Plánování a nasazení místní ochrany heslem služby Azure Active Directory

Uživatelé často vytvářejí hesla, která používají běžná místní slova, jako je škola, sportovní tým nebo známá osoba. Tato hesla se snadno odhadují a jsou slabá vůči útokům založeným na slovníku. Pokud chcete vynutit silná hesla ve vaší organizaci, poskytuje služba Azure Active Directory (Azure AD) ochranu heslem globální a vlastní seznam zakázaných hesel. Žádost o změnu hesla selže, pokud je v seznamu zakázaných hesel shoda.

Pokud chcete chránit prostředí služby místní Active Directory Domain Services (AD DS), můžete nainstalovat a nakonfigurovat Azure AD ochranu heslem tak, aby fungovala s místním řadičem domény. V tomto článku se dozvíte, jak nainstalovat a zaregistrovat službu proxy serveru Azure AD ochrany heslem a Azure AD agenta DC ochrany heslem ve vašem místním prostředí.

Další informace o tom, jak Azure AD ochrana heslem funguje v místním prostředí, najdete v tématu Jak vynutit ochranu Azure AD heslem pro Windows Server Active Directory.

Strategie nasazení

Následující diagram ukazuje, jak základní součásti Azure AD ochrany heslem spolupracují v místní Active Directory prostředí:

Spolupráce komponent ochrany hesel Azure AD

Než ho nasadíte, je vhodné zkontrolovat, jak software funguje. Další informace najdete v tématu Koncepční přehled ochrany hesel Azure AD.

Doporučujeme spustit nasazení v režimu auditu . Režim auditu je výchozí počáteční nastavení, kde se můžou dál nastavovat hesla. Hesla, která by byla blokovaná, se zaznamenávají v protokolu událostí. Jakmile nasadíte proxy servery a agenty řadiče domény v režimu auditu, sledujte dopad zásad hesel na uživatele, když se zásada vynutí.

Během fáze auditu mnoho organizací zjistí, že platí následující situace:

  • Potřebují zlepšit stávající provozní procesy, aby používaly bezpečnější hesla.
  • Uživatelé často používají nezabezpečená hesla.
  • Potřebují informovat uživatele o nadcházející změně vynucování zabezpečení, možném dopadu na ně a o tom, jak zvolit bezpečnější hesla.

Je také možné, aby silnější ověřování hesel ovlivnilo vaši stávající automatizaci nasazení řadiče domény služby Active Directory. Doporučujeme, aby se během vyhodnocení období auditu vyskytla alespoň jedna povýšení DC a jedna snížení úrovně DC, aby bylo možné tyto problémy odhalit. Další informace najdete v následujících článcích:

Jakmile funkce po přiměřenou dobu běží v režimu auditu, můžete konfiguraci přepnout z auditování na Vynutit , aby vyžadovala bezpečnější hesla. Další monitorování během této doby je dobrým nápadem.

Je důležité si uvědomit, že Azure AD ochrana heslem může ověřovat hesla jenom během změn nebo nastavení hesel. Hesla, která byla přijata a uložena ve službě Active Directory před nasazením Azure AD Ochrana heslem, se nikdy neověří a bude pokračovat v práci. V průběhu času začnou všichni uživatelé a účty používat hesla ověřená Azure AD heslem, protože jejich stávající hesla obvykle vyprší. Účty nakonfigurované s textem "Heslo nikdy nevyprší platnost", jsou z toho vyloučené.

Důležité informace o více doménových strukturách

Neexistují žádné další požadavky na nasazení Azure AD ochrany heslem ve více doménových strukturách.

Každá doménová struktura je nezávisle nakonfigurovaná, jak je popsáno v následující části pro nasazení místní Azure AD ochrany heslem. Každý Azure AD proxy server ochrany heslem může podporovat pouze řadiče domény z doménové struktury, ke které je připojený.

Software Azure AD ochrany heslem v jakékoli doménové struktuře nezná software ochrany hesel, který je nasazený v jiných doménových strukturách bez ohledu na konfiguraci důvěryhodnosti služby Active Directory.

Důležité informace o řadiči domény jen pro čtení

Změny hesla nebo nastavení událostí se nezpracovávají a neuchovávají na řadičích domény jen pro čtení (ŘADIČE domény jen pro čtení). Místo toho se přeposílají na zapisovatelné řadiče domény. Na řadiče domény jen pro čtení nemusíte instalovat software agenta Azure AD password Protection DC.

Dále se nepodporuje spuštění služby proxy Azure AD ochrany heslem na řadiči domény jen pro čtení.

Důležité informace o vysoké dostupnosti

Hlavním problémem ochrany hesel je dostupnost proxy serverů Azure AD password Protection, když se řadiče domény v doménové struktuře pokusí stáhnout nové zásady nebo jiná data z Azure. Každý Azure AD agent řadiče domény pro ochranu heslem používá při rozhodování, který proxy server má volat, jednoduchý algoritmus stylu kruhového dotazování. Agent přeskočí proxy servery, které nereagují.

U většiny plně připojených nasazení služby Active Directory, které mají v pořádku replikaci stavu složky adresářů i sysvol, jsou pro zajištění dostupnosti dostačující dva Azure AD proxy servery ochrany heslem. Výsledkem této konfigurace je včasné stažení nových zásad a dalších dat. V případě potřeby můžete nasadit další proxy servery Azure AD heslem.

Návrh softwaru agenta DC pro ochranu před heslem Azure AD snižuje obvyklé problémy spojené s vysokou dostupností. Agent řadiče domény pro ochranu hesel Azure AD udržuje místní mezipaměť naposledy stažených zásad hesel. I když jsou všechny registrované proxy servery nedostupné, budou agenti řadiče domény Azure AD heslem dál vynucovat zásady hesla uložené v mezipaměti.

Přiměřenou četnost aktualizací zásad hesel ve velkém nasazení je obvykle dny, ne hodiny nebo méně. Krátké výpadky proxy serverů tedy nemají významný vliv na Azure AD ochranu heslem.

Požadavky nasazení

Informace o licencování najdete v tématu Azure AD licenční požadavky na ochranu heslem.

Platí následující základní požadavky:

  • Všechny počítače, včetně řadičů domény, které mají nainstalované Azure AD součásti ochrany heslem, musí mít nainstalovaný modul Universal C Runtime.

    • Modul runtime můžete získat tím, že se ujistěte, že máte všechny aktualizace z služba Windows Update. Nebo ho můžete získat v balíčku aktualizací specifickém pro operační systém. Další informace najdete v tématu Aktualizace modulu Universal C Runtime ve Windows.
  • Potřebujete účet s oprávněními správce domény služby Active Directory v kořenové doméně doménové struktury k registraci Windows Server Active Directory doménové struktury v Azure AD.

  • Služba distribuce klíčů musí být povolena na všech řadičích domény v doméně, na kterých běží Windows Server 2012 a novější verze. Ve výchozím nastavení je tato služba povolená prostřednictvím ručního spuštění triggeru.

  • Síťové připojení musí existovat mezi alespoň jedním řadičem domény v každé doméně a alespoň jedním serverem, který je hostitelem proxy služby pro Azure AD ochranu heslem. Toto připojení musí řadiči domény umožnit přístup k portu mapperu koncového bodu RPC 135 a portu serveru RPC ve službě proxy.

    • Ve výchozím nastavení je port serveru RPC dynamický port RPC z rozsahu (49152 – 65535), ale dá se nakonfigurovat tak, aby používal statický port.
  • Všechny počítače, na kterých se nainstaluje služba proxy Azure AD heslem, musí mít síťový přístup k následujícím koncovým bodům:

    Koncový bod Účel
    https://login.microsoftonline.com Žádosti o ověření
    https://enterpriseregistration.windows.net Azure AD funkce ochrany heslem

Poznámka

Některé koncové body, jako je koncový bod seznamu CRL, nejsou v tomto článku vyřešeny. Seznam všech podporovaných koncových bodů najdete v adresách URL Microsoftu 365 a rozsahech IP adres.

Azure AD agenta řadiče domény pro ochranu heslem

Pro agenta řadiče domény Azure AD ochrany heslem platí následující požadavky:

  • Počítače, na kterých se nainstaluje software agenta DC pro ochranu před Azure AD heslem, může běžet libovolná podporovaná verze Windows Serveru, včetně edic Windows Server Core.
    • Doména nebo doménová struktura služby Active Directory může být libovolná podporovaná funkční úroveň.
  • Všechny počítače, na kterých se nainstaluje agent dc pro ochranu před heslem Azure AD, musí mít nainstalované rozhraní .NET 4.7.2.
  • Každá doména služby Active Directory, která spouští službu agenta dc Azure AD ochrany heslem, musí pro replikaci sysvol používat replikaci distribuovaného systému souborů (DFSR).
    • Pokud vaše doména ještě nepoužívá DFSR, musíte před instalací Azure AD ochrany heslem migrovat. Další informace najdete v tématu Průvodce migrací replikace SYSVOL: FRS do replikace DFS

      Upozornění

      Software agenta řadiče domény Azure AD heslem se v současné době nainstaluje na řadiče domény v doménách, které stále používají službu FRS (předchůdce technologie dfsR) pro replikaci sysvol, ale software nebude v tomto prostředí správně fungovat.

      Další negativní vedlejší účinky zahrnují jednotlivé soubory, které se nedají replikovat, a postupy obnovení sysvol se zdá být úspěšné, ale bezobslužné selhání replikace všech souborů.

      Migrujte doménu tak, aby používala DFSR co nejdříve, a to jak pro základní výhody DFSR, tak pro odblokování nasazení Azure AD ochrany heslem. Budoucí verze softwaru budou automaticky zakázány při spuštění v doméně, která stále používá službu FRS.

proxy služba Azure AD heslem

Následující požadavky platí pro službu proxy proxy serveru Azure AD heslem:

  • Všechny počítače, na kterých bude nainstalovaná služba proxy Azure AD heslem, musí běžet Windows Server 2012 R2 nebo novější, včetně edicí Windows Server Core.

    Poznámka

    Nasazení služby proxy serveru Azure AD heslem je povinným požadavkem pro nasazení služby Azure AD Password Protection, i když řadič domény může mít odchozí přímé připojení k internetu.

  • Všechny počítače, na kterých se nainstaluje Azure AD proxy služba ochrany heslem, musí mít nainstalované rozhraní .NET 4.7.2.

  • Všechny počítače, které hostují proxy službu Azure AD ochrana heslem, musí být nakonfigurované tak, aby řadičům domény udělily možnost přihlásit se ke službě proxy. Tato schopnost se řídí přiřazením oprávnění Přístup k tomuto počítači ze sítě.

  • Všechny počítače, které hostují proxy službu Azure AD ochrana heslem, musí být nakonfigurované tak, aby povolovaly odchozí provoz PROTOKOLU TLS 1.2 HTTP.

  • Účet globálního správce se vyžaduje k registraci služby proxy Azure AD password Protection poprvé v daném tenantovi. Následné registrace proxy serveru a doménové struktury s Azure AD mohou používat účet s přihlašovacími údaji globálního správce nebo správce zabezpečení.

  • Pro sadu portů a adres URL zadaných v postupech nastavení prostředí proxy aplikací musí být povolený síťový přístup. Toto je kromě dvou koncových bodů popsaných výše.

požadavky na Microsoft Azure AD Connect Agent Updater

Služba Microsoft Azure AD Connect Agent Updater se instaluje souběžně se službou proxy Azure AD password protection. K tomu, aby služba updater agenta connect Microsoft Azure AD mohla fungovat, je potřeba provést další konfiguraci:

Upozornění

Azure AD proxy serveru ochrany heslem a Azure AD proxy aplikací nainstalovat různé verze služby Microsoft Azure AD Connect Agent Updater, proto pokyny odkazují na proxy aplikací obsah. Tyto různé verze nejsou při instalaci vedle sebe nekompatibilní a tím zabrání službě Agent Updater kontaktovat Azure pro aktualizace softwaru, takže byste nikdy neměli instalovat Azure AD proxy serveru ochrany heslem a proxy aplikací na stejném počítači.

Stažení požadovaného softwaru

Pro nasazení místní Azure AD ochrany heslem existují dva požadované instalační programy:

  • Azure AD agenta dc ochrany heslem (AzureADPasswordProtectionDCAgentSetup.msi)
  • proxy Azure AD heslem (AzureADPasswordProtectionProxySetup.exe)

Stáhněte si oba instalační programy z webu Microsoft Download Center.

Instalace a konfigurace proxy služby

Proxy služba Azure AD heslem je obvykle na členském serveru ve vašem místním prostředí SLUŽBY AD DS. Po instalaci služba proxy Azure AD heslem komunikuje s Azure AD, aby se zachovala kopie globálního a zákaznického seznamu zakázaných hesel pro vašeho tenanta Azure AD.

V další části nainstalujete agenty řadiče domény Azure AD ochrany heslem na řadiče domény ve vašem místním prostředí SLUŽBY AD DS. Tito agenti řadiče domény komunikují se službou proxy, aby získali nejnovější seznamy zakázaných hesel pro použití při zpracování událostí změn hesel v rámci domény.

Vyberte jeden nebo více serverů pro hostování služby proxy serveru Azure AD heslem. Pro servery platí následující aspekty:

  • Každá taková služba může poskytovat zásady hesel pouze pro jednu doménovou strukturu. Hostitelský počítač musí být připojený k jakékoli doméně v této doménové struktuře.
  • Službu proxy můžete nainstalovat buď do kořenových nebo podřízených domén, nebo do kombinace těchto domén.
  • Potřebujete síťové připojení mezi alespoň jedním řadičem domény v každé doméně doménové struktury a jedním proxy serverem ochrany heslem.
  • Proxy službu Azure AD Password Protection můžete spustit na řadiči domény pro účely testování, ale tento řadič domény pak vyžaduje připojení k internetu. Toto připojení může být problém se zabezpečením. Tuto konfiguraci doporučujeme jenom pro testování.
  • Pro redundanci doporučujeme aspoň dva Azure AD proxy servery ochrany heslem pro každou doménovou strukturu, jak je uvedeno v předchozí části o důležitých aspektech vysoké dostupnosti.
  • Není podporováno spuštění služby proxy Azure AD ochrany heslem na řadiči domény jen pro čtení.

Pokud chcete nainstalovat službu proxy Azure AD ochrany heslem, proveďte následující kroky:

  1. Pokud chcete nainstalovat službu proxy Azure AD ochrany heslem, spusťte AzureADPasswordProtectionProxySetup.exe instalační program softwaru.

    Instalace softwaru nevyžaduje restartování a může být automatizovaná pomocí standardních postupů MSI, jako v následujícím příkladu:

    AzureADPasswordProtectionProxySetup.exe /quiet
    

    Poznámka

    Služba Windows Firewall musí být spuštěná před instalací AzureADPasswordProtectionProxySetup.exe balíčku, aby se zabránilo chybě instalace.

    Pokud je brána Windows Firewall nakonfigurovaná tak, aby se nespustí, je alternativním řešením dočasné povolení a spuštění služby Firewall během instalace. Proxy software nemá po instalaci žádnou specifickou závislost na bráně Windows Firewall.

    Pokud používáte bránu firewall třetí strany, musí být pořád nakonfigurovaná tak, aby splňovala požadavky na nasazení. Patří mezi ně povolení příchozího přístupu k portu 135 a portu proxy serveru RPC. Další informace najdete v předchozí části s požadavky na nasazení.

  2. Proxy software Azure AD heslem zahrnuje nový modul PowerShellu. AzureADPasswordProtection Následující kroky spustí různé rutiny z tohoto modulu PowerShellu.

    Pokud chcete tento modul použít, otevřete okno PowerShellu jako správce a naimportujte nový modul následujícím způsobem:

    Import-Module AzureADPasswordProtection
    

    Upozornění

    Je nutné použít 64bitovou verzi PowerShellu. Některé rutiny nemusí s PowerShellem (x86) fungovat.

  3. Pokud chcete zkontrolovat, jestli je spuštěná služba proxy Azure AD heslem, použijte následující příkaz PowerShellu:

    Get-Service AzureADPasswordProtectionProxy | fl
    

    Výsledek by měl zobrazit stavspuštění.

  4. Proxy služba běží na počítači, ale nemá přihlašovací údaje ke komunikaci s Azure AD. Pomocí rutiny zaregistrujte proxy server Azure AD ochrany heslem Azure ADRegister-AzureADPasswordProtectionProxy.

    Tato rutina vyžaduje přihlašovací údaje globálního správce při prvním registraci proxy serveru pro daného tenanta. Následné registrace proxy serveru v daném tenantovi, ať už pro stejné nebo různé proxy servery, můžou používat přihlašovací údaje globálního správce nebo správce zabezpečení .

    Po úspěšném provedení tohoto příkazu budou další vyvolání také úspěšné, ale nejsou nutné.

    Tato rutina Register-AzureADPasswordProtectionProxy podporuje následující tři režimy ověřování. První dva režimy podporují Azure AD Multi-Factor Authentication, ale třetí režim ne.

    Tip

    Může dojít ke znatelné prodlevě před prvním dokončením spuštění této rutiny pro konkrétního tenanta Azure. Pokud se neohlásí selhání, nedělejte si starosti s tímto zpožděním.

    • Interaktivní režim ověřování:

      Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
      

      Poznámka

      Tento režim nefunguje v operačních systémech Jádra serveru. Místo toho použijte jeden z následujících režimů ověřování. Tento režim může také selhat, pokud je povolená konfigurace rozšířeného zabezpečení aplikace Internet Explorer. Alternativním řešením je zakázat tuto konfiguraci, zaregistrovat proxy server a pak ho znovu povolit.

    • Režim ověřování kódu zařízení:

      Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
      

      Po zobrazení výzvy otevřete webový prohlížeč a zadejte ověřovací kód.

    • Režim bezobslužné ověřování (založené na heslech):

      $globalAdminCredentials = Get-Credential
      Register-AzureADPasswordProtectionProxy -AzureCredential $globalAdminCredentials
      

      Poznámka

      Tento režim selže, pokud se pro váš účet vyžaduje vícefaktorové ověřování Azure AD. V takovém případě použijte jeden z předchozích dvou režimů ověřování nebo použijte jiný účet, který nevyžaduje vícefaktorové ověřování.

      Pokud je registrace zařízení Azure (která se používá v rámci Azure AD ochrany heslem) nakonfigurovaná tak, aby globálně vyžadovala vícefaktorové ověřování, může se zobrazit také vícefaktorové ověřování. Pokud chcete tento požadavek obejít, můžete použít jiný účet, který podporuje vícefaktorové ověřování s jedním z předchozích dvou režimů ověřování, nebo můžete dočasně uvolnit požadavek MFA registrace zařízení Azure.

      Pokud chcete tuto změnu provést, vyhledejte a vyberte Azure Active Directory v Azure Portal a pak vyberte Nastavení zařízení>. Nastavte možnost Vyžadovat multi-Factor Auth pro připojení zařízení k ne. Po dokončení registrace nezapomeňte toto nastavení znovu nakonfigurovat na Ano .

      Doporučujeme, aby se požadavky vícefaktorového ověřování vynechaly jenom pro účely testování.

    V současné době nemusíte zadávat parametr -ForestCredential , který je vyhrazený pro budoucí funkce.

    Registrace služby proxy Azure AD heslem je nutná pouze jednou v době životnosti služby. Potom služba proxy Azure AD heslem automaticky provede jakoukoli jinou potřebnou údržbu.

  5. Teď zaregistrujte místní Active Directory doménovou strukturu s potřebnými přihlašovacími údaji ke komunikaci s Azure pomocí rutiny PowerShelluRegister-AzureADPasswordProtectionForest.

    Poznámka

    Pokud je ve vašem prostředí nainstalovaných více Azure AD proxy serverů ochrany heslem, nezáleží na tom, který proxy server používáte k registraci doménové struktury.

    Tato rutina vyžaduje pro vašeho tenanta Azure přihlašovací údaje globálního správce nebo správce zabezpečení . Vyžaduje také oprávnění podnikového správce místní Active Directory. Tuto rutinu musíte také spustit pomocí účtu s oprávněními místního správce. Účet Azure, který se používá k registraci doménové struktury, se může lišit od účtu místní Active Directory.

    Tento krok se spustí jednou za doménovou strukturu.

    Tato rutina Register-AzureADPasswordProtectionForest podporuje následující tři režimy ověřování. První dva režimy podporují Azure AD Multi-Factor Authentication, ale třetí režim ne.

    Tip

    Může dojít ke znatelné prodlevě před prvním dokončením spuštění této rutiny pro konkrétního tenanta Azure. Pokud se neohlásí selhání, nedělejte si starosti s tímto zpožděním.

    • Interaktivní režim ověřování:

      Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
      

      Poznámka

      Tento režim nebude fungovat v operačních systémech Jádra serveru. Místo toho použijte jeden z následujících dvou režimů ověřování. Tento režim může také selhat, pokud je povolená konfigurace rozšířeného zabezpečení aplikace Internet Explorer. Alternativním řešením je zakázat tuto konfiguraci, zaregistrovat doménovou strukturu a pak ji znovu povolit.

    • Režim ověřování kódu zařízení:

      Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
      

      Po zobrazení výzvy otevřete webový prohlížeč a zadejte ověřovací kód.

    • Režim bezobslužné ověřování (založené na heslech):

      $globalAdminCredentials = Get-Credential
      Register-AzureADPasswordProtectionForest -AzureCredential $globalAdminCredentials
      

      Poznámka

      Tento režim selže, pokud se pro váš účet vyžaduje vícefaktorové ověřování Azure AD. V takovém případě použijte jeden z předchozích dvou režimů ověřování nebo použijte jiný účet, který nevyžaduje vícefaktorové ověřování.

      Pokud je registrace zařízení Azure (která se používá v rámci Azure AD ochrany heslem) nakonfigurovaná tak, aby globálně vyžadovala vícefaktorové ověřování, může se zobrazit také vícefaktorové ověřování. Pokud chcete tento požadavek obejít, můžete použít jiný účet, který podporuje vícefaktorové ověřování s jedním z předchozích dvou režimů ověřování, nebo můžete dočasně uvolnit požadavek MFA registrace zařízení Azure.

      Pokud chcete tuto změnu provést, vyhledejte a vyberte Azure Active Directory v Azure Portal a pak vyberte Nastavení zařízení>. Nastavte možnost Vyžadovat multi-Factor Auth pro připojení zařízení k ne. Po dokončení registrace nezapomeňte toto nastavení znovu nakonfigurovat na Ano .

      Doporučujeme, aby se požadavky vícefaktorového ověřování vynechaly jenom pro účely testování.

      Tyto příklady jsou úspěšné pouze v případě, že aktuálně přihlášený uživatel je také správcem domény služby Active Directory pro kořenovou doménu. Pokud tomu tak není, můžete zadat alternativní přihlašovací údaje domény prostřednictvím parametru -ForestCredential .

    Registrace doménové struktury služby Active Directory je nutná pouze jednou v průběhu životnosti doménové struktury. Potom Azure AD agenti řadiče domény ochrany heslem v doménové struktuře automaticky provádějí jakoukoli jinou potřebnou údržbu. Po Register-AzureADPasswordProtectionForest úspěšném spuštění doménové struktury jsou další vyvolání rutiny úspěšné, ale nejsou nutné.

    Aby Register-AzureADPasswordProtectionForest bylo úspěšné, musí být v doméně proxy serveru Azure AD proxy serveru Azure AD k dispozici alespoň jeden řadič domény řadiče domény s Windows Server 2012 nebo novějším řadičem domény. Před tímto krokem není nutné nainstalovat software agenta řadiče domény Azure AD ochrana před heslem.

Konfigurace proxy služby pro komunikaci prostřednictvím proxy serveru HTTP

Pokud vaše prostředí vyžaduje použití konkrétního proxy serveru HTTP ke komunikaci s Azure, nakonfigurujte službu Azure AD heslem pomocí následujícího postupu.

Ve složce vytvořte AzureADPasswordProtectionProxy.exe.config soubor %ProgramFiles%\Azure AD Password Protection Proxy\Service . Zahrňte následující obsah:

<configuration>
   <system.net>
      <defaultProxy enabled="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

Pokud proxy server HTTP vyžaduje ověření, přidejte značku useDefaultCredentials :

<configuration>
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

V obou případech nahraďte http://yourhttpproxy.com:8080 adresou a portem vašeho konkrétního proxy serveru HTTP.

Pokud je váš proxy server HTTP nakonfigurovaný tak, aby používal zásady autorizace, musíte udělit přístup k účtu počítače služby Active Directory, který je hostitelem proxy služby pro ochranu heslem.

Po vytvoření nebo aktualizaci souboruAzureADPasswordProtectionProxy.exe.config doporučujeme zastavit a restartovat službu proxy Azure AD ochrany heslem.

Proxy služba nepodporuje použití konkrétních přihlašovacích údajů pro připojení k proxy serveru HTTP.

Konfigurace proxy služby pro naslouchání na konkrétním portu

Software agenta Azure AD ochrany před heslem používá protokol RPC přes TCP ke komunikaci se službou proxy. Ve výchozím nastavení služba proxy Azure AD ochrany heslem naslouchá na libovolném dostupném dynamickém koncovém bodu RPC. Službu můžete nakonfigurovat tak, aby naslouchala na konkrétním portu TCP, v případě potřeby kvůli síťové topologii nebo požadavkům brány firewall ve vašem prostředí. Při konfiguraci statického portu musíte otevřít port 135 a statický port podle vašeho výběru.

Pokud chcete službu nakonfigurovat tak, aby běžela pod statickým portem, použijte tuto rutinu Set-AzureADPasswordProtectionProxyConfiguration takto:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort <portnumber>

Upozornění

Aby se tyto změny projevily, je nutné zastavit a restartovat službu proxy Azure AD heslem.

Chcete-li nakonfigurovat službu tak, aby běžela pod dynamickým portem, použijte stejný postup, ale nastavte staticport zpět na nulu:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort 0

Upozornění

Aby se tyto změny projevily, je nutné zastavit a restartovat službu proxy Azure AD heslem.

Služba proxy serveru Azure AD heslem vyžaduje ruční restartování po jakékoli změně konfigurace portu. Po provedení těchto změn konfigurace nemusíte na řadičích domény restartovat službu agenta řadiče domény Azure AD ochrany heslem.

Pokud chcete dotazovat na aktuální konfiguraci služby, použijte rutinu Get-AzureADPasswordProtectionProxyConfiguration , jak je znázorněno v následujícím příkladu.

Get-AzureADPasswordProtectionProxyConfiguration | fl

Následující příklad výstupu ukazuje, že služba proxy serveru Azure AD heslem používá dynamický port:

ServiceName : AzureADPasswordProtectionProxy
DisplayName : Azure AD password protection Proxy
StaticPort  : 0

Instalace služby agenta DC

Pokud chcete nainstalovat Azure AD službu agenta DC pro ochranu heslem, spusťte AzureADPasswordProtectionDCAgentSetup.msi balíček.

Instalaci softwaru můžete automatizovat pomocí standardních postupů MSI, jak je znázorněno v následujícím příkladu:

msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart

Příznak /norestart můžete vynechat, pokud dáváte přednost automatickému restartování počítače instalačním programem.

Instalace softwaru nebo odinstalace vyžaduje restartování. Tento požadavek je důvodem, že knihovny DLL filtru hesel jsou načteny nebo uvolněny pouze restartováním.

Instalace místní Azure AD ochrana heslem je dokončena po instalaci softwaru agenta DC na řadiči domény a restartování tohoto počítače. Nevyžaduje se žádná jiná konfigurace ani není možná. Události změny hesla u místních řadičů domény používají nakonfigurované seznamy zakázaných hesel z Azure AD.

Pokud chcete povolit místní Azure AD ochranu heslem z Azure Portal nebo nakonfigurovat vlastní zakázaná hesla, přečtěte si téma Povolení místní ochrany Azure AD heslem.

Tip

Agenta řadiče domény Azure AD ochrany heslem můžete nainstalovat na počítač, který ještě není řadičem domény. V tomto případě se služba spustí a spustí, ale zůstane neaktivní, dokud se počítač nezvykne jako řadič domény.

Upgrade proxy služby

Proxy služba Azure AD heslem podporuje automatický upgrade. Automatický upgrade používá službu Microsoft Azure AD Connect Agent Updater, která je nainstalovaná vedle služby proxy. Automatické upgrade je ve výchozím nastavení zapnuté a může být povoleno nebo zakázáno pomocí rutiny Set-AzureADPasswordProtectionProxyConfiguration .

Aktuální nastavení se dá dotazovat pomocí rutiny Get-AzureADPasswordProtectionProxyConfiguration . Doporučujeme, aby nastavení automatického upgradu bylo vždy povolené.

Rutina Get-AzureADPasswordProtectionProxy se může použít k dotazování softwarové verze všech aktuálně nainstalovaných Azure AD proxy serverů ochrany heslem v doménové struktuře.

Poznámka

Proxy služba se automaticky upgraduje pouze na novější verzi, pokud jsou potřeba důležité opravy zabezpečení.

Ruční proces upgradu

Ruční upgrade se provádí spuštěním nejnovější verze instalačního AzureADPasswordProtectionProxySetup.exe programu softwaru. Nejnovější verze softwaru je k dispozici na webu Microsoft Download Center.

Není nutné odinstalovat aktuální verzi proxy služby Azure AD Password Protection – instalační program provede místní upgrade. Při upgradu proxy služby by se nemělo vyžadovat žádné restartování. Upgrade softwaru může být automatizovaný pomocí standardních postupů MSI, například AzureADPasswordProtectionProxySetup.exe /quiet.

Upgrade agenta DC

Pokud je k dispozici novější verze softwaru agenta dc pro ochranu hesel Azure AD, provede se upgrade spuštěním nejnovější verze softwarového AzureADPasswordProtectionDCAgentSetup.msi balíčku. Nejnovější verze softwaru je k dispozici na webu Microsoft Download Center.

Není nutné odinstalovat aktuální verzi softwaru agenta ŘADIČE domény – instalační program provádí místní upgrade. Při upgradu softwaru agenta DC se vždy vyžaduje restartování – tento požadavek je způsoben základním chováním systému Windows.

Upgrade softwaru může být automatizovaný pomocí standardních postupů MSI, například msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart.

Pokud dáváte přednost automatickému restartování počítače, můžete příznak vynechat /norestart .

Rutina Get-AzureADPasswordProtectionDCAgent se může použít k dotazování softwarové verze všech aktuálně nainstalovaných agentů Azure AD agentů řadiče domény ochrany heslem v doménové struktuře.

Další kroky

Teď, když jste nainstalovali služby, které potřebujete pro ochranu hesel Azure AD na místních serverech, povolte místní Azure AD ochranu heslem v Azure Portal k dokončení nasazení.