Merencanakan dan menyebarkan Perlindungan Kata Sandi Microsoft Entra lokal

Pengguna sering membuat kata sandi yang menggunakan kata-kata lokal umum seperti sekolah, tim olahraga, atau orang terkenal. Kata sandi ini mudah ditebak, dan lemah terhadap serangan berbasis kamus. Untuk menerapkan kata sandi yang kuat di organisasi Anda, Perlindungan Kata Sandi Microsoft Entra menyediakan daftar kata sandi terlarang global dan kustom. Permintaan perubahan kata sandi gagal jika ada kecocokan dalam daftar kata sandi terlarang ini.

Untuk melindungi lingkungan Active Directory lokal Domain Services (AD DS), Anda dapat menginstal dan mengonfigurasi Perlindungan Kata Sandi Microsoft Entra untuk bekerja dengan DC lokal Anda. Artikel ini memperlihatkan kepada Anda cara menginstal dan mendaftarkan layanan proksi Perlindungan Kata Sandi Microsoft Entra dan agen DC Perlindungan Kata Sandi Microsoft Entra di lingkungan lokal Anda.

Untuk informasi selengkapnya tentang cara kerja Perlindungan Kata Sandi Microsoft Entra di lingkungan lokal, lihat Cara menerapkan Perlindungan Kata Sandi Microsoft Entra untuk Direktori Aktif Windows Server.

Strategi penyebaran

Diagram berikut menunjukkan bagaimana komponen dasar Perlindungan Kata Sandi Microsoft Entra bekerja sama di lingkungan Active Directory lokal:

Sebaiknya tinjau cara kerja perangkat lunak sebelum Anda menyebarkannya. Untuk informasi selengkapnya, lihat Gambaran umum konseptual Perlindungan Kata Sandi Microsoft Entra.

Kami menyarankan agar Anda memulai penyebaran dalam mode audit . Mode audit adalah pengaturan awal default, di mana kata sandi dapat terus diatur. Kata sandi yang akan diblokir direkam dalam log peristiwa. Setelah Anda menyebarkan server proksi dan agen DC dalam mode audit, pantau dampak yang akan dialami kebijakan kata sandi terhadap pengguna saat kebijakan diberlakukan.

Selama tahap audit, banyak organisasi menemukan bahwa situasi berikut berlaku:

• Mereka perlu meningkatkan proses operasional yang ada untuk menggunakan kata sandi yang lebih aman.
• Pengguna sering menggunakan kata sandi yang tidak aman.
• Mereka perlu memberi tahu pengguna tentang perubahan penegakan keamanan yang akan datang, kemungkinan dampak pada mereka, dan cara memilih kata sandi yang lebih aman.

Validasi kata sandi yang lebih kuat juga dapat memengaruhi otomatisasi penyebaran pengontrol domain Active Directory yang ada. Kami menyarankan agar setidaknya satu promosi DC dan satu demosi DC terjadi selama evaluasi periode audit untuk membantu mengungkap masalah tersebut. Untuk informasi selengkapnya, lihat artikel berikut ini:

• Ntdsutil.exe tidak dapat mengatur kata sandi Mode Perbaikan Layanan Direktori yang lemah
• Promosi replika pengendali domain gagal karena kata sandi Mode Perbaikan Layanan Direktori yang lemah
• Demosi pengendali domain gagal karena kata sandi Administrator lokal yang lemah

Setelah fitur berjalan dalam mode audit untuk periode yang wajar, Anda dapat mengalihkan konfigurasi dari Audit ke Berlakukan untuk memerlukan kata sandi yang lebih aman. Pemantauan ekstra selama waktu ini adalah ide yang baik.

Penting untuk dicatat bahwa Perlindungan Kata Sandi Microsoft Entra hanya dapat memvalidasi kata sandi selama perubahan kata sandi atau mengatur operasi. Kata sandi yang diterima dan disimpan di Direktori Aktif sebelum penyebaran Perlindungan Kata Sandi Microsoft Entra tidak akan pernah divalidasi dan akan terus berfungsi apa adanya. Seiring waktu, semua pengguna dan akun akhirnya akan mulai menggunakan kata sandi yang divalidasi Perlindungan Kata Sandi Microsoft Entra karena kata sandi yang ada kedaluwarsa secara normal. Akun yang dikonfigurasi dengan "kata sandi tidak pernah kedaluwarsa" dikecualikan dari ini.

Beberapa pertimbangan forest

Tidak ada persyaratan tambahan untuk menyebarkan Perlindungan Kata Sandi Microsoft Entra di beberapa forest.

Setiap forest dikonfigurasi secara independen, seperti yang dijelaskan di bagian berikut untuk menyebarkan Perlindungan Kata Sandi Microsoft Entra lokal. Setiap proksi Perlindungan Kata Sandi Microsoft Entra hanya dapat mendukung pengontrol domain dari forest tempat ia bergabung.

Perangkat lunak Perlindungan Kata Sandi Microsoft Entra di forest apa pun tidak menyadari perangkat lunak perlindungan kata sandi yang disebarkan di forest lain, terlepas dari konfigurasi kepercayaan Direktori Aktif.

Pertimbangan pengendali domain baca-saja

Peristiwa perubahan atau set kata sandi tidak diproses dan bertahan pada pengontrol domain baca-saja (RODC). Sebagai gantinya, mereka diteruskan ke pengontrol domain yang dapat ditulis. Anda tidak perlu menginstal perangkat lunak agen DC Perlindungan Kata Sandi Microsoft Entra di RODC.

Selanjutnya, tidak didukung untuk menjalankan layanan proksi Perlindungan Kata Sandi Microsoft Entra pada pengontrol domain baca-saja.

Pertimbangan ketersediaan tinggi

Perhatian utama untuk perlindungan kata sandi adalah ketersediaan server proksi Perlindungan Kata Sandi Microsoft Entra ketika DC di forest mencoba mengunduh kebijakan baru atau data lain dari Azure. Setiap agen DC Perlindungan Kata Sandi Microsoft Entra menggunakan algoritma gaya round-robin sederhana saat memutuskan server proksi mana yang akan dipanggil. Agen melewati server proksi yang tidak merespons.

Untuk penyebaran Active Directory yang paling terhubung sepenuhnya yang memiliki replikasi yang sehat dari status folder direktori dan sysvol, dua server proksi Perlindungan Kata Sandi Microsoft Entra sudah cukup untuk memastikan ketersediaan. Konfigurasi ini menghasilkan unduhan kebijakan baru dan data lainnya secara tepat waktu. Anda dapat menyebarkan server proksi Perlindungan Kata Sandi Microsoft Entra tambahan jika diinginkan.

Desain perangkat lunak agen DC Perlindungan Kata Sandi Microsoft Entra mengurangi masalah biasa yang terkait dengan ketersediaan tinggi. Agen DC Perlindungan Kata Sandi Microsoft Entra mempertahankan cache lokal dari kebijakan kata sandi yang terakhir diunduh. Bahkan jika semua server proksi terdaftar menjadi tidak tersedia, agen DC Perlindungan Kata Sandi Microsoft Entra terus memberlakukan kebijakan kata sandi cache mereka.

Frekuensi pembaruan yang wajar untuk kebijakan kata sandi dalam penyebaran besar biasanya ber hari, bukan jam atau kurang. Jadi, pemadaman singkat server proksi tidak berdampak signifikan pada Perlindungan Kata Sandi Microsoft Entra.

Persyaratan penyebaran

Untuk informasi tentang lisensi, lihat Persyaratan lisensi Perlindungan Kata Sandi Microsoft Entra.

Persyaratan inti berikut berlaku:

• Semua komputer, termasuk pengendali domain, yang telah menginstal komponen Perlindungan Kata Sandi Microsoft Entra harus menginstal Universal C Runtime.

  • Anda bisa mendapatkan runtime dengan memastikan Anda memiliki semua pembaruan dari Windows Update. Atau Anda bisa mendapatkannya dalam paket pembaruan khusus OS. Untuk informasi selengkapnya, lihat Pembaruan untuk Universal C Runtime di Windows.

• Anda memerlukan akun yang memiliki hak istimewa administrator domain Direktori Aktif di domain akar forest untuk mendaftarkan forest Direktori Aktif Windows Server dengan ID Microsoft Entra.

• Layanan Distribusi Kunci harus diaktifkan pada semua pengontrol domain di domain yang menjalankan Windows Server 2012 dan versi yang lebih baru. Secara default, layanan ini diaktifkan melalui mulai pemicu manual.

• Konektivitas jaringan harus ada antara setidaknya satu pengendali domain di setiap domain dan setidaknya satu server yang menghosting layanan proksi untuk Perlindungan Kata Sandi Microsoft Entra. Konektivitas ini harus memungkinkan pengendali domain mengakses port pemeta titik akhir RPC 135 dan port server RPC pada layanan proksi.

  • Secara default, port server RPC adalah port RPC dinamis dari rentang (49152 - 65535), tetapi dapat dikonfigurasi untuk menggunakan port statis.

• Semua komputer tempat layanan Proksi Perlindungan Kata Sandi Microsoft Entra akan diinstal harus memiliki akses jaringan ke titik akhir berikut:

  Endpoint	Maksud
  https://login.microsoftonline.com	Permintaan autentikasi
  https://enterpriseregistration.windows.net	Fungsionalitas Perlindungan Kata Sandi Microsoft Entra
  https://autoupdate.msappproxy.net	Fungsionalitas peningkatan otomatis Perlindungan Kata Sandi Microsoft Entra

Nota

Beberapa titik akhir, seperti titik akhir CRL, tidak dibahas dalam artikel ini. Untuk daftar semua titik akhir yang didukung, lihat URL Microsoft 365 dan rentang alamat IP. Selain itu, titik akhir lainnya diperlukan untuk autentikasi pusat admin Microsoft Entra. Untuk informasi selengkapnya, lihat URL pusat admin Microsoft Entra untuk bypass proksi.

Agen DC Perlindungan Kata Sandi Microsoft Entra

Persyaratan berikut berlaku untuk agen DC Perlindungan Kata Sandi Microsoft Entra:

• Komputer tempat perangkat lunak agen DC Perlindungan Kata Sandi Microsoft Entra akan diinstal harus menjalankan Windows Server 2012 R2 atau yang lebih baru, termasuk edisi Windows Server Core.
  • Domain atau forest Active Directory dapat menjadi tingkat fungsi yang didukung.
• Semua komputer tempat agen DC Perlindungan Kata Sandi Microsoft Entra akan diinstal harus menginstal .NET 4.7.2.
  • Jika .NET 4.7.2 belum diinstal, unduh dan jalankan penginstal yang ditemukan di penginstal offline .NET Framework 4.7.2 untuk Windows.
• Setiap domain Direktori Aktif yang menjalankan layanan agen DC Perlindungan Kata Sandi Microsoft Entra harus menggunakan Replikasi Sistem File Terdistribusi (DFSR) untuk replikasi sysvol.

  • Jika domain Anda belum menggunakan DFSR, Anda harus bermigrasi sebelum menginstal Perlindungan Kata Sandi Microsoft Entra. Untuk informasi selengkapnya, lihat Panduan Migrasi Replikasi SYSVOL: Replikasi FRS ke DFS

    Peringatan

    Perangkat lunak agen DC Perlindungan Kata Sandi Microsoft Entra saat ini akan diinstal pada pengendali domain di domain yang masih menggunakan FRS (teknologi pendahulu DFSR) untuk replikasi sysvol, tetapi perangkat lunak TIDAK akan berfungsi dengan baik di lingkungan ini.

    Efek samping negatif tambahan termasuk file individual yang gagal direplikasi, dan prosedur pemulihan sysvol tampaknya berhasil tetapi secara diam-diam gagal mereplikasi semua file.

    Migrasikan domain Anda untuk menggunakan DFSR sesegera mungkin, baik untuk manfaat melekat DFSR maupun untuk membuka blokir penyebaran Perlindungan Kata Sandi Microsoft Entra. Versi perangkat lunak di masa mendatang akan dinonaktifkan secara otomatis saat berjalan di domain yang masih menggunakan FRS.

Layanan proksi Perlindungan Kata Sandi Microsoft Entra

Persyaratan berikut berlaku untuk layanan proksi Perlindungan Kata Sandi Microsoft Entra:

• Semua komputer tempat layanan proksi Perlindungan Kata Sandi Microsoft Entra akan diinstal harus menjalankan Windows Server 2012 R2 atau yang lebih baru, termasuk edisi Windows Server Core.

  Nota

  Penyebaran layanan proksi Perlindungan Kata Sandi Microsoft Entra adalah persyaratan wajib untuk menyebarkan Perlindungan Kata Sandi Microsoft Entra meskipun pengendali domain mungkin memiliki konektivitas internet langsung keluar.

• Semua komputer tempat layanan proksi Perlindungan Kata Sandi Microsoft Entra akan diinstal harus menginstal .NET 4.7.2.

  • Jika .NET 4.7.2 belum diinstal, unduh dan jalankan penginstal yang ditemukan di penginstal offline .NET Framework 4.7.2 untuk Windows.

• Semua komputer yang menghosting layanan proksi Perlindungan Kata Sandi Microsoft Entra harus dikonfigurasi untuk memberi pengendali domain kemampuan untuk masuk ke layanan proksi. Kemampuan ini dikontrol melalui penetapan hak istimewa "Akses komputer ini dari jaringan".

• Semua komputer yang menghosting layanan proksi Perlindungan Kata Sandi Microsoft Entra harus dikonfigurasi untuk mengizinkan lalu lintas HTTP TLS 1.2 keluar.

• Administrator Global diperlukan untuk mendaftarkan layanan proksi Perlindungan Kata Sandi Microsoft Entra untuk pertama kalinya di penyewa tertentu. Pendaftaran proksi dan forest berikutnya dengan ID Microsoft Entra dapat menggunakan akun dengan setidaknya peran Administrator Keamanan.

• Akses jaringan harus diaktifkan untuk sekumpulan port dan URL yang ditentukan dalam prosedur penyiapan lingkungan proksi aplikasi. Ini selain dua titik akhir yang dijelaskan di atas.

Prasyarat Microsoft Entra Connect Agent Updater

Layanan Microsoft Entra Connect Agent Updater diinstal berdampingan dengan layanan Proksi Perlindungan Kata Sandi Microsoft Entra. Konfigurasi tambahan diperlukan agar layanan Microsoft Entra Connect Agent Updater dapat berfungsi:

• Jika lingkungan Anda menggunakan server proksi HTTP, ikuti panduan yang ditentukan dalam Bekerja dengan server proksi lokal yang ada.
• Layanan Microsoft Entra Connect Agent Updater juga memerlukan langkah-langkah TLS 1.2 yang ditentukan dalam persyaratan TLS.

Peringatan

Proksi Perlindungan Kata Sandi Microsoft Entra dan proksi aplikasi Microsoft Entra menginstal versi layanan Microsoft Entra Connect Agent Updater yang berbeda, itulah sebabnya instruksi merujuk ke konten Proksi Aplikasi. Versi yang berbeda ini tidak kompatibel ketika diinstal berdampingan dan melakukannya akan mencegah layanan Agent Updater menghubungi Azure untuk pembaruan perangkat lunak, jadi Anda tidak boleh menginstal Proksi Perlindungan Kata Sandi Microsoft Entra dan Proksi Aplikasi pada komputer yang sama.

Mengunduh perangkat lunak yang diperlukan

Ada dua alat penginstal yang diperlukan untuk penyebaran Perlindungan Kata Sandi Microsoft Entra lokal:

• Agen DC Perlindungan Kata Sandi Microsoft Entra (AzureADPasswordProtectionDCAgentSetup.msi)
• Proksi Perlindungan Kata Sandi Microsoft Entra (AzureADPasswordProtectionProxySetup.exe)

Unduh kedua penginstal dari Pusat Unduhan Microsoft.

Menginstal dan mengonfigurasi layanan proksi

Layanan proksi Perlindungan Kata Sandi Microsoft Entra biasanya berada di server anggota di lingkungan AD DS lokal Anda. Setelah diinstal, layanan proksi Perlindungan Kata Sandi Microsoft Entra berkomunikasi dengan ID Microsoft Entra untuk mempertahankan salinan daftar kata sandi global dan pelanggan yang dilarang untuk penyewa Microsoft Entra Anda.

Di bagian berikutnya, Anda menginstal agen DC Perlindungan Kata Sandi Microsoft Entra pada pengontrol domain di lingkungan AD DS lokal Anda. Agen DC ini berkomunikasi dengan layanan proksi untuk mendapatkan daftar kata sandi terlarang terbaru untuk digunakan saat memproses peristiwa perubahan kata sandi dalam domain.

Pilih satu atau beberapa server untuk menghosting layanan proksi Perlindungan Kata Sandi Microsoft Entra. Pertimbangan berikut berlaku untuk server:

• Setiap layanan tersebut hanya dapat memberikan kebijakan kata sandi untuk satu forest. Komputer host harus bergabung ke domain apa pun di forest tersebut.
• Anda dapat menginstal layanan proksi di domain root atau turunan, atau kombinasinya.
• Anda memerlukan konektivitas jaringan antara setidaknya satu DC di setiap domain forest dan satu server proksi perlindungan kata sandi.
• Anda dapat menjalankan layanan proksi Perlindungan Kata Sandi Microsoft Entra pada pengendali domain untuk pengujian, tetapi pengendali domain tersebut kemudian memerlukan konektivitas internet. Konektivitas ini dapat menjadi masalah keamanan. Kami merekomendasikan konfigurasi ini hanya untuk pengujian.
• Kami merekomendasikan setidaknya dua server proksi Perlindungan Kata Sandi Microsoft Entra per forest untuk redundansi, seperti yang disebutkan di bagian sebelumnya tentang pertimbangan ketersediaan tinggi.
• Tidak didukung untuk menjalankan layanan proksi Perlindungan Kata Sandi Microsoft Entra pada pengontrol domain baca-saja.
• Jika perlu, Anda dapat menghapus layanan proksi dengan menggunakan Tambahkan atau hapus program. Tidak diperlukan pembersihan manual status yang dipertahankan layanan proksi.

Untuk menginstal layanan proksi Perlindungan Kata Sandi Microsoft Entra, selesaikan langkah-langkah berikut:

1. Untuk menginstal layanan proksi Perlindungan Kata Sandi Microsoft Entra, jalankan penginstal AzureADPasswordProtectionProxySetup.exe perangkat lunak.

   Penginstalan perangkat lunak tidak memerlukan boot ulang dan dapat diotomatisasi menggunakan prosedur MSI standar, seperti dalam contoh berikut:

   AzureADPasswordProtectionProxySetup.exe /quiet
   

   Nota

   Layanan Windows Firewall harus berjalan sebelum Anda menginstal AzureADPasswordProtectionProxySetup.exe paket untuk menghindari kesalahan penginstalan.

   Jika Windows Firewall dikonfigurasi untuk tidak dijalankan, solusinya adalah mengaktifkan dan menjalankan layanan Firewall untuk sementara waktu selama penginstalan. Perangkat lunak proksi tidak memiliki dependensi khusus pada Windows Firewall setelah penginstalan.

   Jika Anda menggunakan firewall pihak ketiga, firewall tersebut masih harus dikonfigurasi untuk memenuhi persyaratan penyebaran. Ini termasuk mengizinkan akses masuk ke port 135 dan port server RPC proksi. Untuk informasi selengkapnya, lihat bagian sebelumnya tentang persyaratan penyebaran.

2. Perangkat lunak proksi Perlindungan Kata Sandi Microsoft Entra menyertakan modul PowerShell baru, AzureADPasswordProtection. Langkah-langkah berikut menjalankan berbagai cmdlet dari modul PowerShell ini.

   Untuk menggunakan modul ini, buka jendela PowerShell sebagai administrator dan impor modul baru sebagai berikut:

   Import-Module AzureADPasswordProtection
   

   Peringatan

   PowerShell versi 64 bit harus digunakan. Cmdlet tertentu mungkin tidak berfungsi dengan PowerShell (x86).

3. Untuk memeriksa apakah layanan proksi Perlindungan Kata Sandi Microsoft Entra berjalan, gunakan perintah PowerShell berikut:

   Get-Service AzureADPasswordProtectionProxy | fl
   

   Hasilnya akan menunjukkan Status Berjalan.

4. Layanan proksi berjalan di komputer, tetapi tidak memiliki kredensial untuk berkomunikasi dengan ID Microsoft Entra. Daftarkan server proksi Perlindungan Kata Sandi Microsoft Entra dengan ID Microsoft Entra menggunakan Register-AzureADPasswordProtectionProxy cmdlet.

   Cmdlet ini memerlukan kredensial Administrator Global saat pertama kali proksi terdaftar untuk penyewa tertentu. Pendaftaran proksi berikutnya di penyewa tersebut, baik untuk proksi yang sama atau berbeda, dapat menggunakan kredensial Administrator Keamanan.

   Setelah perintah ini berhasil sekali, pemanggilan tambahan juga akan berhasil tetapi tidak perlu.

   Register-AzureADPasswordProtectionProxy Cmdlet mendukung tiga mode autentikasi berikut. Dua mode pertama mendukung autentikasi multifaktor Microsoft Entra tetapi mode ketiga tidak.

   Ujung

   Mungkin ada penundaan yang nyata sebelum penyelesaian pertama kali cmdlet ini dijalankan untuk penyewa Azure tertentu. Kecuali jika kegagalan dilaporkan, jangan khawatir tentang penundaan ini.

   • Mode autentikasi interaktif:

     Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
     

     Nota

     Mode ini tidak berfungsi pada sistem operasi Server Core. Sebagai gantinya, gunakan salah satu mode autentikasi berikut. Selain itu, mode ini mungkin gagal jika Konfigurasi Keamanan Tingkat Tinggi Internet Explorer diaktifkan. Solusinya adalah menonaktifkan Konfigurasi tersebut, mendaftarkan proksi, lalu mengaktifkannya kembali.

   • Mode autentikasi kode perangkat:

     Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
     

     Saat diminta, ikuti tautan untuk membuka browser web dan masukkan kode autentikasi.

   • Mode autentikasi senyap (berbasis kata sandi):

     $globalAdminCredentials = Get-Credential
     Register-AzureADPasswordProtectionProxy -AzureCredential $globalAdminCredentials
     

     Nota

     Mode ini gagal jika autentikasi multifaktor Microsoft Entra diperlukan untuk akun Anda. Dalam hal ini, gunakan salah satu dari dua mode autentikasi sebelumnya, atau sebagai gantinya gunakan akun lain yang tidak memerlukan MFA.

     Anda mungkin juga melihat MFA diperlukan jika Pendaftaran Perangkat Azure (yang digunakan di bawah sampul oleh Perlindungan Kata Sandi Microsoft Entra) telah dikonfigurasi untuk memerlukan MFA secara global. Untuk mengatasi persyaratan ini, Anda dapat menggunakan akun lain yang mendukung MFA dengan salah satu dari dua mode autentikasi sebelumnya, atau Anda juga dapat melonggarkan persyaratan MFA Pendaftaran Perangkat Azure untuk sementara waktu.

     Untuk membuat perubahan ini, pilih Identitas di pusat admin Microsoft Entra, lalu pilih Pengaturan Perangkat Perangkat>. Atur Perlu autentikasi multifaktor untuk menggabungkan perangkat ke Tidak. Pastikan untuk mengonfigurasi ulang pengaturan ini kembali ke Ya setelah pendaftaran selesai.

     Sebaiknya persyaratan MFA dilewati hanya untuk tujuan pengujian.

   Saat ini Anda tidak perlu menentukan parameter -ForestCredential , yang dicadangkan untuk fungsionalitas di masa mendatang.

   Pendaftaran layanan proksi Perlindungan Kata Sandi Microsoft Entra hanya diperlukan sekali dalam masa pakai layanan. Setelah itu, layanan proksi Perlindungan Kata Sandi Microsoft Entra akan secara otomatis melakukan pemeliharaan lain yang diperlukan.

5. Untuk memastikan bahwa perubahan telah berlaku, jalankan Test-AzureADPasswordProtectionProxyHealth -TestAll. Untuk bantuan mengatasi kesalahan, lihat Memecahkan masalah: Perlindungan Kata Sandi Microsoft Entra lokal.

6. Sekarang daftarkan forest Active Directory lokal dengan kredensial yang diperlukan untuk berkomunikasi dengan Azure dengan menggunakan Register-AzureADPasswordProtectionForest cmdlet PowerShell.

   Nota

   Jika beberapa server proksi Perlindungan Kata Sandi Microsoft Entra diinstal di lingkungan Anda, tidak masalah server proksi mana yang Anda gunakan untuk mendaftarkan forest.

   Cmdlet memerlukan info masuk Administrator Global atau Administrator Keamanan untuk penyewa Azure Anda. Ini juga memerlukan hak istimewa Administrator Perusahaan Active Directory lokal. Anda juga harus menjalankan cmdlet ini menggunakan akun dengan hak istimewa administrator lokal. Akun Azure yang digunakan untuk mendaftarkan forest mungkin berbeda dari akun Active Directory lokal.

   Langkah ini dijalankan sekali per forest.

   Register-AzureADPasswordProtectionForest Cmdlet mendukung tiga mode autentikasi berikut. Dua mode pertama mendukung autentikasi multifaktor Microsoft Entra tetapi mode ketiga tidak.

   Ujung

   Mungkin ada penundaan yang nyata sebelum penyelesaian pertama kali cmdlet ini dijalankan untuk penyewa Azure tertentu. Kecuali jika kegagalan dilaporkan, jangan khawatir tentang penundaan ini.

   • Mode autentikasi interaktif:

     Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
     

     Nota

     Mode ini tidak akan berfungsi pada sistem operasi Server Core. Sebagai gantinya gunakan salah satu dari dua mode autentikasi berikut. Selain itu, mode ini mungkin gagal jika Konfigurasi Keamanan Tingkat Tinggi Internet Explorer diaktifkan. Solusinya adalah menonaktifkan Konfigurasi tersebut, mendaftarkan forest, lalu mengaktifkannya kembali.

   • Mode autentikasi kode perangkat:

     Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
     

     Saat diminta, ikuti tautan untuk membuka browser web dan masukkan kode autentikasi.

   • Mode autentikasi senyap (berbasis kata sandi):

     $globalAdminCredentials = Get-Credential
     Register-AzureADPasswordProtectionForest -AzureCredential $globalAdminCredentials
     

     Nota

     Mode ini gagal jika autentikasi multifaktor Microsoft Entra diperlukan untuk akun Anda. Dalam hal ini, gunakan salah satu dari dua mode autentikasi sebelumnya, atau sebagai gantinya gunakan akun lain yang tidak memerlukan MFA.

     Anda mungkin juga melihat MFA diperlukan jika Pendaftaran Perangkat Azure (yang digunakan di bawah sampul oleh Perlindungan Kata Sandi Microsoft Entra) telah dikonfigurasi untuk memerlukan MFA secara global. Untuk mengatasi persyaratan ini, Anda dapat menggunakan akun lain yang mendukung MFA dengan salah satu dari dua mode autentikasi sebelumnya, atau Anda juga dapat melonggarkan persyaratan MFA Pendaftaran Perangkat Azure untuk sementara waktu.

     Untuk membuat perubahan ini, pilih Identitas di pusat admin Microsoft Entra, lalu pilih Pengaturan Perangkat Perangkat>. Atur Perlu autentikasi multifaktor untuk menggabungkan perangkat ke Tidak. Pastikan untuk mengonfigurasi ulang pengaturan ini kembali ke Ya setelah pendaftaran selesai.

     Sebaiknya persyaratan MFA dilewati hanya untuk tujuan pengujian.

     Contoh ini hanya berhasil jika pengguna yang saat ini masuk juga merupakan administrator domain Direktori Aktif untuk domain akar. Jika tidak demikian, Anda dapat memberikan info masuk domain alternatif melalui parameter -ForestCredential .

   Pendaftaran forest Direktori Aktif hanya diperlukan sekali seumur hidup hutan. Setelah itu, agen DC Perlindungan Kata Sandi Microsoft Entra di forest secara otomatis melakukan pemeliharaan lain yang diperlukan. Setelah Register-AzureADPasswordProtectionForest berhasil berjalan untuk forest, pemanggilan tambahan cmdlet berhasil, tetapi tidak perlu.

   Agar Register-AzureADPasswordProtectionForest berhasil, setidaknya satu DC yang menjalankan Windows Server 2012 atau yang lebih baru harus tersedia di domain server proksi Perlindungan Kata Sandi Microsoft Entra. Perangkat lunak agen DC Perlindungan Kata Sandi Microsoft Entra tidak perlu diinstal pada pengontrol domain apa pun sebelum langkah ini.

7. Untuk memastikan bahwa perubahan telah berlaku, jalankan Test-AzureADPasswordProtectionProxyHealth -TestAll. Untuk bantuan mengatasi kesalahan, lihat Memecahkan masalah: Perlindungan Kata Sandi Microsoft Entra lokal.

Mengonfigurasi layanan proksi untuk berkomunikasi melalui proksi HTTP

Jika lingkungan Anda memerlukan penggunaan proksi HTTP tertentu untuk berkomunikasi dengan Azure, gunakan langkah-langkah berikut untuk mengonfigurasi layanan Perlindungan Kata Sandi Microsoft Entra.

Buat file AzureADPasswordProtectionProxy.exe.config di %ProgramFiles%\Azure AD Password Protection Proxy\Service folder . Sertakan konten berikut:

<configuration>
   <system.net>
      <defaultProxy enabled="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

Jika proksi HTTP Anda memerlukan autentikasi, tambahkan tag useDefaultCredentials :

<configuration>
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

Dalam kedua kasus, ganti http://yourhttpproxy.com:8080 dengan alamat dan port server proksi HTTP spesifik Anda.

Jika proksi HTTP Anda dikonfigurasi untuk menggunakan kebijakan otorisasi, Anda harus memberikan akses ke akun komputer Direktori Aktif komputer yang menghosting layanan proksi untuk perlindungan kata sandi.

Kami menyarankan agar Anda menghentikan dan memulai ulang layanan proksi Perlindungan Kata Sandi Microsoft Entra setelah Anda membuat atau memperbarui file AzureADPasswordProtectionProxy.exe.config .

Layanan proksi tidak mendukung penggunaan kredensial tertentu untuk menyambungkan ke proksi HTTP.

Mengonfigurasi layanan proksi untuk mendengarkan pada port tertentu

Perangkat lunak agen DC Perlindungan Kata Sandi Microsoft Entra menggunakan RPC melalui TCP untuk berkomunikasi dengan layanan proksi. Secara default, layanan proksi Perlindungan Kata Sandi Microsoft Entra mendengarkan titik akhir RPC dinamis yang tersedia. Anda dapat mengonfigurasi layanan untuk mendengarkan port TCP tertentu, jika perlu karena topologi jaringan atau persyaratan firewall di lingkungan Anda. Saat mengonfigurasi port statis, Anda harus membuka port 135 dan port statis pilihan Anda.

Untuk mengonfigurasi layanan agar berjalan di bawah port statis, gunakan Set-AzureADPasswordProtectionProxyConfiguration cmdlet sebagai berikut:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort <portnumber>

Peringatan

Anda harus menghentikan dan memulai ulang layanan proksi Perlindungan Kata Sandi Microsoft Entra agar perubahan ini berlaku.

Untuk mengonfigurasi layanan agar berjalan di bawah port dinamis, gunakan prosedur yang sama tetapi atur StaticPort kembali ke nol:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort 0

Peringatan

Anda harus menghentikan dan memulai ulang layanan proksi Perlindungan Kata Sandi Microsoft Entra agar perubahan ini berlaku.

Layanan proksi Perlindungan Kata Sandi Microsoft Entra memerlukan mulai ulang manual setelah perubahan konfigurasi port apa pun. Anda tidak perlu memulai ulang layanan agen DC Perlindungan Kata Sandi Microsoft Entra pada pengontrol domain setelah Anda membuat perubahan konfigurasi ini.

Untuk mengkueri konfigurasi layanan saat ini, gunakan Get-AzureADPasswordProtectionProxyConfiguration cmdlet seperti yang diperlihatkan dalam contoh berikut

Get-AzureADPasswordProtectionProxyConfiguration | fl

Contoh output berikut menunjukkan bahwa layanan proksi Perlindungan Kata Sandi Microsoft Entra menggunakan port dinamis:

ServiceName : AzureADPasswordProtectionProxy
DisplayName : Azure AD password protection Proxy
StaticPort  : 0

Menginstal layanan agen DC

Untuk menginstal layanan agen DC Perlindungan Kata Sandi Microsoft Entra, jalankan AzureADPasswordProtectionDCAgentSetup.msi paket.

Anda dapat mengotomatiskan penginstalan perangkat lunak dengan menggunakan prosedur MSI standar, seperti yang ditunjukkan dalam contoh berikut:

msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart

Bendera /norestart dapat dihilangkan jika Anda lebih suka penginstal secara otomatis me-reboot komputer.

Penginstalan perangkat lunak, atau penghapusan instalasi, memerlukan hidupkan ulang. Persyaratan ini karena DLL filter kata sandi hanya dimuat atau dibongkar oleh mulai ulang.

Penginstalan Perlindungan Kata Sandi Microsoft Entra lokal selesai setelah perangkat lunak agen DC diinstal pada pengendali domain, dan komputer tersebut di-boot ulang. Tidak ada konfigurasi lain yang diperlukan atau dimungkinkan. Peristiwa perubahan kata sandi terhadap DC lokal menggunakan daftar kata sandi terlarang yang dikonfigurasi dari ID Microsoft Entra.

Untuk mengaktifkan Perlindungan Kata Sandi Microsoft Entra lokal atau mengonfigurasi kata sandi terlarang kustom, lihat Mengaktifkan Perlindungan Kata Sandi Microsoft Entra lokal.

Ujung

Anda dapat menginstal agen DC Perlindungan Kata Sandi Microsoft Entra pada komputer yang belum menjadi pengontrol domain. Dalam hal ini, layanan dimulai dan berjalan tetapi tetap tidak aktif sampai komputer dipromosikan menjadi pengendali domain.

Memutakhirkan layanan proksi

Layanan proksi Perlindungan Kata Sandi Microsoft Entra mendukung peningkatan otomatis. Peningkatan otomatis menggunakan layanan Microsoft Entra Connect Agent Updater, yang diinstal berdampingan dengan layanan proksi. Peningkatan otomatis aktif secara default, dan dapat diaktifkan atau dinonaktifkan menggunakan Set-AzureADPasswordProtectionProxyConfiguration cmdlet.

Pengaturan saat ini dapat dikueri menggunakan Get-AzureADPasswordProtectionProxyConfiguration cmdlet. Kami menyarankan agar pengaturan peningkatan otomatis selalu diaktifkan.

Get-AzureADPasswordProtectionProxy Cmdlet dapat digunakan untuk mengkueri versi perangkat lunak dari semua server proksi Perlindungan Kata Sandi Microsoft Entra yang saat ini diinstal di forest.

Nota

Layanan proksi hanya akan secara otomatis ditingkatkan ke versi yang lebih baru ketika patch keamanan penting diperlukan.

Proses peningkatan manual

Peningkatan manual dilakukan dengan menjalankan versi terbaru alat AzureADPasswordProtectionProxySetup.exe penginstal perangkat lunak. Versi terbaru perangkat lunak tersedia di Pusat Unduhan Microsoft.

Tidak diperlukan untuk menghapus instalan versi layanan proksi Perlindungan Kata Sandi Microsoft Entra saat ini - alat penginstal melakukan peningkatan di tempat. Tidak perlu boot ulang saat meningkatkan layanan proksi. Peningkatan perangkat lunak dapat diotomatisasi menggunakan prosedur MSI standar, seperti AzureADPasswordProtectionProxySetup.exe /quiet.

Memutakhirkan agen DC

Ketika versi perangkat lunak agen DC Perlindungan Kata Sandi Microsoft Entra yang lebih baru tersedia, peningkatan dilakukan dengan menjalankan versi AzureADPasswordProtectionDCAgentSetup.msi terbaru paket perangkat lunak. Versi terbaru perangkat lunak tersedia di Pusat Unduhan Microsoft.

Tidak diperlukan untuk menghapus instalan versi perangkat lunak agen DC saat ini - alat penginstal melakukan peningkatan di tempat. Reboot selalu diperlukan saat memutakhirkan perangkat lunak agen DC - persyaratan ini disebabkan oleh perilaku Windows inti.

Peningkatan perangkat lunak dapat diotomatisasi menggunakan prosedur MSI standar, seperti msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart.

Anda dapat menghilangkan /norestart bendera jika Anda lebih suka penginstal secara otomatis me-reboot komputer.

Get-AzureADPasswordProtectionDCAgent Cmdlet dapat digunakan untuk mengkueri versi perangkat lunak dari semua agen DC Perlindungan Kata Sandi Microsoft Entra yang saat ini diinstal di forest.

Langkah berikutnya

Sekarang setelah Anda menginstal layanan yang Anda butuhkan untuk Perlindungan Kata Sandi Microsoft Entra di server lokal Anda, aktifkan Perlindungan Kata Sandi Microsoft Entra lokal untuk menyelesaikan penyebaran Anda.