Helyszíni Azure AD Jelszóvédelem kényszerítése Active Directory tartományi szolgáltatások

Azure AD Password Protection észleli és letiltja az ismert gyenge jelszavakat és azok változatait, valamint a szervezetre jellemző további gyenge kifejezéseket is blokkolhat. A Azure AD Password Protection helyszíni telepítése ugyanazokat a globális és egyéni tiltott jelszólistákat használja, amelyeket a Azure AD tárol, és ugyanazokat a helyszíni jelszómódosításokat ellenőrzi, mint Azure AD a felhőalapú módosítások esetében. Ezek az ellenőrzések a jelszómódosítások és a jelszó-visszaállítási események során történnek helyi Active Directory Tartományi szolgáltatások (AD DS) tartományvezérlőin.

Tervezési alapelvek

Azure AD Jelszóvédelem a következő alapelveket szem előtt tartva lett kialakítva:

  • A tartományvezérlőknek soha nem kell közvetlenül az internettel kommunikálniuk.
  • Nincsenek új hálózati portok megnyitva a tartományvezérlőkön.
  • Nincs szükség az AD DS sémamódosítására. A szoftver a meglévő AD DS-tárolót és serviceConnectionPoint sémaobjektumokat használja.
  • Bármely támogatott AD DS-tartomány vagy erdő működési szint használható.
  • A szoftver nem hoz létre vagy igényel fiókokat az általa védett AD DS-tartományokban.
  • A felhasználói egyértelmű szöveges jelszavak soha nem hagyják el a tartományvezérlőt sem a jelszóérvényesítési műveletek során, sem máskor.
  • A szoftver nem függ más Azure AD funkcióktól. Például Azure AD jelszókivonat-szinkronizálás (PHS) nem kapcsolódik vagy szükséges Azure AD Jelszóvédelem szolgáltatáshoz.
  • A növekményes üzembe helyezés támogatott, de a jelszóházirend csak akkor lesz érvényesítve, ha a tartományvezérlő ügynök (DC Agent) telepítve van.

Növekményes üzembe helyezés

Azure AD Password Protection támogatja a növekményes üzembe helyezést a tartományvezérlők között egy AD DS-tartományban. Fontos megérteni, hogy ez mit jelent, és mik a kompromisszumok.

A Azure AD Password Protection tartományvezérlő ügynökszoftvere csak akkor tudja érvényesíteni a jelszavakat, ha az egy tartományvezérlőre van telepítve, és csak az adott tartományvezérlőnek küldött jelszómódosítások esetében. Nem szabályozható, hogy a Windows-ügyfélgépek mely tartományvezérlőket választják ki a felhasználói jelszavak módosításának feldolgozásához. A konzisztens viselkedés és az univerzális Azure AD Jelszóvédelem biztonsági kényszerítése érdekében a tartományvezérlő ügynökszoftverét egy tartomány összes tartományvezérlőjén telepíteni kell.

Számos szervezet szeretné alaposan tesztelni a Azure AD Password Protectiont a tartományvezérlők egy részhalmazán a teljes üzembe helyezés előtt. A forgatókönyv támogatásához Azure AD Password Protection támogatja a részleges üzembe helyezést. Az adott tartományvezérlő tartományvezérlőn futó tartományvezérlő ügynökszoftvere akkor is aktívan ellenőrzi a jelszavakat, ha a tartomány más tartományvezérlőire nincs telepítve a tartományvezérlő ügynökszoftvere. Az ilyen típusú részleges üzembe helyezések nem biztonságosak, és nem ajánlottak, csak tesztelési célokra.

Architekturális diagram

Fontos tisztában lenni a mögöttes tervezési és funkciófogalmakkal, mielőtt üzembe helyezné Azure AD Password Protectiont egy helyszíni AD DS-környezetben. Az alábbi ábrán az Azure AD Password Protection összetevőinek együttműködése látható:

A Azure AD Jelszóvédelem összetevőinek együttműködése

  • A Azure AD Password Protection Proxy szolgáltatás az aktuális AD DS-erdőben található bármely tartományhoz csatlakoztatott gépen fut. A szolgáltatás elsődleges célja, hogy továbbítsa a jelszóházirend letöltési kéréseit a tartományvezérlőkről a Azure AD, majd visszaadja az Azure AD válaszait a tartományvezérlőnek.
  • A DC Agent jelszószűrő DLL-je felhasználói jelszóérvényesítési kéréseket kap az operációs rendszertől. A szűrő továbbítja őket a tartományvezérlőn helyileg futó DC Agent szolgáltatásnak.
  • A Azure AD Password Protection DC Agent szolgáltatása a DC Agent jelszószűrő DLL-jeitől fogad jelszóérvényesítési kéréseket. A DC Agent szolgáltatás az aktuális (helyileg elérhető) jelszóházirend használatával dolgozza fel őket, és a sikeres vagy sikertelen kézbesítés eredményét adja vissza.

A jelszóvédelem Azure AD működése

A helyszíni Azure AD Password Protection-összetevők a következőképpen működnek:

  1. Minden Azure AD Jelszóvédelmi proxy szolgáltatáspéldány egy serviceConnectionPoint-objektum Active Directoryban való létrehozásával hirdeti meg magát az erdőben lévő tartományvezérlők számára.

    A Azure AD Password Protection minden dc agent szolgáltatása létrehoz egy serviceConnectionPoint objektumot az Active Directoryban. Ez az objektum elsősorban jelentéskészítéshez és diagnosztikahoz használatos.

  2. A DC Agent szolgáltatás felelős azért, hogy új jelszóházirendet töltsön le Azure AD. Az első lépés egy Azure AD Jelszóvédelmi proxyszolgáltatás megkeresése az erdő proxyszolgáltatásConnectionPoint-objektumainak lekérdezésével.

  3. Ha elérhető proxyszolgáltatást talál, a TARTOMÁNYVEZÉRLŐ-ügynök jelszószabályzat-letöltési kérelmet küld a proxyszolgáltatásnak. A proxyszolgáltatás ezután elküldi a kérést Azure AD, majd visszaadja a választ a DC Agent szolgáltatásnak.

  4. Miután a DC Agent szolgáltatás új jelszóházirendet kapott Azure AD, a szolgáltatás egy dedikált mappában tárolja a házirendet a tartomány sysvol mappamegosztásának gyökerében. A DC Agent szolgáltatás ezt a mappát is figyeli arra az esetre, ha újabb házirendek replikálódnak a tartomány más DC Agent-szolgáltatásaiból.

  5. A DC Agent szolgáltatás mindig új szabályzatot kér a szolgáltatás indításakor. A DC Agent szolgáltatás elindítása után óránként ellenőrzi az aktuális helyileg elérhető szabályzat életkorát. Ha a szabályzat egy óránál régebbi, a DC Agent új szabályzatot kér Azure AD a proxyszolgáltatáson keresztül, a korábban leírtak szerint. Ha a jelenlegi szabályzat nem régebbi egy óránál, a tartományvezérlői ügynök továbbra is ezt a házirendet fogja használni.

  6. Amikor egy tartományvezérlő jelszómódosítási eseményeket fogad, a rendszer a gyorsítótárazott szabályzattal határozza meg, hogy az új jelszót elfogadják vagy elutasítják-e.

Főbb szempontok és funkciók

  • Az Azure AD Password Protection jelszóházirendjének letöltésekor az adott házirend egy bérlőre vonatkozik. Más szóval a jelszószabályzatok mindig a Microsoft globális tiltott jelszavak listájának és a bérlőnkénti egyéni tiltott jelszavak listájának kombinációjai.
  • A DC Agent RPC-n keresztül kommunikál a proxyszolgáltatással TCP-n keresztül. A proxyszolgáltatás a konfigurációtól függően dinamikus vagy statikus RPC-porton figyeli ezeket a hívásokat.
  • A tartományvezérlő ügynök soha nem figyel hálózati porton.
  • A proxyszolgáltatás soha nem hívja meg a DC Agent szolgáltatást.
  • A proxyszolgáltatás állapot nélküli. Soha nem gyorsítótárazza a szabályzatokat vagy az Azure-ból letöltött egyéb állapotokat.
  • A DC Agent szolgáltatás mindig a legújabb helyileg elérhető jelszóházirendet használja a felhasználó jelszavának kiértékeléséhez. Ha a helyi tartományvezérlőn nem érhető el jelszóházirend, a rendszer automatikusan elfogadja a jelszót. Ilyen esetben a rendszer egy eseményüzenetet naplóz, amely figyelmezteti a rendszergazdát.
  • Azure AD Jelszóvédelem nem valós idejű szabályzatalkalmazás-motor. Késés lehet a jelszóházirend-konfiguráció Azure AD történő módosítása és a módosítás érvénybe lépése és kényszerítése között az összes tartományvezérlőn.
  • Azure AD Jelszóvédelem a meglévő AD DS jelszóházirendek kiegészítéseként működik, nem pedig csereként. Ide tartoznak az esetlegesen telepített, harmadik féltől származó jelszószűrő DLL-ek is. Az AD DS mindig megköveteli, hogy az összes jelszó-érvényesítési összetevő megegyezik a jelszó elfogadása előtt.

Erdő- és bérlőkötés a Azure AD Password Protection szolgáltatáshoz

A Azure AD Password Protection AD DS-erdőben való üzembe helyezéséhez regisztrálni kell az erdőt a Azure AD. Minden üzembe helyezett proxyszolgáltatást regisztrálni kell Azure AD. Ezek az erdő- és proxyregisztrációk egy adott Azure AD bérlőhöz vannak társítva, amelyet implicit módon azonosítanak a regisztráció során használt hitelesítő adatok.

Az AD DS-erdőt és az erdőben üzembe helyezett összes proxyszolgáltatást ugyanazzal a bérlővel kell regisztrálni. Nem támogatott, hogy egy AD DS-erdő vagy az erdőben lévő proxyszolgáltatások különböző Azure AD bérlőkhöz legyenek regisztrálva. Az ilyen helytelenül konfigurált üzembe helyezés tünetei közé tartozik a jelszószabályzatok letöltésének sikertelensége.

Megjegyzés

A több Azure AD bérlővel rendelkező ügyfeleknek ezért egy megkülönböztető bérlőt kell választaniuk ahhoz, hogy minden erdőt regisztráljanak Azure AD Jelszóvédelem céljából.

Letöltés

A Jelszóvédelem Azure AD két szükséges ügynöktelepítője a Microsoft letöltőközpontból érhető el.

Következő lépések

A helyszíni Azure AD Password Protection használatának megkezdéséhez végezze el az alábbi útmutatót: