Microsoft Entra Smart Lockout ist ein Dienst, der sämtliche Anmeldungen an Microsoft Entra ID überwacht. Mithilfe verschiedener Mechanismen erkennt Microsoft Entra Smart Lockout einen Angriff auf Benutzerkonten und sperrt diese. Unter anderem wird das erraten von Benutzerkennwörter oder Brut-Force-Angriffen erkannt.

Nach 10 fehlgeschlagenen Anmeldeversuchen sperrt Microsoft Entra Smart Lockout das Microsoft Entra Konto für 1 Minute. Diese Standardwerte können den eigenen Bedürfnissen anpasst werden.

Voraussetzungen und Lizenzierung

Für das Feature Microsoft Entra Smart Lockout ist folgende Lizenz notwendig:

  • Microsoft Entra ID P1

Die Lizenz ist unter anderem Bestandteil von Microsoft 365 Business Premium und vielen mehr.

Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.

Konfiguration von Microsoft Entra Smart Lockout

Die Konfiguration zu einer Sperrung des Microsoft Entra Kontos wird im Microsoft Entra admin center (https://entra.microsoft.com) unter Protection > Authentication methods > Password protection vorgenommen.

Die Standardwerte für eine Kontosperre sind sehr moderat und sollen an die eigenen Anforderungen angepasst werden:

  • Schwellwert für Kontosperrung: 10 fehlgeschlagene Anmeldeversuche
  • Sperrdauer: 60 Sekunden

Gut zu wissen

Verwendung von Microsoft Entra-Passthrough-Authentifizierung (PTA)

Bei der Microsoft Entra-Passthrough-Authentifizierung (PTA) berücksichtigt man die lokale Kontorichtlinie, da die Benutzer Authentifizierung auf dem lokalen Active Directory und nicht in Microsoft Entra ID stattfindet. So verhindert man, dass sich Active Directory und Microsoft Entra ID gegenseitig blockieren.

Als Richtwerte für Microsoft Entra Smart Lockout haben sich folgende Werte bewährt:

Schwellwert für Kontosperrung
Dieser Wert muss in Microsoft Entra Smart Lockout tiefer gesetzt sein, als im lokalen Active Directory

Sperrdauer
Dieser Wert muss in Microsoft Entra Smart Lockout höher gesetzt sein, als im lokalen Active Directoy

Die Password Protection for Windows Server Active Directory muss aktiviert werden.

Microsoft Entra Konto entsperren

Ein gesperrtes Microsoft Entra Konto kann nicht von einem Administrator entsperrt werden. Die Entsperrung erfolgt automatisch nach Ablauf der Sperrdauer. Microsoft Entra Smart Lockout ist intelligent genug und blockiert jeweils nur Anfragen des Angreifers. Dadurch ist es nahezu ausgeschlossen, dass der wahre Benutzer gesperrt wird.
Sollte dies trotzdem auftreten, kann der Benutzer vor Ablauf der Sperrdauer mit Self-Service Password Reset (SSPR) sein Konto selbständig entsperren.


Folge mir auf LinkedIn, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

Auf LinkedIn folgen