Planowanie i wdrażanie lokalnej ochrony haseł usługi Microsoft Entra

Użytkownicy często tworzą hasła, które używają typowych słów lokalnych, takich jak szkoła, drużyna sportowa lub sławna osoba. Te hasła są łatwe do odgadnięcia i słabe w przypadku ataków opartych na słowniku. Aby wymusić silne hasła w organizacji, usługa Microsoft Entra Password Protection udostępnia globalną i niestandardową listę zakazanych haseł. Żądanie zmiany hasła kończy się niepowodzeniem, jeśli hasło znajduje się na tej liście zakazanych haseł.

Aby chronić swoje lokalne środowisko Active Directory Domain Services (AD DS), możesz zainstalować i skonfigurować Microsoft Entra Password Protection do współpracy z lokalnym kontrolerem domeny. W tym artykule opisano, jak zainstalować i zarejestrować usługę proxy ochrony haseł Microsoft Entra oraz agenta DC ochrony haseł Microsoft Entra w środowisku lokalnym.

Aby uzyskać więcej informacji na temat sposobu działania ochrony haseł w usłudze Microsoft Entra w środowisku lokalnym, zobacz Jak wymusić ochronę haseł firmy Microsoft dla usługi Active Directory systemu Windows Server.

Strategia wdrażania

Na poniższym diagramie pokazano, jak podstawowe składniki usługi Microsoft Entra Password Protection współpracują ze sobą w lokalnym środowisku Active Directory.

Warto sprawdzić, jak działa oprogramowanie przed jego wdrożeniem. Aby uzyskać więcej informacji, zobacz Omówienie koncepcyjne ochrony haseł firmy Microsoft.

Zalecamy rozpoczęcie wdrożeń w trybie inspekcji . Tryb inspekcji to domyślne ustawienie początkowe, w którym hasła mogą być nadal ustawiane. Hasła, które byłyby zablokowane, są rejestrowane w dzienniku zdarzeń. Po wdrożeniu serwerów proxy i agentów kontrolera domeny w trybie audytu monitoruj wpływ, jaki zasady haseł będą miały na użytkowników, gdy zostaną wymuszone.

Na etapie inspekcji wiele organizacji uważa, że mają zastosowanie następujące sytuacje:

• Muszą one poprawić istniejące procesy operacyjne, aby używać bezpieczniejszych haseł.
• Użytkownicy często używają niezabezpieczonych haseł.
• Muszą poinformować użytkowników o nadchodzących zmianach w wymuszaniu zabezpieczeń, ewentualnym wpływie na nie i sposobach wybierania bezpieczniejszych haseł.

Istnieje również możliwość silniejszej weryfikacji hasła, aby wpłynąć na istniejącą automatyzację wdrażania kontrolera domeny usługi Active Directory. Zalecamy, aby co najmniej jedna promocja kontrolera domeny i jedna degradacja kontrolera domeny wystąpiła podczas oceny okresu inspekcji, aby pomóc odkryć takie problemy. Aby uzyskać więcej informacji, zobacz następujące artykuły:

• Ntdsutil.exe nie można ustawić słabego hasła trybu naprawy usług katalogowych
• Niepowodzenie awansu repliki kontrolera domeny z powodu słabego hasła w trybie naprawy usług katalogowych
• Degradacja kontrolera domeny kończy się niepowodzeniem z powodu słabego hasła administratora lokalnego

Po uruchomieniu funkcji w trybie inspekcji przez rozsądny okres możesz przełączyć konfigurację z inspekcji na Wymuszanie , aby wymagać bezpieczniejszych haseł. Dodatkowe monitorowanie w tym czasie jest dobrym pomysłem.

Należy pamiętać, że usługa Microsoft Entra Password Protection może weryfikować hasła tylko podczas operacji zmiany lub ustawiania haseł. Hasła, które zostały zaakceptowane i przechowywane w usłudze Active Directory przed wdrożeniem usługi Microsoft Entra Password Protection, nigdy nie zostaną zweryfikowane i będą nadal działać zgodnie z oczekiwaniami. W miarę upływu czasu wszyscy użytkownicy i konta w końcu zaczną używać haseł zweryfikowanych przez firmę Microsoft, ponieważ ich istniejące hasła wygasają normalnie. Konta skonfigurowane za pomocą opcji "hasło nigdy nie wygasa" są wykluczone z tego.

Zagadnienia dotyczące wielu lasów

Nie ma żadnych dodatkowych wymagań dotyczących wdrażania ochrony haseł firmy Microsoft w wielu lasach.

Każdy las jest konfigurowany niezależnie, zgodnie z opisem w poniższej sekcji w celu wdrożenia lokalnej ochrony haseł Microsoft Entra. Każdy serwer proxy Microsoft Entra Password Protection może obsługiwać tylko kontrolery domeny z lasu, do którego jest przyłączony.

Oprogramowanie Firmy Microsoft Entra Password Protection w każdym lesie nie zna oprogramowania chroniącego hasła wdrożonego w innych lasach, niezależnie od konfiguracji zaufania usługi Active Directory.

Zagadnienia dotyczące kontrolera domeny tylko do odczytu

Zmiany hasła lub ustawienia hasła nie są przetwarzane i utrwalane na kontrolerach domeny tylko do odczytu (RODC). Zamiast tego są przekazywane do zapisywalnych kontrolerów domeny. Nie musisz instalować oprogramowania agenta DC ochrony haseł firmy Microsoft na kontrolerach RODC.

Ponadto uruchamianie usługi serwera proxy Microsoft Entra Password Protection na kontrolerze domeny tylko do odczytu nie jest obsługiwane.

Zagadnienia dotyczące wysokiej dostępności

Głównym problemem dotyczącym ochrony haseł jest dostępność serwerów proxy Microsoft Entra Password Protection, gdy kontrolery domen w lesie próbują pobrać nowe polisy lub inne dane z platformy Azure. Każdy agent DC Microsoft Entra Password Protection używa prostego algorytmu w stylu round-robin przy podejmowaniu decyzji, który serwer proxy wywołać. Agent pomija serwery proxy, które nie odpowiadają.

W przypadku większości w pełni połączonych wdrożeń usług Active Directory z dobrą replikacją stanu katalogu i folderu sysvol, dwa serwery proxy ochrony haseł Microsoft Entra są wystarczające, aby zapewnić wysoką dostępność. Ta konfiguracja powoduje terminowe pobieranie nowych zasad i innych danych. W razie potrzeby można wdrożyć dodatkowe serwery proxy ochrony haseł firmy Microsoft.

Projektowanie oprogramowania agenta DC ochrony haseł Microsoft Entra ogranicza typowe problemy związane z wysoką dostępnością. Agent dc ochrony haseł firmy Microsoft przechowuje lokalną pamięć podręczną ostatnio pobranych zasad haseł. Nawet jeśli wszystkie zarejestrowane serwery proxy staną się niedostępne, agenci dc ochrony haseł firmy Microsoft nadal wymuszają buforowane zasady haseł.

Rozsądna częstotliwość aktualizacji zasad haseł w dużym wdrożeniu to zwykle dni, a nie godziny lub mniej. W związku z tym krótkie przerwy w działaniu serwerów proxy nie wpływają znacząco na ochronę haseł firmy Microsoft.

Wymagania dotyczące wdrażania

Aby uzyskać informacje na temat licencjonowania, zobacz Wymagania dotyczące licencjonowania usługi Microsoft Entra Password Protection.

Obowiązują następujące podstawowe wymagania:

• Wszystkie maszyny, w tym kontrolery domeny, z zainstalowanymi składnikami ochrony haseł firmy Microsoft, muszą mieć zainstalowane środowisko uruchomieniowe uniwersalnego języka C.

  • Aby uzyskać środowisko uruchomieniowe, upewnij się, że masz wszystkie aktualizacje z usługi Windows Update. Możesz też pobrać go w pakiecie aktualizacji specyficznym dla systemu operacyjnego. Aby uzyskać więcej informacji, zobacz Update for Universal C Runtime in Windows (Aktualizacja uniwersalnego środowiska uruchomieniowego języka C w systemie Windows).

• Potrzebujesz konta z uprawnieniami administratora domeny usługi Active Directory w domenie głównej lasu, aby zarejestrować las usługi Active Directory systemu Windows Server przy użyciu identyfikatora Entra firmy Microsoft.

• Usługa dystrybucji kluczy musi być włączona na wszystkich kontrolerach domeny w domenie z systemem Windows Server 2012 i nowszymi wersjami. Domyślnie ta usługa jest włączona za pośrednictwem ręcznego uruchamiania wyzwalacza.

• Łączność sieciowa musi istnieć między co najmniej jednym kontrolerem domeny w każdej domenie a co najmniej jednym serwerem hostujący usługę proxy dla ochrony haseł firmy Microsoft Entra. Ta łączność musi umożliwić kontrolerowi domeny dostęp do portu mapowania punktu końcowego RPC 135 i portu serwera RPC w usłudze proxy.

  • Domyślnie port serwera RPC jest dynamicznym portem RPC z zakresu (49152 – 65535), ale można go skonfigurować do używania portu statycznego.

• Wszystkie maszyny, na których zostanie zainstalowana usługa serwera proxy ochrony haseł firmy Microsoft, muszą mieć dostęp sieciowy do następujących punktów końcowych:

  Punkt końcowy	Przeznaczenie
  https://login.microsoftonline.com	Żądania uwierzytelniania
  https://enterpriseregistration.windows.net	Microsoft Entra Password Protection — funkcjonalność
  https://autoupdate.msappproxy.net	Funkcja automatycznego uaktualniania ochrony haseł firmy Microsoft Entra

Uwaga

Niektóre punkty końcowe, takie jak punkt CRL, nie są omawiane w tym artykule. Aby uzyskać listę wszystkich obsługiwanych punktów końcowych, zobacz Adresy URL i zakresy adresów IP platformy Microsoft 365. Ponadto inne punkty końcowe są wymagane do uwierzytelniania centrum administracyjnego firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz adresy URL omijania serwera proxy w centrum administracyjnym Microsoft Entra.

Microsoft Entra ochrona hasła agenta DC

Następujące wymagania dotyczą agenta DC ochrony haseł firmy Microsoft:

• Na maszynach, na których zostanie zainstalowane oprogramowanie agenta DC ochrony haseł firmy Microsoft, należy uruchomić system Windows Server 2012 R2 lub nowszy, w tym wersje systemu Windows Server Core.
  • Domena lub las usługi Active Directory mogą być dowolnym obsługiwanym poziomem funkcjonalności.
• Na wszystkich komputerach, na których zostanie zainstalowany agent dc ochrony haseł firmy Microsoft, musi być zainstalowany program .NET 4.7.2.
  • Jeśli program .NET 4.7.2 nie jest jeszcze zainstalowany, pobierz i uruchom instalator znaleziony w instalatorze programu .NET Framework 4.7.2 w trybie offline dla systemu Windows.
• Każda domena usługi Active Directory z uruchomioną usługą agenta DC ochrony haseł firmy Microsoft musi używać replikacji rozproszonego systemu plików (DFSR) na potrzeby replikacji folderu sysvol.

  • Jeśli domena nie korzysta jeszcze z usługi DFSR, należy przeprowadzić migrację przed zainstalowaniem usługi Microsoft Entra Password Protection. Aby uzyskać więcej informacji, zobacz SYSVOL Replication Migration Guide: FRS to DFS Replication

    Ostrzeżenie

    Oprogramowanie agenta ochrony haseł Microsoft Entra jest obecnie instalowane na kontrolerach domen w domenach, które nadal używają usługi FRS (technologii poprzedzającej DFSR) do replikacji sysvol, ale oprogramowanie nie będzie działać prawidłowo w tym środowisku.

    Dodatkowe negatywne skutki uboczne obejmują niepowodzenia w replikacji pojedynczych plików, a procedury przywracania sysvol mogą wydawać się zakończone sukcesem, jednak niezauważalnie nie udaje się zreplikować wszystkich plików.

    Zmigruj domenę do korzystania z usługi DFSR tak szybko, jak to możliwe, zarówno w przypadku korzyści związanych z usługą DFSR, jak i w celu odblokowania wdrożenia usługi Microsoft Entra Password Protection. Przyszłe wersje oprogramowania zostaną automatycznie wyłączone podczas uruchamiania w domenie, która nadal korzysta z usługi FRS.

Usługa proxy ochrony haseł Microsoft Entra

Następujące wymagania dotyczą usługi serwera proxy ochrony haseł firmy Microsoft:

• Wszystkie maszyny, na których zostanie zainstalowana usługa serwera proxy ochrony haseł firmy Microsoft, muszą działać system Windows Server 2012 R2 lub nowszy, w tym wersje systemu Windows Server Core.

  Uwaga

  Wdrożenie serwera proxy ochrony haseł firmy Microsoft jest obowiązkowym wymaganiem dotyczącym wdrażania ochrony haseł firmy Microsoft, mimo że kontroler domeny może mieć bezpośrednią łączność z Internetem.

• Wszystkie urządzenia, na których zostanie zainstalowana usługa serwera proxy Microsoft Entra Password Protection, muszą mieć zainstalowaną platformę .NET 4.7.2.

  • Jeśli program .NET 4.7.2 nie jest jeszcze zainstalowany, pobierz i uruchom instalator znaleziony w instalatorze programu .NET Framework 4.7.2 w trybie offline dla systemu Windows.

• Wszystkie maszyny, które hostują usługę serwera proxy ochrony haseł firmy Microsoft, muszą być skonfigurowane w celu udzielenia kontrolerom domeny możliwości logowania się do usługi serwera proxy. Ta możliwość jest kontrolowana za pośrednictwem przypisania uprawnień "Uzyskaj dostęp do tego komputera z sieci".

• Wszystkie maszyny hostujące usługę proxy ochrony haseł firmy Microsoft muszą być skonfigurowane tak, aby zezwalały na wychodzący ruch HTTP TLS 1.2.

• Administrator globalny musi zarejestrować po raz pierwszy usługę proxy Microsoft Entra Password Protection w danej dzierżawie. Kolejne rejestracje serwera proxy i lasu w usłudze Microsoft Entra ID mogą korzystać z konta posiadającego co najmniej rolę Administratora zabezpieczeń.

• Dostęp do sieci musi być włączony dla zestawu portów i adresów URL określonych w procedurach konfiguracji środowiska serwera proxy aplikacji. Jest to oprócz dwóch opisanych powyżej punktów końcowych.

Wymagania wstępne programu Microsoft Entra Connect Agent Updater

Usługa Microsoft Entra Connect Agent Updater jest instalowana obok usługi Microsoft Entra Password Protection Proxy. Aby usługa Microsoft Entra Connect Agent Updater mogła działać, wymagana jest dodatkowa konfiguracja:

• Jeśli środowisko korzysta z serwera proxy HTTP, postępuj zgodnie z wytycznymi określonymi w temacie Praca z istniejącymi lokalnymi serwerami proxy.
• Usługa Microsoft Entra Connect Agent Updater wymaga również kroków protokołu TLS 1.2 określonych w wymaganiach protokołu TLS.

Ostrzeżenie

Serwer proxy ochrony haseł Microsoft Entra i serwer proxy aplikacji Microsoft Entra instalują różne wersje usługi Microsoft Entra Connect Agent Updater, dlatego instrukcje odnoszą się do zawartości serwera proxy aplikacji. Te różne wersje są niezgodne po zainstalowaniu obok siebie i w ten sposób uniemożliwi usłudze Agent Updater kontaktowanie się z platformą Azure w celu uzyskania aktualizacji oprogramowania, dlatego nigdy nie należy instalować serwera proxy ochrony haseł firmy Microsoft i serwer proxy aplikacji na tym samym komputerze.

Pobieranie wymaganego oprogramowania

Istnieją dwa wymagane instalatory dla lokalnego wdrożenia usługi Microsoft Entra Password Protection:

• Agent kontrolera domeny ochrony hasłem Microsoft Entra (AzureADPasswordProtectionDCAgentSetup.msi)
• Serwer proxy ochrony hasłem Microsoft Entra (AzureADPasswordProtectionProxySetup.exe)

Pobierz oba instalatory z Centrum Pobierania Microsoft.

Instalowanie i konfigurowanie usługi serwera proxy

Usługa proxy Microsoft Entra Password Protection znajduje się zwykle na serwerze członkowskim w lokalnym środowisku AD DS. Po zainstalowaniu usługa proxy Microsoft Entra Password Protection komunikuje się z Microsoft Entra ID, aby utrzymać kopię globalnych i klientowskich list zabronionych haseł dla dzierżawy Microsoft Entra.

W następnej sekcji zainstalujesz agentów usługi Microsoft Entra Password Protection na kontrolerach domeny w lokalnym środowisku AD DS. Ci agenci DC komunikują się z usługą proxy, aby uzyskać najnowsze listy zakazanych haseł do użycia podczas przetwarzania zdarzeń związanych ze zmianą hasła w domenie.

Wybierz co najmniej jeden serwer do hostowania usługi proxy ochrony haseł firmy Microsoft. Następujące zagadnienia dotyczą serwerów:

• Każda taka usługa może zapewnić zasady haseł tylko dla pojedynczego lasu. Maszyna hosta musi być przyłączona do dowolnej domeny w tym lesie.
• Usługę serwera proxy można zainstalować w domenach głównych lub podrzędnych albo w połączeniu z tymi usługami.
• Potrzebna jest sieciowa łączność między co najmniej jednym kontrolerem domeny (DC) w każdej domenie lasu i jednym serwerem proxy ochronnym haseł.
• Usługę proxy ochrony haseł firmy Microsoft można uruchomić na kontrolerze domeny na potrzeby testowania, ale ten kontroler domeny wymaga łączności z Internetem. Ta łączność może stanowić problem z zabezpieczeniami. Zalecamy tę konfigurację tylko do testowania.
• Zalecamy co najmniej dwa serwery proxy Microsoft Entra Password Protection na las w celu zapewnienia nadmiarowości, o czym wspomniano w poprzedniej sekcji dotyczącej zagadnień wysokiej dostępności.
• Nie jest obsługiwane uruchamianie usługi proxy ochrony haseł firmy Microsoft na kontrolerze domeny tylko do odczytu.
• W razie potrzeby możesz usunąć usługę serwera proxy przy użyciu opcji Dodaj lub usuń programy. Nie jest wymagane ręczne czyszczenie stanu obsługiwanego przez usługę proxy.

Aby zainstalować usługę serwera proxy ochrony haseł firmy Microsoft, wykonaj następujące kroki:

1. Aby zainstalować usługę serwera proxy Microsoft Entra Password Protection, uruchom AzureADPasswordProtectionProxySetup.exe instalator oprogramowania.

   Instalacja oprogramowania nie wymaga ponownego uruchomienia i może zostać zautomatyzowana przy użyciu standardowych procedur MSI, jak w poniższym przykładzie:

   AzureADPasswordProtectionProxySetup.exe /quiet
   

   Uwaga

   Przed zainstalowaniem AzureADPasswordProtectionProxySetup.exe pakietu należy uruchomić usługę Zapora systemu Windows, aby uniknąć błędu instalacji.

   Jeśli zapora systemu Windows nie jest skonfigurowana do uruchamiania, obejście polega na tymczasowym włączeniu i uruchomieniu usługi Zapory podczas instalacji. Oprogramowanie proxy nie ma określonej zależności od Zapory systemu Windows po instalacji.

   Jeśli używasz zapory innej firmy, musi ona być nadal skonfigurowana tak, aby spełniała wymagania dotyczące wdrażania. Obejmują one umożliwienie dostępu przychodzącego do portu 135 i portu serwera proxy RPC. Aby uzyskać więcej informacji, zobacz poprzednią sekcję dotyczącą wymagań dotyczących wdrażania.

2. Oprogramowanie proxy ochrony haseł Microsoft Entra zawiera nowy moduł programu PowerShell. AzureADPasswordProtection W poniższych krokach są uruchamiane różne polecenia cmdlet z tego modułu programu PowerShell.

   Aby użyć tego modułu, otwórz okno programu PowerShell jako administrator i zaimportuj nowy moduł w następujący sposób:

   Import-Module AzureADPasswordProtection
   

   Ostrzeżenie

   Należy użyć 64-bitowej wersji programu PowerShell. Niektóre polecenia cmdlet mogą nie działać w środowisku PowerShell (x86).

3. Aby sprawdzić, czy usługa serwera proxy ochrony haseł firmy Microsoft jest uruchomiona, użyj następującego polecenia programu PowerShell:

   Get-Service AzureADPasswordProtectionProxy | fl
   

   W wyniku powinien pokazywać StatusUruchomiono.

4. Usługa proxy jest uruchomiona na maszynie, ale nie ma poświadczeń do komunikowania się z identyfikatorem Entra firmy Microsoft. Zarejestruj serwer proxy ochrony haseł Microsoft Entra w Microsoft Entra ID przy użyciu polecenia cmdlet Register-AzureADPasswordProtectionProxy.

   To polecenie cmdlet wymaga poświadczeń administratora globalnego przy pierwszym zarejestrowaniu dowolnego serwera proxy dla danej dzierżawy. Kolejne rejestracje serwera proxy w tej dzierżawie, zarówno dla tych samych, jak i różnych serwerów proxy, mogą używać poświadczeń Administratora zabezpieczeń.

   Po pomyślnym wykonaniu tego polecenia dodatkowe wywołania również powiedzą się, ale są niepotrzebne.

   Polecenie Register-AzureADPasswordProtectionProxy cmdlet obsługuje następujące trzy tryby uwierzytelniania. Dwa pierwsze tryby obsługują uwierzytelnianie wieloskładnikowe firmy Microsoft, ale trzeci tryb nie.

   Napiwek

   Może wystąpić zauważalne opóźnienie, zanim zostanie ukończone pierwsze uruchomienie tego polecenia dla określonego dzierżawcy w Azure. O ile nie zostanie zgłoszony błąd, nie martw się o to opóźnienie.

   • Tryb uwierzytelniania interakcyjnego:

     Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
     

     Uwaga

     Ten tryb nie działa w systemach operacyjnych Server Core. Zamiast tego należy użyć jednego z następujących trybów uwierzytelniania. Ponadto ten tryb może zakończyć się niepowodzeniem, jeśli włączono konfigurację zwiększonych zabezpieczeń programu Internet Explorer. Obejście polega na wyłączeniu tej konfiguracji, zarejestrowaniu serwera proxy, a następnie ponownym włączeniu go.

   • Tryb uwierzytelniania kodu urządzenia:

     Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
     

     Po wyświetleniu monitu kliknij link, aby otworzyć przeglądarkę internetową i wprowadzić kod uwierzytelniania.

   • Tryb uwierzytelniania dyskretnego (opartego na hasłach):

     $globalAdminCredentials = Get-Credential
     Register-AzureADPasswordProtectionProxy -AzureCredential $globalAdminCredentials
     

     Uwaga

     Ten tryb kończy się niepowodzeniem, jeśli dla Twojego konta jest wymagane uwierzytelnianie wieloskładnikowe firmy Microsoft. W takim przypadku użyj jednego z dwóch poprzednich trybów uwierzytelniania lub zamiast tego użyj innego konta, które nie wymaga uwierzytelniania wieloskładnikowego.

     Możesz również zauważyć, że uwierzytelnianie wieloskładnikowe jest wymagane, jeśli Azure Device Registration (używane w ramach Microsoft Entra Password Protection) zostało skonfigurowane do globalnego wymagania uwierzytelniania wieloskładnikowego. Aby obejść to wymaganie, możesz użyć innego konta obsługującego uwierzytelnianie wieloskładnikowe z jednym z dwóch poprzednich trybów uwierzytelniania lub tymczasowo złagodzić wymaganie uwierzytelniania wieloskładnikowego usługi Azure Device Registration.

     Aby wprowadzić tę zmianę, wybierz pozycję Entra ID w centrum administracyjnym firmy Microsoft Entra, a następnie wybierz pozycję Urządzenia>Ustawienia urządzenia. Ustaw opcję Wymagaj uwierzytelniania wieloskładnikowego, aby dołączyć urządzenia do pozycji Nie. Pamiętaj, aby ponownie skonfigurować to ustawienie z powrotem na Tak po zakończeniu rejestracji.

     Zalecamy obejście wymagań uwierzytelniania wieloskładnikowego tylko do celów testowych.

   Obecnie nie trzeba określać parametru -ForestCredential , który jest zarezerwowany dla przyszłych funkcji.

   Rejestracja usługi proxy ochrony haseł firmy Microsoft jest niezbędna tylko raz w okresie istnienia usługi. Następnie usługa serwera proxy ochrony haseł firmy Microsoft automatycznie wykona wszelkie inne niezbędne czynności konserwacyjne.

5. Aby upewnić się, że zmiany zostały wprowadzone, uruchom polecenie Test-AzureADPasswordProtectionProxyHealth -TestAll. Aby uzyskać pomoc dotyczącą rozwiązywania błędów, zobacz Rozwiązywanie problemów z lokalną ochroną haseł firmy Microsoft w usłudze Microsoft Entra.

6. Teraz zarejestruj las usługi Active Directory na miejscu przy użyciu niezbędnych poświadczeń do komunikacji z platformą Azure za pomocą polecenia cmdlet programu PowerShell Register-AzureADPasswordProtectionForest.

   Uwaga

   Jeśli w środowisku jest zainstalowanych wiele serwerów proxy Microsoft Entra Password Protection, nie ma znaczenia, który serwer proxy jest używany do rejestrowania lasu.

   Polecenie cmdlet wymaga poświadczeń Administratora Globalnego lub Administratora Zabezpieczeń dla dzierżawy platformy Azure. Wymaga również uprawnień administratora przedsiębiorstwa w lokalnym środowisku Active Directory. To polecenie cmdlet należy również uruchomić przy użyciu konta z uprawnieniami administratora lokalnego. Konto platformy Azure używane do rejestrowania lasu może różnić się od konta lokalnego usługi Active Directory.

   Ten krok jest wykonywany raz na las.

   Polecenie Register-AzureADPasswordProtectionForest cmdlet obsługuje następujące trzy tryby uwierzytelniania. Dwa pierwsze tryby obsługują uwierzytelnianie wieloskładnikowe firmy Microsoft, ale trzeci tryb nie.

   Napiwek

   Może wystąpić zauważalne opóźnienie, zanim zostanie ukończone pierwsze uruchomienie tego polecenia dla określonego dzierżawcy w Azure. O ile nie zostanie zgłoszony błąd, nie martw się o to opóźnienie.

   • Tryb uwierzytelniania interakcyjnego:

     Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
     

     Uwaga

     Ten tryb nie będzie działać w systemach operacyjnych Server Core. Zamiast tego należy użyć jednego z następujących dwóch trybów uwierzytelniania. Ponadto ten tryb może zakończyć się niepowodzeniem, jeśli włączono konfigurację zwiększonych zabezpieczeń programu Internet Explorer. Obejście polega na wyłączeniu tej konfiguracji, zarejestrowaniu lasu, a następnie ponownym włączeniu go.

   • Tryb uwierzytelniania kodu urządzenia:

     Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
     

     Po wyświetleniu monitu kliknij link, aby otworzyć przeglądarkę internetową i wprowadzić kod uwierzytelniania.

   • Tryb uwierzytelniania dyskretnego (opartego na hasłach):

     $globalAdminCredentials = Get-Credential
     Register-AzureADPasswordProtectionForest -AzureCredential $globalAdminCredentials
     

     Uwaga

     Ten tryb kończy się niepowodzeniem, jeśli dla Twojego konta jest wymagane uwierzytelnianie wieloskładnikowe firmy Microsoft. W takim przypadku użyj jednego z dwóch poprzednich trybów uwierzytelniania lub zamiast tego użyj innego konta, które nie wymaga uwierzytelniania wieloskładnikowego.

     Możesz również zauważyć, że uwierzytelnianie wieloskładnikowe jest wymagane, jeśli Azure Device Registration (używane w ramach Microsoft Entra Password Protection) zostało skonfigurowane do globalnego wymagania uwierzytelniania wieloskładnikowego. Aby obejść to wymaganie, możesz użyć innego konta obsługującego uwierzytelnianie wieloskładnikowe z jednym z dwóch poprzednich trybów uwierzytelniania lub tymczasowo złagodzić wymaganie uwierzytelniania wieloskładnikowego usługi Azure Device Registration.

     Aby wprowadzić tę zmianę, wybierz pozycję Entra ID w centrum administracyjnym firmy Microsoft Entra, a następnie wybierz pozycję Urządzenia>Ustawienia urządzenia. Ustaw opcję Wymagaj uwierzytelniania wieloskładnikowego, aby dołączyć urządzenia do pozycji Nie. Pamiętaj, aby ponownie skonfigurować to ustawienie z powrotem na Tak po zakończeniu rejestracji.

     Zalecamy obejście wymagań uwierzytelniania wieloskładnikowego tylko do celów testowych.

     Te przykłady kończą się powodzeniem tylko wtedy, gdy aktualnie zalogowany użytkownik jest również administratorem domeny usługi Active Directory dla domeny głównej. Jeśli tak nie jest, możesz podać alternatywne poświadczenia domeny za pomocą parametru -ForestCredential .

   Rejestracja lasu usługi Active Directory jest konieczna tylko raz w okresie istnienia lasu. Następnie agenci dc ochrony haseł firmy Microsoft w lesie automatycznie wykonują wszelkie inne niezbędne czynności konserwacyjne. Po pomyślnym uruchomieniu Register-AzureADPasswordProtectionForest dla lasu, dodatkowe wywołania polecenia cmdlet kończą się powodzeniem, ale są niepotrzebne.

   Aby Register-AzureADPasswordProtectionForest pomyślnie zakończyć się powodzeniem, co najmniej jeden kontroler domeny z systemem Windows Server 2012 lub nowszym musi być dostępny w domenie serwera proxy ochrony haseł firmy Microsoft. Oprogramowanie agenta DC Microsoft Entra Password Protection nie musi być zainstalowane na żadnym kontrolerze domeny przed wykonaniem tego kroku.

7. Aby upewnić się, że zmiany zostały wprowadzone, uruchom polecenie Test-AzureADPasswordProtectionProxyHealth -TestAll. Aby uzyskać pomoc dotyczącą rozwiązywania błędów, zobacz Rozwiązywanie problemów z lokalną ochroną haseł firmy Microsoft w usłudze Microsoft Entra.

Konfigurowanie usługi serwera proxy do komunikowania się za pośrednictwem serwera proxy HTTP

Jeśli środowisko wymaga użycia określonego serwera proxy HTTP do komunikowania się z platformą Azure, wykonaj następujące kroki, aby skonfigurować usługę Ochrony haseł firmy Microsoft.

Utwórz plik AzureADPasswordProtectionProxy.exe.config w folderze %ProgramFiles%\Azure AD Password Protection Proxy\Service . Dołącz następującą zawartość:

<configuration>
   <system.net>
      <defaultProxy enabled="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

Jeśli serwer proxy HTTP wymaga uwierzytelniania, dodaj tag useDefaultCredentials :

<configuration>
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

W obu przypadkach zastąp http://yourhttpproxy.com:8080 ciąg adresem i portem określonego serwera proxy HTTP.

Jeśli serwer proxy HTTP jest skonfigurowany do używania zasad autoryzacji, musisz udzielić dostępu do konta komputera usługi Active Directory komputera, który hostuje usługę proxy na potrzeby ochrony haseł.

Zalecamy zatrzymanie i ponowne uruchomienie usługi proxy ochrony haseł firmy Microsoft po utworzeniu lub zaktualizowaniu pliku AzureADPasswordProtectionProxy.exe.config .

Usługa serwera proxy nie obsługuje użycia określonych poświadczeń do nawiązywania połączenia z serwerem proxy HTTP.

Konfigurowanie usługi proxy do nasłuchiwania na określonym porcie

Oprogramowanie agenta DC Microsoft Entra Password Protection używa protokołu RPC przez TCP do komunikacji z usługą proxy. Domyślnie usługa serwera proxy ochrony haseł firmy Microsoft nasłuchuje dowolnego dostępnego dynamicznego punktu końcowego RPC. Usługę można skonfigurować tak, aby nasłuchiwać na określonym porcie TCP, w razie potrzeby ze względu na topologię sieci lub wymagania zapory w danym środowisku. Podczas konfigurowania portu statycznego należy otworzyć port 135 i wybrany port statyczny.

Aby skonfigurować usługę do uruchamiania na porcie statycznym, użyj Set-AzureADPasswordProtectionProxyConfiguration polecenia cmdlet w następujący sposób:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort <portnumber>

Ostrzeżenie

Aby te zmiany zaczęły obowiązywać, należy zatrzymać i ponownie uruchomić usługę serwera proxy ochrony haseł firmy Microsoft.

Aby skonfigurować usługę do uruchamiania na porcie dynamicznym, użyj tej samej procedury, ale ustaw parametr StaticPort z powrotem na zero:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort 0

Ostrzeżenie

Aby te zmiany zaczęły obowiązywać, należy zatrzymać i ponownie uruchomić usługę serwera proxy ochrony haseł firmy Microsoft.

Usługa serwera proxy ochrony haseł Microsoft Entra wymaga ręcznego ponownego uruchomienia po każdej zmianie konfiguracji portu. Nie musisz ponownie uruchamiać usługi agenta DC ochrony haseł firmy Microsoft na kontrolerach domeny po wprowadzeniu tych zmian konfiguracji.

Aby wysłać zapytanie o bieżącą konfigurację usługi, użyj Get-AzureADPasswordProtectionProxyConfiguration polecenia cmdlet, jak pokazano w poniższym przykładzie

Get-AzureADPasswordProtectionProxyConfiguration | fl

Poniższe przykładowe dane wyjściowe pokazują, że usługa proxy ochrony haseł firmy Microsoft korzysta z portu dynamicznego:

ServiceName : AzureADPasswordProtectionProxy
DisplayName : Azure AD password protection Proxy
StaticPort  : 0

Zainstaluj usługę agenta DC

Aby zainstalować usługę agenta DC ochrony haseł firmy Microsoft, uruchom AzureADPasswordProtectionDCAgentSetup.msi pakiet.

Instalację oprogramowania można zautomatyzować przy użyciu standardowych procedur MSI, jak pokazano w poniższym przykładzie:

msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart

Flagę /norestart można pominąć, jeśli wolisz, aby instalator automatycznie ponownie uruchomił komputer.

Instalacja oprogramowania lub odinstalowywanie wymaga ponownego uruchomienia. To wymaganie jest spowodowane tym, że biblioteki DLL filtru haseł są ładowane lub zwalniane tylko przez ponowne uruchomienie.

Instalacja lokalnej ochrony haseł Microsoft Entra jest zakończona po zainstalowaniu oprogramowania agenta kontrolera domeny na kontrolerze domeny i ponownym uruchomieniu tego komputera. Żadna inna konfiguracja nie jest wymagana ani możliwa. Zdarzenia zmiany hasła dla lokalnych kontrolerów domeny (DCs) korzystają z skonfigurowanych list zakazanych haseł z Microsoft Entra ID.

Aby włączyć lokalną ochronę haseł firmy Microsoft entra lub skonfigurować niestandardowe zakazane hasła, zobacz Włączanie lokalnej ochrony haseł w usłudze Microsoft Entra.

Napiwek

Agent dc ochrony haseł firmy Microsoft można zainstalować na maszynie, która nie jest jeszcze kontrolerem domeny. W takim przypadku usługa jest uruchamiana, ale pozostaje nieaktywna do momentu przekształcenia maszyny w kontroler domeny.

Uaktualnianie usługi serwera proxy

Usługa proxy ochrony haseł Microsoft Entra obsługuje automatyczne uaktualnienia. Automatyczne uaktualnianie korzysta z usługi Microsoft Entra Connect Agent Updater, która jest instalowana obok usługi serwera proxy. Automatyczne uaktualnianie jest domyślnie włączone i może być włączone lub wyłączone za pomocą Set-AzureADPasswordProtectionProxyConfiguration polecenia cmdlet .

Bieżące ustawienie można sprawdzić przy użyciu polecenia cmdlet Get-AzureADPasswordProtectionProxyConfiguration. Zalecamy, aby ustawienie automatycznego uaktualniania zawsze było włączone.

Polecenie Get-AzureADPasswordProtectionProxy cmdlet może być używane do sprawdzenia wersji oprogramowania wszystkich aktualnie zainstalowanych serwerów proxy Microsoft Entra Password Protection w lesie.

Uwaga

Usługa serwera proxy będzie automatycznie uaktualniać do nowszej wersji tylko wtedy, gdy są potrzebne krytyczne poprawki zabezpieczeń.

Proces ręcznego uaktualniania

Uaktualnienie ręczne jest realizowane przez uruchomienie najnowszej AzureADPasswordProtectionProxySetup.exe wersji instalatora oprogramowania. Najnowsza wersja oprogramowania jest dostępna w Centrum pobierania Microsoft.

Nie jest wymagane odinstalowanie bieżącej wersji usługi proxy ochrony haseł firmy Microsoft — instalator wykonuje automatyczne uaktualnienie. Podczas uaktualniania usługi serwera proxy nie należy wymagać ponownego uruchomienia. Uaktualnienie oprogramowania może zostać zautomatyzowane przy użyciu standardowych procedur MSI, takich jak AzureADPasswordProtectionProxySetup.exe /quiet.

Uaktualnianie agenta DC

Gdy dostępna jest nowsza wersja oprogramowania agenta DC Microsoft Entra Password Protection, uaktualnienie odbywa się przez uruchomienie najnowszej AzureADPasswordProtectionDCAgentSetup.msi wersji pakietu oprogramowania. Najnowsza wersja oprogramowania jest dostępna w Centrum pobierania Microsoft.

Nie jest wymagane odinstalowanie bieżącej wersji oprogramowania agenta — instalator wykonuje uaktualnienie na miejscu. Ponowne uruchomienie jest zawsze wymagane podczas uaktualniania oprogramowania agenta kontrolera domeny — to wymaganie jest spowodowane podstawowym zachowaniem systemu Windows.

Uaktualnienie oprogramowania może zostać zautomatyzowane przy użyciu standardowych procedur MSI, takich jak msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart.

Możesz pominąć flagę /norestart, jeśli wolisz, aby instalator automatycznie ponownie uruchomił komputer.

Polecenie Get-AzureADPasswordProtectionDCAgent cmdlet może być używane do wykonywania zapytań dotyczących wersji oprogramowania wszystkich aktualnie zainstalowanych agentów kontrolerów domeny (DC) ochrony haseł Microsoft Entra w lesie.

Następne kroki

Po zainstalowaniu usług, które są potrzebne do ochrony haseł firmy Microsoft na serwerach lokalnych, włącz lokalną ochronę haseł firmy Microsoft Entra w celu ukończenia wdrożenia.