Impor a proteção de senha local do Microsoft Entra ao Active Directory Domain Services

  • Artigo

A proteção de senha do Microsoft Entra detecta e bloqueia senhas fracas e suas variantes e também pode bloquear outros termos fracos que são específicos para sua organização. A implantação local da proteção de senha do Microsoft Entra usa as mesmas listas de senhas proibidas globais e personalizadas que são armazenadas no Microsoft Entra ID e faz as mesmas verificações para as alterações de senha no local que o Microsoft Entra ID faz para alterações baseadas na nuvem. Essas verificações são executadas durante as alterações de senha e eventos de redefinição de senha em controladores de domínio do AD DS (Active Directory Domain Services) locais.

Princípios de design

A proteção de senha do Microsoft Entra foi criada com os seguintes princípios em mente:

  • Controladores de domínio (DCs) nunca precisam se comunicar diretamente com a Internet.
  • Nenhuma porta de rede nova é aberta nos DCs.
  • Não é necessária nenhuma alteração no esquema do AD DS. O software usa o contêiner do AD DS e os objetos do esquema serviceConnectionPoint existentes.
  • Qualquer domínio do AD DS com suporte ou nível funcional de floresta pode ser usado.
  • O software não cria ou requer contas nos domínios do AD DS protegidos por ele.
  • As senhas de texto não criptografado do usuário nunca deixam o controlador de domínio, nem durante as operações de validação de senha, nem em qualquer outro momento.
  • O software não depende de outros recursos do Microsoft Entra. Por exemplo, a sincronização do hash de senha (PHS) não está relacionada nem é necessária para a proteção de senha do Microsoft Entra.
  • Há suporte para a implantação incremental, mas a política de senha só é imposta quando o agente de controlador de domínio (agente de DC) está instalado.

Implantação Incremental

A proteção de senha do Microsoft Entra dá suporte à implantação incremental entre controladores de domínio (DCs) em um domínio do AD DS. É importante entender o que isso realmente significa e quais são as vantagens.

O software do agente de DC de proteção de senha do Microsoft Entra só pode validar senhas quando ele está instalado em um DC e apenas para alterações de senha enviadas para esse DC. Não é possível controlar quais DCs são escolhidos por computadores cliente Windows para processar alterações de senha de usuário. Para garantir o comportamento consistente e a imposição de segurança universal da proteção de senha do Microsoft Entra, o software do agente de DC deve estar instalado em todos os DCs em um domínio.

Muitas organizações desejam testar cuidadosamente a proteção de senha do Microsoft Entra em um subconjunto de DCs antes de uma implantação completa. Para dar suporte a esse cenário, a proteção de senha do Microsoft Entra dá suporte à implantação parcial. O software do agente de DC em um determinado DC valida ativamente as senhas mesmo quando outros DCs no domínio não têm instalado o software do agente de DC. Implantações parciais desse tipo não são seguras e não são recomendadas além de para fins de teste.

Diagrama de arquitetura

É importante entender os conceitos subjacentes de design e função antes de implantar a proteção de senha do Microsoft Entra em um ambiente local de AD DS. O diagrama a seguir mostra como os componentes da proteção de senha do Microsoft Entra funcionam em conjunto:

How Microsoft Entra Password Protection components work together

  • O serviço de proxy de proteção de senha do Microsoft Entra é executado em qualquer computador ingressado no domínio na floresta atual do AD DS. A principal finalidade do serviço é encaminhar as solicitações de download de política de senha de DCs para o Microsoft Entra ID e retornar as respostas do Microsoft Entra ID para o DC.
  • A DLL de filtro de senha do agente de DC recebe solicitações de validação de senha de usuário do sistema operacional. O filtro os encaminha para o serviço de agente de DC que está sendo executado localmente no controlador de domínio.
  • O serviço de agente de DC da proteção de senha do Microsoft Entra recebe solicitações de validação de senha da DLL de filtro de senha do agente de DC. O serviço de agente de DC as processa usando a política de senha atual (disponível localmente) e devolve o resultado de aprovada ou reprovada.

Como funciona a proteção de senha do Microsoft Entra

Os componentes locais da proteção de senha do Microsoft Entra funcionam da seguinte maneira:

  1. Cada instância de serviço de proxy de proteção de senha do Microsoft Entra se anuncia aos DCs na floresta criando um objeto serviceConnectionPoint no Active Directory.

    Cada serviço de agente de DC da proteção de senha do Microsoft Entra também cria um objeto serviceConnectionPoint no Active Directory. Esse objeto é usado principalmente para relatórios e diagnósticos.

  2. O serviço DC Agent é responsável por iniciar o download de uma nova política de senha do Microsoft Entra ID. A primeira etapa é localizar um serviço de proxy da proteção de senha do Microsoft Entra consultando a floresta para objetos serviceConnectionPoint.

  3. Quando um serviço de proxy disponível é encontrado, o agente de DC envia a ele uma solicitação de download de política de senha. O serviço de proxy, por sua vez, envia a solicitação ao Microsoft Entra ID e retorna a resposta ao serviço de agente de DC.

  4. Depois que o serviço de agente de DC recebe uma nova política de senha do Microsoft Entra ID, o serviço armazena a política em uma pasta dedicada na raiz do compartilhamento de pasta sysvol de seu domínio. Ele também monitora essa pasta para acompanhar quando políticas mais recentes são replicadas de outros serviços de agente de DC no domínio.

  5. O serviço de agente de DC sempre solicita uma nova política na inicialização do serviço. Depois de iniciado, ele verifica a cada hora a duração da política atual que está disponível localmente. Se a política tiver mais de uma hora, o agente de DC solicitará uma nova política do Microsoft Entra ID por meio do serviço de proxy, conforme descrito anteriormente. Se esse não for o caso, o agente de DC continuará a usar essa política.

  6. Quando eventos de alteração de senha são recebidos por um DC, a política armazenada em cache é usada para determinar se a nova senha será aceita ou rejeitada.

Principais considerações e recursos

  • Sempre que uma política de senha da proteção de senha do Microsoft Entra for baixada, essa política será específica para um locatário. Em outras palavras, as políticas de senha sempre são uma combinação da lista global de senhas proibidas da Microsoft e da lista personalizada de senhas proibidas por locatário.
  • O agente de DC se comunica com o serviço de proxy por meio da RPC sobre TCP. O serviço de proxy escuta essas chamadas em uma porta de RPC dinâmica ou estática, dependendo da configuração.
  • O agente de DC nunca escuta em uma porta disponível de rede.
  • O serviço de proxy nunca chama o serviço do agente de controlador de domínio.
  • O serviço de proxy não tem estado. Ele nunca armazena em cache as políticas ou qualquer outro Estado baixado do Azure.
  • O registro de proxy funciona adicionando credenciais à Entidade de Serviço AADPasswordProtectionProxy. Não se assuste com nenhum evento nos logs de auditoria quando isso ocorrer.
  • O serviço de agente de DC sempre usa a política de senha mais recente disponível localmente para avaliar a senha de um usuário. Se nenhuma política de senha estiver disponível no DC local, a senha será aceita automaticamente. Quando isso acontece, uma mensagem de evento é registrada para avisar o administrador.
  • A proteção de senha do Microsoft Entra não é um mecanismo de aplicativo de política em tempo real. Pode ocorrer um atraso entre o momento em que uma alteração de configuração de política de senha é feita no Microsoft Entra ID e quando essa alteração atinge e é imposta em todos os DCs.
  • A proteção de senha do Microsoft Entra atua como um suplemento para as políticas de senhas dos AD DS existentes, não como uma substituição. Isso inclui as outras DLLs de filtro de senha de terceiros que possam ser instaladas. Os AD DS sempre exigem que todos os componentes de validação de senha concordem antes de aceitar uma senha.

Associação de floresta/locatário para a proteção de senha do Microsoft Entra

A implantação da proteção de senha do Microsoft Entra em uma floresta do AD DS requer o registro dessa floresta no Microsoft Entra ID. Cada serviço de proxy implantado também deve ser registrado no Microsoft Entra ID. Esses registros de floresta e proxies estão associados a um locatário específico do Microsoft Entra que é identificado implicitamente por meio das credenciais usadas durante o registro.

A floresta AD DS e todos os serviços de proxy implantados em uma floresta devem ser registrados com o mesmo locatário. Não há suporte para ter uma floresta do AD DS ou serviços de proxy nessa floresta que foram registrados em locatários diferentes do Microsoft Entra. Os sintomas de tal implantação mal configurada incluem a incapacidade de baixar políticas de senha.

Observação

Os clientes que têm vários locatários do Microsoft Entra devem, portanto, escolher um locatário em particular para registrar cada floresta para fins de proteção de senha do Microsoft Entra.

Download

Os dois instaladores de agente necessários para a proteção de senha do Microsoft Entra estão disponíveis no Centro de Download da Microsoft.

Próximas etapas

Para começar a usar a proteção de senha local do Microsoft Entra, conclua as seguintes instruções:

Implantar a proteção de senha local do Microsoft Entra