Active Directory Etki Alanı Hizmetleri için şirket içi Microsoft Entra Parola Korumasını zorunlu kılma

  • Makale

Microsoft Entra Password Protection, bilinen zayıf parolaları ve bunların çeşitlerini algılar ve engeller ve kuruluşunuza özgü ek zayıf terimleri de engelleyebilir. Microsoft Entra Password Protection'ın şirket içi dağıtımı, Microsoft Entra Id'de depolanan genel ve özel yasaklanmış parola listelerinin aynısını kullanır ve Microsoft Entra Id'nin bulut tabanlı değişiklikler için yaptığı gibi şirket içi parola değişiklikleri için de aynı denetimleri yapar. Bu denetimler, şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) etki alanı denetleyicilerine karşı parola değişiklikleri ve parola sıfırlama olayları sırasında gerçekleştirilir.

Tasarım ilkeleri

Microsoft Entra Password Protection, aşağıdaki ilkeler göz önünde bulundurularak tasarlanmıştır:

  • Etki alanı denetleyicilerinin (DC' ler) hiçbir zaman İnternet ile doğrudan iletişim kurması gerekmez.
  • DC'lerde yeni ağ bağlantı noktası açılmaz.
  • AD DS şema değişikliği gerekmez. Yazılım, mevcut AD DS kapsayıcısını ve hizmetini Bağlan ionPoint şema nesnelerini kullanır.
  • Desteklenen herhangi bir AD DS etki alanı veya orman işlev düzeyi kullanılabilir.
  • Yazılım, koruduğu AD DS etki alanlarında hesap oluşturmaz veya gerektirmez.
  • Kullanıcı şifresiz metin parolaları, parola doğrulama işlemleri sırasında veya başka bir zamanda hiçbir zaman etki alanı denetleyicisinden ayrılmaz.
  • Yazılım, diğer Microsoft Entra özelliklerine bağımlı değildir. Örneğin, Microsoft Entra parola karması eşitlemesi (PHS) Microsoft Entra Parola Koruması için ilgili veya gerekli değildir.
  • Artımlı dağıtım desteklenir, ancak parola ilkesi yalnızca Etki Alanı Denetleyicisi Aracısı'nın (DC Aracısı) yüklü olduğu yerde uygulanır.

Artımlı dağıtım

Microsoft Entra Password Protection, AD DS etki alanındaki DC'ler arasında artımlı dağıtımı destekler. Bunun gerçekten ne anlama geldiğini ve dezavantajların ne olduğunu anlamak önemlidir.

Microsoft Entra Password Protection DC aracı yazılımı, parolaları yalnızca DC'ye yüklendiğinde ve yalnızca bu DC'ye gönderilen parola değişiklikleri için doğrulayabilir. Kullanıcı parolası değişikliklerini işlemek için Windows istemci makineleri tarafından hangi DC'lerin seçildiğini denetlemek mümkün değildir. Tutarlı davranışı ve evrensel Microsoft Entra Parola Koruması güvenlik zorlamasını garanti etmek için DC aracısı yazılımının bir etki alanındaki tüm DC'lere yüklenmesi gerekir.

Birçok kuruluş, tam dağıtım öncesinde Microsoft Entra Password Protection'ı dc'lerinin bir alt kümesinde dikkatle test etmek istemektedir. Bu senaryoya destek olmak için Microsoft Entra Password Protection kısmi dağıtımı destekler. Belirli bir DC'deki DC aracı yazılımı, etki alanındaki diğer DC'lerde DC aracı yazılımı yüklü olmasa bile parolaları etkin bir şekilde doğrular. Bu tür kısmi dağıtımlar güvenli değildir ve test amaçları dışında önerilmez.

Mimari şema

Microsoft Entra Password Protection'ı şirket içi AD DS ortamında dağıtmadan önce temel tasarım ve işlev kavramlarını anlamanız önemlidir. Aşağıdaki diyagramda Microsoft Entra Password Protection bileşenlerinin birlikte nasıl çalıştığı gösterilmektedir:

How Microsoft Entra Password Protection components work together

  • Microsoft Entra Password Protection Proxy hizmeti, geçerli AD DS ormanındaki etki alanına katılmış tüm makinelerde çalışır. Hizmetin birincil amacı, DC'lerden gelen parola ilkesi indirme isteklerini Microsoft Entra Id'ye iletmek ve ardından Microsoft Entra Id'den dc'ye yanıtları döndürmektir.
  • DC Aracısı'nın parola filtresi DLL'i işletim sisteminden kullanıcı parola doğrulama istekleri alır. Filtre, bunları DC'de yerel olarak çalışan DC Aracısı hizmetine iletir.
  • Microsoft Entra Password Protection'ın DC Aracısı hizmeti, DC Aracısı'nın parola filtresi DLL'sinden parola doğrulama istekleri alır. DC Aracısı hizmeti bunları geçerli (yerel olarak kullanılabilir) parola ilkesini kullanarak işler ve başarılı veya başarısız sonucunu döndürür.

Microsoft Entra Parola Koruması nasıl çalışır?

Şirket içi Microsoft Entra Parola Koruması bileşenleri aşağıdaki gibi çalışır:

  1. Her Microsoft Entra Parola Koruması Proxy hizmeti örneği, Active Directory'de bir service Bağlan ionPoint nesnesi oluşturarak kendisini ormandaki DC'lere tanıtıyor.

    Microsoft Entra Password Protection için her DC Aracısı hizmeti de Active Directory'de bir service Bağlan ionPoint nesnesi oluşturur. Bu nesne öncelikle raporlama ve tanılama için kullanılır.

  2. DC Aracısı hizmeti, Microsoft Entra ID'den yeni bir parola ilkesinin indirilmesini başlatmadan sorumludur. İlk adım, ara sunucu hizmeti Bağlan ionPoint nesneleri için ormanı sorgulayarak bir Microsoft Entra Parola Koruması Proxy hizmetini bulmaktır.

  3. Kullanılabilir bir ara sunucu hizmeti bulunduğunda, DC Aracısı ara sunucu hizmetine bir parola ilkesi indirme isteği gönderir. Proxy hizmeti de isteği Microsoft Entra Kimliği'ne gönderir ve ardından yanıtı DC Aracısı hizmetine döndürür.

  4. DC Aracısı hizmeti Microsoft Entra Id'den yeni bir parola ilkesi aldıktan sonra, hizmet ilkeyi etki alanı sysvol klasör paylaşımının kökündeki ayrılmış bir klasörde depolar. DC Aracısı hizmeti, yeni ilkelerin etki alanındaki diğer DC Aracısı hizmetlerinden çoğaltılması durumunda da bu klasörü izler.

  5. DC Aracısı hizmeti her zaman hizmet başlangıcında yeni bir ilke istemektedir. DC Aracısı hizmeti başlatıldıktan sonra, geçerli yerel olarak kullanılabilir ilkenin yaşını saatlik olarak denetler. İlke bir saatten eskiyse DC Aracısı, daha önce açıklandığı gibi ara sunucu hizmeti aracılığıyla Microsoft Entra Id'den yeni bir ilke istemektedir. Geçerli ilke bir saatten eski değilse DC Aracısı bu ilkeyi kullanmaya devam eder.

  6. Dc tarafından parola değişikliği olayları alındığında, yeni parolanın kabul edilip kabul edilmediğini veya reddedildiğini belirlemek için önbelleğe alınan ilke kullanılır.

Önemli noktalar ve özellikler

  • Microsoft Entra Parola Koruması parola ilkesi her indirildiğinde, bu ilke bir kiracıya özgüdür. Başka bir deyişle, parola ilkeleri her zaman Microsoft genel yasaklanmış-parola listesinin ve kiracı başına özel yasaklanmış-parola listesinin bir bileşimidir.
  • DC Aracısı, TCP üzerinden RPC aracılığıyla ara sunucu hizmetiyle iletişim kurar. Ara sunucu hizmeti, yapılandırmaya bağlı olarak dinamik veya statik RPC bağlantı noktasında bu çağrıları dinler.
  • DC Aracısı hiçbir zaman ağ tarafından kullanılabilen bir bağlantı noktasında dinlemez.
  • Ara sunucu hizmeti hiçbir zaman DC Aracısı hizmetini çağırmaz.
  • Proxy hizmeti durum bilgisi yok. İlkeleri veya Azure'dan indirilen diğer durumları hiçbir zaman önbelleğe almaz.
  • Ara sunucu kaydı, AADPasswordProtectionProxy Hizmet Sorumlusuna kimlik bilgileri ekleyerek çalışır. Bu durum oluştuğunda denetim günlüklerindeki olaylar tarafından alarma alınmayın.
  • DC Aracısı hizmeti her zaman bir kullanıcının parolasını değerlendirmek için en son yerel olarak kullanılabilir parola ilkesini kullanır. Yerel DC'de parola ilkesi yoksa, parola otomatik olarak kabul edilir. Bu durumda, yöneticiyi uyarmak için bir olay iletisi günlüğe kaydedilir.
  • Microsoft Entra Password Protection gerçek zamanlı bir ilke uygulama altyapısı değildir. Microsoft Entra Id'de parola ilkesi yapılandırma değişikliğinin yapılması ile bu değişikliğin tüm DC'lere ulaşması ve uygulanması arasında bir gecikme olabilir.
  • Microsoft Entra Password Protection, mevcut AD DS parola ilkelerine ek görevi görür, yerine geçer. Bu, yüklü olabilecek diğer 3. taraf parola filtresi dll'lerini içerir. AD DS, parola kabul etmeden önce her zaman tüm parola doğrulama bileşenlerinin kabul etmelerini gerektirir.

Microsoft Entra Parola Koruması için Orman / kiracı bağlaması

Bir AD DS ormanında Microsoft Entra Parola Koruması dağıtımı, bu ormanın Microsoft Entra Kimliği ile kaydedilmesini gerektirir. Dağıtılan her proxy hizmetinin de Microsoft Entra Id ile kaydedilmesi gerekir. Bu orman ve ara sunucu kayıtları, kayıt sırasında kullanılan kimlik bilgileri tarafından örtük olarak tanımlanan belirli bir Microsoft Entra kiracısıyla ilişkilendirilir.

AD DS ormanı ve bir orman içinde dağıtılan tüm proxy hizmetleri aynı kiracıya kayıtlı olmalıdır. Ad DS ormanının veya bu ormandaki proxy hizmetlerinin farklı Microsoft Entra kiracılarına kayıtlı olması desteklenmez. Bu tür bir yanlış yapılandırılmış dağıtımın belirtileri, parola ilkelerinin indirilememesidir.

Not

Bu nedenle, birden çok Microsoft Entra kiracısı olan müşterilerin her ormanı Microsoft Entra Parola Koruması amacıyla kaydetmek için bir ayırt edici kiracı seçmesi gerekir.

İndir

Microsoft Entra Parola Koruması için gerekli iki aracı yükleyicisi Microsoft İndirme Merkezi'nden edinilebilir.

Sonraki adımlar

Şirket içi Microsoft Entra Parola Koruması'nı kullanmaya başlamak için aşağıdaki nasıl yapılır adımlarını tamamlayın:

Şirket içi Microsoft Entra Parola Koruması dağıtma