Compartir a través de


Planeamiento e implementación de la protección de contraseñas de Microsoft Entra en el entorno local

Los usuarios suelen crear contraseñas que usan palabras comunes locales, como una escuela, un equipo deportivo o una persona famosa. Estas contraseñas son fáciles de adivinar y poco seguras contra ataques basados en diccionarios. Para aplicar contraseñas seguras en su organización, la protección con contraseña de Microsoft Entra proporciona una lista de contraseñas prohibidas personalizadas y globales. Se produce un error en una solicitud de cambio de contraseña si hay una coincidencia en esta lista de contraseñas prohibidas.

Para proteger el entorno de Active Directory Domain Services (AD DS) local, puede instalar y configurar la protección de contraseñas de Microsoft Entra para que funcione con el DC en el entorno local. En este artículo se muestra cómo instalar y registrar el servicio de proxy de protección de contraseñas de Microsoft Entra y el agente de DC de protección de contraseñas de Microsoft Entra en el entorno local.

Para más información sobre cómo funciona la protección con contraseña de Microsoft Entra en un entorno local, consulte Aplicación de la protección con contraseña de Microsoft Entra para Windows Server Active Directory.

Estrategia de implementación

En el diagrama siguiente se muestra cómo funcionan conjuntamente los componentes básicos de la protección de contraseñas de Microsoft Entra en un entorno de Active Directory local:

Funcionamiento conjunto de los componentes de protección de contraseñas de Microsoft Entra

Es una buena idea revisar cómo funciona el software antes de implementarlo. Para más información, consulte Introducción al concepto de la protección de contraseñas de Microsoft Entra.

Le recomendamos que inicie las implementaciones en modo auditoría. El modo auditoría es el valor inicial predeterminado, donde es posible seguir estableciendo contraseñas. Las contraseñas que estuvieran bloqueadas se registran en el registro de eventos. Después de implementar los servidores proxy y los agentes de DC en el modo auditoría, supervise el impacto que tendrá la directiva de contraseñas en los usuarios al aplicar la directiva.

Durante la fase de auditoría, numerosas organizaciones han observado que se producen las siguientes situaciones:

  • Necesitan mejorar los procesos operativos existentes para utilizar contraseñas más seguras.
  • Los usuarios suelen usan contraseñas no seguras.
  • Deben informar a los usuarios sobre el próximo cambio de obligatoriedad en materia de seguridad, el posible impacto para ellos y cómo elegir contraseñas más seguras.

También es posible que la validación de contraseñas más seguras afecte a la automatización de la implementación de controladores de dominio de Active Directory existente. Es aconsejable que se produzcan, al menos, una promoción y una disminución de nivel de DC durante la evaluación del período de auditoría para ayudar a detectar dichos problemas. Vea los siguientes artículos para más información:

Después de que la característica se haya ejecutado en modo auditoría durante un período razonable, puede cambiar la configuración de Auditoría a Exigir para requerir contraseñas más seguras. Es conveniente aumentar la supervisión durante dicho período.

Es importante tener en cuenta que la protección de contraseñas de Microsoft Entra solo puede validar contraseñas durante las operaciones de cambio o establecimiento de contraseñas. Las contraseñas que se hayan aceptado y almacenado en Active Directory antes de la implementación de la protección de contraseñas de Microsoft Entra nunca se validarán y seguirán funcionando tal cual. Con el tiempo, todos los usuarios y las cuentas comenzarán a usar una contraseña validada por la protección de contraseñas de Microsoft Entra, ya que las contraseñas existentes suelen expirar. Las cuentas configuradas con la opción "la contraseña nunca expira" están exentas de esta situación.

Consideraciones sobre varios bosques

No hay ningún requisito adicional para implementar la protección de contraseñas de Microsoft Entra en varios bosques.

Cada bosque se configura de forma independiente, tal como se describe en la sección siguiente para implementar la protección de contraseñas de Microsoft Entra local. Cada proxy de protección de contraseñas de Microsoft Entra solo puede admitir controladores de dominio del bosque al que está unido.

El software de protección de contraseñas de Microsoft Entra de cualquier bosque desconoce el software de protección de contraseñas que se implementa en otros bosques, independientemente de las configuraciones de confianza de Active Directory.

Consideraciones sobre controladores de dominio de solo lectura

Los eventos de cambios o establecimientos de contraseña no se procesan ni se conservan en los controladores de dominio de solo lectura (RODC). En su lugar, se reenvían a controladores de dominio grabables. No es necesario instalar el software del agente de DC de protección de contraseñas de Microsoft Entra en RODC.

Además, no se admite la ejecución del servicio de proxy de protección de contraseñas de Microsoft Entra en un controlador de dominio de solo lectura.

Consideraciones sobre la alta disponibilidad

El problema principal para la protección de contraseñas es la disponibilidad de los servidores proxy de protección de contraseñas de Microsoft Entra cuando los controladores de dominio de un bosque intentan descargar nuevas directivas u otros datos de Azure. Cada agente de DC de protección de contraseñas de Microsoft Entra usa un algoritmo de estilo todos contra todos simple al decidir a qué servidor proxy llamar. El agente omite los servidores proxy que no responden.

Para la mayoría de las implementaciones de Active Directory completamente conectadas que tengan una replicación correcta del estado del directorio y de la carpeta sysvol, dos servidores proxy de protección de contraseñas de Microsoft Entra son suficientes para garantizar la disponibilidad. Esta configuración da como resultado la descarga oportuna de nuevas directivas y otros datos. Si lo desea, puede implementar servidores proxy de protección de contraseñas de Microsoft Entra adicionales.

El diseño del software del agente de DC de protección de contraseñas de Microsoft Entra mitiga los problemas habituales asociados con la alta disponibilidad. El agente de DC de protección de contraseñas de Microsoft Entra mantiene una memoria caché local de la directiva de contraseñas descargada más recientemente. Incluso si todos los servidores proxy registrados dejan de estar disponibles, los agentes de DC de protección de contraseñas de Microsoft Entra siguen aplicando su directiva de contraseñas en caché.

Una frecuencia de actualización razonable de las directivas de contraseñas en una implementación de gran tamaño suele ser días, no horas o menos. Por lo tanto, las interrupciones breves de los servidores proxy no afectan significativamente a la protección de contraseñas de Microsoft Entra.

Requisitos de implementación

Para más información sobre las licencias, consulte los requisitos de licencia de protección de contraseñas de Microsoft Entra.

Se aplican los siguientes requisitos principales:

  • Todas las máquinas, incluidos los controladores de dominio, en las que se instalen componentes de protección de contraseñas de Microsoft Entra deben tener instalado Universal C Runtime.

    • Puede obtener el runtime asegurándose de tener todas las actualizaciones de Windows Update. O bien, puede obtenerlo en un paquete de actualización del sistema operativo específico. Para más información, consulte Actualización para Universal C RunTime en Windows.
  • Necesita una cuenta con privilegios de administrador de dominio de Active Directory en el dominio raíz del bosque para registrar el bosque de Windows Server Active Directory en Microsoft Entra ID.

  • El servicio de distribución de claves debe habilitarse en todos los controladores de dominio del dominio que ejecutan Windows Server 2012 y versiones posteriores. De manera predeterminada, este servicio se habilita a través del inicio de un desencadenador manual.

  • Debe existir conectividad de red entre al menos un controlador de dominio de cada dominio y un servidor que hospede el servicio de proxy para la protección de contraseñas de Microsoft Entra. Esta conectividad debe permitir que el controlador de dominio pueda acceder al puerto 135 del asignador de puntos de conexión RPC y al puerto del servidor RPC del servicio de proxy.

    • De manera predeterminada, el puerto del servidor de RPC es un puerto RPC dinámico del intervalo (49152 - 65535), pero se puede configurar para utilizar un puerto estático.
  • Todas las máquinas donde se instalará el servicio de proxy de Protección con contraseña de Microsoft Entra deben tener acceso de red a los puntos de conexión siguientes:

    Punto de conexión Propósito
    https://login.microsoftonline.com Solicitudes de autenticación
    https://enterpriseregistration.windows.net Funcionalidad de la protección de contraseñas de Microsoft Entra
    https://autoupdate.msappproxy.net Funcionalidad de actualización automática de protección de contraseñas de Microsoft Entra

Nota

Algunos puntos de conexión, como el punto de conexión de CRL, no se abordan en este artículo. Para obtener una lista de todos los puntos de conexión admitidos, consulte Intervalos de direcciones IP y direcciones URL de Microsoft 365. Además, se requieren otros puntos de conexión para la autenticación del Centro de administración Microsoft Entra. Para más información, vea direcciones URL del Centro de administración Microsoft Entra para la omisión del proxy.

Agente de DC de protección de contraseñas de Microsoft Entra

Los siguientes requisitos se aplican al agente de DC de protección de contraseñas de Microsoft Entra:

  • Todas las máquinas donde se instale el software del agente de DC de protección con contraseña de Microsoft Entra deben ejecutar Windows Server 2012 R2 o posterior, incluidas las ediciones Windows Server Core.
    • El bosque o dominio de Active Directory puede ser cualquier nivel funcional compatible.
  • Todas las máquinas en las que se instale el agente de DC de protección de contraseñas de Microsoft Entra deben tener .NET 4.7.2 instalado.
  • Cualquier dominio de Active Directory que ejecute el servicio de agente de DC de protección de contraseñas de Microsoft Entra debe utilizar la replicación del Sistema de archivos distribuido (DFSR) para la replicación de sysvol.
    • Si el dominio no usa aún DFSR, debe migrarlo antes de instalar la protección de contraseñas de Microsoft Entra. Para más información, consulte la guía de migración de la replicación de SYSVOL: Replicación de FRS a DFS

      Advertencia

      El software del agente de controlador de dominio de protección de contraseñas de Microsoft Entra se instalará actualmente en los controladores de dominio de los dominios que usan aún FRS (la tecnología predecesora a DFSR) para la replicación de sysvol, pero NO funcionará correctamente en este entorno.

      Otros efectos secundarios negativos incluyen archivos individuales que no se pueden replicar y procedimientos de restauración de SYSVOL que aparentemente funcionan pero que en realidad no pueden replicar todos los archivos.

      Migre el dominio para utilizar DFSR lo antes posible, tanto por las ventajas inherentes de DFSR como para desbloquear la implementación de la protección de contraseñas de Microsoft Entra. Las versiones futuras del software se deshabilitarán automáticamente cuando se ejecuten en un dominio que aún use FRS.

Servicio de proxy de la protección de contraseñas de Microsoft Entra

Los siguientes requisitos se aplican al servicio de proxy de protección de contraseñas de Microsoft Entra:

  • Todas las máquinas en las que se instale el servicio de proxy de la protección de contraseñas de Microsoft Entra deben ejecutar Windows Server 2012 R2 o posterior, incluidas las ediciones de Windows Server Core.

    Nota

    La implementación del servicio de proxy de la protección de contraseñas de Microsoft Entra es un requisito obligatorio para la implementación de protección de contraseñas de Microsoft Entra, aunque el controlador de dominio pueda tener conectividad saliente directa a Internet.

  • Todas las máquinas en las que se instale el servicio de proxy de protección de contraseñas de Microsoft Entra deben tener .NET 4.7.2 instalado.

  • Todas las máquinas que hospedan el servicio de proxy de protección de contraseñas de Microsoft Entra deben estar configuradas para conceder a los controladores de dominio la posibilidad de iniciar sesión en el servicio de proxy. Esta capacidad se controla a través de la asignación del privilegio "Tener acceso a este equipo desde la red".

  • Todas las máquinas que hospedan el servicio de proxy de protección de contraseñas de Microsoft Entra deben estar configuradas para permitir el tráfico HTTP TLS 1.2 de salida.

  • Se requiere un administrador global para registrar el servicio de proxy de protección con contraseña de Microsoft Entra por primera vez en un inquilino determinado. Los registros de bosque y proxy posteriores con Microsoft Entra ID pueden utilizar una cuenta con al menos el rol de administrador de seguridad.

  • El acceso a la red debe estar habilitado para el conjunto de puertos y direcciones URL especificados en los procedimientos de configuración del entorno de Application Proxy. Esto se suma a los dos puntos de conexión descritos anteriormente.

Requisitos previos de Agent Updater de Microsoft Entra Connect

El servicio Agent Updater de Microsoft Entra Connect se instala en paralelo al servicio de proxy de protección de contraseñas de Microsoft Entra. Se requiere una configuración adicional para que el servicio Agent Updater de Microsoft Entra Connect pueda funcionar:

Advertencia

El proxy de protección de contraseñas de Microsoft Entra y el Application Proxy de Microsoft Entra instalan diferentes versiones del servicio Agent Updater de Microsoft Entra Connect, por lo que las instrucciones se refieren al contenido de Application Proxy. Estas versiones diferentes son incompatibles cuando se instalan en paralelo y, si lo hace, impedirá que el servicio Agent Updater se ponga en contacto con Azure para las actualizaciones de software, por lo que nunca debe instalar el proxy de protección de contraseñas y el Application Proxy de Microsoft Entra en la misma máquina.

Descarga del software necesario

Hay dos instaladores requeridos para una implementación de la protección de contraseñas de Microsoft Entra en el entorno local:

  • Agente de DC de protección de contraseñas de Microsoft Entra (AzureADPasswordProtectionDCAgentSetup.msi)
  • Proxy de protección de contraseñas de Microsoft Entra (AzureADPasswordProtectionProxySetup.exe)

Descargue ambos instaladores en el Centro de descarga de Microsoft.

Instalación y configuración del servicio de proxy

El servicio de proxy de protección de contraseñas de Microsoft Entra suele estar en un servidor miembro del entorno de AD DS local. Una vez instalado, el servicio de proxy de protección de contraseñas de Microsoft Entra se comunica con Microsoft Entra ID para mantener una copia de las listas de contraseñas prohibidas globales y del cliente para el inquilino de Microsoft Entra.

En la siguiente sección, instalará los agentes de controlador de dominio de protección de contraseñas de Microsoft Entra en los controladores de dominio del entorno de AD DS local. Estos agentes de DC se comunican con el servicio de proxy para obtener las listas de contraseñas prohibidas más recientes para utilizarlas al procesar eventos de cambio de contraseña dentro del dominio.

Elija uno o más servidores para hospedar el servicio de proxy de protección de contraseñas de Microsoft Entra. Las siguientes consideraciones se aplican a este servidor o servidores:

  • Cada servicio de este tipo solo puede proporcionar directivas de contraseñas para un único bosque. El equipo host debe estar unido a cualquier dominio de ese bosque.
  • Puede instalar el servicio proxy en los dominios raíz o secundario, o en una combinación de ellos.
  • Se necesita conexión de red entre al menos un DC en cada dominio del bosque y un servidor proxy de protección de contraseñas.
  • Puede ejecutar el servicio de proxy de protección de contraseñas de Microsoft Entra en un controlador de dominio para pruebas, pero este controlador de dominio requiere conexión a Internet. Esta conectividad puede ser un problema de seguridad. Esta configuración es recomendable solo para realizar pruebas.
  • Se recomiendan al menos dos servidores proxy con protección de contraseñas de Microsoft Entra por cada bosque para la redundancia, tal como se indica en la sección anterior acerca de las consideraciones sobre la alta disponibilidad.
  • No se admite la ejecución del servicio de proxy de protección de contraseñas de Microsoft Entra en un controlador de dominio de solo lectura.
  • Si es necesario, puede eliminar el servicio de proxy mediante Agregar o quitar programas. No se necesita ninguna limpieza manual del estado que mantiene el servicio de proxy.

Para instalar el servicio de proxy de protección de contraseñas de Microsoft Entra, siga estos pasos:

  1. Para instalar el servicio de proxy de protección de contraseñas de Microsoft Entra, ejecute el instalador de software AzureADPasswordProtectionProxySetup.exe.

    La instalación de software no requiere arranque y se puede automatizar mediante procedimientos estándar de MSI, como en el ejemplo siguiente:

    AzureADPasswordProtectionProxySetup.exe /quiet
    

    Nota

    Para evitar errores de instalación, el servicio Firewall de Windows debe estar en ejecución antes de instalar el paquete AzureADPasswordProtectionProxySetup.exe.

    Si la instancia de Firewall de Windows está configurada para no ejecutarse, la solución alternativa es habilitar temporalmente el servicio de servidor de seguridad y ejecutarlo durante la instalación. El software de proxy no tiene ninguna dependencia específica de Firewall de Windows después de la instalación.

    Si usa un servidor de seguridad de terceros, aún debe configurarse para satisfacer los requisitos de implementación. Entre ellos se incluye permitir el acceso de entrada en el puerto 135 y el puerto RPC del servidor proxy. Para más información, consulte la sección anterior sobre los requisitos de implementación.

  2. El software del proxy de protección de contraseñas de Microsoft Entra incluye un nuevo módulo de PowerShell, AzureADPasswordProtection. Los pasos siguientes ejecutan distintos cmdlets desde este módulo de PowerShell.

    Para utilizar este módulo, abra una ventana de PowerShell como administrador e importe el nuevo módulo de la siguiente manera:

    Import-Module AzureADPasswordProtection
    

    Advertencia

    Se debe usar la versión de 64 bits de PowerShell. Es posible que algunos cmdlets no funcionen con PowerShell (x86).

  3. Para comprobar que el servicio de proxy de protección de contraseñas de Microsoft Entra se está ejecutando, use el siguiente comando de PowerShell:

    Get-Service AzureADPasswordProtectionProxy | fl
    

    El resultado debería mostrar el estadoRunning.

  4. El servicio de proxy se ejecuta en la máquina, pero aún no dispone de credenciales para comunicarse con Microsoft Entra ID. Registre el servidor de proxy de protección de contraseñas de Microsoft Entra con Microsoft Entra ID mediante el cmdlet Register-AzureADPasswordProtectionProxy.

    Este cmdlet requiere credenciales de administrador global la primera vez que se registra un proxy para un inquilino determinado. Los registros de proxy posteriores en ese inquilino, ya sean para el mismo servidor proxy o para distintos servidores proxy, pueden utilizar credenciales de administrador de seguridad.

    Después de que este comando se ejecute correctamente una vez, las invocaciones adicionales también se realizarán correctamente, aunque no son necesarias.

    El cmdlet Register-AzureADPasswordProtectionProxy admite los siguientes tres modos de autenticación. Los dos primeros modos son compatibles con la autenticación multifactor de Microsoft Entra, pero el tercero no.

    Sugerencia

    Puede haber un retraso notable antes de completarse la primera vez que se ejecuta este cmdlet para un inquilino de Azure específico. A menos que se notifique un error, no se preocupe por este retraso.

    • Modo de autenticación interactiva:

      Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
      

      Nota

      Este modo no funcionará en sistemas operativos Server Core. En su lugar, use uno de los siguientes modos de autenticación. Además, es posible que se produzca un error en este modo si se habilita la configuración de seguridad mejorada de Internet Explorer. La solución alternativa consiste en inhabilitar esa configuración, registrar el servidor proxy y luego volver a habilitarla.

    • Modo de autenticación con código del dispositivo:

      Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
      

      Cuando se le solicite, siga el vínculo para abrir un navegador web e introduzca el código de autenticación.

    • Modo de autenticación silenciosa (basada en contraseña):

      $globalAdminCredentials = Get-Credential
      Register-AzureADPasswordProtectionProxy -AzureCredential $globalAdminCredentials
      

      Nota

      Se produce un error en este modo si se requiere la autenticación multifactor de Microsoft Entra para su cuenta. En ese caso, utilice uno de los dos modos de autenticación anteriores, o bien una cuenta diferente que no requiera MFA.

      Puede que también vea que es necesaria la MFA si el registro de dispositivos de Azure (que usa en segundo plano la protección de contraseñas de Microsoft Entra) se ha configurado para requerir MFA de forma global. Como solución alternativa para este requisito, puede utilizar una cuenta diferente que admita MFA con uno de los dos modos de autenticación anteriores, o bien puede relajar temporalmente el requisito de MFA de registro de dispositivos de Azure.

      Para realizar este cambio, seleccione Identidad en el centro de administración Microsoft Entra y, a continuación, seleccione Dispositivos>Configuración de dispositivos. Establezca Requerir autenticación multifactor para combinar dispositivos en No. Asegúrese de volver a configurar esta opción en una vez que se haya completado el registro.

      Se recomienda omitir los requisitos de MFA solo con fines de prueba.

    Actualmente, no se requiere especificar el parámetro -ForestCredential, que está reservado para una futura funcionalidad.

    El registro del servicio de proxy de protección de contraseñas de Microsoft Entra solo se debe hacer una vez a lo largo de la duración del servicio. A partir de ese momento, el servicio de proxy de protección de contraseñas de Microsoft Entra realizará automáticamente todas las demás tareas de mantenimiento necesarias.

  5. Para asegurarse de que los cambios surtan efecto, ejecute Test-AzureADPasswordProtectionProxyHealth -TestAll. Para obtener ayuda a la hora de resolver errores, consulte Solución de problemas: protección de contraseñas de Microsoft Entra en el entorno local.

  6. Registre ahora el bosque de Active Directory local con las credenciales necesarias para comunicarse con Azure mediante el cmdlet Register-AzureADPasswordProtectionForest de PowerShell.

    Nota

    Si hay varios servidores proxy de protección de contraseñas de Microsoft Entra instalados en el entorno, da igual el servidor proxy que utilice para registrar el bosque.

    El cmdlet requiere credenciales de administrador global o administrador de seguridad para el inquilino de Azure. También requiere privilegios de administrador de empresa de Active Directory local. También debe ejecutar este cmdlet mediante una cuenta con privilegios de administrador local. La cuenta de Azure que se usa para registrar el bosque puede ser diferente de la cuenta de Active Directory local.

    Este paso se ejecuta una vez por bosque.

    El cmdlet Register-AzureADPasswordProtectionForest admite los siguientes tres modos de autenticación. Los dos primeros modos son compatibles con la autenticación multifactor de Microsoft Entra, pero el tercero no.

    Sugerencia

    Puede haber un retraso notable antes de completarse la primera vez que se ejecuta este cmdlet para un inquilino de Azure específico. A menos que se notifique un error, no se preocupe por este retraso.

    • Modo de autenticación interactiva:

      Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
      

      Nota

      Este modo no funcionará en sistemas operativos Server Core. En su lugar, use uno de los dos siguientes modos de autenticación. Además, es posible que se produzca un error en este modo si se habilita la configuración de seguridad mejorada de Internet Explorer. La solución alternativa consiste en inhabilitar esa configuración, registrar el bosque y luego volver a habilitarla.

    • Modo de autenticación con código del dispositivo:

      Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
      

      Cuando se le solicite, siga el vínculo para abrir un navegador web e introduzca el código de autenticación.

    • Modo de autenticación silenciosa (basada en contraseña):

      $globalAdminCredentials = Get-Credential
      Register-AzureADPasswordProtectionForest -AzureCredential $globalAdminCredentials
      

      Nota

      Se produce un error en este modo si se requiere la autenticación multifactor de Microsoft Entra para su cuenta. En ese caso, utilice uno de los dos modos de autenticación anteriores, o bien una cuenta diferente que no requiera MFA.

      Puede que también vea que es necesaria la MFA si el registro de dispositivos de Azure (que usa en segundo plano la protección de contraseñas de Microsoft Entra) se ha configurado para requerir MFA de forma global. Como solución alternativa para este requisito, puede utilizar una cuenta diferente que admita MFA con uno de los dos modos de autenticación anteriores, o bien puede relajar temporalmente el requisito de MFA de registro de dispositivos de Azure.

      Para realizar este cambio, seleccione Identidad en el centro de administración Microsoft Entra y, a continuación, seleccione Dispositivos>Configuración de dispositivos. Establezca Requerir autenticación multifactor para combinar dispositivos en No. Asegúrese de volver a configurar esta opción en una vez que se haya completado el registro.

      Se recomienda omitir los requisitos de MFA solo con fines de prueba.

      Los ejemplos anteriores solo generarán un resultado correcto si el usuario que haya iniciado sesión también es un administrador de dominios de Active Directory para el dominio raíz. De no ser así, puede proporcionar credenciales de dominio alternativas a través del parámetro -ForestCredential.

    El registro del bosque de Active Directory solo se tiene que hacer una vez durante la duración del bosque. A partir de ese momento, los agentes de DC de protección de contraseñas de Microsoft Entra en el bosque realizan automáticamente todas las demás tareas de mantenimiento necesarias. Después de que Register-AzureADPasswordProtectionForest se ejecute correctamente para un bosque, las invocaciones adicionales del cmdlet se realizan correctamente, pero no son necesarias.

    Para que Register-AzureADPasswordProtectionForest funcione correctamente, debe haber al menos un DC que ejecute Windows Server 2012 o una versión posterior disponible en el dominio del servidor proxy de protección de contraseñas de Microsoft Entra. No hace falta instalar el software de agente de controlador de dominio de protección de contraseñas de Microsoft Entra en ningún controlador de dominio antes de este paso.

  7. Para asegurarse de que los cambios surtan efecto, ejecute Test-AzureADPasswordProtectionProxyHealth -TestAll. Para obtener ayuda a la hora de resolver errores, consulte Solución de problemas: protección de contraseñas de Microsoft Entra en el entorno local.

Configuración del servicio de proxy para que se comunique mediante un proxy HTTP

Si su entorno requiere el uso de un proxy HTTP específico para comunicarse con Azure, siga estos pasos para configurar el servicio de protección de contraseñas de Microsoft Entra.

Cree un archivo AzureADPasswordProtectionProxy.exe.config en la carpeta %ProgramFiles%\Azure AD Password Protection Proxy\Service. Incluya el siguiente contenido:

<configuration>
   <system.net>
      <defaultProxy enabled="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

Si el proxy de HTTP requiere autenticación, agregue la etiqueta useDefaultCredentials:

<configuration>
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

En ambos casos, reemplace http://yourhttpproxy.com:8080 con la dirección y el puerto del servidor proxy HTTP específico.

Si el proxy HTTP se configuró para utilizar una directiva de autorización, debe conceder acceso a la cuenta de equipo de Active Directory de la máquina que hospeda el servicio de proxy para la protección con contraseña.

Se recomienda detener y reiniciar el servicio de proxy de protección de contraseñas de Microsoft Entra después de crear o actualizar el archivo AzureADPasswordProtectionProxy.exe.config.

El servicio de proxy no admite el uso de credenciales específicas para conectarse a un servidor proxy de HTTP.

Configuración del servicio de proxy para la escucha en un puerto específico

El software de agente de DC de protección de contraseñas de Microsoft Entra usa RPC a través de TCP para comunicarse con el servicio de proxy. De manera predeterminada, el servicio de proxy de protección de contraseñas de Microsoft Entra escucha en cualquier punto de conexión RPC dinámico disponible. Puede configurar el servicio de modo que escuche en un puerto TCP específico si fuera necesario debido a la topología de red o los requisitos del servidor de seguridad del entorno. Al configurar un puerto estático, debe abrir el puerto 135 y el puerto estático de su elección.

Para configurar el servicio de modo que se ejecute en un puerto estático, utilice el cmdlet Set-AzureADPasswordProtectionProxyConfiguration del modo siguiente:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort <portnumber>

Advertencia

Debe detener y reiniciar el servicio de proxy de protección de contraseñas de Microsoft Entra para que estos cambios entren en vigor.

Para configurar el servicio de modo que se ejecute en un puerto dinámico, aplique el mismo procedimiento, pero vuelva a establecer el valor del puerto estático en cero:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort 0

Advertencia

Debe detener y reiniciar el servicio de proxy de protección de contraseñas de Microsoft Entra para que estos cambios entren en vigor.

El servicio de proxy de protección de contraseñas de Microsoft Entra requiere un reinicio manual después de cualquier cambio de configuración del puerto. No tendrá que reiniciar el servicio de agente de controlador de dominio de protección de contraseñas de Microsoft Entra en los controladores de dominio después de realizar estos cambios de configuración.

Para consultar la configuración actual del servicio, use el cmdlet Get-AzureADPasswordProtectionProxyConfiguration tal como se muestra en el ejemplo siguiente:

Get-AzureADPasswordProtectionProxyConfiguration | fl

El siguiente ejemplo de salida muestra que el servicio de proxy de protección de contraseñas de Microsoft Entra usa un puerto dinámico:

ServiceName : AzureADPasswordProtectionProxy
DisplayName : Azure AD password protection Proxy
StaticPort  : 0

Instalación del servicio de agente de DC

Para instalar el servicio de agente de DC de protección de contraseñas de Microsoft Entra, ejecute el paquete AzureADPasswordProtectionDCAgentSetup.msi.

Puede automatizar la instalación de software mediante procedimientos estándares de MSI, tal como se muestra en el ejemplo siguiente:

msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart

Se puede omitir la marca /norestart si prefiere que el instalador arranque automáticamente la máquina.

La instalación de software, o la desinstalación, requiere un reinicio. Este requisito se debe a que los archivos DLL de filtro de contraseña solo se cargan o descargan al reiniciar.

La instalación de la protección de contraseñas de Microsoft Entra local se habrá completado después de que se haya instalado el software de agente de controlador de dominio en un controlador de dominio y ese ordenador se arranque. No se requiere ni se permite ninguna otra configuración. Los eventos de cambio de contraseña en los DC locales utilizan las listas de contraseñas prohibidas configuradas de Microsoft Entra ID.

Para habilitar la protección de contraseñas de Microsoft Entra en el entorno local o configurar contraseñas prohibidas personalizadas, vea Habilitar la protección de contraseñas de Microsoft Entra en el entorno local.

Sugerencia

Puede instalar el agente de controlador de dominio de protección de contraseñas de Microsoft Entra en una máquina que todavía no sea un controlador de dominio. En este caso, el servicio se inicia y ejecuta, pero estará inactivo hasta que la máquina se promueva para convertirse en un controlador de dominio.

Actualización del servicio de proxy

El servicio de proxy de protección de contraseñas de Microsoft Entra admite la actualización automática. La actualización automática utiliza el servicio Agent Updater de Microsoft Entra Connect, que se instala en paralelo al servicio de proxy. La actualización automática está activada de manera predeterminada y puede habilitarse o inhabilitarse mediante el cmdlet Set-AzureADPasswordProtectionProxyConfiguration.

La configuración actual se puede consultar mediante el cmdlet Get-AzureADPasswordProtectionProxyConfiguration. Se recomienda que la configuración de actualización automática siempre esté habilitada.

El cmdlet Get-AzureADPasswordProtectionProxy se puede utilizar para consultar la versión del software de todos los servidores proxy de protección de contraseñas de Microsoft Entra instalados actualmente en un bosque.

Nota

El servicio proxy solo se actualizará automáticamente a una versión más reciente cuando se necesiten parches de seguridad críticos.

Proceso de actualización manual

Una actualización manual se realiza mediante la ejecución de la última versión del instalador de software AzureADPasswordProtectionProxySetup.exe. La última versión del software está disponible en el Centro de descarga de Microsoft.

No es necesario desinstalar la versión actual del servicio de proxy de protección de contraseñas de Microsoft Entra: el instalador realiza una actualización local. Cuando se actualiza el servicio de proxy no es preciso arrancar el sistema. La actualización de software puede automatizarse mediante procedimientos MSI estándar, como AzureADPasswordProtectionProxySetup.exe /quiet.

Actualización del agente de DC

Cuando haya disponible una versión más reciente del software de agente de DC de protección de contraseñas de Microsoft Entra, la actualización se realiza mediante la ejecución de la última versión del paquete de software AzureADPasswordProtectionDCAgentSetup.msi. La última versión del software está disponible en el Centro de descarga de Microsoft.

No es necesario desinstalar la versión actual del software de agente de DC: el instalador realiza una actualización local. Al actualizar el software del agente de DC siempre es preciso arrancar el equipo; este requisito se debe al comportamiento principal de Windows.

La actualización de software puede automatizarse mediante procedimientos MSI estándar, como msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart.

Puede omitir la marca /norestart si prefiere que el instalador arranque automáticamente la máquina.

El cmdlet Get-AzureADPasswordProtectionDCAgent se puede utilizar para consultar la versión del software de todos los agentes de DC de protección de contraseñas de Microsoft Entra instalados actualmente en un bosque.

Pasos siguientes

Ahora que ha instalado los servicios que necesita para la protección de contraseñas de Microsoft Entra en los servidores del entorno local, habilite la protección de contraseñas de Microsoft Entra local para completar su implementación.