Share via

Abilitare la protezione password di Microsoft Entra in locale

  • Articolo

Gli utenti creano spesso password che usano parole locali comuni, ad esempio il nome di una scuola, una squadra sportiva o un personaggio famoso. Queste password sono facili da indovinare e vulnerabili ad attacchi basati su dizionario. Per fare in modo che nell'organizzazione vengano usate password complesse, Protezione password di Microsoft Entra fornisce un elenco di password vietate globali e personalizzate. Una richiesta di modifica della password ha esito negativo se è presente una corrispondenza in questi elenchi di password escluse.

Per proteggere l'ambiente Active Directory Domain Services (AD DS) locale, è possibile installare e configurare Protezione password di Microsoft Entra per l'uso con il controller di dominio locale. Questo articolo illustra come abilitare la protezione password di Microsoft Entra per l'ambiente locale.

Per altre informazioni sul funzionamento di Microsoft Entra Password Protection in un ambiente locale, vedere Come applicare la protezione password di Microsoft Entra per Windows Server Active Directory.

Operazioni preliminari

Questo articolo illustra come abilitare la protezione password di Microsoft Entra per l'ambiente locale. Prima di completare questo articolo, installare e registrare il servizio proxy di protezione password Di Microsoft Entra e gli agenti del controller di dominio nell'ambiente di Active Directory Domain Services locale.

Abilitare la protezione password locale

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di autenticazione.

  2. Passare a Protezione dei metodi>di autenticazione Protezione>password.

  3. Impostare l'opzione Abilita protezione password in Windows Server Active Directory su .

    Quando questa impostazione è impostata su No, tutti gli agenti del controller di dominio di protezione password di Microsoft Entra vengono distribuiti in modalità in cui tutte le password vengono accettate così come sono. Non vengono eseguite attività di convalida e gli eventi di controllo non vengono generati.

  4. È consigliabile impostare inizialmente la modalità su Controlla. Dopo aver familiarità con la funzionalità e l'impatto sugli utenti dell'organizzazione, è possibile passare alla modalità impostata. Per altre informazioni, vedere la sezione seguente sulle modalità di funzionamento.

  5. Al termine, selezionare Salva.

    Enable on-premises password protection under Authentication Methods in the Microsoft Entra admin center

Modalità di funzionamento

Quando si abilita la protezione password di Microsoft Entra in locale, è possibile usare la modalità di controllo o la modalità di imposizione . È consigliabile avviare sempre la distribuzione iniziale e i test in modalità di controllo. Le voci nel registro eventi devono quindi essere monitorate per prevedere se eventuali processi operativi esistenti verrebbero disturbati dopo l'abilitazione della modalità Di imposizione .

Modalità di controllo

La modalità di controllo è concepita come un modo per eseguire il software in modalità "what if". Ogni servizio agente del controller di dominio di protezione password Di Microsoft Entra valuta una password in ingresso in base ai criteri attualmente attivi.

Se i criteri correnti sono configurati per essere in modalità di controllo, le password "non valido" generano messaggi del registro eventi, ma vengono elaborati e aggiornati. Questo comportamento è l'unica differenza tra il controllo e la modalità di imposizione. Tutte le altre operazioni eseguono la stessa operazione.

Modalità applicata

La modalità applicata è destinata alla configurazione finale. Come in modalità di controllo, ogni servizio agente del controller di dominio di protezione password Di Microsoft Entra valuta le password in ingresso in base ai criteri attualmente attivi. Quando la modalità applicata è abilitata, tuttavia, una password considerata non sicura in base ai criteri viene rifiutata.

Quando una password viene rifiutata in modalità applicata dall'agente del controller di dominio di protezione password di Microsoft Entra, un utente finale visualizza un errore simile come se la password fosse stata rifiutata dall'applicazione tradizionale della complessità delle password locale. Ad esempio, un utente potrebbe visualizzare il seguente messaggio di errore tradizionale nella schermata di accesso di Windows o modificare la password:

"Impossibile aggiornare la password. Il valore fornito per la nuova password non soddisfa i requisiti di lunghezza, complessità o cronologia del dominio."

Questo messaggio è solo un esempio dei possibili risultati. Il messaggio di errore specifico può variare a seconda del software o dello scenario effettivo che sta tentando di impostare una password non sicura.

Gli utenti finali interessati potrebbero dover collaborare con il personale IT per comprendere i nuovi requisiti e scegliere password sicure.

Nota

La protezione password di Microsoft Entra non ha alcun controllo sul messaggio di errore specifico visualizzato dal computer client quando viene rifiutata una password debole.

Passaggi successivi

Per personalizzare l'elenco delle password escluse per l'organizzazione, vedere Configurare l'elenco di password personalizzate di protezione password escluse da Microsoft Entra.

Per monitorare gli eventi locali, vedere Monitoraggio della protezione password di Microsoft Entra locale.