Impor a Proteção por Senha do Microsoft Entra local para Serviços de Domínio Ative Directory

A Proteção por Senha do Microsoft Entra deteta e bloqueia senhas fracas conhecidas e suas variantes, e também pode bloquear termos fracos adicionais específicos da sua organização. A implantação local da Proteção por Senha do Microsoft Entra usa as mesmas listas de senhas proibidas globais e personalizadas armazenadas na ID do Microsoft Entra e faz as mesmas verificações para alterações de senha no local que a ID do Microsoft Entra faz para alterações baseadas na nuvem. Essas verificações são realizadas durante alterações de senha e eventos de redefinição de senha em controladores de domínio dos Serviços de Domínio Ative Directory (AD DS) locais.

Estruturar princípios

A Proteção por Senha do Microsoft Entra foi projetada com os seguintes princípios em mente:

  • Os controladores de domínio (DCs) nunca precisam se comunicar diretamente com a Internet.
  • Nenhuma nova porta de rede é aberta em DCs.
  • Não são necessárias alterações no esquema do AD DS. O software usa o contêiner AD DS existente e objetos de esquema serviceConnectionPoint.
  • Qualquer domínio AD DS ou nível funcional de floresta suportado pode ser usado.
  • O software não cria nem requer contas nos domínios AD DS que protege.
  • As senhas de texto não criptografado do usuário nunca saem do controlador de domínio, seja durante as operações de validação de senha ou em qualquer outro momento.
  • O software não depende de outros recursos do Microsoft Entra. Por exemplo, o Microsoft Entra password hash sync (PHS) não está relacionado ou é necessário para a Proteção por Senha do Microsoft Entra.
  • A implantação incremental é suportada, no entanto, a diretiva de senha só é imposta onde o Agente do Controlador de Domínio (DC Agent) está instalado.

Implantação incremental

A Proteção por Senha do Microsoft Entra oferece suporte à implantação incremental entre DCs em um domínio do AD DS. É importante entender o que isso realmente significa e quais são as compensações.

O software Microsoft Entra Password Protection DC agent só pode validar senhas quando está instalado em um DC e somente para alterações de senha que são enviadas para esse DC. Não é possível controlar quais DCs são escolhidos pelas máquinas cliente Windows para processar alterações de senha do usuário. Para garantir um comportamento consistente e a aplicação de segurança universal da Proteção por Senha do Microsoft Entra, o software do agente de DC deve ser instalado em todos os DCs de um domínio.

Muitas organizações querem testar cuidadosamente a Proteção por Senha do Microsoft Entra em um subconjunto de seus DCs antes de uma implantação completa. Para dar suporte a esse cenário, a Proteção por Senha do Microsoft Entra oferece suporte à implantação parcial. O software do agente de DC em um determinado controlador de domínio valida ativamente as senhas, mesmo quando outros DCs no domínio não têm o software do agente de DC instalado. Implantações parciais desse tipo não são seguras e não são recomendadas a não ser para fins de teste.

Diagrama arquitetónico

É importante entender os conceitos de design e função subjacentes antes de implantar a Proteção por Senha do Microsoft Entra em um ambiente AD DS local. O diagrama a seguir mostra como os componentes do Microsoft Entra Password Protection funcionam juntos:

How Microsoft Entra Password Protection components work together

  • O serviço Proxy de Proteção por Senha do Microsoft Entra é executado em qualquer máquina associada a um domínio na floresta atual do AD DS. O objetivo principal do serviço é encaminhar solicitações de download de política de senha de DCs para o Microsoft Entra ID e, em seguida, retornar as respostas do Microsoft Entra ID para o DC.
  • A DLL do filtro de senha do Agente DC recebe solicitações de validação de senha do usuário do sistema operacional. O filtro os encaminha para o serviço Agente de DC que está sendo executado localmente no DC.
  • O serviço Agente de DC da Proteção por Senha do Microsoft Entra recebe solicitações de validação de senha da DLL do filtro de senha do Agente de DC. O serviço Agente de DC os processa usando a diretiva de senha atual (disponível localmente) e retorna o resultado de aprovação ou falha.

Como funciona a Proteção por Senha do Microsoft Entra

Os componentes locais da Proteção por Senha do Microsoft Entra funcionam da seguinte maneira:

  1. Cada instância do serviço Proxy de Proteção por Senha do Microsoft Entra anuncia-se para os DCs na floresta criando um objeto serviceConnectionPoint no Ative Directory.

    Cada serviço do Agente de DC para Proteção por Senha do Microsoft Entra também cria um objeto serviceConnectionPoint no Ative Directory. Este objeto é usado principalmente para relatórios e diagnósticos.

  2. O serviço Agente de DC é responsável por iniciar o download de uma nova política de senha do Microsoft Entra ID. A primeira etapa é localizar um serviço Microsoft Entra Password Protection Proxy consultando a floresta para objetos proxy serviceConnectionPoint .

  3. Quando um serviço de proxy disponível é encontrado, o Agente de DC envia uma solicitação de download de diretiva de senha para o serviço de proxy. O serviço de proxy, por sua vez, envia a solicitação para o Microsoft Entra ID e, em seguida, retorna a resposta para o serviço DC Agent.

  4. Depois que o serviço Agente de DC recebe uma nova diretiva de senha do ID do Microsoft Entra, o serviço armazena a política em uma pasta dedicada na raiz de seu compartilhamento de pasta sysvol de domínio. O serviço Agente de DC também monitora essa pasta caso políticas mais recentes sejam replicadas de outros serviços de Agente de DC no domínio.

  5. O serviço DC Agent sempre solicita uma nova política na inicialização do serviço. Depois que o serviço Agente de DC é iniciado, ele verifica a idade da política atual disponível localmente de hora em hora. Se a política tiver mais de uma hora, o Agente de DC solicitará uma nova política do Microsoft Entra ID por meio do serviço de proxy, conforme descrito anteriormente. Se a política atual não tiver mais de uma hora, o Agente de DC continuará a usá-la.

  6. Quando eventos de alteração de senha são recebidos por um DC, a política armazenada em cache é usada para determinar se a nova senha é aceita ou rejeitada.

Principais considerações e características

  • Sempre que uma política de senha do Microsoft Entra Password Protection é baixada, essa política é específica para um locatário. Em outras palavras, as políticas de senha são sempre uma combinação da lista global de senhas banned-password da Microsoft e da lista de senhas banned-password personalizadas por locatário.
  • O Agente DC se comunica com o serviço de proxy via RPC sobre TCP. O serviço de proxy escuta essas chamadas em uma porta RPC dinâmica ou estática, dependendo da configuração.
  • O Agente DC nunca escuta em uma porta disponível na rede.
  • O serviço de proxy nunca chama o serviço DC Agent.
  • O serviço de proxy é sem monitoração de estado. Ele nunca armazena em cache políticas ou qualquer outro estado baixado do Azure.
  • O registro de proxy funciona adicionando credenciais à entidade de serviço AADPasswordProtectionProxy. Não se assuste com nenhum evento nos logs de auditoria quando isso ocorrer.
  • O serviço Agente de DC sempre usa a política de senha disponível localmente mais recente para avaliar a senha de um usuário. Se nenhuma política de senha estiver disponível no DC local, a senha será aceita automaticamente. Quando isso acontece, uma mensagem de evento é registrada para avisar o administrador.
  • A Proteção por Senha do Microsoft Entra não é um mecanismo de aplicativo de política em tempo real. Pode haver um atraso entre quando uma alteração de configuração de diretiva de senha é feita no ID do Microsoft Entra e quando essa alteração atinge e é imposta em todos os DCs.
  • A Proteção por Senha do Microsoft Entra atua como um complemento às políticas de senha do AD DS existentes, não como uma substituição. Isso inclui quaisquer outras dlls de filtro de senha de terceiros que possam ser instaladas. O AD DS sempre exige que todos os componentes de validação de senha concordem antes de aceitar uma senha.

Vinculação de floresta/locatário para Proteção por Senha do Microsoft Entra

A implantação da Proteção por Senha do Microsoft Entra em uma floresta do AD DS requer o registro dessa floresta com a ID do Microsoft Entra. Cada serviço de proxy implantado também deve ser registrado com o Microsoft Entra ID. Esses registros de floresta e proxy estão associados a um locatário específico do Microsoft Entra, que é identificado implicitamente pelas credenciais usadas durante o registro.

A floresta do AD DS e todos os serviços de proxy implantados em uma floresta devem ser registrados com o mesmo locatário. Não há suporte para que uma floresta do AD DS ou quaisquer serviços de proxy nessa floresta sejam registrados para diferentes locatários do Microsoft Entra. Os sintomas dessa implantação mal configurada incluem a incapacidade de baixar políticas de senha.

Nota

Os clientes que têm vários locatários do Microsoft Entra devem, portanto, escolher um locatário distinto para registrar cada floresta para fins de Proteção por Senha do Microsoft Entra.

Transferir

Os dois instaladores de agente necessários para o Microsoft Entra Password Protection estão disponíveis no Centro de Download da Microsoft.

Próximos passos

Para começar a usar a Proteção por Senha do Microsoft Entra local, conclua o seguinte procedimento: