規劃和部署內部部署 Microsoft Entra 密碼保護

發行項
06/24/2024

使用者通常會建立可使用通用本機字組的密碼，例如學校、運動團隊或有名人員。這些密碼很容易猜測，且容易遭受字典型攻擊。為了在您的組織中強制執行強式密碼，Microsoft Entra 密碼保護提供了全域和自訂禁用密碼清單。如果此禁用密碼清單中有相符項目，密碼變更要求就會失敗。

若要保護您的內部部署 Active Directory Domain Services (AD DS) 環境，您可以安裝和設定 Microsoft Entra 密碼保護，以使用內部部署的 DC。本文說明如何在內部部署環境中安裝及註冊 Microsoft Entra 密碼保護 Proxy 服務和 Microsoft Entra 密碼保護 DC 代理程式。

如需 Microsoft Entra 密碼保護如何在內部部署環境中運作的相關詳細資訊，請參閱如何強制執行 Windows Server Active Directory 的 Microsoft Entra 密碼保護。

部署策略

下圖顯示 Microsoft Entra 密碼保護的基本元件在內部部署 Active Directory 環境中如何一起運作：

Microsoft Entra 密碼保護元件如何一起運作

在部署軟體之前，最好先檢查其運作方式。如需詳細資訊，請參閱 Microsoft Entra 密碼保護的概念性概觀。

我們建議您在「稽核」模式中開始部署。稽核模式是預設初始設定，可以在其中繼續設定密碼。封鎖的密碼會記錄在事件記錄檔中。在稽核模式中部署 Proxy 伺服器和 DC 代理程式之後，請監視在強制執行原則時密碼原則對使用者的影響。

在稽核階段期間，許多組織發現會有下列情況：

他們需要改善現有作業程序，以使用更安全的密碼。
使用者通常會使用不安全的密碼。
他們必須通知使用者關於即將推出的安全性強制執行變更、可能對他們造成的影響，以及如何選擇更安全的密碼。

您也可以進行更強的密碼驗證，以影響現有的 Active Directory 網域控制站部署自動化。建議在稽核期評估的過程中至少進行一次 DC 升級和一次 DC 降級，以利找出這類問題。如需詳細資訊，請參閱下列文章：

功能在稽核模式中執行一段合理的時間之後，您可以將設定從「稽核」切換成「強制」，以要求更安全的密碼。建議在此期間進行額外的監視。

請務必注意，Microsoft Entra 密碼保護只能在密碼變更或設定作業期間驗證密碼。在部署 Microsoft Entra 密碼保護之前接受並儲存於 Active Directory 中的密碼一律不會受到驗證，且會繼續如常運作。一段時間之後，所有使用者和帳戶的現有密碼終將到期，而會開始使用經過 Microsoft Entra 密碼保護驗證的密碼。使用「密碼永久有效」設定的帳戶會豁免。

多個樹系考量

將 Microsoft Entra 密碼保護部署至多個樹系時沒有額外需求。

每個樹系均獨立設定 (如下一節所說明)，以部署內部部署 Microsoft Entra 密碼保護。每個 Microsoft Entra 密碼保護 Proxy 都只能支援其所加入樹系中的網域控制站。

不論 Active Directory 信任設定為何，任何樹系中的 Microsoft Entra 密碼保護軟體都不會知道部署在其他樹系中的 Azure AD 密碼保護軟體。

唯讀網域控制站考量

密碼變更或設定事件不會在唯讀網域控制站 (RODC) 上處理和保存。相反地，會轉送到可寫入網域控制站。您不需要在 RODC 上安裝 Microsoft Entra 密碼保護 DC 代理程式軟體。

此外，不支援在唯讀網域控制站上執行 Microsoft Entra 密碼保護 Proxy 服務。

高可用性考量

當樹系中的 DC 嘗試從 Azure 下載新原則或其他資料時，密碼保護的主要考量是 Microsoft Entra 密碼保護 Proxy 伺服器的可用性。在決定要呼叫哪個 Proxy 伺服器時，每個 Microsoft Entra 密碼保護 DC 代理程式都會使用簡單的循環配置資源樣式演算法。代理程式會略過沒有回應的 Proxy 伺服器。

對於大部分完全連線的 Active Directory 部署，其目錄和 sysvol 資料夾狀態都有良好的複寫，兩個 Microsoft Entra 密碼保護 Proxy 伺服器足以確保可用性。這項設定會導致及時下載新的原則和其他資料。如有需要，您可以部署額外的 Microsoft Entra 密碼保護 Proxy 伺服器。

Microsoft Entra 密碼保護 DC 代理程式軟體的設計可減少與高可用性相關聯的一般問題。 Microsoft Entra 密碼保護 DC 代理程式會保有最近所下載密碼原則的本機快取。即使所有已註冊 Proxy 伺服器都變得無法使用，Microsoft Entra 密碼保護 DC 代理程式仍會繼續強制執行其快取的密碼原則。

大型部署中合理的密碼原則更新頻率通常是幾天，而非幾小時或更少。因此，Proxy 伺服器的短暫中斷不會影響 Microsoft Entra 密碼保護。

部署需求

如需授權的詳細資訊，請參閱 Microsoft Entra 密碼保護授權需求。

適用下列核心需求：

已安裝 Microsoft Entra 密碼保護元件的所有機器 (包括網域控制站)，都必須安裝通用 C 執行階段。
- 您可以藉由確定已有來自 Windows Update 的所有更新，來取得執行階段。或者，您可以在作業系統的特定更新套件中取得。如需詳細資訊，請參閱 Windows 中的通用 C 執行階段更新。
您需要在樹系根網域中具有 Active Directory 網域系統管理員權限的帳戶，才能向 Microsoft Entra ID 註冊 Windows Server Active Directory 樹系。
網域中所有執行 Windows Server 2012 和更新版本的網域控制站，都必須啟用金鑰發佈服務。根據預設，此服務會透過手動觸發程序啟動來啟用。
每個網域中至少一個網域控制站與裝載 Microsoft Entra 密碼保護 Proxy 服務的伺服器之間，必須有網路連線。此連線必須允許網域控制站存取 Proxy 服務上的 RPC 端點對應程式連接埠 135 與 RPC 伺服器連接埠。
- 根據預設，RPC 伺服器連接埠是範圍 (49152 - 65535) 內的動態 RPC 連接埠，但可以設定為使用靜態連接埠。

將安裝 Microsoft Entra 密碼保護 Proxy 服務的所有機器，都必須具備下列端點的網路存取權：

端點	用途
`https://login.microsoftonline.com`	驗證要求
`https://enterpriseregistration.windows.net`	Microsoft Entra 密碼保護功能
`https://autoupdate.msappproxy.net`	Microsoft Entra 密碼保護自動升級功能

注意

本文不討論某些端點，例如 CRL 端點。如需所有支援端點的清單，請參閱 Microsoft 365 URL 和 IP 位址範圍。此外，Microsoft Entra 系統管理中心驗證需要其他端點。如需詳細資訊，請參閱適用於 Proxy 旁路的 Microsoft Entra 系統管理中心 URL。

Microsoft Entra 密碼保護 DC 代理程式

下列需求適用於 Microsoft Entra 密碼保護 DC 代理程式：

即將安裝 Microsoft Entra 密碼保護 DC 代理程式軟體的機器，可執行 Windows Server 的任何支援版本，包括 Windows Server Core 版本。
- Active Directory 網域或樹系可以是任何支援的功能層級。
所有即將安裝 Microsoft Entra 密碼保護 DC 代理程式的機器都必須安裝 .NET 4.7.2。
- 如果尚未安裝 .NET 4.7.2，請下載並執行位於適用於 Windows 的 .NET Framework 4.7.2 離線安裝程式中的安裝程式。
執行 Microsoft Entra 密碼保護 DC 代理程式服務的任何 Active Directory 網域，都必須使用分散式檔案系統複寫 (DFSR) 進行 sysvol 複寫。
- 如果您的網域尚未使用 DFSR，則必須先遷移，再安裝 Microsoft Entra 密碼保護。如需詳細資訊，請參閱 SYSVOL 複寫移轉指南：FRS 到 DFS 的複寫
  
  警告
  
  Microsoft Entra 密碼保護 DC 代理程式軟體目前會安裝在網域中仍使用 FRS (DFSR 技術的前身) 進行 SYSVOL 複寫的網域控制站上，但該軟體在此環境中將無法正常運作。
  
  其他副作用包括無法複寫的個別檔案，而且 sysvol 還原程序看似成功，實則無法複寫所有檔案，且未顯示任何訊息。
  
  盡快遷移網域以使用 DFSR，獲得 DFSR 既有的優勢，同時消除部署 Microsoft Entra 密碼保護的障礙。該軟體的後續版本在執行於仍使用 FRS 的網域時，將自動停用。

Microsoft Entra 密碼保護 Proxy 服務

下列需求適用於 Microsoft Entra 密碼保護 Proxy 服務：

即將安裝 Microsoft Entra 密碼保護 Proxy 服務的所有機器，都必須執行 Windows Server 2012 R2 或更新版本，包括 Windows Server Core 版本。

注意

Microsoft Entra 密碼保護 Proxy 服務部署是部署 Microsoft Entra 密碼保護的必要需求，即使域控制器可能有輸出直接網際網路存取。
即將安裝 Microsoft Entra 密碼保護 Proxy 服務的所有機器，都必須安裝 .NET 4.7.2。
- 如果尚未安裝 .NET 4.7.2，請下載並執行位於適用於 Windows 的 .NET Framework 4.7.2 離線安裝程式中的安裝程式。
裝載 Microsoft Entra 密碼保護 Proxy 服務的所有機器都必須設定為授與域控制器登入 Proxy 服務的能力。這項功能是透過「從網路存取這台電腦」權限指派來控制。
裝載 Microsoft Entra 密碼保護 Proxy 服務的所有機器都必須設定為允許輸出 TLS 1.2 HTTP 流量。
需要全域管理員，才能在指定的租用戶中首次註冊 Microsoft Entra 密碼保護 Proxy 服務。後續向 Microsoft Entra ID 進行的 Proxy 和樹系註冊，可以使用至少具有安全性系統管理員角色的帳戶。
必須針對應用程式 Proxy 環境設定程序中指定的一組連接埠和 URL 啟用網路存取。這是上述兩個端點以外的要件。

Microsoft Entra Connect 代理程式更新程式必要條件

Microsoft Entra Connect 代理程式更新程式服務與 Microsoft Entra 密碼保護 Proxy 服務並存安裝。需進行其他設定，Microsoft Entra Connect 代理程式更新程式服務才能運作：

如果您的環境使用 HTTP Proxy 伺服器，請遵循使用現有的內部部署 Proxy 伺服器中指定的指導方針。
Microsoft Entra Connect 代理程式更新程式服務也需執行 TLS 需求所指定的 TLS 1.2 步驟。

警告

Microsoft Entra 密碼保護 Proxy 和 Microsoft Entra 應用程式 Proxy 會安裝不同版本的 Microsoft Entra Connect 代理程式更新程式服務，這也是指示參考應用程式 Proxy 內容的原因。這些不同的版本在並存安裝時並不相容，因而會導致代理程式更新程式服務無法聯繫 Azure 以進行軟體更新，因此，您絕不應在相同的機器上安裝 Microsoft Entra 密碼保護 Proxy 和應用程式 Proxy。

下載必要的軟體

內部部署 Microsoft Entra 密碼保護部署有兩個必要的安裝程式：

Microsoft Entra 密碼保護 DC 代理程式 (AzureADPasswordProtectionDCAgentSetup.msi)
Microsoft Entra 密碼保護 Proxy (AzureADPasswordProtectionProxySetup.exe)

請從 Microsoft 下載中心下載這兩個安裝程式。

安裝和設定 Proxy 服務

Microsoft Entra 密碼保護 Proxy 服務通常位於內部部署 AD DS 環境中的成員伺服器上。安裝之後，Microsoft Entra 密碼保護 Proxy 服務會與 Microsoft Entra ID 通訊，以維護您Microsoft Entra 租用戶的全域和客戶禁用密碼清單複本。

在下一節中，您會在內部部署 AD DS 環境中的網域控制站上安裝 Microsoft Entra 密碼保護 DC 代理程式。這些 DC 代理程式會與 Proxy 服務通訊，以取得在處理網域內的密碼變更事件時所使用的最新禁用密碼清單。

選擇一或多個要裝載 Microsoft Entra 密碼保護 Proxy 服務的伺服器。對於伺服器需考量下列事項：

每個這類服務只能為單一樹系提供密碼原則。主機電腦必須加入該樹系中的任何網域。
您可以在根網域或子網域 (或兩者的組合) 中安裝 Proxy 服務。
樹系的每個網域中至少要有一個 DC 與一個密碼保護 Proxy 伺服器之間建立網路連線。
您可以在網域控制站上執行 Microsoft Entra 密碼保護 Proxy 服務以進行測試，但該網域控制站必須要有網際網路存取。這種連線能力可能形成安全顧慮。建議僅將此設定用於測試。
我們建議，每個樹系至少應有兩個 Microsoft Entra 密碼保護 Proxy 伺服器，以提供備援能力，如先前的高可用性考量一節所說明。
不支援在唯讀網域控制站上執行 Microsoft Entra 密碼保護 Proxy 服務。
如有必要，您可以使用新增或移除程式來移除 Proxy 服務。不需要手動清除 Proxy 服務所維護的狀態。

若要安裝 Microsoft Entra 密碼保護 Proxy 服務，請完成下列步驟：

若要安裝 Microsoft Entra 密碼保護 Proxy 服務，請執行 AzureADPasswordProtectionProxySetup.exe 軟體安裝程式。

軟體安裝不需要重新開機，並且可使用標準 MSI 程序自動執行，如下列範例所示：
```
AzureADPasswordProtectionProxySetup.exe /quiet
```
注意

Windows 防火牆服務必須在安裝 AzureADPasswordProtectionProxySetup.exe 套件之前執行，以避免發生安裝錯誤。

如果 Windows 防火牆設定為不執行，則因應措施是在安裝期間暫時啟用並執行防火牆服務。安裝後，Proxy 軟體對 Windows 防火牆沒有特定相依性。

如果使用第三方防火牆，仍必須加以設定，以符合部署需求。其中包括允許連接埠 135 和 Proxy RPC 伺服器連接埠的輸入存取。如需詳細資訊，請參閱上一節的部署需求。
Microsoft Entra 密碼保護 Proxy 軟體包含新的 PowerShell 模組 AzureADPasswordProtection。下列步驟會從這個 PowerShell 模組執行各種 Cmdlet。

若要使用此模組，請以系統管理員身分開啟 PowerShell 視窗，然後匯入新的模組，如下所示：
```
Import-Module AzureADPasswordProtection
```
警告

必須使用 64 位元版的 PowerShell。某些 Cmdlet 可能無法與 PowerShell (x86) 搭配使用。
若要檢查 Microsoft Entra 密碼保護 Proxy 服務是否正在執行，請使用下列 PowerShell 命令：
```
Get-Service AzureADPasswordProtectionProxy | fl
```
結果應該會顯示執行中的狀態。
Proxy 服務正在機器上執行，但沒有與 Microsoft Entra ID 通訊所需的認證。使用 Register-AzureADPasswordProtectionProxy Cmdlet 向 Microsoft Entra ID 註冊 Microsoft Entra 密碼保護 Proxy 伺服器。

第一次為指定的租用戶註冊任何 Proxy 時，此 Cmdlet 需要全域管理員認證。該租用戶中後續的 Proxy 註冊 (無論是對相同還是不同的 Proxy)，可以使用全域管理員或安全性系統管理員認證。

此命令成功後，額外的叫用也會成功，但並非必要。

此 Register-AzureADPasswordProtectionProxy Cmdlet 支援下列三種驗證模式。前兩個模式支援 Microsoft Entra 多重要素驗證，但第三個模式則不支援。

提示

第一次對特定 Azure 租用戶執行此 Cmdlet 時，完成前可能會有明顯的延遲。若未回報失敗，則無須顧慮此延遲。
- 互動式驗證模式：
```
Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
```
  注意
  
  此模式無法在 Server Core 作業系統上運作。您應使用下列其中一種驗證模式。此外，如果啟用 Internet Explorer 增強式安全性設定，此模式可能會失敗。因應措施是停用該設定、註冊 Proxy，然後重新啟用。
- 裝置代碼驗證模式：
```
Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
```
  出現提示時，請依循連結開啟網頁瀏覽器，並輸入驗證碼。
- 無訊息 (密碼型) 驗證模式：
```
$globalAdminCredentials = Get-Credential
Register-AzureADPasswordProtectionProxy -AzureCredential $globalAdminCredentials
```
  注意
  
  如果您的帳戶需要 Microsoft Entra 多重要素驗證，此模式將會失敗。在此情況下，請使用前兩種驗證模式之一，或改用不需要 MFA 的其他帳戶。
  
  如果 Azure 裝置註冊 (在 Microsoft Entra 密碼保護下使用) 已設定為全域需要 MFA，則您也會看到需進行 MFA。若要解決此需求，您可以使用支援將 MFA 用於先前兩種驗證模式之一的不同帳戶，或者，您也可以暫時放寬 Azure 裝置註冊 MFA 需求。
  
  若要進行這項變更，請在 Microsoft Entra 系統管理中心選取 [身分識別]，然後選取 [裝置]>[裝置設定]。將 [需要多重要素驗證才能加入裝置] 設定為 [否]。註冊完成後，請務必將此設定重新設定為 [是]。
  
  建議您僅在測試時略過 MFA 需求。
您目前不需要指定 -ForestCredential 參數，此參數保留供未來的功能使用。

Microsoft Entra 密碼保護 Proxy 服務只需要在服務的存留期內註冊一次。其後，Microsoft Entra 密碼保護 Proxy 服務會自動執行任何其他必要的維護。
若要確定變更已生效，請執行 Test-AzureADPasswordProtectionProxyHealth -TestAll。如需解決錯誤的說明，請參閱疑難排解：內部部署 Microsoft Entra 密碼保護。
現在，使用 Register-AzureADPasswordProtectionForest PowerShell Cmdlet，以必要的認證註冊內部部署 Active Directory 樹系，以與 Azure 進行通訊。

注意

如果您的環境中安裝了多個 Microsoft Entra 密碼保護 Proxy 伺服器，您用哪個 Proxy 伺服器來註冊樹系並不重要。

要執行此 Cmdlet，需具備 Azure 租用戶的全域管理員或安全性系統管理員認證。它也需要內部部署 Active Directory 企業系統管理員權限。您也必須使用具有本機系統管理員權限的帳戶來執行此 Cmdlet。用來註冊樹系的 Azure 帳戶可能與內部部署 Active Directory 帳戶不同。

此步驟會針對每一樹系執行一次。

此 Register-AzureADPasswordProtectionForest Cmdlet 支援下列三種驗證模式。前兩個模式支援 Microsoft Entra 多重要素驗證，但第三個模式則不支援。

提示

第一次對特定 Azure 租用戶執行此 Cmdlet 時，完成前可能會有明顯的延遲。若未回報失敗，則無須顧慮此延遲。
- 互動式驗證模式：
```
Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
```
  注意
  
  此模式無法在 Server Core 作業系統上運作。請改用下列其中一種驗證模式。此外，如果啟用 Internet Explorer 增強式安全性設定，此模式可能會失敗。因應措施是停用該設定、註冊樹系，重新啟用。
- 裝置代碼驗證模式：
```
Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
```
  出現提示時，請依循連結開啟網頁瀏覽器，並輸入驗證碼。
- 無訊息 (密碼型) 驗證模式：
```
$globalAdminCredentials = Get-Credential
Register-AzureADPasswordProtectionForest -AzureCredential $globalAdminCredentials
```
  注意
  
  如果您的帳戶需要 Microsoft Entra 多重要素驗證，此模式將會失敗。在此情況下，請使用前兩種驗證模式之一，或改用不需要 MFA 的其他帳戶。
  
  如果 Azure 裝置註冊 (在 Microsoft Entra 密碼保護下使用) 已設定為全域需要 MFA，則您也會看到需進行 MFA。若要解決此需求，您可以使用支援將 MFA 用於先前兩種驗證模式之一的不同帳戶，或者，您也可以暫時放寬 Azure 裝置註冊 MFA 需求。
  
  若要進行這項變更，請在 Microsoft Entra 系統管理中心選取 [身分識別]，然後選取 [裝置]>[裝置設定]。將 [需要多重要素驗證才能加入裝置] 設定為 [否]。註冊完成後，請務必將此設定重新設定為 [是]。
  
  建議您僅在測試時略過 MFA 需求。
  
  只有在目前登入的使用者也是根網域的 Active Directory 網域系統管理員時，這些範例才能運作。如果不是這種情況，您可以透過 -ForestCredential 參數提供替代網域認證。
Active Directory 樹系只需在樹系的存留期內註冊一次。其後，樹系中 Microsoft Entra 密碼保護 DC 代理程式會自動執行任何其他必要的維護。為樹系成功執行 Register-AzureADPasswordProtectionForest 之後，額外的 Cmdlet 叫用也會成功，但並非必要。

若要讓 Register-AzureADPasswordProtectionForest 成功，Microsoft Entra 密碼保護 Proxy 伺服器的網域中至少必須有一個執行 Windows Server 2012 或更新版本的 DC。在此步驟之前，不需要在任何網域控制站上安裝 Microsoft Entra 密碼保護 DC 代理程式軟體。
若要確定變更已生效，請執行 Test-AzureADPasswordProtectionProxyHealth -TestAll。如需解決錯誤的說明，請參閱疑難排解：內部部署 Microsoft Entra 密碼保護。

設定 Proxy 服務以透過 HTTP Proxy 進行通訊

如果您的環境需使用特定的 HTTP Proxy 與 Azure 通訊，請使用下列步驟來設定 Microsoft Entra 密碼保護服務。

在 %ProgramFiles%\Azure AD Password Protection Proxy\Service 資料夾中建立 AzureADPasswordProtectionProxy.exe.config 檔案。納入下列內容：

<configuration>
   <system.net>
      <defaultProxy enabled="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

如果您的 HTTP Proxy 需要驗證，請新增 useDefaultCredentials 標籤：

<configuration>
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

在這兩種情況中，均應將 http://yourhttpproxy.com:8080 取代為您特定 HTTP Proxy 伺服器的位址和連接埠。

如果您的 HTTP Proxy 設定為使用授權原則，您必須將存取權授與裝載密碼保護 Proxy 服務之機器的 Active Directory 電腦帳戶。

建議您在建立或更新 AzureADPasswordProtectionProxy.exe.config 檔案之後，應停止並重新啟動 Microsoft Entra 密碼保護 Proxy 服務。

Proxy 服務不支援使用特定認證來連線至 HTTP Proxy。

將 Proxy 服務設定為在特定連接埠上接聽

Microsoft Entra 密碼保護 DC 代理程式軟體會使用「透過 TCP 的 RPC」與 Proxy 服務通訊。 Microsoft Entra 密碼保護 Proxy 服務預設會在任何可用的動態 RPC 端點上進行接聽。您可以根據環境中的網路拓撲或防火牆需求，將服務設定為在特定 TCP 連接埠上接聽。設定靜態連接埠時，您必須開啟連接埠 135 和您選擇的靜態連接埠。

若要將服務設定為在靜態連接埠下執行，請使用 Set-AzureADPasswordProtectionProxyConfiguration Cmdlet，如下所示：

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort <portnumber>

警告

您必須先停止 Microsoft Entra 密碼保護 Proxy 服務，再將其重新啟動，這些變更才會生效。

若要將服務設定為以動態連接埠執行，請使用相同的程序，但將 StaticPort 設回零：

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort 0

警告

您必須先停止 Microsoft Entra 密碼保護 Proxy 服務，再將其重新啟動，這些變更才會生效。

對連接埠設定進行任何變更之後，都必須手動重新啟動 Microsoft Entra 密碼保護 Proxy 服務。進行這些設定變更後，您無須在網域控制站上重新啟動 Microsoft Entra 密碼保護 DC 代理程式服務。

若要查詢目前的服務設定，請使用此 Get-AzureADPasswordProtectionProxyConfiguration Cmdlet，如下列範例所示

Get-AzureADPasswordProtectionProxyConfiguration | fl

下列範例輸出顯示 Microsoft Entra 密碼保護 Proxy 服務使用動態連接埠：

ServiceName : AzureADPasswordProtectionProxy
DisplayName : Azure AD password protection Proxy
StaticPort  : 0

安裝 DC 代理程式服務

若要安裝 Microsoft Entra 密碼保護 DC 代理程式服務，請執行 AzureADPasswordProtectionDCAgentSetup.msi 套件。

您可以使用標準 MSI 程序將軟體安裝自動化，如下列範例所示：

msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart

如果您想要讓安裝程式自動將電腦重新開機，可以省略 /norestart 旗標。

軟體安裝 (或解除安裝) 需要重新啟動。這項需求是因為密碼篩選 DLL 只會在重新啟動時載入或卸載。

在網域控制站上安裝 DC 代理程式軟體，並將該電腦重新開機後，內部部署 Microsoft Entra 密碼保護的安裝即完成。不需要或不可能有其他設定。對於內部部署 DC 的密碼變更事件，會使用 Microsoft Entra ID 中已設定的禁用密碼清單。

若要啟用內部部署 Microsoft Entra 密碼保護，或設定自訂禁用密碼，請參閱啟用內部部署 Microsoft Entra 密碼保護。

提示

您可以在還不是網域控制站的電腦上安裝 Microsoft Entra 密碼保護 DC 代理程式。在此情況下，服務會啟動並執行，但在機器升階成為網域控制站之前，會保持非作用中狀態。

升級 Proxy 服務

Microsoft Entra 密碼保護 Proxy 服務支援自動升級。自動升級會使用 Microsoft Entra Connect 代理程式更新程式服務，此服務會與 Proxy 服務並排安裝。自動升級預設為開啟，可以使用 Set-AzureADPasswordProtectionProxyConfiguration Cmdlet 來啟用或停用。

您可以使用 Get-AzureADPasswordProtectionProxyConfiguration Cmdlet 來查詢目前的設定。建議您一律啟用自動升級設定。

Get-AzureADPasswordProtectionProxy Cmdlet 可用來查詢樹系中所有目前安裝 Microsoft Entra 密碼保護 Proxy 伺服器的軟體版本。

注意

只有在需要重大安全性修補程式時，Proxy 服務才會自動升級至較新版本。

手動升級程序

手動升級是藉由執行最新版本的 AzureADPasswordProtectionProxySetup.exe 軟體安裝程式來完成。您可以從 Microsoft 下載中心取得軟體的最新版本。

不需要解除安裝 Microsoft Entra 密碼保護 Proxy 服務目前的版本 - 安裝程式會執行就地升級。升級 Proxy 服務時，應該不需要重新開機。您可以使用標準 MSI 程序讓軟體升級自動化，例如 AzureADPasswordProtectionProxySetup.exe /quiet。

升級 DC 代理程式

當有較新版本的 Microsoft Entra 密碼保護 DC 代理程式軟體可供使用時，會執行最新版本的 AzureADPasswordProtectionDCAgentSetup.msi 軟體套件來完成升級。您可以從 Microsoft 下載中心取得軟體的最新版本。

不需要解除安裝 DC 代理程式軟體目前的版本 - 安裝程式會執行就地升級。升級 DC 代理程式軟體時一律需要重新開機 - 這是核心 Windows 行為所造成的需求。

您可以使用標準 MSI 程序讓軟體升級自動化，例如 msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart。