Distribuire e gestire la protezione password
Gli utenti creano spesso password che usano parole locali comuni, ad esempio il nome di una scuola, una squadra sportiva o un personaggio famoso. Queste password sono facili da indovinare e vulnerabili agli attacchi basati su dizionario. Per fare in modo che nell'organizzazione vengano usate password complesse, Protezione password di Microsoft Entra fornisce un elenco di password vietate globali e personalizzate. Una richiesta di modifica della password non verrà eseguita se la password è presente nell'elenco di password vietate.
Il servizio Protezione password di Microsoft Entra è progettato tenendo conto dei principi seguenti:
- I controller di dominio non devono mai comunicare direttamente con Internet.
- Non vengono aperte nuove porte di rete nei controller di dominio.
- Non sono necessarie modifiche allo schema di Active Directory Domain Services. Il software usa il contenitore Active Directory Domain Services e gli oggetti dello schema serviceConnectionPoint esistenti.
- Non è richiesto alcun livello di funzionalità della foresta o del dominio Active Directory Domain Services minimo.
- Il software non crea né richiede account nei domini Active Directory Domain Services da esso protetti.
- Le password di testo non crittografato dell'utente non lasciano mai il controller di dominio, né durante le operazioni di convalida della password né in qualsiasi altro momento.
- Il software non dipende da altre funzionalità di Microsoft Entra. Ad esempio, la sincronizzazione dell'hash delle password di Microsoft Entra (PHS) non è correlata o necessaria per Protezione password di Microsoft Entra.
- La distribuzione incrementale è supportata, tuttavia i criteri password vengono applicati solo dove è installato l'agente del controller di dominio.
Creare un account Azure e aggiungere licenze di valutazione di Microsoft Entra ID Premium P2
Per le attività in questo esercizio e gli esercizi in questo percorso di apprendimento, è necessario avere già una sottoscrizione di Azure da usare oppure iscriversi per ottenere un account di valutazione di Azure. Se si ha già una sottoscrizione di Azure, è possibile ignorare questa attività e passare alla successiva.
- In un Web browser passare al portale di Azure.
- Scorrere verso il basso nella pagina per scoprire di più sui vantaggi e sui servizi gratuiti disponibili.
- Seleziona Inizia gratuitamente.
- Usare la procedura guidata per iscriversi in modo da ottenere una sottoscrizione di valutazione di Azure.
- Per completare alcuni degli esercizi, è necessario disporre di una licenza Microsoft Entra P2. Nell'organizzazione creata, cercare e quindi selezionare Microsoft Entra ID.
- Nel menu di spostamento a sinistra selezionare Introduzione.
- In Introduzione a Microsoft Entra selezionare Ottieni una versione di valutazione gratuita per Microsoft Entra Premium.
- Nel riquadro Attivare, in Microsoft Entra Premium P2selezionare Versione di valutazione gratuita e poi selezionare Attivare.
- Nel menu di spostamento a sinistra selezionare Panoramica.
- Aggiornare il browser finché non viene visualizzato Microsoft Entra Premium P2 sotto il nome dell'organizzazione. Questa operazione può richiedere alcuni minuti.
- Potrebbe essere necessario disconnettersi e accedere di nuovo a Microsoft Azure in caso di problemi relativi a funzionalità previste che non sono disponibili.
Come funziona la Protezione password di Microsoft Entra ID
I componenti locali di Protezione password di Microsoft Entra funzionano come segue:
- Ogni istanza del servizio proxy di Protezione password di Microsoft Entra si annuncia ai controller di dominio nella foresta creando un oggetto serviceConnectionPoint in Active Directory.
- Ogni servizio agente del controller di dominio per Protezione password di Microsoft Entra crea anch'esso un oggetto serviceConnectionPoint in Active Directory. Questo oggetto viene usato principalmente per la creazione di report e la diagnostica.
- Il servizio agente del controller di dominio è responsabile dell'avvio del download dei nuovi criteri password da Microsoft Entra. Il primo passaggio consiste nell'individuare un servizio proxy di Protezione password di Microsoft Entra eseguendo una query sulla foresta per gli oggetti serviceConnectionPoint proxy.
- Quando viene trovato un servizio proxy disponibile, l'agente del controller di dominio invia al servizio proxy una richiesta di download dei criteri password. Il servizio proxy a sua volta invia la richiesta a Microsoft Entra e poi restituisce la risposta al servizio agente del controller di dominio.
- Dopo aver ricevuto i nuovi criteri password da Microsoft Entra, il servizio agente del controller di dominio archivia i criteri in una cartella dedicata nella radice della condivisione delle cartelle di dominio sysvol. Il servizio agente del controller di dominio monitora anche questa cartella, nel caso in cui vengano replicati criteri più recenti da altri servizi agente del controller di dominio all'interno del dominio.
- Il servizio agente del controller di dominio richiede sempre nuovi criteri all'avvio del servizio. Dopo l'avvio, il servizio agente del controller di dominio verifica ogni ora a quando risalgono i criteri attualmente disponibili in locale. Se i criteri risalgono a più di un'ora prima, l'agente del controller di dominio richiede nuovi criteri a Microsoft Entra tramite il servizio proxy, come descritto in precedenza. Se i criteri correnti risalgono a meno di un'ora prima, l'agente del controller di dominio continua a usarli.
- Quando un controller di dominio riceve eventi di modifica della password, i criteri memorizzati nella cache vengono usati per determinare se la nuova password viene accettata o rifiutata.
Per proteggere l'ambiente Active Directory Domain Services (AD DS) locale, è possibile installare e configurare Protezione password di Microsoft Entra per l'uso con il controller di dominio locale. Questa unità illustra come installare e registrare il servizio proxy di Protezione password di Microsoft Entra e l'agente del controller di dominio di Protezione password di Microsoft Entra nell'ambiente locale.
Strategia di distribuzione
Il diagramma seguente mostra come interagiscono i componenti di base di Protezione password di Microsoft Entra in un ambiente Active Directory locale:
È consigliabile iniziare le distribuzioni in modalità di controllo. La modalità di controllo è l'impostazione iniziale predefinita in cui è possibile continuare a impostare le password. Le password che verrebbero bloccate vengono inserite nel registro eventi. Dopo aver distribuito i server proxy e gli agenti del controller di dominio in modalità di controllo, monitorare l'impatto che i criteri password avranno sugli utenti dopo l'applicazione.
Durante la fase di controllo, molte organizzazioni riscontrano le situazioni seguenti:
- Hanno necessità di migliorare i processi operativi esistenti per usare password più sicure.
- Gli utenti spesso usano password non sicure.
- È necessario informare gli utenti sulle future modifiche nell'applicazione della sicurezza e su come scegliere password più sicure.
È anche possibile che la convalida per le password più sicure influisca sull'automazione della distribuzione del controller di dominio Active Directory esistente. Si consiglia di provare almeno una volta ad alzare di livello e ad abbassare di livello il controller di dominio durante la valutazione del periodo di controllo per individuare problemi come password vulnerabili che impediscono queste operazioni.
Dopo aver eseguito la funzionalità in modalità di controllo per un periodo di tempo ragionevole, è possibile cambiare la configurazione da Controllo ad Applica per richiedere l'uso di password più sicure. È consigliabile continuare il monitoraggio in questa fase.
Importante
Protezione password di Microsoft Entra può convalidare le password solo durante le operazioni di modifica o di impostazione della password. Le password accettate e archiviate in Active Directory prima della distribuzione di Protezione password di Microsoft Entra non verranno mai convalidate e continueranno a funzionare così come sono. Nel tempo, tutti gli utenti e gli account inizieranno a usare password convalidate da Protezione password di Microsoft Entra man mano che le password esistenti scadono. Gli account configurati con l'opzione "La password non scade mai" sono esenti da questo comportamento.
Considerazioni sulla presenza di più foreste
Non sono previsti requisiti aggiuntivi per distribuire la Protezione password di Microsoft Entra in più foreste.
Ogni foresta viene configurata in modo indipendente. Ogni proxy di Protezione password di Microsoft Entra può supportare solo i controller di dominio della foresta a cui è aggiunto.
Il software di Protezione password di Microsoft Entra in una specifica foresta non rileva la presenza del software di protezione password distribuito nelle altre foreste, indipendentemente dalle configurazioni di trust di Active Directory.
Considerazioni sui controller di dominio di sola lettura
Gli eventi di modifica o di impostazione della password non vengono elaborati e resi permanenti nei controller di dominio di sola lettura. Vengono invece inoltrati ai controller di dominio scrivibili. Non è necessario installare il software dell'agente del controller di dominio di Protezione password di Microsoft Entra nei controller di dominio di sola lettura.
Non è inoltre supportata l'esecuzione del servizio proxy di Protezione password di Microsoft Entra in un controller di dominio di sola lettura.
Considerazioni sulla disponibilità elevata
La preoccupazione principale per quanto riguarda la protezione password è la disponibilità dei server proxy di Protezione password di Microsoft Entra quando i controller di dominio in una foresta cercano di scaricare nuovi criteri o altri dati da Azure. Ogni agente del controller di dominio di Protezione password di Microsoft Entra usa un semplice algoritmo di tipo round robin per decidere quale server proxy chiamare. L'agente ignora i server proxy che non rispondono.
Per la maggior parte delle distribuzioni di Active Directory completamente connesse con una replica integra dello stato della cartella sysvol e della directory, due server proxy di Protezione password di Microsoft Entra sono sufficienti per assicurare la disponibilità. Questa configurazione consente il download tempestivo dei nuovi criteri e di altri dati. Se lo si desidera, è possibile distribuire server proxy aggiuntivi di Protezione password di Microsoft Entra.
La progettazione del software dell'agente del controller di dominio di Protezione password di Microsoft Entra mitiga i normali problemi associati alla disponibilità elevata. L'agente del controller di dominio di Protezione password di Microsoft Entra gestisce una cache locale dei criteri password scaricati più di recente. Anche se tutti i server proxy registrati diventano non disponibili, gli agenti del controller di dominio di Protezione password di Microsoft Entra continuano ad applicare i criteri password memorizzati nella cache.
Una frequenza di aggiornamento ragionevole per i criteri password in una distribuzione di grandi dimensioni è in genere nell'ordine dei giorni, non delle ore o a intervalli inferiori. Brevi interruzioni dei server proxy non causano problemi per Protezione password di Microsoft Entra.
Requisiti di distribuzione
I requisiti di licenza per Protezione password di AD sono i seguenti:
| Utenti | Protezione password di Microsoft Entra con elenco globale di password vietate | Protezione password di Microsoft Entra con elenco di password vietate personalizzate |
|---|---|---|
| Solo utenti cloud | Microsoft Entra Free | Microsoft Entra Premium P1 or P2 |
| Utenti sincronizzati dall'istanza locale di Active Directory Domain Services | Microsoft Entra Premium P1 or P2 | Microsoft Entra Premium P1 or P2 |
Si applicano i requisiti di base seguenti:
È necessario un account con privilegi di amministratore di dominio di Active Directory nel dominio radice della foresta per registrare la foresta di Windows Server Active Directory con Microsoft Entra.
Il Servizio distribuzione chiavi deve essere abilitato in tutti i controller di dominio nel dominio che esegue Windows Server 2012. Per impostazione predefinita, questo servizio viene abilitato tramite l'avvio del trigger manuale.
È necessaria la connettività di rete tra almeno un controller di dominio in ogni dominio e almeno un server che ospita il servizio proxy per Protezione password di Microsoft Entra. Questa connettività deve consentire al controller di dominio di accedere alla porta del mapper di endpoint RPC 135 e alla porta del server RPC nel servizio proxy.
- Per impostazione predefinita, la porta del server RPC è una porta RPC dinamica, ma è possibile eseguire la configurazione per usare una porta statica.
Tutti i computer in cui verrà installato il servizio proxy di Protezione password di Microsoft Entra devono disporre dell'accesso di rete agli endpoint seguenti:
| Endpoint | Scopo |
|---|---|
https://login.microsoftonline.com |
Richieste di autenticazione |
https://enterpriseregistration.windows.net |
Funzionalità di protezione password di Microsoft Entra |
Agente del controller di dominio di Protezione password di Microsoft Entra ID
All'agente del controller di dominio di Protezione password di Microsoft Entra si applicano i requisiti seguenti:
In tutti i computer in cui verrà installato il software dell'agente del controller di dominio di Protezione password di Microsoft Entra deve essere in esecuzione Windows Server 2012 o versione successiva.
- Non è necessario che la foresta o il dominio di Active Directory si trovi nel livello di funzionalità della foresta o nel livello di funzionalità del dominio di Windows Server 2012. Per l'esecuzione del software proxy o dell'agente del controller di dominio non è necessario alcun livello di funzionalità della foresta o livello di funzionalità del dominio minimo.
In tutti i computer che eseguono l'agente del controller di dominio di Protezione password di Microsoft Entra deve essere installato .NET 4.5.
Qualsiasi dominio di Active Directory in cui è in esecuzione il servizio agente del controller di dominio di Protezione password di Microsoft Entra deve usare la replica del file system distribuito (DFSR) per la replica sysvol.
Servizio proxy di Protezione password di Microsoft Entra
Al servizio proxy di Protezione password di Microsoft Entra si applicano i requisiti seguenti:
In tutti i computer in cui verrà installato il servizio proxy di Protezione password di Microsoft Entra deve essere in esecuzione Windows Server 2012 R2 o versione successiva.
Nota
La distribuzione del servizio proxy di Protezione password di Microsoft Entra è un requisito obbligatorio per la distribuzione di Protezione password di Microsoft Entra anche se il controller di dominio può avere connettività Internet diretta in uscita.
In tutti i computer in cui verrà installato il servizio proxy di Protezione password di Microsoft Entra deve essere installato .NET 4.7.
Tutti i computer che ospitano il servizio proxy di Protezione password di Microsoft Entra devono essere configurati in modo da concedere ai controller di dominio la possibilità di accedere al servizio proxy. Questa possibilità viene controllata tramite l'assegnazione del privilegio di accesso al computer dalla rete.
Tutti i computer che ospitano il servizio proxy di Protezione password di Microsoft Entra devono essere configurati per consentire il traffico HTTP TLS 1.2 in uscita.
Per registrare la foresta e il servizio proxy di Protezione password di Microsoft Entra in Microsoft Entra, è necessario un account di amministratore globale o amministratore della sicurezza.
L'accesso alla rete deve essere abilitato per il set di porte e URL specificati nelle procedure di configurazione dell'ambiente di Application Proxy.
Avviso
Il proxy di Protezione password di Microsoft Entra e Microsoft Entra Application Proxy installano versioni diverse del servizio di aggiornamento dell'agente di Microsoft Entra Connect e per questo motivo le istruzioni fanno riferimento al contenuto di Application Proxy. Queste versioni diverse non sono compatibili in caso di installazione affiancata. Un'installazione di questo tipo impedisce al servizio di aggiornamento dell'agente di contattare Azure per gli aggiornamenti software, quindi il proxy di Protezione password di Microsoft Entra e Application Proxy non devono mai essere installati nello stesso computer.
Scaricare il software richiesto
Per una distribuzione locale di Protezione password di Microsoft Entra sono necessari due programmi di installazione:
- Agente del controller di dominio di Protezione password di Microsoft Entra (AzureADPasswordProtectionDCAgentSetup.msi)
- Proxy di Protezione password di Microsoft Entra (AzureADPasswordProtectionProxySetup.exe)
Installare e configurare il servizio proxy
Il servizio proxy di Protezione password di Microsoft Entra si trova in genere in un server membro dell'ambiente di AD DS locale. Una volta installato, il servizio proxy di protezione password di Microsoft Entra comunica con Microsoft Entra per mantenere una copia degli elenchi di password globali e dei clienti vietati per il tenant di Microsoft Entra.
Installare il servizio agente del controller di dominio
Per installare il servizio agente del controller di dominio di Protezione password di Microsoft Entra, eseguire il pacchetto AzureADPasswordProtectionDCAgentSetup.msi.
È possibile automatizzare l'installazione del software usando le procedure MSI standard, come illustrato nell'esempio seguente:
msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart
Il flag /norestart può essere omesso se si preferisce che il programma di installazione riavvii automaticamente il computer.
Per l'installazione o la disinstallazione del software è necessario un riavvio. Ciò è necessario perché le DLL del filtro delle password vengono caricate o scaricate solo in caso di riavvio.
L'installazione di Protezione password di Microsoft Entra in locale è completa dopo l'installazione del software dell'agente del controller di dominio in un controller di dominio e il riavvio del computer. Non è necessario né possibile eseguire altre configurazioni. Per gli eventi di modifica delle password per i controller di dominio locali vengono usati gli elenchi di password vietate configurate da Microsoft Entra.
Suggerimento
È possibile installare l'agente del controller di dominio di Protezione password di Microsoft Entra in un computer che non è ancora un controller di dominio. In questo caso, il servizio viene avviato ed eseguito, ma rimane inattivo fino a quando il computer non viene promosso a controller di dominio.
Aggiornamento del servizio proxy
Il servizio proxy di Protezione password di Microsoft Entra supporta l'aggiornamento automatico. L'aggiornamento automatico usa il servizio di aggiornamento dell'agente di Microsoft Entra Connect, installato affiancato al servizio proxy. L'aggiornamento automatico è attivato per impostazione predefinita e può essere abilitato o disabilitato tramite il cmdlet Set-AzureADPasswordProtectionProxyConfiguration.
È possibile eseguire una query per l'impostazione corrente usando il cmdlet Get-AzureADPasswordProtectionProxyConfiguration. È consigliabile lasciare sempre abilitata l'impostazione di aggiornamento automatico.
È possibile usare il cmdlet Get-AzureADPasswordProtectionProxy per eseguire una query per la versione software di tutti i server proxy di Protezione password di Microsoft Entra attualmente installati in una foresta.
Processo di aggiornamento graduale
L'aggiornamento manuale richiede l'esecuzione della versione più recente del programma di installazione software AzureADPasswordProtectionProxySetup.exe. La versione più recente del software è disponibile nell'Area download Microsoft.
Il programma di installazione esegue un aggiornamento in loco e quindi non è necessario disinstallare la versione corrente del servizio proxy di Protezione password di Microsoft Entra. Quando si aggiorna il servizio proxy, non è necessario il riavvio del computer. L'aggiornamento del software può essere automatizzato usando le procedure MSI standard, ad esempio AzureADPasswordProtectionProxySetup.exe /quiet.
Aggiornamento dell'agente del controller di dominio
Quando è disponibile una versione più recente del software dell'agente del controller di dominio di Protezione password di Microsoft Entra, l'aggiornamento viene eseguito tramite la versione più recente del pacchetto software AzureADPasswordProtectionDCAgentSetup.msi. La versione più recente del software è disponibile nell'Area download Microsoft.
Il programma di installazione esegue un aggiornamento sul posto e quindi non è necessario disinstallare la versione corrente del software dell'agente del controller di dominio. Quando si aggiorna il software dell'agente del controller di dominio, è sempre necessario il riavvio del computer. Questo requisito dipende dal comportamento di base di Windows.
L'aggiornamento del software può essere automatizzato usando le procedure MSI standard, ad esempio msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart.
Il flag /norestart può essere omesso se si preferisce che il programma di installazione riavvii automaticamente il computer.
È possibile usare il cmdlet Get-AzureADPasswordProtectionDCAgent per eseguire una query per la versione software di tutti gli agenti del controller di dominio di Protezione password di Microsoft Entra attualmente installati in una foresta.