen wurden. Viel Erfolg! Hoffentlich erspart Ihnen diese Anleitung einige Probleme.

Zusammenfassung

  • Legen Sie das Ablaufdatum von Kennwörtern im Microsoft 365 Admin Center oder über PowerShell fest.
  • Passen Sie die Sperrrichtlinien unter Azure AD-Sicherheit > Kennwortschutz an.
  • Schwache Passwörter können mithilfe der Passwortschutzfunktion und benutzerdefinierter Sperrlisten blockiert werden.
  • Richtlinien bei Bedarf mit PowerShell-Befehlen synchronisieren.