Condividi tramite

Applicare la protezione password locale di Microsoft Entra per Active Directory Domain Services

  • Articolo

Il servizio di protezione delle password di Microsoft Entra rileva e blocca le password vulnerabili note, con le relative varianti, e può bloccare anche ulteriori termini vulnerabili specifici di un'organizzazione. La distribuzione locale di Protezione password di Microsoft Entra usa gli stessi elenchi di password vietate, sia personalizzate che globali, archiviati in Microsoft Entra ID. Esegue gli stessi controlli per le modifiche delle password locali come Microsoft Entra esegue per le modifiche basate sul cloud. Questi controlli vengono eseguiti durante gli eventi di modifica e reimpostazione della password nei controller di dominio di Active Directory Domain Services locale (AD DS).

Principi di progettazione

Il servizio Protezione password di Microsoft Entra è progettato tenendo conto dei principi seguenti:

  • I controller di dominio non devono mai comunicare direttamente con Internet.
  • Non vengono aperte nuove porte di rete nei controller di dominio.
  • Non sono necessarie modifiche allo schema di Active Directory Domain Services. Il software usa il contenitore AD DS (Active Directory Domain Services) esistente e gli oggetti dello schema serviceConnectionPoint.
  • È possibile usare qualsiasi livello funzionale della foresta o del dominio di Active Directory Domain Services supportato.
  • Il software non crea né richiede account nei domini Active Directory Domain Services da esso protetti.
  • Le password di testo non crittografato dell'utente non lasciano mai il controller di dominio, né durante le operazioni di convalida della password né in qualsiasi altro momento.
  • Il software non dipende da altre funzionalità di Microsoft Entra. Ad esempio, la sincronizzazione dell'hash delle password di Microsoft Entra (PHS) non è correlata o necessaria per Protezione password di Microsoft Entra.
  • La distribuzione incrementale è supportata, tuttavia i criteri password vengono applicati solo dove è installato l'agente del controller di dominio.

Distribuzione incrementale

Protezione password di Microsoft Entra supporta la distribuzione incrementale tra controller di dominio in un dominio di Active Directory Domain Services. È importante capire questo cosa significa e quali svantaggi comporta.

Il software agente del controller di dominio di Protezione password di Microsoft Entra può convalidare solo le password quando è installato in un controller di dominio e solo per le modifiche alle password inviate a tale controller di dominio. Non è possibile controllare quali controller di dominio vengono scelti dai computer client Windows per l'elaborazione delle modifiche delle password utente. Per garantire un comportamento coerente e l'applicazione universale della protezione di Protezione password di Microsoft Entra, il software agente del controller di dominio deve essere installato in tutti i controller di dominio in un dominio.

Molte organizzazioni vogliono testare attentamente Protezione password di Microsoft Entra in un subset dei propri controller di dominio prima di una distribuzione completa. Per supportare questo scenario, Protezione password di Microsoft Entra supporta la distribuzione parziale. Il software agente del controller di dominio in un determinato controller di dominio convalida attivamente le password anche quando altri controller di dominio all'interno del dominio non dispongono del software agente del controller di dominio installato. Le distribuzioni parziali di questo tipo non sono sicure e non sono consigliate a scopo di test.

Diagramma dell'architettura

È importante comprendere i concetti di progettazione e funzione sottostanti prima di distribuire Microsoft Entra Password Protection in un ambiente di Active Directory Domain Services locale. Il diagramma seguente illustra come interagiscono i componenti di Microsoft Entra Password Protection:

Come interagiscono i componenti di Protezione password di Microsoft Entra

  • Il servizio Proxy di Protezione password di Microsoft Entra viene eseguito in qualsiasi computer aggiunto a un dominio nella foresta di Active Directory Domain Services corrente. Lo scopo principale del servizio è inoltrare le richieste di download dei criteri password dai controller di dominio a Microsoft Entra ID e quindi restituire le risposte da Microsoft Entra ID al controller di dominio.
  • La DLL del filtro password dell'agente del controller di dominio riceve le richieste di convalida delle password utente dal sistema operativo. Il filtro le inoltra al servizio agente del controller di dominio in esecuzione localmente nel controller di dominio.
  • Il servizio agente del controller di dominio di Protezione password di Microsoft Entra riceve le richieste di convalida delle password dalla DLL del filtro password dell'agente del controller di dominio. Il servizio agente del controller di dominio le elabora usando i criteri password correnti (disponibili localmente) e restituisce il risultato pass o fail.

Come funziona la Protezione password di Microsoft Entra ID

I componenti locali di Protezione password di Microsoft Entra funzionano come segue:

  1. Ogni servizio proxy di Protezione password di Microsoft Entra promuove se stesso ai controller di dominio nella foresta tramite la creazione di un oggetto serviceConnectionPoint in Active Directory.

    Ogni servizio agente del controller di dominio per Protezione password di Microsoft Entra crea anch'esso un oggetto serviceConnectionPoint in Active Directory. Questo oggetto viene usato principalmente per la creazione di report e la diagnostica.

  2. Il servizio agente del controller di dominio è responsabile dell'avvio del download dei nuovi criteri password da Microsoft Entra ID. Il primo passaggio serve a individuare un servizio proxy di protezione Password di Microsoft Entra eseguendo una query di una foresta di oggetti proxy serviceConnectionPoint.

  3. Quando viene trovato un servizio proxy disponibile, l'agente del controller di dominio invia al servizio proxy una richiesta di download dei criteri password. Il servizio proxy a sua volta invia la richiesta a Microsoft Entra ID, quindi restituisce la risposta al servizio agente del controller di dominio.

  4. Dopo aver ricevuto i nuovi criteri password da Microsoft Entra ID, il servizio agente del controller di dominio archivia i criteri in una cartella dedicata nella radice della condivisione delle cartelle di dominio sysvol. Il servizio agente del controller di dominio monitora anche questa cartella, nel caso in cui vengano replicati criteri più recenti da altri servizi agente del controller di dominio all'interno del dominio.

  5. Il servizio agente del controller di dominio richiede sempre nuovi criteri all'avvio del servizio. Dopo l'avvio, il servizio agente del controller di dominio verifica ogni ora a quando risalgono i criteri attualmente disponibili in locale. Se i criteri risalgono a più di un'ora prima, l'agente del controller di dominio richiede nuovi criteri a Microsoft Entra ID tramite il servizio proxy, come descritto in precedenza. Se i criteri correnti risalgono a meno di un'ora prima, l'agente del controller di dominio continua a usarli.

  6. Quando un controller di dominio riceve eventi di modifica della password, i criteri memorizzati nella cache vengono usati per determinare se la nuova password viene accettata o rifiutata.

Considerazioni chiave e funzionalità

  • Ogni volta che viene scaricato un criterio password di Protezione password di Microsoft Entra, tale criterio è specifico per un tenant. In altre parole, i criteri password sono sempre una combinazione dell'elenco globale di password escluse da Microsoft e dell'elenco personalizzato di password escluse per tenant.
  • L'agente del controller di dominio comunica con il servizio proxy tramite RPC su TCP. Il servizio proxy ascolta queste chiamate su una porta RPC dinamica o statica, a seconda della configurazione.
  • L'agente del controller di dominio non è mai in ascolto su una porta disponibile in rete.
  • Il servizio proxy non chiama mai il servizio agente del controller di dominio.
  • Il servizio proxy è senza stato. Non memorizza mai nella cache i criteri o qualsiasi altro stato scaricato da Azure.
  • La registrazione proxy funziona aggiungendo credenziali all'entità servizio AADPasswordProtectionProxy. Non allarmarsi per eventi nei log di controllo quando si verifica questa situazione.
  • Il servizio agente del controller di dominio usa sempre i criteri password disponibili localmente più recenti per valutare la password di un utente. Se non sono disponibili criteri password nel controller di dominio locale, la password viene accettata automaticamente. In questo caso, viene registrato un messaggio di evento per avvisare l'amministratore.
  • Protezione password di Microsoft Entra non è un motore di applicazioni di criteri in tempo reale. Può verificarsi un ritardo tra il momento in cui viene apportata una modifica alla configurazione dei criteri password in Microsoft Entra ID e quello in cui tale modifica raggiunge e viene applicata a tutti i controller di dominio.
  • Microsoft Entra Password Protection funge da supplemento ai criteri password AD DS esistenti, non da sostituto. Sono incluse tutte le altre DLL di filtro password di terze parti che possono essere installate. AD DS richiede sempre che tutti i componenti di convalida delle password siano stati rispettati prima di accettare una password.

Associazione foresta/tenant per la protezione password di Microsoft Entra

La distribuzione di Microsoft Entra Password Protection in una foresta di Active Directory Domain Services richiede la registrazione di tale foresta con l'ID Microsoft Entra. Ogni servizio proxy distribuito deve essere registrato anche con Microsoft Entra ID. Queste registrazioni di foresta e proxy sono associate a un tenant Specifico di Microsoft Entra, identificato in modo implicito dalle credenziali usate durante la registrazione.

La foresta di Active Directory Domain Services e tutti i servizi proxy distribuiti all'interno di una foresta devono essere registrati con lo stesso tenant. Non è supportato disporre di una foresta di Active Directory Domain Services o di qualsiasi servizio proxy in tale foresta registrata in tenant Microsoft Entra diversi. I sintomi di una distribuzione configurata in modo non corretto includono l'impossibilità di scaricare i criteri password.

Nota

I clienti che dispongono di più tenant di Microsoft Entra devono quindi scegliere un tenant distinto per registrare ogni foresta per scopi di protezione password di Microsoft Entra.

Scarica

I due programmi di installazione dell'agente necessari per la protezione password di Microsoft Entra sono disponibili nell'Area download Microsoft.

Passaggi successivi

Per iniziare a usare la protezione password di Microsoft Entra locale, completare le procedure seguenti:

Distribuire la protezione password di Microsoft Entra locale