規劃和部署內部部署 Microsoft Entra 密碼保護

使用者通常會建立可使用通用本機字組的密碼,例如學校、運動團隊或有名人員。 這些密碼很容易猜測,而且對字典型攻擊很弱。 為了在您的組織中強制執行強式密碼,Microsoft Entra 密碼保護提供了全域和自訂禁用密碼清單。 如果此禁用密碼清單中有相符項目,密碼變更要求就會失敗。

若要保護您的 內部部署的 Active Directory 網域服務 (AD DS) 環境,您可以安裝和設定 Microsoft Entra Password Protection 以搭配內部部署 DC 使用。 本文說明如何在內部部署環境中安裝和註冊 Microsoft Entra Password Protection Proxy 服務和 Microsoft Entra Password Protection DC 代理程式。

如需 Microsoft Entra 密碼保護在內部部署環境中運作方式的詳細資訊,請參閱 如何針對 Windows Server Active Directory 強制執行 Microsoft Entra Password Protection。

部署策略

下圖顯示 Microsoft Entra 密碼保護的基本元件在內部部署 Active Directory 環境中如何一起運作:

How Microsoft Entra Password Protection components work together

最好先檢閱軟體在部署之前的運作方式。 如需詳細資訊,請參閱 Microsoft Entra Password Protection 的概念概觀。

我們建議您在「稽核」模式中開始部署。 稽核模式是預設初始設定,可以在其中繼續設定密碼。 封鎖的密碼會記錄在事件記錄檔中。 在稽核模式中部署 Proxy 伺服器和 DC 代理程式之後,請監視在強制執行原則時密碼原則對使用者的影響。

在稽核階段期間,許多組織發現會有下列情況:

  • 他們需要改善現有作業程序,以使用更安全的密碼。
  • 使用者通常會使用不安全的密碼。
  • 他們必須通知使用者關於即將推出的安全性強制執行變更、可能對他們造成的影響,以及如何選擇更安全的密碼。

您也可以進行更強的密碼驗證,以影響現有的 Active Directory 網域控制站部署自動化。 建議您在稽核期間評估期間至少進行一個 DC 升級和一個 DC 降級,以協助發現這類問題。 如需詳細資訊,請參閱下列文章:

功能在稽核模式中執行一段合理的時間之後,您可以將設定從「稽核」切換成「強制」,以要求更安全的密碼。 在此期間進行額外的監視是個好主意。

請務必注意,Microsoft Entra Password Protection 只能在密碼變更或設定作業期間驗證密碼。 在部署 Microsoft Entra Password Protection 之前,已接受並儲存在 Active Directory 中的密碼永遠不會經過驗證,且將繼續依現態運作。 經過一段時間后,所有使用者和帳戶最終都會開始使用 Microsoft Entra Password Protection 驗證的密碼,因為其現有密碼通常會過期。 使用「密碼永久有效」設定的帳戶會豁免。

多個樹系考量

將 Microsoft Entra 密碼保護部署至多個樹系時沒有額外需求。

每個樹系都會獨立設定,如下一節所述,以 部署內部部署 Microsoft Entra 密碼保護。 每個 Microsoft Entra 密碼保護 Proxy 都只能支援其所加入樹系中的網域控制站。

不論 Active Directory 信任設定為何,任何樹系中的 Microsoft Entra 密碼保護軟體都不會知道部署在其他樹系中的 Azure AD 密碼保護軟體。

唯讀網域控制站考量

密碼變更或設定事件不會在唯讀網域控制站 (RODC) 上處理和保存。 相反地,會轉送到可寫入網域控制站。 您不需要在 RODC 上安裝 Microsoft Entra 密碼保護 DC 代理程式軟體。

此外,不支援在只讀域控制器上執行 Microsoft Entra Password Protection Proxy 服務。

高可用性考量

當樹系中的 DC 嘗試從 Azure 下載新原則或其他資料時,密碼保護的主要考量是 Microsoft Entra 密碼保護 Proxy 伺服器的可用性。 在決定要呼叫哪個 Proxy 伺服器時,每個 Microsoft Entra 密碼保護 DC 代理程式都會使用簡單的循環配置資源樣式演算法。 代理程式會略過沒有回應的 Proxy 伺服器。

對於大部分完全連線的 Active Directory 部署,其目錄和 sysvol 資料夾狀態都有良好的複寫,兩個 Microsoft Entra 密碼保護 Proxy 伺服器足以確保可用性。 這項設定會導致及時下載新的原則和其他資料。 如有需要,您可以部署額外的 Microsoft Entra 密碼保護 Proxy 伺服器。

Microsoft Entra 密碼保護 DC 代理程式軟體的設計可減少與高可用性相關聯的一般問題。 Microsoft Entra 密碼保護 DC 代理程式會保有最近所下載密碼原則的本機快取。 即使所有已註冊 Proxy 伺服器都變得無法使用,Microsoft Entra 密碼保護 DC 代理程式仍會繼續強制執行其快取的密碼原則。

大型部署中合理的密碼原則更新頻率通常是幾天,而非幾小時或更少。 因此,Proxy 伺服器的短暫中斷不會影響 Microsoft Entra Password Protection。

部署需求

如需授權的相關信息,請參閱 Microsoft Entra Password Protection 授權需求

適用下列核心需求:

  • 已安裝 Microsoft Entra Password Protection 元件的所有計算機,包括域控制器,都必須安裝通用 C 運行時間。

    • 您可以確定您有來自 Windows Update 的所有更新,以取得運行時間。 或者,您可以在 OS 特定的更新套件中取得它。 如需詳細資訊,請參閱 Windows 中的通用 C 運行時間更新。
  • 您需要在樹系根網域中具有 Active Directory 網域系統管理員權限的帳戶,才能向 Microsoft Entra ID 註冊 Windows Server Active Directory 樹系。

  • 在執行 Windows Server 2012 和更新版本的網域中,必須啟用金鑰散發服務。 根據預設,此服務會透過手動觸發程序啟動來啟用。

  • 每個網域中至少一個網域控制站與裝載 Microsoft Entra 密碼保護 Proxy 服務的伺服器之間,必須有網路連線。 此連線必須允許網域控制站存取 Proxy 服務上的 RPC 端點對應程式連接埠 135 與 RPC 伺服器連接埠。

    • 根據預設,RPC 伺服器埠是來自範圍 (49152 - 65535) 的動態 RPC 埠,但可以設定為 使用靜態埠
  • 將安裝 Microsoft Entra Password Protection Proxy 服務的所有機器都必須具有下列端點的網路存取權:

    端點 用途
    https://login.microsoftonline.com 驗證要求
    https://enterpriseregistration.windows.net Microsoft Entra 密碼保護功能
    https://autoupdate.msappproxy.net Microsoft Entra Password Protection 自動升級功能

注意

本文不會解決某些端點,例如CRL端點。 如需所有支援的端點清單,請參閱 Microsoft 365 URL 和 IP 位址範圍。 此外,Microsoft Entra 系統管理中心驗證還需要其他端點。 如需詳細資訊,請參閱 Microsoft Entra 系統管理中心 URL 以進行 Proxy 略過

Microsoft Entra 密碼保護 DC 代理程式

下列需求適用於 Microsoft Entra 密碼保護 DC 代理程式:

  • 將安裝 Microsoft Entra Password Protection DC 代理程式軟體的計算機可以執行任何支援的 Windows Server 版本,包括 Windows Server Core 版本。
    • Active Directory 網域或樹系可以是任何支援的功能等級。
  • 將安裝 Microsoft Entra 密碼保護 DC 代理程式的所有機器都必須安裝 .NET 4.7.2。
    • 如果尚未安裝 .NET 4.7.2,請下載並執行 Windows 的 .NET Framework 4.7.2 離線安裝程式中找到 安裝程式。
  • 執行 Microsoft Entra 密碼保護 DC 代理程式服務的任何 Active Directory 網域,都必須使用分散式檔案系統複寫 (DFSR) 進行 sysvol 複寫。
    • 如果您的網域尚未使用 DFSR,您必須先移轉,才能安裝 Microsoft Entra Password Protection。 如需詳細資訊,請參閱 SYSVOL 複寫移轉指南:FRS 至 DFS 複寫

      警告

      Microsoft Entra Password Protection DC 代理程式軟體目前會安裝在仍在使用 FRS 的域控制器上,這些域控制器仍在使用 FRS(DFSR 的前身技術)進行 sysvol 複寫,但軟體在此環境中將無法正常運作。

      其他負面副作用包括無法復寫的個別檔案,以及似乎成功但以無訊息方式無法復寫所有檔案的 sysvol 還原程式。

      移轉您的網域以儘快使用 DFSR,既適用於 DFSR 的固有優點,又要解除封鎖 Microsoft Entra Password Protection 的部署。 在仍在使用 FRS 的網域中執行時,將會自動停用未來的軟體版本。

Microsoft Entra 密碼保護 Proxy 服務

下列需求適用於 Microsoft Entra Password Protection Proxy 服務:

  • 將安裝 Microsoft Entra Password Protection Proxy 服務的所有機器都必須執行 Windows Server 2012 R2 或更新版本,包括 Windows Server Core 版本。

    注意

    Microsoft Entra Password Protection Proxy 服務部署是部署 Microsoft Entra Password Protection 的必要需求,即使域控制器可能具有輸出直接因特網聯機能力也一樣。

  • 將安裝 Microsoft Entra Password Protection Proxy 服務的所有機器都必須安裝 .NET 4.7.2。

    • 如果尚未安裝 .NET 4.7.2,請下載並執行 Windows 的 .NET Framework 4.7.2 離線安裝程式中找到 安裝程式。
  • 裝載 Microsoft Entra Password Protection Proxy 服務的所有機器都必須設定為授與域控制器登入 Proxy 服務的能力。 這項功能是透過「從網路存取這台電腦」權限指派來控制。

  • 裝載 Microsoft Entra Password Protection Proxy 服務的所有機器都必須設定為允許輸出 TLS 1.2 HTTP 流量。

  • 全域 管理員 istrator 帳戶必須在指定租使用者中第一次註冊 Microsoft Entra Password Protection Proxy 服務。 具有 Microsoft Entra ID 的後續 Proxy 和樹系註冊可能會使用具有 Global 管理員 istratorSecurity 管理員 istrator 認證的帳戶。

  • 必須針對應用程式 Proxy 環境設定程序中指定的一組連接埠和 URL,啟用網路存取。 這除了上述的兩個端點之外。

Microsoft Entra 連線 Agent Updater 必要條件

Microsoft Entra 連線 Agent Updater 服務會與 Microsoft Entra Password Protection Proxy 服務並存安裝。 需要額外的設定,Microsoft Entra 連線 Agent Updater 服務才能運作:

  • 如果您的環境使用 HTTP Proxy 伺服器,請遵循使用現有內部部署 Proxy 伺服器中指定的指導方針。
  • Microsoft Entra 連線 Agent Updater 服務也需要 TLS 需求中指定的 TLS 1.2 步驟。

警告

Microsoft Entra 密碼保護 Proxy 和 Microsoft Entra 應用程式 Proxy 會安裝不同版本的 Microsoft Entra Connect 代理程式更新程式服務,這也是指示參考應用程式 Proxy 內容的原因。 這些不同版本在並存安裝時不相容,因此會防止代理程式更新程式服務連絡 Azure 以進行軟體更新,因此您絕對不應該在同一部計算機上安裝 Microsoft Entra Password Protection Proxy 和 應用程式 Proxy。

下載必要的軟體

內部部署 Microsoft Entra Password Protection 部署需要兩個安裝程式:

  • Microsoft Entra 密碼保護 DC 代理程式 (AzureADPasswordProtectionDCAgentSetup.msi)
  • Microsoft Entra 密碼保護 Proxy (AzureADPasswordProtectionProxySetup.exe)

Microsoft 下載中心下載這兩個安裝程式。

安裝和設定 Proxy 服務

Microsoft Entra Password Protection Proxy 服務通常位於內部部署 AD DS 環境中的成員伺服器上。 安裝之後,Microsoft Entra 密碼保護 Proxy 服務會與 Microsoft Entra ID 通訊,以維護 Microsoft Entra 租使用者全域和客戶禁用密碼列表的複本。

在下一節中,您會在內部部署 AD DS 環境中的域控制器上安裝 Microsoft Entra Password Protection DC 代理程式。 這些DC代理程式會與 Proxy 服務通訊,以取得處理網域內密碼變更事件時要使用的最新禁用密碼清單。

選擇一或多部伺服器來裝載 Microsoft Entra Password Protection Proxy 服務。 伺服器適用下列考慮:

  • 每個這類服務只能為單一樹系提供密碼原則。 主計算機必須加入該樹系中的任何網域。
  • 您可以在根域或子域中安裝 Proxy 服務,或這些服務的組合。
  • 您需要樹系的每個網域中至少一個 DC 與一部密碼保護 Proxy 伺服器之間的網路連線。
  • 您可以在域控制器上執行 Microsoft Entra Password Protection Proxy 服務進行測試,但該域控制器接著需要因特網連線。 此連線可能是安全性考慮。 我們建議您只測試此組態。
  • 我們建議每個樹系至少有兩部 Microsoft Entra Password Protection Proxy 伺服器進行備援,如上一節 中關於高可用性考慮所述。
  • 不支援在只讀域控制器上執行 Microsoft Entra Password Protection Proxy 服務。
  • 如有必要,您可以使用新增或移除程式來移除 Proxy 服務。 不需要手動清除 Proxy 服務所維護的狀態。

若要安裝 Microsoft Entra Password Protection Proxy 服務,請完成下列步驟:

  1. 若要安裝 Microsoft Entra Password Protection Proxy 服務,請執行 AzureADPasswordProtectionProxySetup.exe 軟體安裝程式。

    軟體安裝不需要重新啟動,而且可以使用標準 MSI 程式進行自動化,如下列範例所示:

    AzureADPasswordProtectionProxySetup.exe /quiet
    

    注意

    安裝套件之前 AzureADPasswordProtectionProxySetup.exe ,必須先執行 Windows 防火牆服務,以避免安裝錯誤。

    如果 Windows 防火牆設定為未執行,因應措施是在安裝期間暫時啟用並執行防火牆服務。 安裝之後,Proxy 軟體在 Windows 防火牆上沒有特定的相依性。

    如果您使用第三方防火牆,它仍必須設定為符合部署需求。 其中包括允許埠 135 和 Proxy RPC 伺服器埠的輸入存取。 如需詳細資訊,請參閱上一節的 部署需求

  2. Microsoft Entra Password Protection Proxy 軟體包含新的 PowerShell 模組。 AzureADPasswordProtection 下列步驟會從此 PowerShell 模組執行各種 Cmdlet。

    若要使用此模組,請以系統管理員身分開啟 PowerShell 視窗,並匯入新的模組,如下所示:

    Import-Module AzureADPasswordProtection
    

    警告

    必須使用64位版本的PowerShell。 某些 Cmdlet 可能無法搭配 PowerShell 使用(x86)。

  3. 若要檢查 Microsoft Entra Password Protection Proxy 服務是否正在執行,請使用下列 PowerShell 命令:

    Get-Service AzureADPasswordProtectionProxy | fl
    

    結果應該會顯示 [執行中狀態]。

  4. Proxy 服務正在計算機上執行,但沒有認證可與 Microsoft Entra ID 通訊。 使用 Register-AzureADPasswordProtectionProxy Cmdlet 向 Microsoft Entra ID 註冊 Microsoft Entra Password Protection Proxy 伺服器。

    此 Cmdlet 需要全域 管理員 istrator 認證,第一次向指定的租用戶註冊任何 Proxy。 該租使用者中的後續 Proxy 註冊,無論是針對相同或不同的 Proxy,都可能會使用 Global 管理員 istratorSecurity 管理員 istrator 認證。

    此命令成功一次之後,其他調用也會成功,但並非必要。

    Cmdlet Register-AzureADPasswordProtectionProxy 支援下列三種驗證模式。 前兩種模式支援 Microsoft Entra 多重要素驗證,但第三個模式則不支援。

    提示

    第一次針對特定 Azure 租使用者執行此 Cmdlet 之前,可能會有明顯的延遲。 除非回報失敗,否則請勿擔心此延遲。

    • 互動式驗證模式:

      Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
      

      注意

      此模式不適用於 Server Core 作業系統。 請改用下列其中一種驗證模式。 此外,如果已啟用 Internet Explorer 增強式安全性設定,此模式可能會失敗。 因應措施是停用該組態、註冊 Proxy,然後重新啟用它。

    • 裝置程式代碼驗證模式:

      Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
      

      出現提示時,請遵循鏈接開啟網頁瀏覽器並輸入驗證碼。

    • 無訊息(密碼型)驗證模式:

      $globalAdminCredentials = Get-Credential
      Register-AzureADPasswordProtectionProxy -AzureCredential $globalAdminCredentials
      

      注意

      如果您的帳戶需要 Microsoft Entra 多重要素驗證,此模式就會失敗。 在此情況下,請使用前兩種驗證模式的其中一種,或改用不需要 MFA 的不同帳戶。

      如果 Azure 裝置註冊(Microsoft Entra Password Protection 涵蓋範圍下使用)已設定為全域要求 MFA,您可能也會看到需要 MFA。 若要因應這項需求,您可以使用支援 MFA 的不同帳戶搭配上述兩種驗證模式之一,或者您也可以暫時放寬 Azure 裝置註冊 MFA 需求。

      若要進行這項變更,請在 Microsoft Entra 系統管理中心選取 [身分識別],然後選取 [裝置裝置>] 設定。 設定 [需要多重要素驗證] 將裝置 加入 [ ]。 完成註冊之後,請務必將此設定重新設定回 [ ]。

      我們建議您只針對測試目的略過 MFA 需求。

    您目前不需要指定 -ForestCredential 參數,這是保留供未來功能使用。

    只有在服務的存留期內,才需要註冊 Microsoft Entra Password Protection Proxy 服務一次。 之後,Microsoft Entra Password Protection Proxy 服務會自動執行任何其他必要的維護。

  5. 若要確定變更已生效,請執行 Test-AzureADPasswordProtectionProxyHealth -TestAll。 如需解決錯誤的說明,請參閱 疑難解答:內部部署 Microsoft Entra Password Protection

  6. 現在,使用 PowerShell Cmdlet 向 Azure 通訊所需的認證註冊 內部部署的 Active Directory 樹Register-AzureADPasswordProtectionForest系。

    注意

    如果您的環境中安裝了多個 Microsoft Entra Password Protection Proxy 伺服器,則您用來註冊樹系的 Proxy 伺服器並不重要。

    Cmdlet 需要 Azure 租使用者的全域 管理員 istrator 或 Security 管理員 istrator 認證。 它也需要 內部部署的 Active Directory Enterprise 管理員 istrator 許可權。 您也必須使用具有本機系統管理員許可權的帳戶來執行此 Cmdlet。 用來註冊樹系的 Azure 帳戶可能與 內部部署的 Active Directory 帳戶不同。

    每個樹系會執行此步驟一次。

    Cmdlet Register-AzureADPasswordProtectionForest 支援下列三種驗證模式。 前兩種模式支援 Microsoft Entra 多重要素驗證,但第三個模式則不支援。

    提示

    第一次針對特定 Azure 租使用者執行此 Cmdlet 之前,可能會有明顯的延遲。 除非回報失敗,否則請勿擔心此延遲。

    • 互動式驗證模式:

      Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
      

      注意

      此模式不適用於 Server Core 作業系統。 請改用下列兩種驗證模式之一。 此外,如果已啟用 Internet Explorer 增強式安全性設定,此模式可能會失敗。 因應措施是停用該組態、註冊樹系,然後重新啟用它。

    • 裝置程式代碼驗證模式:

      Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
      

      出現提示時,請遵循鏈接開啟網頁瀏覽器並輸入驗證碼。

    • 無訊息(密碼型)驗證模式:

      $globalAdminCredentials = Get-Credential
      Register-AzureADPasswordProtectionForest -AzureCredential $globalAdminCredentials
      

      注意

      如果您的帳戶需要 Microsoft Entra 多重要素驗證,此模式就會失敗。 在此情況下,請使用前兩種驗證模式的其中一種,或改用不需要 MFA 的不同帳戶。

      如果 Azure 裝置註冊(Microsoft Entra Password Protection 涵蓋範圍下使用)已設定為全域要求 MFA,您可能也會看到需要 MFA。 若要因應這項需求,您可以使用支援 MFA 的不同帳戶搭配上述兩種驗證模式之一,或者您也可以暫時放寬 Azure 裝置註冊 MFA 需求。

      若要進行這項變更,請在 Microsoft Entra 系統管理中心選取 [身分識別],然後選取 [裝置裝置>設定]。 設定 [需要多重要素驗證] 將裝置 加入 [ ]。 完成註冊之後,請務必將此設定重新設定回 [ ]。

      我們建議您只針對測試目的略過 MFA 需求。

      只有在目前登入的使用者也是根域的 Active Directory 網域管理員時,這些範例才會成功。 如果情況並非如此,您可以透過 -ForestCredential 參數提供替代網域認證。

    只有在樹系存留期中,才需要註冊 Active Directory 樹系一次。 之後,樹系中的 Microsoft Entra Password Protection DC 代理程式會自動執行任何其他必要的維護。 成功執行樹系之後 Register-AzureADPasswordProtectionForest ,Cmdlet 的其他調用會成功,但並非必要。

    若要 Register-AzureADPasswordProtectionForest 成功,至少一部執行 Windows Server 2012 或更新版本的 DC 必須可在 Microsoft Entra Password Protection Proxy 伺服器的網域中使用。 在此步驟之前,Microsoft Entra Password Protection DC 代理程式軟體不需要安裝在任何域控制器上。

  7. 若要確定變更已生效,請執行 Test-AzureADPasswordProtectionProxyHealth -TestAll。 如需解決錯誤的說明,請參閱 疑難解答:內部部署 Microsoft Entra Password Protection

設定 Proxy 服務以透過 HTTP Proxy 進行通訊

如果您的環境需要使用特定的 HTTP Proxy 與 Azure 通訊,請使用下列步驟來設定 Microsoft Entra Password Protection 服務。

在資料夾中建立 AzureADPasswordProtectionProxy.exe.config 檔案 %ProgramFiles%\Azure AD Password Protection Proxy\Service 。 包含下列內容:

<configuration>
   <system.net>
      <defaultProxy enabled="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

如果您的 HTTP Proxy 需要驗證,請新增 useDefaultCredentials 卷標:

<configuration>
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

在這兩種情況下,請將 取代 http://yourhttpproxy.com:8080 為您特定 HTTP Proxy 伺服器的位址和埠。

如果您的 HTTP Proxy 設定為使用授權原則,您必須將裝載 Proxy 服務的電腦 Active Directory 電腦帳戶的存取權授與密碼保護。

建議您在建立或更新 AzureADPasswordProtectionProxy.exe.config 檔案之後,停止並重新啟動 Microsoft Entra Password Protection Proxy 服務。

Proxy 服務不支援使用特定認證來連線到 HTTP Proxy。

設定 Proxy 服務以在特定埠上接聽

Microsoft Entra Password Protection DC 代理程式軟體會透過 TCP 使用 RPC 與 Proxy 服務通訊。 根據預設,Microsoft Entra Password Protection Proxy 服務會接聽任何可用的動態 RPC 端點。 您可以視環境中的網路拓撲或防火牆需求,將服務設定為在特定 TCP 連接埠上接聽。 當您設定靜態埠時,您必須開啟埠 135 和您選擇的靜態埠。

若要將服務設定為在靜態埠下執行,請使用 Set-AzureADPasswordProtectionProxyConfiguration Cmdlet,如下所示:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort <portnumber>

警告

您必須停止並重新啟動 Microsoft Entra Password Protection Proxy 服務,這些變更才會生效。

若要將服務設定為在動態埠下執行,請使用相同的程式,但將 StaticPort回零:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort 0

警告

您必須停止並重新啟動 Microsoft Entra Password Protection Proxy 服務,這些變更才會生效。

Microsoft Entra Password Protection Proxy 服務需要在埠設定進行任何變更之後手動重新啟動。 進行這些設定變更之後,您不需要重新啟動域控制器上的 Microsoft Entra Password Protection DC 代理程式服務。

若要查詢服務的目前組態,請使用 Get-AzureADPasswordProtectionProxyConfiguration Cmdlet,如下列範例所示

Get-AzureADPasswordProtectionProxyConfiguration | fl

下列範例輸出顯示 Microsoft Entra Password Protection Proxy 服務正在使用動態埠:

ServiceName : AzureADPasswordProtectionProxy
DisplayName : Azure AD password protection Proxy
StaticPort  : 0

安裝 DC 代理程式服務

若要安裝 Microsoft Entra 密碼保護 DC 代理程式服務,請執行 AzureADPasswordProtectionDCAgentSetup.msi 套件。

您可以使用標準 MSI 程序將軟體安裝自動化,如下列範例所示:

msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart

如果您想要讓安裝程式自動將電腦重新開機,可以省略 /norestart 旗標。

軟體安裝 (或解除安裝) 需要重新啟動。 這項需求是因為密碼篩選 DLL 只會在重新啟動時載入或卸載。

在域控制器上安裝 DC 代理程式軟體,且該電腦重新啟動之後,內部部署 Microsoft Entra Password Protection 就會完成安裝。 不需要或不可能有其他設定。 針對內部部署DC的密碼變更事件,使用 Microsoft Entra 識別碼中設定的禁用密碼清單。

若要啟用內部部署 Microsoft Entra 密碼保護或設定自定義禁用密碼,請參閱 啟用內部部署 Microsoft Entra Password Protection

提示

您可以在還不是網域控制站的電腦上安裝 Microsoft Entra 密碼保護 DC 代理程式。 在此情況下,服務會啟動並執行,但會保持非使用中狀態,直到機器升階為域控制器為止。

升級 Proxy 服務

Microsoft Entra Password Protection Proxy 服務支援自動升級。 自動升級會使用 Microsoft Entra Connect 代理程式更新程式服務,此服務會與 Proxy 服務並排安裝。 自動升級預設為開啟,而且可以使用 Cmdlet 來啟用或停用 Set-AzureADPasswordProtectionProxyConfiguration

您可以使用 Get-AzureADPasswordProtectionProxyConfiguration Cmdlet 來查詢目前的設定。 建議您一律啟用自動升級設定。

Get-AzureADPasswordProtectionProxy Cmdlet 可用來查詢樹系中所有目前安裝之 Microsoft Entra Password Protection Proxy 伺服器的軟體版本。

注意

只有在需要重要安全性修補程式時,Proxy 服務才會自動升級至較新版本。

手動升級程序

手動升級是藉由執行最新版本的 AzureADPasswordProtectionProxySetup.exe 軟體安裝程式來完成。 Microsoft 下載中心提供最新版本的軟體。

不需要卸載目前版本的 Microsoft Entra Password Protection Proxy 服務 - 安裝程式會執行就地升級。 升級 Proxy 服務時,應該不需要重新開機。 您可以使用標準 MSI 程序讓軟體升級自動化,例如 AzureADPasswordProtectionProxySetup.exe /quiet

升級 DC 代理程式

當有較新版本的 Microsoft Entra 密碼保護 DC 代理程式軟體可供使用時,會執行最新版本的 AzureADPasswordProtectionDCAgentSetup.msi 軟體套件來完成升級。 Microsoft 下載中心提供最新版本的軟體。

不需要卸載目前版本的 DC 代理程式軟體 - 安裝程式會執行就地升級。 升級DC代理程式軟體時,一律需要重新啟動 - 此需求是由核心 Windows 行為所造成。

您可以使用標準 MSI 程序讓軟體升級自動化,例如 msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart

如果您想要讓安裝程式自動將電腦重新開機,可以省略 /norestart 旗標。

Get-AzureADPasswordProtectionDCAgent Cmdlet 可用來查詢樹系中所有目前安裝 Microsoft Entra 密碼保護 DC 代理程式的軟體版本。

下一步

既然您已在內部部署伺服器上安裝 Microsoft Entra Password Protection 所需的服務,請 啟用內部部署 Microsoft Entra Password Protection 以完成部署。