Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Entra Password Protection détecte et bloque les mots de passe faibles connus et leurs variantes, et peut également bloquer des termes faibles supplémentaires spécifiques à votre organisation. Le déploiement local de la protection par mot de passe Microsoft Entra utilise les mêmes listes globales et personnalisées de mots de passe interdits stockées dans l’ID Microsoft Entra, et vérifie les modifications de mot de passe locales que l’ID Microsoft Entra pour les modifications basées sur le cloud. Ces vérifications sont effectuées lors des modifications de mot de passe et des événements de réinitialisation de mot de passe par les contrôleurs de domaine Active Directory Domain Services (AD DS) locaux.
Principes de conception
La protection par mot de passe Microsoft Entra est conçue avec les principes suivants à l’esprit :
- Les contrôleurs de domaine n’ont jamais à communiquer directement avec Internet.
- Aucun nouveau port réseau n'est ouvert sur les DC (contrôleurs de domaine).
- Aucune modification du schéma AD DS n’est requise. Le logiciel utilise le conteneur AD DS existant et les objets de schéma serviceConnectionPoint .
- Tout domaine AD DS ou niveau fonctionnel de forêt pris en charge peut être utilisé.
- Le logiciel ne crée pas de compte ni n’en exige dans les domaines AD DS qu’il protège.
- Les mots de passe en texte clair de l’utilisateur ne quittent jamais le contrôleur de domaine, soit pendant les opérations de validation de mot de passe, soit à tout autre moment.
- Le logiciel ne dépend pas d’autres fonctionnalités de Microsoft Entra. Par exemple, la synchronisation de hachage de mot de passe Microsoft Entra (PHS) n’est pas liée ou requise pour la protection par mot de passe Microsoft Entra.
- Le déploiement incrémentiel est pris en charge, mais la stratégie de mot de passe est appliquée uniquement à l’emplacement où l’agent du contrôleur de domaine (agent DC) est installé.
Déploiement incrémentiel
Microsoft Entra Password Protection prend en charge le déploiement incrémentiel entre les contrôleurs de domaine (DCs) dans un domaine AD DS. Il est important de comprendre ce que cela signifie vraiment et ce que sont les compromis.
Le logiciel de l’agent contrôleur de domaine de protection par mot de passe Microsoft Entra ne peut valider que les mots de passe lorsqu’il est installé sur un contrôleur de domaine et uniquement pour les modifications de mot de passe envoyées à ce contrôleur de domaine. Il n’est pas possible de contrôler les contrôleurs de domaine choisis par les ordinateurs clients Windows pour le traitement des modifications de mot de passe utilisateur. Pour garantir un comportement cohérent et l’application universelle de la sécurité de la protection par mot de passe Microsoft Entra, le logiciel de l’agent DC doit être installé sur tous les contrôleurs de domaine d’un domaine.
De nombreuses organisations souhaitent tester soigneusement la protection par mot de passe Microsoft Entra sur un sous-ensemble de leurs contrôleurs de domaine avant un déploiement complet. Pour prendre en charge ce scénario, Microsoft Entra Password Protection prend en charge le déploiement partiel. Le logiciel de l’agent DC sur un contrôleur de domaine donné valide activement les mots de passe même si d’autres contrôleurs de domaine du domaine n’ont pas installé le logiciel de l’agent DC. Les déploiements partiels de ce type ne sont pas sécurisés et ne sont pas recommandés à des fins de test.
Diagramme architectural
Il est important de comprendre les concepts de conception et de fonction sous-jacents avant de déployer la protection par mot de passe Microsoft Entra dans un environnement AD DS local. Le diagramme suivant montre comment les composants de la protection par mot de passe Microsoft Entra fonctionnent ensemble :
- Le service proxy de protection par mot de passe Microsoft Entra s’exécute sur n’importe quel ordinateur joint à un domaine dans la forêt AD DS actuelle. L’objectif principal du service est de transférer les demandes de téléchargement de la stratégie de mot de passe des contrôleurs de domaine vers l’ID Microsoft Entra, puis de renvoyer les réponses de l’ID Microsoft Entra au contrôleur de domaine.
- La DLL de filtre de mot de passe de l’Agent DC reçoit les demandes de validation de mot de passe utilisateur du système d’exploitation. Le filtre les transfère au service Agent DC qui s’exécute localement sur le DC.
- Le service d’agent DC de Microsoft Entra Password Protection reçoit des demandes de validation de mot de passe à partir de la DLL de filtre de mot de passe de l’agent DC. Le service de l’agent DC les traite à l’aide de la stratégie de mot de passe actuelle (disponible localement) et retourne le résultat de la réussite ou de l’échec.
Fonctionnement de la protection par mot de passe Microsoft Entra
Les composants microsoft Entra Password Protection locaux fonctionnent comme suit :
Chaque instance de service proxy de protection par mot de passe Microsoft Entra s’affiche auprès des contrôleurs de domaine de la forêt en créant un objet serviceConnectionPoint dans Active Directory.
Chaque service de l’agent du contrôleur de domaine pour la protection par mot de passe Microsoft Entra crée également un objet serviceConnectionPoint dans Active Directory. Cet objet est principalement utilisé pour la création de rapports et les diagnostics.
Le service DC Agent est chargé de lancer le téléchargement d'une nouvelle politique de mot de passe à partir de Microsoft Entra ID. La première étape consiste à localiser un service proxy de protection par mot de passe Microsoft Entra en interrogeant la forêt pour les objets proxy serviceConnectionPoint .
Lorsqu’un service proxy disponible est trouvé, l’agent DC envoie une demande de téléchargement de politique de mot de passe au service proxy. Le service proxy envoie à son tour la requête à l’ID Microsoft Entra, puis retourne la réponse au service de l’agent DC.
Une fois que le service de l'agent DC reçoit une nouvelle stratégie de mot de passe de Microsoft Entra ID, il stocke cette stratégie dans un dossier dédié à la racine du partage de dossiers sysvol de son domaine. Le service d'agent DC surveille également ce dossier au cas où des stratégies plus récentes seraient répliquées depuis d'autres services d'agent DC du domaine.
Le service Agent DC demande toujours une nouvelle stratégie au démarrage. Une fois le service de l’agent DC démarré, il vérifie l’âge de la stratégie locale actuelle disponible toutes les heures. Si la stratégie est plus ancienne d'une heure, l’agent DC demande une nouvelle stratégie à Microsoft Entra ID via le service proxy, comme décrit précédemment. Si la stratégie actuelle n’est pas antérieure à une heure, l’agent DC continue d’utiliser cette stratégie.
Lorsque les événements de modification de mot de passe sont reçus par un contrôleur de domaine, la stratégie mise en cache est utilisée pour déterminer si le nouveau mot de passe est accepté ou rejeté.
Considérations et fonctionnalités clés
- Chaque fois qu’une stratégie de mot de passe microsoft Entra Password Protection est téléchargée, cette stratégie est spécifique à un locataire. En d’autres termes, les stratégies de mot de passe sont toujours une combinaison de la liste globale de mots de passe interdits microsoft et de la liste personnalisée de mots de passe interdits par locataire.
- L’agent DC communique avec le service proxy via RPC via TCP. Le service proxy écoute ces appels sur un port RPC dynamique ou statique, en fonction de la configuration.
- L’agent DC n’écoute jamais sur un port disponible sur le réseau.
- Le service proxy n’appelle jamais le service de l’agent DC.
- Le service proxy est sans état. Il ne met jamais en cache les stratégies ou tout autre état téléchargé à partir d’Azure.
- L'inscription du proxy fonctionne en ajoutant des identifiants au Service Principal AADPasswordProtectionProxy. Ne soyez pas alarmé par les événements dans les journaux d’audit lorsque cela se produit.
- Le service de l’agent DC utilise toujours la stratégie de mot de passe localement disponible la plus récente pour évaluer le mot de passe d’un utilisateur. Si aucune stratégie de mot de passe n’est disponible sur le contrôleur de domaine local, le mot de passe est automatiquement accepté. Lorsque cela se produit, un message d’événement est enregistré pour avertir l’administrateur.
- La protection par mot de passe Microsoft Entra n’est pas un moteur d’application de politiques en temps réel. Il peut y avoir un délai entre le moment où une modification de la configuration de la politique de mot de passe est apportée dans Microsoft Entra ID et celui où cette modification atteint tous les contrôleurs de domaine avant qu'elle ne soit appliquée.
- Microsoft Entra Password Protection fait office de supplément aux stratégies de mot de passe AD DS existantes, et non pas à un remplacement. Cela inclut les autres dll de filtre de mot de passe tierces qui peuvent être installées. AD DS exige toujours que tous les composants de validation de mot de passe acceptent avant d’accepter un mot de passe.
Liaison forêt\locataire de la protection par mot de passe Microsoft Entra
Le déploiement de la protection par mot de passe Microsoft Entra dans une forêt AD DS nécessite l’inscription de cette forêt avec l’ID Microsoft Entra. Chaque service proxy déployé doit également être inscrit auprès de l’ID Microsoft Entra. Ces inscriptions de forêt et de proxy sont associées à un locataire Microsoft Entra spécifique, qui est identifié implicitement par les informations d’identification utilisées lors de l’inscription.
La forêt AD DS et tous les services proxy déployés au sein d’une forêt doivent être inscrits auprès du même locataire. Il n’est pas pris en charge pour avoir une forêt AD DS ou des services proxy dans cette forêt inscrits auprès de différents locataires Microsoft Entra. Les symptômes d’un tel déploiement mal configuré incluent l’incapacité de télécharger des stratégies de mot de passe.
Remarque
Les clients disposant de plusieurs locataires Microsoft Entra doivent donc choisir un locataire unique pour inscrire chaque forêt à des fins de protection par mot de passe Microsoft Entra.
Télécharger
Les deux programmes d’installation d’agent requis pour la protection par mot de passe Microsoft Entra sont disponibles à partir du Centre de téléchargement Microsoft.
Étapes suivantes
Pour commencer à utiliser la protection par mot de passe Microsoft Entra locale, suivez les procédures suivantes :