Włączanie lokalnej ochrony haseł w usłudze Azure Active Directory

Użytkownicy często tworzą hasła, które używają typowych lokalnych słów, takich jak szkoła, zespół sportowy lub znana osoba. Te hasła są łatwe do odgadnięcia i słabe w przypadku ataków opartych na słowniku. Aby wymusić silne hasła w organizacji, usługa Azure Active Directory (Azure AD) Password Protection udostępnia globalną i niestandardową listę zakazanych haseł. Żądanie zmiany hasła kończy się niepowodzeniem, jeśli na liście tych zakazanych haseł występuje dopasowanie.

Aby chronić środowisko usług lokalna usługa Active Directory Domain Services (AD DS), możesz zainstalować i skonfigurować ochronę haseł usługi Azure AD w celu pracy z lokalnym kontrolerem domeny. W tym artykule pokazano, jak włączyć ochronę haseł w usłudze Azure AD dla środowiska lokalnego.

Aby uzyskać więcej informacji na temat działania ochrony haseł w usłudze Azure AD w środowisku lokalnym, zobacz Jak wymusić ochronę haseł w usłudze Azure AD dla Windows Server Active Directory.

Zanim rozpoczniesz

W tym artykule pokazano, jak włączyć ochronę haseł w usłudze Azure AD dla środowiska lokalnego. Przed ukończeniem tego artykułu zainstaluj i zarejestruj usługę proxy usługi Azure AD Password Protection i agentów kontrolera domeny w lokalnym środowisku usług AD DS.

Włączanie lokalnej ochrony haseł

  1. Zaloguj się do Azure Portal i przejdź do Azure Active Directory>SecurityAuthentication>methodsPassword> protection.

  2. Ustaw opcję Włącz ochronę haseł na Windows Server Active Directory na wartość Tak.

    Jeśli to ustawienie ma wartość Nie, wszyscy wdrożonych agentów kontrolera domeny usługi Azure AD Password Protection przechodzą do trybu spoczynku, w którym wszystkie hasła są akceptowane zgodnie z rzeczywistymi ustawieniami. Nie są wykonywane żadne działania weryfikacji, a zdarzenia inspekcji nie są generowane.

  3. Zaleca się wstępne ustawienie opcji Tryb na Inspekcja. Po zapoznaniu się z funkcją i wpływem na użytkowników w organizacji możesz przełączyć tryb na Wymuszone. Aby uzyskać więcej informacji, zobacz następującą sekcję dotyczącą trybów działania.

  4. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

    Enable on-premises password protection under Authentication Methods in the Azure portal

Tryby operacyjne

Po włączeniu lokalnej ochrony haseł usługi Azure AD można użyć trybu inspekcji lub trybu wymuszania . Zalecamy, aby początkowe wdrażanie i testowanie zawsze rozpoczynało się w trybie inspekcji. Wpisy w dzienniku zdarzeń powinny być następnie monitorowane, aby przewidzieć, czy jakiekolwiek istniejące procesy operacyjne będą zakłócane po włączeniu trybu wymuszania .

Tryb inspekcji

Tryb inspekcji jest przeznaczony jako sposób uruchamiania oprogramowania w trybie "co jeśli". Każda usługa agenta kontrolera domeny ochrony haseł usługi Azure AD ocenia hasło przychodzące zgodnie z aktualnie aktywnymi zasadami.

Jeśli bieżące zasady są skonfigurowane w trybie inspekcji, "nieprawidłowe" hasła powodują komunikaty dziennika zdarzeń, ale są przetwarzane i aktualizowane. To zachowanie jest jedyną różnicą między trybem inspekcji i wymuszania. Wszystkie inne operacje działają tak samo.

Tryb wymuszony

Tryb wymuszany jest przeznaczony jako ostateczna konfiguracja. Podobnie jak w trybie inspekcji, każda usługa agenta dc ochrony haseł usługi Azure AD ocenia przychodzące hasła zgodnie z aktualnie aktywnymi zasadami. Po włączeniu wymuszonego trybu jest jednak odrzucane hasło uznawane za niezabezpieczone zgodnie z zasadami.

Gdy hasło zostanie odrzucone w trybie wymuszonym przez agenta kontrolera domeny usługi Azure AD Password Protection, użytkownik końcowy zobaczy podobny błąd, jak gdyby hasło zostało odrzucone przez tradycyjne wymuszanie złożoności haseł lokalnych. Na przykład użytkownik może zobaczyć następujący tradycyjny komunikat o błędzie na ekranie logowania Windows lub zmienić hasło:

"Nie można zaktualizować hasła. Wartość podana dla nowego hasła nie spełnia wymagań dotyczących długości, złożoności ani historii domeny".

Ten komunikat jest tylko jednym przykładem kilku możliwych wyników. Konkretny komunikat o błędzie może się różnić w zależności od rzeczywistego oprogramowania lub scenariusza, który próbuje ustawić niezabezpieczone hasło.

Użytkownicy końcowi, których dotyczy problem, mogą potrzebować współpracy ze swoimi pracownikami IT, aby zrozumieć nowe wymagania i wybrać bezpieczne hasła.

Uwaga

Usługa Azure AD Password Protection nie ma kontroli nad określonym komunikatem o błędzie wyświetlanym przez maszynę kliencką po odrzuceniu słabego hasła.

Następne kroki

Aby dostosować listę zakazanych haseł dla organizacji, zobacz Konfigurowanie niestandardowej listy haseł zabronionych w usłudze Azure AD.

Aby monitorować zdarzenia lokalne, zobacz Monitorowanie lokalnej ochrony haseł w usłudze Azure AD.