Hoe stel ik wachtwoordbeleid in bij Microsoft EntraID?

Als je aan de slag gaat met wachtwoordbeleid in Azure Active Directory, kan het behoorlijk verwarrend worden. Vooral als je de vervaldatum, vergrendelingsinstellingen of het voorkomen van zwakke wachtwoorden wilt aanpassen. Het is verrassend hoeveel je kunt beheren – als je maar weet waar je moet zoeken. Soms zijn de standaardinstellingen vrij streng of niet helemaal geschikt voor je organisatie, dus het aanpassen hiervan kan de beveiliging verbeteren of, soms, gewoon de frustraties voor gebruikers verminderen.

Hoe u wachtwoordbeleid in Azure AD kunt herstellen of wijzigen

Hoe wijzig ik het beleid voor wachtwoordverloop in Azure AD?

Standaard dwingt Azure AD geen wachtwoordverloop af. Dit is voor sommigen prima, maar voor anderen zorgt het voor totale chaos. Als u wilt dat wachtwoorden na een bepaalde periode (bijvoorbeeld 90 dagen) verlopen, moet u de Microsoft 365-beheeromgeving raadplegen. Dit is handig omdat het ervoor zorgt dat wachtwoorden regelmatig worden bijgewerkt, waardoor de kans kleiner wordt dat gestolen inloggegevens voor altijd geldig blijven.

Ga naar het Microsoft 365-beheercentrum —> Instellingen —> Beveiliging en privacy —> Beleid voor wachtwoordverloop. Hier kunt u de optie ‘Wachtwoord instellen om nooit te verlopen’ uitschakelen. Wanneer u dit doet, verloopt het wachtwoord na de door u gekozen periode (bijvoorbeeld 90 dagen).Gebruikers ontvangen bovendien 14 dagen voor de vervaldatum een ​​melding, wat handig is zodat ze niet voor verrassingen komen te staan.

In sommige configuraties lijkt deze stap niet meteen te werken; soms helpt een snelle browserverversing of uitloggen en opnieuw inloggen. Want Azure AD moet het natuurlijk ingewikkelder maken dan nodig is.

Als u meer gedetailleerde controle wilt, kunt u wachtwoordbeleid ook beheren via PowerShell. Installeer eerst de MSOnline-module en maak verbinding:

Install-Module MSOnlineConnect-MsolService

Controleer de huidige instellingen voor wachtwoordverloop voor uw domein:

Get-MsolPasswordPolicy -DomainName yourdomain.com

Hier wordt informatie weergegeven zoals het aantal dagen waarop meldingen worden weergegeven en de geldigheidsperiode. Wilt u dit wijzigen? Voer dan het volgende commando uit:

Set-MsolPasswordPolicy -DomainName yourdomain.com -ValidityPeriod 180 -NotificationDays 21

Hiermee worden wachtwoorden ingesteld om elke 180 dagen te verlopen, met meldingen die 21 dagen voor de vervaldatum beginnen. Ik weet niet waarom, maar in de ene configuratie werkte het probleemloos, in de andere duurde het een paar pogingen voordat het werkte. Vreemd, maar ja, zo gaat dat soms met Azure.

Voor individuele gebruikersaanpassingen hebt u de Azure AD-module nodig. Voer het volgende commando uit:

Connect-AzureAD

En vervolgens om de wachtwoordverlooptijd voor een gebruiker uit te schakelen:

Set-AzureADUser -ObjectId "[email protected]" -PasswordPolicies DisablePasswordExpiration

Om te controleren of een wachtwoord voor een specifieke gebruiker is ingesteld op ‘nooit verlopen’, gebruikt u:

Get-AzureADUser -ObjectId "[email protected]" | Select-Object @{N="PasswordNeverExpires";E={$_. PasswordPolicies -contains "DisablePasswordExpiration"}}

Dit geeft je ‘Waar’ of ‘Onwaar’ als resultaat — handig als je iets controleert.

Hoe u accountvergrendelingsinstellingen in Azure AD beheert

Heb je wel eens meegemaakt dat iemands account werd geblokkeerd na te veel mislukte inlogpogingen? Azure AD blokkeert standaard een account gedurende 1 minuut na 10 mislukte pogingen. Niet super gebruiksvriendelijk, maar een prima beginpunt. Om dit aan te passen, ga je naar Azure Active Directory —> Beveiliging —> Verificatiemethoden —> Wachtwoordbeveiliging. Hier kun je de drempelwaarden instellen die leiden tot blokkeringen en de duur ervan aanpassen.

  • Vergrendelingsdrempel – hoeveel mislukte pogingen er nodig zijn voordat een vergrendeling optreedt (standaard is 10);
  • Vergrendelingsduur in seconden – hoe lang de vergrendeling actief blijft, standaard is dit 60 seconden.

Als een account wordt geblokkeerd, zien gebruikers een bericht als: ” Uw account is tijdelijk geblokkeerd om ongeoorloofd gebruik te voorkomen…”. Blokkeerregels lijken eenvoudig, maar soms lijkt de teller voor geblokkeerde accounts zonder reden opnieuw te lopen. Ik snap niet waarom het soms zo inconsistent is – typisch Aurora, toch?

Daarnaast kunt u de aanmeldingslogboeken raadplegen om te zien wie deze blokkades veroorzaakt en wanneer. U vindt deze optie onder Azure AD-aanmeldingen in de portal, wat erg handig is om probleemmakers op te sporen of gewoon te controleren of alle aanmeldingspogingen normaal verlopen.

Hoe blokkeer je zwakke of veelgebruikte wachtwoorden in Azure AD?

Dit is interessant. Azure AD heeft een functie genaamd Wachtwoordbeveiliging die veelvoorkomende of zwakke wachtwoorden zoals ‘Password123’ of ‘admin’ blokkeert. Je kunt deze functie inschakelen en zelfs je eigen lijst met geblokkeerde wachtwoorden toevoegen. Het is handig omdat het voorkomt dat gebruikers wachtwoorden kiezen die iedereen kent, zoals de klassieke ‘P@ssw0rd’ of ‘welcome123’.

Ga naar Azure AD > Beveiliging > Verificatiemethoden > Wachtwoordbeveiliging. Schakel ‘Aangepaste lijst afdwingen’ in als u uw eigen geblokkeerde wachtwoorden wilt toevoegen. U kunt maximaal 1000 items invoeren, wat voor de meeste gebruikers voldoende zou moeten zijn. Wanneer iemand probeert zijn wachtwoord te wijzigen in een zwak of geblokkeerd wachtwoord, krijgt hij de volgende melding: ‘Helaas kunt u dat wachtwoord niet gebruiken omdat het woorden of tekens bevat die zijn geblokkeerd…’. Dat is handig, want zo worden zwakke wachtwoorden tegengehouden voordat ze toegang krijgen.

Als u on-premises werkt en dit beleid daar ook wilt toepassen, hebt u Azure AD Premium P1 of P2 nodig en moet u de proxy-service voor wachtwoordbeveiliging implementeren. Het is een behoorlijke installatie, maar de moeite waard als wachtwoordbeveiliging belangrijk voor u is. De tools ( GitHub-repository: Winhance ) kunnen hierbij helpen, vooral als u wachtwoorden eerst lokaal wilt controleren.

Voor gesynchroniseerde hybride omgevingen moet u dit inschakelen EnforceCloudPasswordPolicyForPasswordSyncedUsersin PowerShell:

Set-MsolDirSyncFeature -Feature EnforceCloudPasswordPolicyForPasswordSyncedUsers -Enable $true

Dit zorgt ervoor dat zelfs gesynchroniseerde gebruikers zich aan de lijst met verboden wachtwoorden houden, want uw lokale beleid moet natuurlijk ook waterdicht zijn.

Samenvatting

Het beheren van wachtwoordbeleid in Azure AD is niet bepaald een fluitje van een cent, maar met een beetje speurwerk in de beheerdersportal en PowerShell is het zeker mogelijk. Of u nu wachtwoordvervaldatum wilt afdwingen, accounts efficiënter wilt vergrendelen of zwakke wachtwoorden volledig wilt blokkeren, deze opties zijn beschikbaar. Houd er wel rekening mee dat instellingen soms niet direct worden gewijzigd, dus wacht een paar minuten – of log uit en weer in – en kijk of de wijziging is doorgevoerd. Succes, en hopelijk bespaart dit iemand een hoop kopzorgen.

Samenvatting

  • Stel de vervaldatum van wachtwoorden in via het Microsoft 365-beheercentrum of via PowerShell.
  • Pas het vergrendelingsbeleid aan onder Azure AD-beveiliging > Wachtwoordbeveiliging.
  • Blokkeer zwakke wachtwoorden met de functie Wachtwoordbeveiliging en aangepaste lijsten met geblokkeerde wachtwoorden.
  • Synchroniseer beleidsregels indien nodig met PowerShell-opdrachten.