Imporre la protezione password locale di Microsoft Entra per i Servizi di Dominio di Active Directory

Microsoft Entra Password Protection rileva e blocca le password vulnerabili note e le relative varianti e può anche bloccare termini deboli aggiuntivi specifici dell'organizzazione. La distribuzione locale di Microsoft Entra Password Protection usa gli stessi elenchi di password vietati globali e personalizzati archiviati nell'ID Microsoft Entra ed esegue gli stessi controlli per le modifiche delle password locali eseguite da Microsoft Entra ID per le modifiche basate sul cloud. Questi controlli vengono eseguiti durante gli eventi di modifica e reimpostazione della password nei controller di dominio di Active Directory Domain Services locale (AD DS).

Principi di progettazione

Microsoft Entra Password Protection è progettato tenendo presenti i principi seguenti:

• I controller di dominio non devono mai comunicare direttamente con Internet.
• Non vengono aperte nuove porte di rete sui DC.
• Non sono necessarie modifiche allo schema di Active Directory Domain Services. Il software utilizza gli oggetti dello schema esistenti di contenitore e puntoDiConnessioneDelServizio di AD DS.
• È possibile usare qualsiasi livello di funzionalità del dominio o della foresta di Active Directory Domain Services supportato.
• Il software non crea né richiede account nei domini Active Directory Domain Services da esso protetti.
• Le password non crittografate dell'utente non lasciano mai il controller di dominio, durante le operazioni di convalida delle password o in qualsiasi altro momento.
• Il software non dipende da altre funzionalità di Microsoft Entra. Ad esempio, la sincronizzazione dell'hash delle password di Microsoft Entra (PHS) non è né correlata né necessaria per Microsoft Entra Password Protection.
• La distribuzione incrementale è supportata, tuttavia il criterio delle password viene applicato solo dove è installato l'agente del controller di dominio.

Distribuzione incrementale

Microsoft Entra Password Protection supporta la distribuzione incrementale tra controller di dominio in un dominio di Active Directory Domain Services. È importante capire cosa significa davvero questo e quali compromessi sono.

Il software agente di Protezione Password di Microsoft Entra può convalidare le password solo quando è installato su un controller di dominio e solo per le modifiche alle password inviate a quel controller di dominio. Non è possibile controllare quali controller di dominio vengono scelti dai computer client Windows per elaborare le modifiche delle password degli utenti. Per garantire un comportamento coerente e l'applicazione universale della protezione della password di Microsoft Entra, il software agente del controller di dominio deve essere installato in tutti i controller di dominio in un dominio.

Molte organizzazioni desiderano testare accuratamente la Password Protection di Microsoft Entra su un sottoinsieme dei loro controller di dominio prima di un'implementazione completa. Per supportare questo scenario, Microsoft Entra Password Protection supporta la distribuzione parziale. Il software agente del controller di dominio in un determinato controller di dominio convalida attivamente le password anche quando altri controller di dominio nel dominio non dispongono del software agente del controller di dominio installato. Le distribuzioni parziali di questo tipo non sono sicure e non sono consigliate a scopo di test.

Diagramma dell'architettura

È importante comprendere i concetti di progettazione e funzione sottostanti prima di distribuire Microsoft Entra Password Protection in un ambiente di Active Directory Domain Services locale. Il diagramma seguente illustra come interagiscono i componenti di Microsoft Entra Password Protection:

• Il servizio Proxy di protezione password di Microsoft Entra viene eseguito su qualsiasi computer aggiunto a un dominio nella foresta di Active Directory Domain Services corrente. Lo scopo principale del servizio è inoltrare le richieste di download dei criteri password dai DC all'ID Microsoft Entra e quindi restituire le risposte dall'ID Microsoft Entra ai DC.
• La DLL del filtro password dell'agente del controller di dominio riceve le richieste di convalida delle password utente dal sistema operativo. Il filtro li inoltra al servizio DC Agent in esecuzione localmente sul DC.
• Il servizio DC Agent di Microsoft Entra Password Protection riceve le richieste di convalida delle password dalla DLL del filtro password del DC Agent. Il servizio agente del controller di dominio le elabora usando i criteri password correnti (disponibili localmente) e restituisce il risultato pass o fail.

Come funziona la protezione password di Microsoft Entra

I componenti locali di Microsoft Entra Password Protection funzionano come segue:

1. Ogni istanza del servizio Proxy di protezione password di Microsoft Entra si annuncia ai DC nella foresta creando un oggetto serviceConnectionPoint in Active Directory.

   Ogni servizio agente del controller di dominio per Protezione password di Microsoft Entra crea anch'esso un oggetto serviceConnectionPoint in Active Directory. Questo oggetto viene usato principalmente per la creazione di report e la diagnostica.

2. Il servizio Agente DC è responsabile dell'avvio del download di una nuova politica per le password da Microsoft Entra ID. Il primo passaggio consiste nell'individuare un servizio proxy di protezione password di Microsoft Entra eseguendo una query sulla foresta per individuare gli oggetti serviceConnectionPoint del proxy.

3. Quando viene trovato un servizio proxy disponibile, l'agente del controller di dominio invia una richiesta di scaricamento della politica di gestione delle password al servizio proxy. Il servizio proxy a sua volta invia la richiesta all'ID Microsoft Entra, quindi restituisce la risposta al servizio agente DC.

4. Dopo che il servizio DC Agent riceve una nuova politica password da Microsoft Entra ID, il servizio archivia la politica in una cartella dedicata nella cartella principale della condivisione sysvol del dominio. Il servizio DC Agent monitora anche questa cartella nel caso in cui vengano replicate politiche più recenti da altri servizi DC Agent all'interno del dominio.

5. Il servizio DC Agent richiede sempre una nuova politica all'avvio del servizio. Dopo l'avvio, il servizio agente del controller di dominio verifica ogni ora a quando risalgono i criteri attualmente disponibili in locale. Se la policy è precedente a un'ora, l'Agente DC richiede una nuova policy da Microsoft Entra ID tramite il servizio proxy, come descritto in precedenza. Se i criteri correnti risalgono a meno di un'ora prima, l'agente del controller di dominio continua a usarli.

6. Quando gli eventi di modifica della password vengono ricevuti da un controller di dominio, i criteri memorizzati nella cache vengono usati per determinare se la nuova password viene accettata o rifiutata.

Considerazioni e funzionalità principali

• Ogni volta che viene scaricato un criterio di protezione password di Microsoft Entra, tale criterio è specifico di un tenant. In altre parole, i criteri password sono sempre una combinazione dell'elenco globale di password escluse da Microsoft e dell'elenco personalizzato di password escluse per tenant.
• L'agente DC comunica con il servizio proxy tramite RPC su TCP. Il servizio proxy è in ascolto di queste chiamate su una porta RPC dinamica o statica, a seconda della configurazione.
• L'Agente DC non è mai in ascolto su una porta accessibile alla rete.
• Il servizio proxy non chiama mai il servizio agente DC.
• Il servizio proxy è senza stato. Non memorizza mai nella cache i criteri o qualsiasi altro stato scaricato da Azure.
• Il funzionamento della registrazione proxy avviene aggiungendo credenziali all'entità del servizio AADPasswordProtectionProxy. Non vi allarmate per eventuali eventi nei log di controllo quando si verifica questa situazione.
• Il servizio DC Agent utilizza sempre la più recente politica password disponibile localmente per valutare la password di un utente. Se non sono disponibili criteri password nel controller di dominio locale, la password viene accettata automaticamente. In questo caso, viene registrato un messaggio di evento per avvisare l'amministratore.
• Microsoft Entra Password Protection non è un motore di applicazioni di criteri in tempo reale. Può verificarsi un ritardo tra quando si effettua una modifica della configurazione dei criteri password in Microsoft Entra ID e quando tale modifica raggiunge e si applica a tutti i controller di dominio.
• Microsoft Entra Password Protection funge da supplemento ai criteri password di Active Directory Domain Services esistenti, non come sostituzione. Sono incluse tutte le altre DLL di filtro password di terze parti che possono essere installate. Servizi di dominio Active Directory richiede sempre che tutti i componenti di convalida delle password concordino prima di accettare una password.

Associazione tra foresta/tenant per la protezione password di Microsoft Entra

La distribuzione di Microsoft Entra Password Protection in una foresta di Active Directory Domain Services richiede la registrazione di tale foresta con l'ID Microsoft Entra. Ogni servizio proxy distribuito deve essere registrato anche con Microsoft Entra ID. Queste registrazioni di foresta e proxy sono associate a un tenant Specifico di Microsoft Entra, identificato in modo implicito dalle credenziali usate durante la registrazione.

La foresta di Active Directory Domain Services e tutti i servizi proxy distribuiti all'interno di una foresta devono essere registrati con lo stesso tenant. Non è supportato disporre di una foresta di Active Directory Domain Services o di qualsiasi servizio proxy in tale foresta registrata in tenant Microsoft Entra diversi. I sintomi di una distribuzione configurata in modo non corretto includono l'impossibilità di scaricare i criteri password.

Scarica

I due programmi di installazione dell'agente necessari per la protezione password di Microsoft Entra sono disponibili nell'Area download Microsoft.

Passaggi successivi

Per iniziare a usare la protezione password di Microsoft Entra locale, completare le procedure seguenti: