Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli utenti spesso creano password che usano parole locali comuni, ad esempio una scuola, una squadra sportiva o una persona famosa. Queste password sono facili da indovinare e deboli contro gli attacchi basati su dizionario. Per applicare password complesse nell'organizzazione, Microsoft Entra Password Protection fornisce un elenco globale e personalizzato di password escluse. Una richiesta di modifica della password ha esito negativo se è presente una corrispondenza in questi elenchi di password escluse.
Per proteggere l'ambiente Active Directory Domain Services (AD DS) locale, è possibile installare e configurare la protezione password di Microsoft Entra per l'uso con il controller di dominio locale. Questo articolo illustra come abilitare la protezione password di Microsoft Entra per l'ambiente locale.
Per altre informazioni sul funzionamento di Microsoft Entra Password Protection in un ambiente locale, vedere Come applicare la protezione password di Microsoft Entra per Windows Server Active Directory.
Prima di iniziare
Questo articolo illustra come abilitare la protezione password di Microsoft Entra per l'ambiente locale. Prima di completare questo articolo, installare e registrare il servizio proxy di protezione password di Microsoft Entra e gli agenti di dominio nell'ambiente locale di Active Directory Domain Services.
Abilitare la protezione password locale
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di autenticazione.
Passare a Entra ID>Authentication methods>Password protection.
Impostare l'opzione Abilita protezione password in Windows Server Active Directory su Sì.
Quando questa impostazione è impostata su No, tutti gli agenti DC di protezione password di Microsoft Entra distribuiti passano a una modalità quiescente in cui tutte le password vengono accettate as-is. Non vengono eseguite attività di convalida e gli eventi di controllo non vengono generati.
È consigliabile impostare inizialmente la modalità su Controlla. Dopo che hai familiarizzato con la funzionalità e l'impatto sugli utenti nella tua organizzazione, puoi passare alla modalitàforzata. Per ulteriori informazioni, vedere la sezione seguente sulle modalità di funzionamento .
Quando si è pronti, selezionare Salva.
Modalità di funzionamento
Quando si abilita la protezione password di Microsoft Entra in locale, è possibile usare la modalità di controllo o la modalità di imposizione . È consigliabile avviare sempre la distribuzione iniziale e i test in modalità di controllo. Le voci nel registro eventi devono quindi essere monitorate per prevedere se eventuali processi operativi esistenti verrebbero disturbati dopo l'abilitazione della modalità Di imposizione .
Modalità di controllo
La modalità di controllo è concepita come un modo per eseguire il software in modalità "what if". Ogni servizio agente di protezione password DC di Microsoft Entra valuta una password in ingresso corrispondente alla politica attualmente attiva.
Se il criterio corrente è configurato per essere in modalità di verifica, le password "non valide" generano messaggi del registro eventi, ma vengono elaborate e aggiornate. Questo comportamento è l'unica differenza tra il controllo e la modalità di imposizione. Tutte le altre operazioni funzionano allo stesso modo.
Modalità forzata
La modalità vincolante è destinata alla configurazione finale. Come in modalità di verifica, ogni servizio agente del controllo di dominio di Protezione Password di Microsoft Entra valuta le password in ingresso in base ai criteri attualmente attivi. Quando la modalità applicata è abilitata, tuttavia, una password considerata non sicura in base ai criteri viene rifiutata.
Quando una password viene rifiutata in modalità applicata dall'agente DC di Microsoft Entra Password Protection, un utente finale visualizza un errore simile a quello che avrebbe visto se la password fosse stata rifiutata dall'applicazione tradizionale dei criteri di complessità delle password in locale. Ad esempio, un utente potrebbe visualizzare il seguente messaggio di errore tradizionale nella schermata di accesso di Windows o modificare la password:
"Impossibile aggiornare la password. Il valore fornito per la nuova password non soddisfa i requisiti di lunghezza, complessità o cronologia del dominio."
Questo messaggio è solo un esempio di diversi risultati possibili. Il messaggio di errore specifico può variare a seconda del software o dello scenario effettivo che sta tentando di impostare una password non sicura.
Gli utenti finali interessati potrebbero dover collaborare con il personale IT per comprendere i nuovi requisiti e scegliere password sicure.
Nota
La protezione password di Microsoft Entra non ha alcun controllo sul messaggio di errore specifico visualizzato dal computer client quando viene rifiutata una password debole.
Passaggi successivi
Per personalizzare l'elenco delle password escluse per l'organizzazione, vedere Configurare l'elenco di password personalizzate di protezione password escluse da Microsoft Entra.
Per monitorare gli eventi locali, vedere Monitoraggio della protezione password di Microsoft Entra locale.