Zu den klaren Vorteilen von Azure Active Directory (Azure AD) zählt die Flexibilität bei der Kennwortverwaltung. Die meisten Unternehmen stellen Azure AD als Erweiterung ihrer lokalen Active Directory-Umgebung bereit. Sie möchten auf diese Weise Single Sign-On und Verbundfunktionen für Online-Anwendungen wie Salesforce und Docusign nutzen. In Azure AD können Benutzer außerdem mittels Self-Service ihre Kennwörter zurücksetzen und verwalten, ohne sich an das Helpdesk wenden zu müssen.
Welche Grundeinstellungen müssen für Kennwortrichtlinien in Azure konfiguriert werden und wie gehen Sie dabei vor? Darum geht es in diesem Artikel.
Grundlegende Einschränkungen der Kennwortrichtlinie
Die einfachsten Kennwortrichtlinien für Microsoft Azure AD beinhalten Anforderungen an die Komplexität von Kennwörtern und Einschränkungen im Hinblick auf den Kennwortverlauf. Sie können Buchstaben (A bis Z) einschließlich Klein- und Großbuchstaben, die Ziffern 0 bis 9 und Sonderzeichen wie @ # $ % ^ & * – _ ! + = [ ] { } | : ‘ , . ? / ` ~ “ ( ) ; verwenden. Kennwörter dürfen keine Unicode-Zeichen oder Leerzeichen enthalten. Ein Kennwort muss mindestens 8 Zeichen und darf höchstens 16 Zeichen lang sein. Ein sicheres Kennwort darf keinen Punkt (.) unmittelbar vor dem @-Zeichen enthalten und sollte außerdem Zeichen aus mindestens drei der folgenden vier Kategorien beinhalten: (1) Kleinbuchstaben, (2) Großbuchstaben, (3) Ziffern und (4) zulässige Sonderzeichen. Kennwörter laufen standardmäßig nach 90 Tagen ab und Benutzer erhalten 14 Tage vor diesem Ablaufdatum eine Benachrichtigung, dass sie ihr Kennwort ändern müssen. Was den Kennwortverlauf betrifft, so kann das zuletzt verwendete Kennwort nicht erneut verwendet werden. Benutzer müssen also ein neues Kennwort festlegen, anstatt ein und dasselbe Kennwort immer wieder zu verwenden. Der Zeitraum bis zum Ablauf und die Benachrichtigung können in PowerShell mit dem Cmdlet Set-MsolPasswordPolicy konfiguriert werden, das im Azure AD-Modul enthalten ist.
Wenn Benutzer ihr Kennwort zehn Mal nacheinander falsch eingeben, sperrt Azure AD das Konto für eine Minute. Werden weiterhin falsche Kennwörter eingegeben, sperrt das System das Konto erneut. Dabei verlängert sich die Dauer der Kontosperre jedes Mal, um nach Möglichkeit Brute-Force-Angriffe zu verhindern und abzuwehren.
Integration in Azure-Funktionen für die Kennwortverwaltung
Einer der größten Vorteile von Azure AD ist die Möglichkeit, Benutzer ihre Kennwörter selbst verwalten zu lassen. Benutzer können Kennwörter über ein Self-Service-Portal festlegen und zurücksetzen, anstatt ein Helpdesk-Ticket anlegen und abwarten zu müssen, bis sich der zuständige Administrator um ihre Anfrage kümmert. Die Azure AD-Tools für die Kennwortverwaltung sind sehr hilfreich, wenn Ihr Unternehmen ausschließlich mit cloudbasierten Systemen und Anwendungen arbeitet (was vermutlich nur auf die wenigsten Unternehmen zutrifft, insbesondere wenn sie Single Sign-On nutzen wollen) oder wenn Sie Ihren Azure AD-Mandanten mit Ihrem lokalen Active Directory synchronisiert haben, was die Lösung besonders attraktiv macht.
Sie müssen eine Reihe von Schritten zur Implementierung der Richtlinie ausführen, mit der Sie diese Funktionen für die Self-Service-Kennwortverwaltung aktivieren können:
- Öffnen Sie das klassische Azure-Portal unter https://manage.windowsazure.com und klicken Sie links auf „Active Directory“.
- Klicken Sie auf das Verzeichnis, das Sie konfigurieren möchten, und im nächsten Bildschirm auf die Registerkarte „KONFIGURIEREN“.
- Blättern Sie nach unten klicken Sie bei der Option, die Benutzern das Zurücksetzen ihres Kennworts erlaubt, auf „Ja“. Passen Sie anschließend die weiteren Richtlinieneinstellungen für Zugriffseinschränkungen, die Gruppe, die Kennwortzurücksetzungen durchführt, und zusätzliche Authentifizierungsmethoden für Benutzer an, die ihre Kennwörter zurücksetzen möchten.
Im nächsten Schritt müssen Sie die Kontaktinformationen für alle Benutzer angeben, damit diese für die Kennwortzurücksetzung verwendet werden können. Wenn Sie über Azure AD Connect die Verzeichnissynchronisierung aktiviert und die Eigenschaften Ihrer Benutzer im lokalen Active Directory richtig konfiguriert haben, werden diese Kontaktinformationen automatisch an den Azure AD-Mandanten übertragen. Ist dies nicht der Fall, müssen Sie die Eigenschaften Ihrer Benutzer entweder im Azure-Portal, in Office 365 oder mithilfe von PowerShell bearbeiten. Es empfiehlt sich, alternative E-Mail-Adressen und Mobiltelefonnummern anzugeben, an die Textnachrichten mit Einmal-Kennwörtern für die Multi-Faktor-Authentifizierung gesendet werden können.
Sie können außerdem festlegen, dass Benutzer ihre Details selbst angeben können, indem sie diese an http://aka.ms/ssprsetup senden und bei der Anmeldung im Zugriffsbereich unter http://myapps.microsoft.com eingeben (falls dies Teil des Workflows Ihrer Benutzer ist). Sie können Benutzer auch zwingen, ihre Details einzugeben, indem Sie die Option aktivieren, dass Benutzer sich bei der Anmeldung im Zugriffsportal registrieren müssen.
Damit diese Methode funktioniert, müssen Sie vor allem Azure AD Connect und Ihre Firewall richtig konfigurieren. Mit diesem Thema befassen wir uns in einem anderen Artikel ausführlich.
Wenn Sie an weiteren Tipps zur Kennwortsicherheit in Azure AD interessiert sind, lesen Sie auch den Blog-Artikel von Russell Smith.
