Applicare la protezione password di Microsoft Entra locale per i servizi di Dominio di Active Directory

  • Articolo

Il servizio di protezione delle password di Microsoft Entra rileva e blocca le password vulnerabili note, con le relative varianti, e può bloccare anche ulteriori termini vulnerabili specifici di un'organizzazione. La distribuzione locale di Protezione password di Microsoft Entra usa gli stessi elenchi di password vietate, sia personalizzate che globali, archiviati in Microsoft Entra ID. Esegue gli stessi controlli per le modifiche delle password locali come Microsoft Entra esegue per le modifiche basate sul cloud. Questi controlli vengono eseguiti durante le modifiche delle password e gli eventi di reimpostazione della password nei controller di dominio di Active Directory locale Domain Services (AD DS).

Principi di progettazione

Il servizio Protezione password di Microsoft Entra è progettato tenendo conto dei principi seguenti:

  • I controller di dominio non devono mai comunicare direttamente con Internet.
  • Non vengono aperte nuove porte di rete nei controller di dominio.
  • Non sono necessarie modifiche allo schema di Active Directory Domain Services. Il software usa gli oggetti dello schema di Servizi di dominio Active Directory esistenti Connessione ionPoint.
  • È possibile usare qualsiasi livello di funzionalità del dominio o della foresta di Active Directory Domain Services supportato.
  • Il software non crea né richiede account nei domini Active Directory Domain Services da esso protetti.
  • Le password di testo non crittografato dell'utente non lasciano mai il controller di dominio, né durante le operazioni di convalida della password né in qualsiasi altro momento.
  • Il software non dipende da altre funzionalità di Microsoft Entra. Ad esempio, la sincronizzazione dell'hash delle password di Microsoft Entra (PHS) non è correlata o necessaria per Protezione password di Microsoft Entra.
  • La distribuzione incrementale è supportata, tuttavia i criteri password vengono applicati solo dove è installato l'agente del controller di dominio.

Distribuzione incrementale

Microsoft Entra Password Protection supporta la distribuzione incrementale tra controller di dominio in un dominio di Active Directory Domain Services. È importante capire questo cosa significa e quali svantaggi comporta.

Il software agente del controller di dominio di Protezione password di Microsoft Entra può convalidare solo le password quando è installato in un controller di dominio e solo per le modifiche alle password inviate a tale controller di dominio. Non è possibile controllare quali controller di dominio vengono scelti dai computer client Windows per l'elaborazione delle modifiche delle password utente. Per garantire un comportamento coerente e l'applicazione universale della protezione di Protezione password di Microsoft Entra, il software agente del controller di dominio deve essere installato in tutti i controller di dominio in un dominio.

Molte organizzazioni vogliono testare attentamente Protezione password di Microsoft Entra in un subset dei propri controller di dominio prima di una distribuzione completa. Per supportare questo scenario, Protezione password di Microsoft Entra supporta la distribuzione parziale. Il software agente del controller di dominio in un determinato controller di dominio convalida attivamente le password anche quando altri controller di dominio all'interno del dominio non dispongono del software agente del controller di dominio installato. Le distribuzioni parziali di questo tipo non sono sicure e non sono consigliate a scopo di test.

Diagramma dell'architettura

È importante comprendere i concetti di progettazione e funzione sottostanti prima di distribuire Microsoft Entra Password Protection in un ambiente di Active Directory Domain Services locale. Il diagramma seguente illustra come interagiscono i componenti di Microsoft Entra Password Protection:

How Microsoft Entra Password Protection components work together

  • Il servizio Proxy di protezione password Di Microsoft Entra viene eseguito in qualsiasi computer aggiunto a un dominio nella foresta di Active Directory Domain Services corrente. Lo scopo principale del servizio è inoltrare le richieste di download dei criteri password dai controller di dominio a Microsoft Entra ID e quindi restituire le risposte da Microsoft Entra ID al controller di dominio.
  • La DLL del filtro password dell'agente del controller di dominio riceve le richieste di convalida delle password utente dal sistema operativo. Il filtro le inoltra al servizio agente del controller di dominio in esecuzione localmente nel controller di dominio.
  • Il servizio agente del controller di dominio di Protezione password di Microsoft Entra riceve le richieste di convalida delle password dalla DLL del filtro password dell'agente del controller di dominio. Il servizio agente del controller di dominio le elabora usando i criteri password correnti (disponibili localmente) e restituisce il risultato pass o fail.

Come funziona la Protezione password di Microsoft Entra ID

I componenti locali di Protezione password di Microsoft Entra funzionano come segue:

  1. Ogni istanza del servizio proxy di protezione password di Microsoft Entra annuncia se stessa ai controller di dominio nella foresta creando un oggetto service Connessione ionPoint in Active Directory.

    Ogni servizio agente del controller di dominio per Protezione password di Microsoft Entra crea anch'esso un oggetto serviceConnectionPoint in Active Directory. Questo oggetto viene usato principalmente per la creazione di report e la diagnostica.

  2. Il servizio agente del controller di dominio è responsabile dell'avvio del download dei nuovi criteri password da Microsoft Entra ID. Il primo passaggio consiste nell'individuare un servizio proxy di protezione password di Microsoft Entra eseguendo una query sulla foresta per gli oggetti proxy Connessione ionPoint.

  3. Quando viene trovato un servizio proxy disponibile, l'agente del controller di dominio invia al servizio proxy una richiesta di download dei criteri password. Il servizio proxy a sua volta invia la richiesta a Microsoft Entra ID, quindi restituisce la risposta al servizio agente del controller di dominio.

  4. Dopo aver ricevuto i nuovi criteri password da Microsoft Entra ID, il servizio agente del controller di dominio archivia i criteri in una cartella dedicata nella radice della condivisione delle cartelle di dominio sysvol. Il servizio agente del controller di dominio monitora anche questa cartella, nel caso in cui vengano replicati criteri più recenti da altri servizi agente del controller di dominio all'interno del dominio.

  5. Il servizio agente del controller di dominio richiede sempre nuovi criteri all'avvio del servizio. Dopo l'avvio, il servizio agente del controller di dominio verifica ogni ora a quando risalgono i criteri attualmente disponibili in locale. Se i criteri risalgono a più di un'ora prima, l'agente del controller di dominio richiede nuovi criteri a Microsoft Entra ID tramite il servizio proxy, come descritto in precedenza. Se i criteri correnti risalgono a meno di un'ora prima, l'agente del controller di dominio continua a usarli.

  6. Quando un controller di dominio riceve eventi di modifica della password, i criteri memorizzati nella cache vengono usati per determinare se la nuova password viene accettata o rifiutata.

Considerazioni e funzionalità principali

  • Ogni volta che viene scaricato un criterio password di Protezione password di Microsoft Entra, tale criterio è specifico per un tenant. In altre parole, i criteri password sono sempre una combinazione dell'elenco globale di password escluse da Microsoft e dell'elenco personalizzato di password escluse per tenant.
  • L'agente del controller di dominio comunica con il servizio proxy tramite RPC su TCP. Il servizio proxy ascolta queste chiamate su una porta RPC dinamica o statica, a seconda della configurazione.
  • L'agente del controller di dominio non è mai in ascolto su una porta disponibile in rete.
  • Il servizio proxy non chiama mai il servizio agente del controller di dominio.
  • Il servizio proxy è senza stato. Non memorizza mai nella cache i criteri o qualsiasi altro stato scaricato da Azure.
  • La registrazione proxy funziona aggiungendo credenziali all'entità servizio AADPasswordProtectionProxy. Non essere allarmati da eventi nei log di controllo quando si verifica questa situazione.
  • Il servizio agente del controller di dominio usa sempre i criteri password disponibili localmente più recenti per valutare la password di un utente. Se non sono disponibili criteri password nel controller di dominio locale, la password viene accettata automaticamente. In questo caso, viene registrato un messaggio di evento per avvisare l'amministratore.
  • Protezione password di Microsoft Entra non è un motore di applicazioni di criteri in tempo reale. Può verificarsi un ritardo tra il momento in cui viene apportata una modifica alla configurazione dei criteri password in Microsoft Entra ID e quello in cui tale modifica raggiunge e viene applicata a tutti i controller di dominio.
  • Microsoft Entra Password Protection funge da supplemento ai criteri password di Active Directory Domain Services esistenti, non come sostituzione. Sono incluse tutte le altre DLL di filtro password di terze parti che possono essere installate. Servizi di dominio Active Directory richiede sempre che tutti i componenti di convalida delle password accettino prima di accettare una password.

Associazione tra foreste/tenant per la protezione password di Microsoft Entra

La distribuzione di Microsoft Entra Password Protection in una foresta di Active Directory Domain Services richiede la registrazione di tale foresta con l'ID Microsoft Entra. Ogni servizio proxy distribuito deve essere registrato anche con Microsoft Entra ID. Queste registrazioni di foresta e proxy sono associate a un tenant Specifico di Microsoft Entra, identificato in modo implicito dalle credenziali usate durante la registrazione.

La foresta di Active Directory Domain Services e tutti i servizi proxy distribuiti all'interno di una foresta devono essere registrati con lo stesso tenant. Non è supportato disporre di una foresta di Active Directory Domain Services o di qualsiasi servizio proxy in tale foresta registrata in tenant Microsoft Entra diversi. I sintomi di una distribuzione configurata in modo non corretto includono l'impossibilità di scaricare i criteri password.

Nota

I clienti che dispongono di più tenant di Microsoft Entra devono quindi scegliere un tenant distinto per registrare ogni foresta per scopi di protezione password di Microsoft Entra.

Scarica

I due programmi di installazione dell'agente necessari per la protezione password di Microsoft Entra sono disponibili nell'Area download Microsoft.

Passaggi successivi

Per iniziare a usare la protezione password di Microsoft Entra locale, completare le procedure seguenti:

Distribuire la protezione password di Microsoft Entra locale