Aplicación de Protección con contraseña de Microsoft Entra local en Active Directory Domain Services

La característica Protección con contraseña de Microsoft Entra detecta y bloquea las contraseñas no seguras conocidas y sus variantes, y también puede bloquear otros términos poco seguros específicos de una organización. La implementación local de Protección con contraseña de Microsoft Entra utiliza las mismas listas de contraseñas prohibidas personalizadas y globales que se almacenan en Microsoft Entra ID y realiza las mismas comprobaciones de los cambios de contraseña locales que hace Microsoft Entra ID de los cambios basados en la nube. Estas comprobaciones se realizan durante los cambios de contraseña y los eventos de restablecimiento de contraseña en los controladores de dominio de Active Directory Domain Services (AD DS) local.

Principios de diseño

Protección con contraseña de Microsoft Entra se ha diseñado teniendo en cuenta estos principios:

  • Los controladores de dominio (DC) nunca tienen que comunicarse directamente con Internet.
  • No hay ningún puerto de red nuevo abierto en los controladores de dominio.
  • No se requieren cambios en el esquema de AD DS. El software usa los objetos de esquema container y serviceConnectionPoint de AD DS existentes.
  • Se puede usar cualquier nivel funcional de bosque o dominio de AD DS compatible.
  • El software no crea ni necesita ninguna cuenta en los dominios de AD DS que protege.
  • Las contraseñas de usuario no cifradas nunca dejan el controlador de dominio, ya sea durante las operaciones de validación de contraseña o en cualquier otro momento.
  • El software no depende de otras características de Microsoft Entra. Por ejemplo, la sincronización de hash de contraseñas (PHS) de Microsoft Entra no está relacionada con Protección con contraseña de Microsoft Entra ni es necesaria con funcionalidad.
  • Se admite la implementación incremental, sin embargo, la directiva de contraseñas se aplicará solamente donde se instale el agente de controlador de dominio.

Implementación incremental

Protección con contraseña de Microsoft Entra admite la implementación incremental en los controladores de dominio de un dominio de AD DS. Es importante comprender lo que esto significa realmente y cuáles son los inconvenientes.

El software agente de DC de Protección con contraseña de Microsoft Entra solo puede validar las contraseñas cuando está instalado en un controlador de dominio, y solo en el caso de los cambios de contraseña que se envían a ese controlador de dominio. No es posible controlar qué controladores de dominio eligen las máquinas cliente de Windows para procesar los cambios de contraseña de los usuarios. Para garantizar el comportamiento coherente y el cumplimiento de la seguridad universal de Protección con contraseña de Microsoft Entra, el software agente de DC debe estar instalado en todos los controladores de dominio de un dominio.

Muchas organizaciones quieren probar con precaución Protección con contraseña de Microsoft Entra en un subconjunto de sus controladores de dominio antes de realizar una implementación completa. Este escenario es posible gracias a que Protección con contraseña de Microsoft Entra admite la implementación parcial. El software de agente de DC de un controlador de dominio dado valida de forma activa las contraseñas incluso cuando otros controladores de dominio del dominio no tienen instalado dicho software. Las implementaciones parciales de este tipo no son seguras y solo se recomiendan con fines de prueba.

Diagrama de arquitectura

Es importante comprender el diseño y los conceptos funcionales subyacentes antes de implementar Protección con contraseña de Microsoft Entra en un entorno de AD DS local. En el diagrama siguiente se muestra cómo los componentes de Protección con contraseña de Microsoft Entra funcionan conjuntamente:

How Microsoft Entra Password Protection components work together

  • El servicio de proxy de Protección con contraseña de Microsoft Entra se ejecuta en cualquier máquina unida a un dominio del bosque de AD DS actual. La finalidad principal de este servicio es la de reenviar las solicitudes de descarga de la directiva de contraseñas de los controladores de dominio a Microsoft Entra ID y, luego, devolver las respuestas de Microsoft Entra ID al controlador de dominio.
  • La DLL del agente de controlador de dominio del filtro de contraseña recibe las solicitudes de validación de contraseña de usuario desde el sistema operativo. El filtro las reenvía al servicio DC Agent que se ejecuta localmente en el controlador de dominio.
  • El servicio DC Agent de Protección con contraseña de Microsoft Entra recibe solicitudes de validación de contraseña del archivo DLL del filtro de contraseñas de DC Agent. Este servicio las procesa mediante la directiva de contraseñas (disponible localmente) actual y devuelve el resultado de correcta o error.

Funcionamiento de Protección con contraseña de Microsoft Entra

Los componentes de Protección con contraseña de Microsoft Entra local funcionan de la siguiente manera:

  1. Cada instancia del servicio de proxy de Protección con contraseña de Microsoft Entra se anuncia ella misma a los controladores de dominio del bosque mediante la creación de un objeto serviceConnectionPoint en Active Directory.

    Cada servicio DC Agent de Protección con contraseña de Microsoft Entra crea también un objeto serviceConnectionPoint en Active Directory. Este objeto se utiliza principalmente para los informes y diagnósticos.

  2. El servicio DC Agent es responsable de iniciar la descarga de una nueva directiva de contraseñas de Microsoft Entra ID. El primer paso es localizar un servicio de proxy de Protección con contraseña de Microsoft Entra consultando en el bosque los objetos serviceConnectionPoint del proxy.

  3. Cuando se encuentra un servicio de proxy disponible, el agente de controlador de dominio envía una solicitud de descarga de la directiva de contraseña al servicio de proxy. A su vez, el servicio de proxy envía la solicitud a Microsoft Entra ID para, posteriormente, devolver la respuesta al servicio DC Agent.

  4. Una vez que el servicio DC Agent recibe una nueva directiva de contraseña de Microsoft Entra ID, la almacena en una carpeta dedicada en la raíz de su recurso compartido de carpeta sysvol de dominio. El servicio DC Agent también supervisa esta carpeta en caso de que las directivas más recientes se repliquen desde otros servicios DC Agent en el dominio.

  5. El servicio siempre solicita una nueva directiva al inicio del servicio. Una vez iniciado el servicio DC Agent, comprueba la antigüedad de la directiva actual disponible de forma local cada hora. Si la directiva es anterior a una hora, el agente de controlador de dominio solicita una nueva directiva de Microsoft Entra ID a través del servicio de proxy, como se describió anteriormente. Si la directiva actual no es anterior a una hora, el agente de controlador de dominio sigue usando esa directiva.

  6. Cuando un controlador de dominio recibe los eventos de cambio de contraseña, la directiva almacenada en caché se usa para determinar si la nueva contraseña se acepta o se rechaza.

Principales consideraciones y características

  • Cada vez que se descarga una directiva de contraseñas de Protección con contraseña de Microsoft Entra, esa directiva es específica de un inquilino. En otras palabras, las directivas de contraseñas son siempre una combinación de la lista global de contraseñas prohibidas de Microsoft y la lista de contraseñas prohibidas por inquilino personalizada.
  • El agente de controlador de dominio se comunica con el servicio de proxy por RPC a través de TCP. El servicio de proxy escucha estas llamadas en un puerto RPC dinámico o estático, según esté configurado.
  • El agente de controlador de dominio nunca escucha en un puerto de red disponible.
  • El servicio de proxy nunca llama al servicio DC Agent.
  • El servicio de proxy es sin estado. Nunca almacena en caché las directivas ni cualquier otro estado descargado de Azure.
  • El registro de proxy funciona agregando credenciales a la entidad de servicio AADPasswordProtectionProxy. No se alarme por ningún evento en los registros de auditoría cuando esto ocurra.
  • El servicio DC Agent siempre usa la directiva de contraseña localmente disponible más reciente para evaluar una contraseña de usuario. Si no hay ninguna directiva de contraseña disponible en el controlador de dominio local, la contraseña se acepta automáticamente. Cuando esto ocurre, se registra un mensaje de evento para advertir al administrador.
  • Protección con contraseña de Microsoft Entra no es un motor de aplicación de directivas en tiempo real. Puede haber un retraso desde que se realiza un cambio en la configuración de la directiva de contraseñas en Microsoft Entra ID hasta que el cambio llega y se aplica a todos los controladores de dominio.
  • Protección con contraseña de Microsoft Entra funciona como un complemento a las directivas de contraseña de AD DS existentes, no las sustituye. Esto incluye las demás DLL de filtro de contraseña de terceros que puedan estar instaladas. En AD DS, es necesario siempre que todos los componentes de validación de contraseñas estén de acuerdo antes de aceptar una contraseña.

Enlace bosque\inquilino para Protección con contraseña de Microsoft Entra

Para implementar Protección con contraseña de Microsoft Entra en un bosque de AD DS, es necesario registrar dicho bosque con Microsoft Entra ID. Cada servicio de proxy que se implementa también debe registrarse con Microsoft Entra ID. Ambos registros de bosque y de proxy están asociados a un determinado inquilino de Microsoft Entra que se identifica implícitamente con las credenciales utilizadas durante el registro.

El bosque de AD DS y todos los servicios de proxy implementados dentro de un bosque deben registrarse con el mismo inquilino. No se permite registrar un bosque de AD DS ni ningún servicio de proxy de ese bosque con diferentes inquilinos de Microsoft Entra. Entre los síntomas de esa implementación mal configurada se incluye la imposibilidad de descargar las directivas de contraseña.

Nota:

Por lo tanto, los clientes que tienen varios inquilinos de Microsoft Entra deben elegir un inquilino distintivo para registrar cada bosque para Protección con contraseña de Microsoft Entra.

Descargar

Los dos instaladores de agente necesarios para Protección con contraseña de Microsoft Entra se pueden descargar del Centro de descarga de Microsoft.

Pasos siguientes

Para empezar a usar Protección con contraseña de Microsoft Entra local, realice el procedimiento siguiente: