Planejar e implantar a Proteção de Senha do Microsoft Entra local

Os usuários geralmente criam senhas que usam palavras locais comuns, como uma escola, uma equipe esportiva ou uma pessoa famosa. Essas senhas são fáceis de serem adivinhadas e fracas contra os ataques baseados em dicionário. A Proteção de Senha do Microsoft Entra fornece uma lista global e personalizada de senhas proibidas para impor senhas fortes à sua organização. Uma solicitação de alteração de senha falha quando há uma correspondência nessa lista de senhas proibidas.

Para proteger o ambiente local do Active Directory Domain Services (AD DS), instale e configure a Proteção de Senha do Microsoft Entra para trabalhar com o DC local. Este artigo mostra como instalar e registrar o serviço de proxy da Proteção de Senha do Microsoft Entra e o agente de DC da Proteção de Senha do Microsoft Entra no seu ambiente local.

Para obter mais informações sobre como a Proteção de Senha do Microsoft Entra funciona em um ambiente local, confira Como impor a Proteção de Senha do Microsoft Entra para o Windows Server Active Directory.

Estratégia de implantação

O diagrama a seguir mostra como os componentes básicos da Proteção de Senha do Microsoft Entra funcionam em conjunto em um ambiente do Active Directory local:

É uma boa ideia analisar como o software funciona antes de implantá-lo. Para obter mais informações, confira Visão geral conceitual da Proteção de Senha do Microsoft Entra.

Recomenda-se iniciar as implantações no modo de auditoria. O modo de auditoria é a configuração inicial padrão, em que as senhas podem continuar a ser definidas. As senhas que seriam bloqueadas são registradas no log de eventos. Depois de implantar os servidores proxy e os agentes de DC no modo de auditoria, monitore o impacto da política de senha nos usuários quando ela for imposta.

Durante o estágio de auditoria, muitas organizações consideram as seguintes situações aplicáveis:

• Eles precisam melhorar os processos operacionais existentes para usar senhas mais seguras.
• Os usuários geralmente usam senhas não seguras.
• Eles precisam ser informados sobre a nova alteração na imposição da segurança, o possível impacto dela sobre eles e como eles podem escolher senhas mais seguras.

Também é possível que uma validação de senha mais forte afete sua automação existente de implantação de controlador de domínio do Active Directory. Recomendamos que pelo menos uma promoção e um rebaixamento de DC ocorram durante a avaliação do período de auditoria para ajudar a descobrir tais problemas. Para obter mais informações, consulte os seguintes artigos:

• Ntdsutil.exe não pode definir uma senha fraca do Modo de Reparo de Serviços de Diretório
• A promoção da réplica do controlador de domínio falha devido a uma senha fraca do Modo de Reparo de Serviços de Diretório
• O rebaixamento do controlador de domínio falha devido a uma senha de Administrador local fraca

Depois de executar o recurso no modo de auditoria por um período razoável, alterne a configuração de Auditar para Impor para exigir senhas mais seguras. O monitoramento adicional nesse período é uma boa ideia.

É importante observar que a Proteção de Senha do Microsoft Entra pode validar senhas apenas durante as operações de alteração e de definição de senhas. As senhas aceitas e armazenadas no Active Directory antes da implantação da Proteção de Senha do Microsoft Entra nunca serão validadas e continuarão funcionando da maneira em que se encontram. Com o passar do tempo, à medida que as senhas existentes expiram normalmente, todos os usuários e contas passam a usar senhas validadas pela Proteção de Senha do Microsoft Entra. As contas configuradas com "a senha nunca expira" não passam por isso.

Considerações sobre várias florestas

Não há requisitos adicionais para implantar a Proteção de Senha do Microsoft Entra em várias florestas.

Cada floresta é configurada de modo independente, conforme descrito na seção a seguir sobre implantar a Proteção de Senha do Microsoft Entra local. Cada proxy da Proteção de Senha do Microsoft Entra dá suporte apenas aos controladores de domínio da floresta à qual está associado.

O software da Proteção de Senha do Microsoft Entra em qualquer floresta não tem conhecimento do software de proteção de senha implantado em outras florestas, independentemente das configurações de confiança do Active Directory.

Considerações sobre o controlador de domínio somente leitura

Os eventos de alteração ou definição de senha não são processados e persistidos em RODCs (controladores de domínio somente leitura). Eles são encaminhados para controladores de domínio graváveis. Você não precisa instalar o software do agente de DC da Proteção de Senha do Microsoft Entra nos RODCs.

Além disso, não há suporte para executar o serviço de proxy da Proteção de Senha do Microsoft Entra em um controlador de domínio somente leitura.

Considerações sobre alta disponibilidade

A principal preocupação quanto à proteção de senha é a disponibilidade dos servidores proxy da Proteção de Senha do Microsoft Entra quando os DCs em uma floresta tentam baixar novas políticas ou outros dados do Azure. Cada agente de DC da Proteção de Senha do Microsoft Entra usa um algoritmo simples de estilo round robin para decidir qual servidor proxy deve ser chamado. O agente ignora os servidores proxy que não estão respondendo.

Para a maioria das implantações totalmente conectadas do Active Directory com replicação íntegra do estado da pasta sysvol e do diretório, dois servidores proxy da Proteção de Senha do Microsoft Entra são suficientes para garantir a disponibilidade. Essa configuração resulta no download oportuno de novas políticas e outros dados. Você pode implantar servidores proxy adicionais da Proteção de Senha do Microsoft Entra, caso queira.

O design do software do agente de DC da Proteção de Senha do Microsoft Entra reduz os problemas comuns associados à alta disponibilidade. O agente de DC da Proteção de Senha do Microsoft Entra mantém um cache local da política de senha baixada mais recentemente. Mesmo se todos os servidores proxy registrados ficarem indisponíveis, os agentes de DC da Proteção de Senha do Microsoft Entra continuarão impondo sua política de senha armazenada em cache.

Uma frequência de atualização razoável para políticas de senha em uma implantação grande geralmente é da ordem de dias, não de horas ou menos. Portanto, pequenas interrupções dos servidores proxy não afetam significativamente a Proteção de Senha do Microsoft Entra.

Requisitos para implantação

Para saber mais sobre o licenciamento, confira Requisitos de licenciamento da Proteção de Senha do Microsoft Entra.

Os seguintes requisitos básicos se aplicam:

• Todas os computadores, incluindo controladores de domínio, que possuem componentes da Proteção de Senha do Microsoft Entra instalados devem ter o Universal C Runtime instalado.

  • Para obter o runtime, verifique se você tem todas as atualizações do Windows Update. Ou você pode obtê-lo em um pacote de atualização específico do sistema operacional. Para saber mais, confira Atualização do Runtime Universal C no Windows.

• É necessária uma conta com privilégios de administrador de domínio do Active Directory no domínio raiz da floresta para registrar a floresta do Windows Server Active Directory no Microsoft Entra ID.

• O Serviço de Distribuição de Chave precisa estar habilitado em todos os controladores de domínio que executam o Windows Server 2012 e versões posteriores. Por padrão, este serviço é habilitado através do acionamento manual.

• Deve haver conectividade de rede entre pelo menos um controlador de domínio em cada domínio e pelo menos um servidor que hospede o serviço de proxy da Proteção de Senha do Microsoft Entra. Essa conectividade deve permitir que o controlador de domínio acesse a porta de mapeador de ponto de extremidade RPC (135) e a porta do servidor RPC no serviço de proxy.

  • A porta do servidor RPC é, por padrão, uma porta RPC dinâmica do intervalo (49152 - 65535), mas é possível configurá-la para usar uma porta estática.

• Todos os computadores em que o serviço de proxy da Proteção de Senha do Microsoft Entra será instalado precisam ter acesso de rede aos seguintes pontos de extremidade:

  Ponto de extremidade	Finalidade
  https://login.microsoftonline.com	Solicitações de autenticação
  https://enterpriseregistration.windows.net	Funcionalidade da Proteção de Senha do Microsoft Entra
  https://autoupdate.msappproxy.net	Funcionalidade de atualização automática da Proteção de Senha do Microsoft Entra

Observação

Alguns pontos de extremidade, como o ponto de extremidade da CRL, não são abordados neste artigo. Para ver uma lista de todos os pontos de extremidade com suporte, URLs do Microsoft 365 e intervalos de endereços IP. Além disso, outros pontos de extremidade são necessários para a autenticação do centro de administração do Microsoft Entra. Para obter mais informações, confira URLs do centro de administração do Microsoft Entra para bypass de proxy.

Serviço do Agente DC da proteção de senha do Microsoft Entra

Os seguintes requisitos se aplicam ao agente de DC da Proteção de Senha do Microsoft Entra:

• Todos os computadores em que o software do agente de DC da Proteção de Senha do Microsoft Entra será instalado devem executar a versão compatível do Windows Server, incluindo as edições do Windows Server Core.
  • O domínio ou floresta do Active Directory pode ser qualquer nível funcional com suporte.
• Todos os computadores em que o agente de DC da Proteção de Senha do Microsoft Entra será instalado devem ter o .NET 4.7.2 instalado.
  • Se ele ainda não estiver instalado, baixe e execute o instalador encontrado em instalador offline do .NET Framework 4.7.2 para Windows.
• Qualquer domínio do Active Directory que execute o serviço de agente de DC da Proteção de Senha do Microsoft Entra deve usar a DFSR (Replicação do Sistema de Arquivos Distribuído) para a replicação da pasta sysvol.

  • Se o seu domínio ainda não estiver usando a DFSR, migre antes de instalar a Proteção de Senha do Microsoft Entra. Para obter mais informações, confira Guia de Migração de Replicação SYSVOL: Replicação FRS para DFS

    Aviso

    Atualmente, o software do agente de DC da Proteção de Senha do Microsoft Entra será instalado nos controladores de domínio dos domínios que ainda usam o FRS (a tecnologia anterior ao DFSR) para replicação de sysvol, mas o software NÃO funcionará corretamente nesse ambiente.

    Outros efeitos colaterais negativos incluem a falha na replicação de arquivos individuais e procedimentos de restauração de SYSVOL que parecem ter êxito, mas cuja replicação de todos os arquivos falha silenciosamente.

    Migre seu domínio para usar o DFSR o quanto antes, tanto pelos benefícios inerentes do DFSR quanto para desbloquear a implantação da Proteção de Senha do Microsoft Entra. Versões futuras do software serão desabilitadas automaticamente quando executadas em um domínio que ainda usa o FRS.

Serviço de proxy da proteção de senha do Microsoft Entra

Os seguintes requisitos se aplicam ao serviço de proxy da Proteção de Senha do Microsoft Entra:

• Todos os computadores em que o serviço de proxy da Proteção de Senha do Microsoft Entra será instalado devem executar o Windows Server 2012 R2 ou posterior, incluindo as edições do Windows Server Core.

  Observação

  A implantação do serviço de proxy da Proteção de Senha do Microsoft Entra é obrigatória para implantar a Proteção de Senha do Microsoft Entra, embora o controlador de domínio possa ter conectividade de Internet de saída direta.

• Todos os computadores em que o serviço de proxy da Proteção de Senha do Microsoft Entra será instalado precisam ter o .NET 4.7.2.

  • Se ele ainda não estiver instalado, baixe e execute o instalador encontrado em instalador offline do .NET Framework 4.7.2 para Windows.

• Todos os computadores que hospedam o serviço de proxy da Proteção de Senha do Microsoft Entra devem ser configurados para conceder aos controladores de domínio a capacidade de fazer logon no serviço de proxy. Essa capacidade é controlada pela atribuição do privilégio "Acessar este computador pela rede".

• Todos os computadores que hospedam o serviço de proxy da Proteção de Senha do Microsoft Entra devem ser configurados para permitir o tráfego HTTP de saída do TLS 1.2.

• Uma conta de Administrador Global é necessária para registrar o serviço de proxy da Proteção de Senha do Microsoft Entra pela primeira vez em um determinado locatário. Os registros subsequentes de proxy e de floresta com o Microsoft Entra ID podem usar uma conta com credenciais de Administrador Global ou de Administrador de Segurança.

• O acesso à rede deve ser habilitado para o conjunto de portas e URLs especificados nos procedimentos de configuração do ambiente do proxy de aplicativo. Isso é adicional aos dois pontos de extremidade descritos acima.

Pré-requisitos do Atualizador de Agente do Microsoft Entra Connect

O serviço Atualizador de Agente do Microsoft Entra Connect é instalado com o serviço de proxy da Proteção de Senha do Microsoft Entra. É necessária configuração adicional para que o serviço Atualizador de Agente do Microsoft Entra Connect funcione:

• Se o ambiente usa um servidor proxy HTTP, siga as diretrizes especificadas em Trabalhar com servidores proxy locais existentes.
• O serviço Atualizador de Agente do Microsoft Entra Connect também requer as etapas referentes ao TLS 1.2 especificadas nos Requisitos de TLS.

Aviso

Como o proxy da Proteção de Senha do Microsoft Entra e o proxy de aplicativo do Microsoft Entra instalam versões diferentes do serviço Atualizador de Agente do Microsoft Entra Connect, as instruções se referem ao conteúdo do Proxy de Aplicativo. Essas versões diferentes são incompatíveis quando instaladas lado a lado, e fazer isso impedirá que o serviço Atualizador de Agente entre em contato com o Azure para obter atualizações de software, portanto, nunca instale o Proxy da Proteção de Senha e o Proxy de Aplicativo do Microsoft Entra no mesmo computador.

Baixar o software necessário

Dois instaladores são necessários para uma implantação local da Proteção de Senha do Microsoft Entra:

• O agente de DC da Proteção de Senha do Microsoft Entra (AzureADPasswordProtectionDCAgentSetup.msi)
• O proxy da Proteção de Senha do Microsoft Entra (AzureADPasswordProtectionProxySetup.exe)

Baixe os dois instaladores do Centro de Download da Microsoft.

Instalar e configurar o serviço de proxy

O serviço de proxy da Proteção de Senha do Microsoft Entra normalmente está em um servidor membro de seu ambiente local do AD DS. Depois de instalado, o serviço de proxy da Proteção de Senha Microsoft Entra se comunica com o Microsoft Entra ID para manter uma cópia das listas de senha proibida personalizada e global para seu locatário Microsoft Entra.

Na próxima seção, você instalará os agentes de DC da Proteção de Senha do Microsoft Entra em controladores de domínio no ambiente local do AD DS. Esses agentes de DC se comunicam com o serviço de proxy para obter as listas mais recentes de senhas banidas para usá-las ao processar eventos de alteração de senha no domínio.

Escolha um ou mais servidores para hospedar o serviço de proxy da Proteção de Senha do Microsoft Entra. As seguintes considerações se aplicam aos servidores:

• Cada serviço desse tipo pode fornecer políticas de senha para somente uma floresta. O computador host precisa estar conectado a todos os domínios nessa floresta.
• Você pode instalar o serviço de proxy em domínios raiz ou filho ou em uma combinação deles.
• Você precisa ter conectividade de rede entre pelo menos um DC em cada domínio da floresta e um servidor proxy de proteção de senha.
• Você pode executar o serviço de proxy da Proteção de Senha do Microsoft Entra em um controlador de domínio para teste, mas esse controlador de domínio precisará de conectividade com a Internet. Essa conectividade pode gerar preocupações com a segurança. Recomendamos essa configuração somente para testes.
• Recomendamos pelo menos dois servidores proxy da Proteção por Senha do Microsoft Entra por floresta para fins de redundância, conforme observado na seção anterior de considerações sobre alta disponibilidade.
• Não há suporte para executar o serviço de proxy da Proteção de Senha do Microsoft Entra em um controlador de domínio somente leitura.
• Se necessário, você pode remover o serviço de proxy usando Adicionar ou remover programas. Nenhuma limpeza manual do estado que o serviço proxy mantém é necessária.

Para instalar o serviço de proxy da Proteção de Senha do Microsoft Entra, conclua as etapas a seguir:

1. Para instalar o serviço de proxy da Proteção de Senha do Microsoft Entra, execute o instalador de software AzureADPasswordProtectionProxySetup.exe.

   A instalação do software não requer reinicialização e pode ser automatizada usando procedimentos padrão de MSI, conforme o seguinte exemplo:

   AzureADPasswordProtectionProxySetup.exe /quiet
   

   Observação

   O serviço de Firewall do Windows precisa estar em execução antes da instalação do pacote AzureADPasswordProtectionProxySetup.exe para evitar um erro de instalação.

   Se o Firewall do Windows estiver configurado para não ser executado, a solução alternativa será habilitar temporariamente e executar o serviço de Firewall durante a instalação. O software de proxy não tem dependência específica do Firewall do Windows após a instalação.

   Se você estiver usando um firewall de terceiros, ele ainda precisará ser configurado de maneira a satisfazer os requisitos de implantação. Isso inclui permitir o acesso de entrada à porta 135 e à porta do servidor RPC do proxy. Para saber mais, confira a seção anterior de requisitos de implantação.

2. O software de proxy da Proteção de Senha do Microsoft Entra inclui um novo módulo do PowerShell, AzureADPasswordProtection. As etapas a seguir executam vários cmdlets desse módulo do PowerShell.

   Para usá-lo, abra uma janela do PowerShell como administrador e importe o novo módulo da seguinte maneira:

   Import-Module AzureADPasswordProtection
   

   Aviso

   A versão de 64 bits do PowerShell deve ser usada. Determinados cmdlets podem não funcionar com o PowerShell (x86).

3. Para verificar se o serviço de proxy da Proteção de Senha do Microsoft Entra está em execução, use o seguinte comando do PowerShell:

   Get-Service AzureADPasswordProtectionProxy | fl
   

   O resultado deve mostrar o StatusExecutando.

4. O serviço de proxy está em execução no computador, mas não tem credenciais para se comunicar com o Microsoft Entra ID. Registre o servidor proxy da Proteção de Senha Microsoft Entra com o Microsoft Entra ID usando o cmdlet Register-AzureADPasswordProtectionProxy.

   Esse cmdlet requer credenciais de Administrador Global na primeira vez que qualquer proxy é registrado para um determinado locatário. Os registros de proxy subsequentes nesse locatário, seja para os mesmos proxies ou diferentes, podem usar credenciais de Administrador Global ou Administrador de Segurança.

   Após esse comando ser executado com êxito uma vez, invocações adicionais também serão terão êxito, mas serão desnecessárias.

   O cmdlet Register-AzureADPasswordProtectionProxy dá suporte aos três modos de autenticação a seguir. Os dois primeiros modos dão suporte à autenticação multifator do Microsoft Entra, mas o terceiro modo não.

   Dica

   Poderá haver um atraso perceptível antes da conclusão na primeira vez em que esse cmdlet for executado para um locatário específico do Azure. A menos que uma falha seja relatada, não se preocupe com esse atraso.

   • Modo de autenticação interativo:

     Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
     

     Observação

     Esse modo não funciona em sistemas operacionais Server Core. Em vez disso, use um dos modos de autenticação a seguir. Além disso, esse modo poderá falhar se a Configuração de Segurança Aprimorada do Internet Explorer estiver habilitada. A solução alternativa é desabilitar essa Configuração, registrar o proxy e habilitá-la novamente.

   • Modo de autenticação de código de dispositivo:

     Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
     

     Quando solicitado, siga o link para abrir um navegador da Web e insira o código de autenticação.

   • Modo de autenticação silenciosa (baseada em senha):

     $globalAdminCredentials = Get-Credential
     Register-AzureADPasswordProtectionProxy -AzureCredential $globalAdminCredentials
     

     Observação

     Esse modo falhará se a autenticação multifator do Microfone Entra for necessária para sua conta. Nesse caso, use um dos dois modos de autenticação anteriores ou use uma conta diferente que não exija MFA.

     A MFA também poderá ser exigida se o Registro de Dispositivo do Azure (que é usado nos bastidores pela Proteção de Senha do Microsoft Entra) tiver sido configurado para exigir a MFA globalmente. Para contornar esse requisito, você pode usar uma conta diferente com suporte para a MFA com um dos dois modos de autenticação anteriores ou pode relaxar temporariamente o requisito de MFA do Registro de Dispositivo do Azure.

     Para fazer essa alteração, selecione Identidade no centro de administração do Microsoft Entra e escolha Dispositivos>Configurações do Dispositivo. Defina Exigir autenticação multifator para ingressar dispositivos como Não. Não deixe de reverter essa configuração para Sim quando o registro for concluído.

     Recomendamos que os requisitos de MFA sejam ignorados apenas para fins de teste.

   Atualmente, não é necessário especificar o parâmetro -ForestCredential, que é reservado para funcionalidade futura.

   O registro do serviço de proxy da Proteção de Senha do Microsoft Entra é necessário somente uma vez durante o tempo de vida do serviço. Depois disso, o serviço de proxy da Proteção de Senha do Microsoft Entra executará automaticamente qualquer outra manutenção necessária.

5. Para se certificar de que as alterações entraram em vigor, execute Test-AzureADPasswordProtectionProxyHealth -TestAll. Para obter ajuda para resolver erros, confira Solução de Problemas: Proteção de Senha Local do Microsoft Entra.

6. Agora, registre a floresta do Active Directory local com as credenciais necessárias para se comunicar com o Azure usando o cmdlet do PowerShell Register-AzureADPasswordProtectionForest.

   Observação

   Se vários servidores proxy da Proteção de Senha do Microsoft Entra estiverem instalados no ambiente, não fará diferença qual servidor proxy é usado para registrar a floresta.

   O cmdlet requer credenciais de Administrador global ou Administrador de segurança para o locatário do Azure. Ele também requer privilégios de Administrador corporativo do Active Directory local. Além disso, você precisa executar o cmdlet usando uma conta com privilégios de administrador local. A conta do Azure usada para registrar a floresta pode ser diferente da conta do Active Directory local.

   Esta etapa é executada uma vez por floresta.

   O cmdlet Register-AzureADPasswordProtectionForest dá suporte aos três modos de autenticação a seguir. Os dois primeiros modos dão suporte à autenticação multifator do Microsoft Entra, mas o terceiro modo não.

   Dica

   Poderá haver um atraso perceptível antes da conclusão na primeira vez em que esse cmdlet for executado para um locatário específico do Azure. A menos que uma falha seja relatada, não se preocupe com esse atraso.

   • Modo de autenticação interativo:

     Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
     

     Observação

     Esse modo não funcionará em sistemas operacionais Server Core. Em vez disso, use um dos dois modos de autenticação a seguir. Além disso, esse modo poderá falhar se a Configuração de Segurança Aprimorada do Internet Explorer estiver habilitada. A solução alternativa é desabilitar essa Configuração, registrar a floresta e habilitá-la novamente.

   • Modo de autenticação de código de dispositivo:

     Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
     

     Quando solicitado, siga o link para abrir um navegador da Web e insira o código de autenticação.

   • Modo de autenticação silenciosa (baseada em senha):

     $globalAdminCredentials = Get-Credential
     Register-AzureADPasswordProtectionForest -AzureCredential $globalAdminCredentials
     

     Observação

     Esse modo falhará se a autenticação multifator do Microfone Entra for necessária para sua conta. Nesse caso, use um dos dois modos de autenticação anteriores ou use uma conta diferente que não exija MFA.

     A MFA também poderá ser exigida se o Registro de Dispositivo do Azure (que é usado nos bastidores pela Proteção de Senha do Microsoft Entra) tiver sido configurado para exigir a MFA globalmente. Para contornar esse requisito, você pode usar uma conta diferente com suporte para a MFA com um dos dois modos de autenticação anteriores ou pode relaxar temporariamente o requisito de MFA do Registro de Dispositivo do Azure.

     Para fazer essa alteração, selecione Identidade no centro de administração do Microsoft Entra e escolha Dispositivos>Configurações do Dispositivo. Defina Exigir autenticação multifator para ingressar dispositivos como Não. Não deixe de reverter essa configuração para Sim quando o registro for concluído.

     Recomendamos que os requisitos de MFA sejam ignorados apenas para fins de teste.

     Esses exemplos terão sucesso apenas se o usuário conectado no momento também for administrador de domínio do Active Directory para o domínio raiz. Se esse não for o caso, você poderá fornecer credenciais de domínio alternativas por meio do parâmetro -ForestCredential.

   O registro da floresta do Active Directory é necessário somente uma ver durante o tempo de vida da floresta. Depois disso, os agentes de DC da Proteção de Senha do Microsoft Entra na floresta executarão automaticamente qualquer outra manutenção necessária. Após Register-AzureADPasswordProtectionForest ser executado com êxito para uma floresta, invocações adicionais do cmdlet são bem-sucedidas, mas são desnecessárias.

   Para que Register-AzureADPasswordProtectionForest tenha sucesso, pelo menos um DC que execute o Windows Server 2012 ou posterior deverá estar disponível no domínio do servidor proxy da Proteção de Senha do Microsoft Entra. O software do agente de DC da Proteção de Senha do Microsoft Entra não precisa ser instalado em nenhum controlador de domínio antes dessa etapa.

7. Para se certificar de que as alterações entraram em vigor, execute Test-AzureADPasswordProtectionProxyHealth -TestAll. Para obter ajuda para resolver erros, confira Solução de Problemas: Proteção de Senha Local do Microsoft Entra.

Configurar o serviço de proxy para comunicação por meio de um proxy HTTP

Se o ambiente exigir o uso de um proxy HTTP específico para comunicação com o Azure, use as etapas a seguir para configurar o serviço da Proteção de Senha do Microsoft Entra.

Crie um arquivo AzureADPasswordProtectionProxy.exe.config na pasta %ProgramFiles%\Azure AD Password Protection Proxy\Service. Inclua o seguinte conteúdo:

<configuration>
   <system.net>
      <defaultProxy enabled="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

Se o proxy HTTP exigir autenticação, adicione a marca useDefaultCredentials:

<configuration>
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

Nos dois casos, substitua http://yourhttpproxy.com:8080 pelo endereço e pela porta do servidor proxy HTTP específico.

Se o proxy HTTP estiver configurado para usar uma política de autorização, permita acesso à conta do computador do Active Directory que hospeda o serviço de proxy da proteção de senha.

Recomendamos que você pare e reinicie o serviço de proxy da Proteção de Senha do Microsoft Entra após criar ou atualizar o arquivo AzureADPasswordProtectionProxy.exe.config.

O serviço de proxy não dá suporte ao uso de credenciais específicas para se conectar a um proxy HTTP.

Configurar o serviço de proxy para escutar uma porta específica

O software do agente de DC da Proteção de Senha do Microsoft Entra usa RPC sobre TCP para se comunicar com o serviço de proxy. Por padrão, o serviço de proxy da Proteção de Senha do Microsoft Entra escuta qualquer ponto de extremidade RPC dinâmico disponível. Você poderá configurar o serviço para escutar uma porta TCP específica caso seja necessário devido à topologia de rede ou aos requisitos de firewall de seu ambiente. Ao configurar uma porta estática, você deve abrir a porta 135 e a porta estática de sua escolha.

Para configurar o serviço para execução em uma porta estática, use o cmdlet Set-AzureADPasswordProtectionProxyConfiguration da seguinte maneira:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort <portnumber>

Aviso

Você deve parar e reiniciar o serviço de proxy da Proteção de Senha do Microsoft Entra para que essas alterações entrem em vigor.

Para configurar o serviço para ser executado em uma porta dinâmica, use o mesmo procedimento, mas configure StaticPort de volta como zero:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort 0

Aviso

Você deve parar e reiniciar o serviço de proxy da Proteção de Senha do Microsoft Entra para que essas alterações entrem em vigor.

O serviço de proxy da Proteção de Senha do Microsoft Entra requer uma reinicialização manual após qualquer alteração na configuração da porta. Você não precisa reiniciar o serviço do agente de DC da Proteção de Senha do Microsoft Entra em controladores de domínio depois de fazer essas alterações de configuração.

Para consultar a configuração atual do serviço, use o cmdlet Get-AzureADPasswordProtectionProxyConfiguration conforme mostrado no exemplo a seguir

Get-AzureADPasswordProtectionProxyConfiguration | fl

A saída do seguinte exemplo mostra que o serviço de proxy da Proteção de Senha do Microsoft Entra está usando uma porta dinâmica:

ServiceName : AzureADPasswordProtectionProxy
DisplayName : Azure AD password protection Proxy
StaticPort  : 0

Instalar o serviço de agente de DC

Para instalar o serviço de agente de DC da Proteção de Senha do Microsoft Entra, execute o pacote AzureADPasswordProtectionDCAgentSetup.msi.

Você pode automatizar a instalação do software usando procedimentos MSI padrão, conforme mostrado no exemplo a seguir:

msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart

Omita o sinalizador /norestart se quiser que o instalador reinicialize o computador automaticamente.

A instalação ou desinstalação do software requer uma reinicialização. Isso é necessário porque as DLLs de filtro de senha são carregadas ou descarregadas apenas por uma reinicialização.

A instalação da Proteção de Senha do Microsoft Entra local será concluída após o software do agente de DC ser instalado em um controlador de domínio e o computador ser reinicializado. Nenhuma outra configuração é necessária ou possível. Eventos de alteração de senha nos DCs locais usam as listas de senhas proibidas configuradas do Microsoft Entra ID.

Para habilitar a Proteção de Senha do Microsoft Entra local ou configurar senhas proibidas personalizadas, confira Habilitar a Proteção de Senha do Microsoft Entra local.

Dica

Você pode instalar o agente de DC da Proteção de Senha do Microsoft Entra em um computador que ainda não seja um controlador de domínio. Nesse caso, o serviço é iniciado e executado, mas permanece inativo até que o computador seja promovido a controlador de domínio.

Atualizando o serviço de proxy

O serviço de proxy da Proteção de Senha do Microsoft Entra dá suporte à atualização automática. A atualização automática usa o serviço Atualizador de Agente do Microsoft Entra Connect, que é instalado lado a lado com o serviço de proxy. A atualização automática fica ativada por padrão e pode ser habilitada ou desabilitada usando o cmdlet Set-AzureADPasswordProtectionProxyConfiguration.

A configuração atual pode ser consultada usando o cmdlet Get-AzureADPasswordProtectionProxyConfiguration. Recomenda-se manter a configuração de atualização automática sempre habilitada.

O cmdlet Get-AzureADPasswordProtectionProxy pode ser usado para consultar a versão de software de todos os servidores proxy da Proteção de Senha do Microsoft Entra atualmente instalados em uma floresta.

Observação

O serviço de proxy somente será atualizado automaticamente para uma versão mais recente quando forem necessários patches de segurança críticos.

Processo de atualização manual

Uma atualização manual é realizada executando a versão mais recente do instalador de software AzureADPasswordProtectionProxySetup.exe. Essa versão está disponível no Centro de Download da Microsoft.

Não é necessário desinstalar a versão atual do serviço de proxy da Proteção de Senha do Microsoft Entra, pois o instalador executa uma atualização in-loco. A reinicialização também não é necessária ao atualizar o serviço de proxy. A atualização do software pode ser automatizada usando procedimentos MSI padrão, como AzureADPasswordProtectionProxySetup.exe /quiet.

Atualizando o agente de DC

Quando houver uma versão mais recente do software do agente de DC da Proteção de Senha do Microsoft Entra disponível, realize a atualização executando a versão mais recente do pacote de software AzureADPasswordProtectionDCAgentSetup.msi. Essa versão está disponível no Centro de Download da Microsoft.

Não é necessário desinstalar a versão atual do software do agente de DC, pois o instalador executa uma atualização in-loco. Sempre é necessária uma reinicialização ao atualizar o software do agente de DC. Esse requisito é decorrente do comportamento central do Windows.

A atualização do software pode ser automatizada usando procedimentos MSI padrão, como msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart.

Omita o sinalizador /norestart se quiser que o instalador reinicialize o computador automaticamente.

O cmdlet Get-AzureADPasswordProtectionDCAgent pode ser usado para consultar a versão de software de todos os agentes de DC da Proteção de Senha do Microsoft Entra atualmente instalados em uma floresta.

Próximas etapas

Agora que você instalou os serviços necessários para a Proteção de Senha do Microsoft Entra nos servidores locais, habilite a Proteção de Senha do Microsoft Entra local para concluir a implantação.