Tämän ohjeen sisältö:

• Salasanavaatimukset AD
• Tunnusten lukitsemiskäytännöt Entra ID -kirjautumisissa
• Tunnusten lukitsemiskäytännöt AD / LDAP -kirjautumisissa

---

Salasanavaatimukset AD

1. Salasanan pituus vähintään 12 merkkiä.
   • Ei saa sisältää käyttäjätunnusta tai näyttönimeä.
   • Täytyy sisältää merkkejä kolmesta eri kategoriasta:
     • isot kirjaimet
     • pienet kirjaimet
     • numerot
     • erikoismerkit
2. Salasanan vanhenemisaika 365 päivää.
3. Aiemmista salasanoista muistetaan 5 edellistä, joihin salasanaa ei voi vaihtaa.
4. Salasanan minimiaika 0 päivää. 

---

Tunnusten lukitsemiskäytännöt Entra ID -kirjautumisissa

Lukitsemispolitiikka

1. Tunnus lukittuu 10 virheellisen salasanan jälkeen.
   • Saman virheellisen salasanan syöttäminen peräjälkeen ei kasvata laskuria.
   • Käyttäjän tunnetut kirjautumislokaatiot ja käyttäjän uudet kirjautumislokaatiot omaavat oman laskurinsa.
2. Tunnus on lukittuna 600 sekunnin ajan ja tämän jälkeen avautuu automaattisesti.
3. Mikäli avautumisen jälkeen seuraava kirjautumisyritys on väärällä salasanalla, tunnus lukittuu heti uudestaan.
4. Toistuvat lukittautumiset kasvattavat lukituksen aikaa.

Näiden sääntöjen lisäksi käytössä on myös Microsoftin Identity Protection -ominaisuus, joka tunnistaa kirjautumisista anonyymit IP-osoitteet, password spray -hyökkäykset ja tiedossa olevat tunnus- ja salasanaparin vuodot. Näiden pohjalta Identity Protection nostaa käyttäjän tai kirjautumisen riskitasoa.

Kirjautumisten riskitaso

Mikäli kirjautumisen riskitaso on Identity Protectionin osalta merkitty korkeaksi, vaaditaan kirjautumisessa aina kaksivaiheinen tunnistautuminen.

---

Tunnusten lukitsemiskäytännöt AD/LDAP -kirjautumisissa

Lukitsemispolitiikka

1. Tunnus lukittuu 20 virheellisen kirjautumisen jälkeen.
2. Tunnus on lukittuna 600 sekunnin ajan ja tämän jälkeen avautuu automaattisesti.
3. Väärien yritysten laskuri nollautuu 10 minuutin jälkeen.

 

« Takaisin