Impor a proteção de senha do Azure AD local ao Active Directory Domain Services

A proteção de senha do Azure AD detecta e bloqueia senhas fracas conhecidas e suas variantes e também pode bloquear outros termos fracos que são específicos para sua organização. A implantação local da proteção de senha do Azure AD usa as mesmas listas de senhas proibidas globais e personalizadas que são armazenadas no Azure AD e faz as mesmas verificações para as alterações de senha no local que o Azure AD faz para alterações baseadas na nuvem. Essas verificações são executadas durante as alterações de senha e eventos de redefinição de senha em controladores de domínio do AD DS (Active Directory Domain Services) locais.

Princípios de design

A proteção de senha do Azure AD foi criada com base nos seguintes princípios:

  • Controladores de domínio (DCs) nunca precisam se comunicar diretamente com a Internet.
  • Nenhuma porta de rede nova é aberta nos DCs.
  • Não é necessária nenhuma alteração no esquema do AD DS. O software usa o contêiner do AD DS e os objetos do esquema serviceConnectionPoint existentes.
  • Qualquer domínio do AD DS com suporte ou nível funcional de floresta pode ser usado.
  • O software não cria ou requer contas nos domínios do AD DS protegidos por ele.
  • As senhas de texto não criptografado do usuário nunca deixam o controlador de domínio, nem durante as operações de validação de senha, nem em qualquer outro momento.
  • O software não depende de outros recursos do Azure AD. Por exemplo, a PHS (sincronização de hash de senha) do Azure AD não está relacionada nem é necessária para a proteção de senha do Azure AD.
  • Há suporte para a implantação incremental, mas a política de senha só é imposta quando o agente de controlador de domínio (agente de DC) está instalado.

Implantação Incremental

A proteção de senha do Azure AD dá suporte à implantação incremental entre DCs em um domínio AD DS. É importante entender o que isso realmente significa e quais são as vantagens.

O software do agente de DC de proteção de senha do Azure AD só pode validar senhas quando ela está instalada em um controlador de domínio e apenas para alterações de senha enviadas para esse DC. Não é possível controlar quais DCs são escolhidos por computadores cliente Windows para processar alterações de senha de usuário. Para garantir o comportamento consistente e a imposição de segurança da proteção de senha do Azure AD universal, o software do agente de DC deve ser instalado em todos os DCs em um domínio.

Muitas organizações desejam testar cuidadosamente a proteção de senha do Azure AD em um subconjunto de controladores de domínio antes de uma implantação completa. Para dar suporte a esse cenário, a proteção de senha do Azure AD dá suporte à implantação parcial. O software do agente de DC em um determinado DC valida ativamente as senhas mesmo quando outros DCs no domínio não têm instalado o software do agente de DC. Implantações parciais desse tipo não são seguras e não são recomendadas além de para fins de teste.

Diagrama de arquitetura

É importante entender os conceitos subjacentes de design e função antes de implantar a proteção de senha do Azure AD em um ambiente de AD DS local. O diagrama a seguir mostra como os componentes da Proteção de Senha do Azure AD funcionam em conjunto:

Como os componentes de Proteção de Senha do Azure AD trabalham em conjunto

  • O serviço de Proxy de Proteção por Senha do Azure AD é executado em qualquer computador ingressado no domínio na floresta atual do AD DS. A principal finalidade do serviço é encaminhar solicitações de download de política de senha dos DCs para o Azure AD e responder do Azure AD para o DC.
  • A DLL de filtro de senha do agente de DC recebe solicitações de validação de senha de usuário do sistema operacional. O filtro os encaminha para o serviço de agente de DC que está sendo executado localmente no controlador de domínio.
  • O serviço de agente de DC da proteção de senha do Azure AD recebe solicitações de validação de senha da DLL de filtro de senha do agente de DC. O serviço de agente de DC as processa usando a política de senha atual (disponível localmente) e devolve o resultado de aprovada ou reprovada.

Como a proteção de senha do Azure AD funciona

Os componentes locais de proteção de senha do Azure AD funcionam da seguinte maneira:

  1. Cada instância de serviço de proxy de proteção de senha do Azure AD se anuncia aos DCs na floresta criando um objeto serviceConnectionPoint no Active Directory.

    Cada serviço de agente de DC relacionado à proteção de senha do Azure AD também cria um objeto serviceConnectionPoint no Active Directory. Esse objeto é usado principalmente para relatórios e diagnósticos.

  2. O serviço de agente de DC é responsável por iniciar o download de uma nova política de senha do Azure AD. A primeira etapa é localizar um serviço de Proxy de Proteção de Senha do Azure AD consultando a floresta para objetos serviceConnectionPoint do proxy.

  3. Quando um serviço de proxy disponível é encontrado, o agente de DC envia a ele uma solicitação de download de política de senha. O serviço de proxy, por sua vez, envia essa solicitação ao Azure AD e responde ao serviço de agente de DC.

  4. Depois que o serviço de agente de DC recebe uma nova política de senha do Azure AD, ele a armazena em uma pasta dedicada na raiz do compartilhamento de pasta SYSVOL de seu domínio. Ele também monitora essa pasta para acompanhar quando políticas mais recentes são replicadas de outros serviços de agente de DC no domínio.

  5. O serviço de agente de DC sempre solicita uma nova política na inicialização do serviço. Depois de iniciado, ele verifica a cada hora a duração da política atual que está disponível localmente. Se ela tiver sido recebida a mais de uma hora, o agente de DC solicitará uma nova política ao Azure AD por meio do serviço de proxy, conforme descrito anteriormente. Se esse não for o caso, o agente de DC continuará a usar essa política.

  6. Quando eventos de alteração de senha são recebidos por um DC, a política armazenada em cache é usada para determinar se a nova senha será aceita ou rejeitada.

Principais considerações e recursos

  • Sempre que uma política de senha de proteção de senha do Azure AD for baixada, essa política é específica para um locatário. Em outras palavras, as políticas de senha sempre são uma combinação da lista global de senhas proibidas da Microsoft e da lista personalizada de senhas proibidas por locatário.
  • O agente de DC se comunica com o serviço de proxy por meio da RPC sobre TCP. O serviço de proxy escuta essas chamadas em uma porta de RPC dinâmica ou estática, dependendo da configuração.
  • O agente de DC nunca escuta em uma porta disponível de rede.
  • O serviço de proxy nunca chama o serviço do agente de controlador de domínio.
  • O serviço de proxy não tem estado. Ele nunca armazena em cache as políticas ou qualquer outro Estado baixado do Azure.
  • O serviço de agente de DC sempre usa a política de senha mais recente disponível localmente para avaliar a senha de um usuário. Se nenhuma política de senha estiver disponível no DC local, a senha será aceita automaticamente. Quando isso acontece, uma mensagem de evento é registrada para avisar o administrador.
  • A Proteção de Senha do Azure AD não é um mecanismo de aplicativo de política em tempo real. Pode ocorrer um atraso entre o momento em que uma alteração de configuração de política de senha é feita no Azure AD e quando essa alteração atinge e é imposta em todos os DCs.
  • A proteção de senha do Azure AD atua como um suplemento para as políticas de senha dos AD DS existentes, não com uma substituição. Isso inclui as outras DLLs de filtro de senha de terceiros que possam ser instaladas. Os AD DS sempre exigem que todos os componentes de validação de senha concordem antes de aceitar uma senha.

Associação de floresta\locatário para a Proteção de Senha do Azure AD

A implantação da proteção de senha do Azure AD em uma floresta AD DS requer o registro dessa floresta no Azure AD. Cada serviço de proxy implantado também deve ser registrado no Azure AD. Esses registros de floresta e proxies estão associados a um locatário do Azure AD específico que é identificado implicitamente por meio das credenciais usadas durante o registro.

A floresta AD DS e todos os serviços de proxy implantados em uma floresta devem ser registrados com o mesmo locatário. Não há suporte para ter uma floresta AD DS ou serviços de proxy nessa floresta que foram registrados em locatários diferentes do Azure AD. Os sintomas de tal implantação mal configurada incluem a incapacidade de baixar políticas de senha.

Observação

Os clientes que têm vários locatários do Azure AD devem, portanto, escolher um locatário em particular para registrar cada floresta para fins de proteção de senha do Azure AD.

Baixar

Os dois instaladores de agente necessários para a Proteção de Senha do Azure AD estão disponíveis no Centro de Download da Microsoft.

Próximas etapas

Para começar a usar a proteção de senha do Azure AD local, conclua as seguintes instruções: