Erzwingen des Azure AD-Kennwortschutzes für Windows Server Active DirectoryEnforce Azure AD password protection for Windows Server Active Directory

Der Kennwortschutz für Azure AD ist ein Feature, das Kennwortrichtlinien in einer Organisation verbessert.Azure AD password protection is a feature that enhances password policies in an organization. Der Kennwortschutz für lokale Bereitstellungen verwendet sowohl die Liste der globalen als auch benutzerdefinierten gesperrten Kennwörter, die in Azure AD gespeichert sind.On-premises deployment of password protection uses both the global and custom banned-password lists that are stored in Azure AD. Er führt lokal die gleichen Überprüfungen durch wie Azure AD bei cloudbasierten Änderungen.It does the same checks on-premises as Azure AD does for cloud-based changes. Diese Überprüfungen werden in Kennwortänderungs- und Kennwortzurücksetzungsszenarien durchgeführt.These checks are performed during password changes and password reset scenarios.

EntwurfsprinzipienDesign principles

Der Kennwortschutz für Azure AD wurde unter Berücksichtigung der folgenden Prinzipien entwickelt:Azure AD password protection is designed with these principles in mind:

  • Domänencontroller müssen nie direkt mit dem Internet kommunizieren.Domain controllers never have to communicate directly with the internet.
  • Auf Domänencontrollern sind keine neuen Netzwerkports geöffnet.No new network ports are opened on domain controllers.
  • Es sind keine Änderungen des Active Directory-Schemas erforderlich.No Active Directory schema changes are required. Die Software verwendet die vorhandenen Active Directory-Schemaobjekte vom Typ container und serviceConnectionPoint.The software uses the existing Active Directory container and serviceConnectionPoint schema objects.
  • Für die Funktionsebene von Active Directory-Domäne oder Gesamtstruktur (DFL\FFL) gelten keine Mindestanforderungen.No minimum Active Directory domain or forest functional level (DFL/FFL) is required.
  • Die Software erstellt oder erfordert keine Konten in den von ihr geschützten Active Directory-Domänen.The software doesn't create or require accounts in the Active Directory domains that it protects.
  • Klartextkennwörter verlassen niemals den Domänencontroller (sei es während der Kennwortvalidierung oder zu einem anderen Zeitpunkt).User clear-text passwords never leave the domain controller, either during password validation operations or at any other time.
  • Die Software hängt nicht von anderen Azure AD-Funktionen ab. Die Azure AD-Kennworthashsynchronisierung ist beispielsweise nicht damit verbunden und nicht erforderlich, damit der Azure AD-Kennwortschutz funktioniert.The software is not dependent on other Azure AD features; for example Azure AD password hash sync is not related and is not required in order for Azure AD password protection to function.
  • Die inkrementelle Bereitstellung wird unterstützt. Die Kennwortrichtlinie wird jedoch nur dort erzwungen, wo der Domänencontroller-Agent (DC-Agent) installiert ist.Incremental deployment is supported, however the password policy is only enforced where the Domain Controller Agent (DC Agent) is installed. Weitere Informationen finden Sie im nächsten Thema.See next topic for more details.

Inkrementelle BereitstellungIncremental deployment

Der Azure AD-Kennwortschutz unterstützt die inkrementelle Bereitstellung auf Domänencontrollern in einer Active Directory-Domäne. Jedoch ist es wichtig zu verstehen, was das wirklich bedeutet und worin die Vor- und Nachteile liegen.Azure AD password protection supports incremental deployment across domain controllers in an Active Directory domain but it's important to understand what this really means and what the tradeoffs are.

Mit der DC-Agent-Software für den Azure AD-Kennwortschutz können Kennwörter nur validiert werden, wenn sie auf einem Domänencontroller installiert ist, und dies auch nur für Kennwortänderungen, die an diesen Domänencontroller gesendet werden.The Azure AD password protection DC agent software can only validate passwords when it is installed on a domain controller, and only for password changes that are sent to that domain controller. Es kann nicht gesteuert werden, welche Domänencontroller auf Windows-Clientcomputern für die Verarbeitung von Kennwortänderungen ausgewählt werden.It is not possible to control which domain controllers are chosen by Windows client machines for processing user password changes. Um ein konsistentes Verhalten und eine universelle Erzwingung der Passwortsicherheit zu gewährleisten, MUSS die DC-Agent-Software auf allen Domänencontrollern einer Domäne installiert sein.In order to guarantee consistent behavior and universal password protection security enforcement, the DC agent software MUST be installed on all domain controllers in a domain.

Für viele Organisationen empfiehlt es sich vor der vollständigen Bereitstellung, den Azure AD-Kennwortschutz für eine Teilmenge ihrer Domänencontroller sorgfältig zu testen.Many organizations will want to do careful testing of Azure AD password protection on a subset of their domain controllers prior to doing a full deployment. Der Azure AD-Kennwortschutz unterstützt eine partielle Bereitstellung, d. h., mit der auf einem bestimmten Domänencontroller installierten DC-Agent-Software werden Kennwörter aktiv validiert, auch wenn die DC-Agent-Software auf anderen Domänencontrollern in der Domäne nicht installiert ist.Azure AD password protection does support partial deployment, ie the DC agent software on a given DC will actively validate passwords even when other DCs in the domain do not have the DC agent software installed. Partielle Bereitstellungen dieses Typs sind NICHT sicher und werden NUR für Testzwecke empfohlen.Partial deployments of this type are NOT secure and are NOT recommended other than for testing purposes.

ArchitekturdiagrammArchitectural diagram

Bevor Sie den Kennwortschutz von Azure AD in einer lokalen Active Directory-Umgebung bereitstellen, sollten Sie sich mit den zugrunde liegenden Entwurfs- und Funktionskonzepten vertraut machen.It's important to understand the underlying design and function concepts before you deploy Azure AD password protection in an on-premises Active Directory environment. Im folgenden Diagramm sehen Sie, wie die Komponenten des Kennwortschutzes zusammenarbeiten:The following diagram shows how the components of password protection work together:

Zusammenspiel der Komponenten des Azure AD-Kennwortschutzes

  • Der Azure AD-Kennwortschutz-Proxydienst wird auf einem beliebigen in die Domäne eingebundenen Computer in der aktuellen Active Directory-Gesamtstruktur ausgeführt.The Azure AD Password Protection Proxy service runs on any domain-joined machine in the current Active Directory forest. Er dient primär dazu, Downloadanforderungen für Kennwortrichtlinien von Domänencontrollern an Azure AD weiterzuleiten.Its primary purpose is to forward password policy download requests from domain controllers to Azure AD. Anschließend gibt er die Antwort von Azure AD an den Domänencontroller zurück.It then returns the responses from Azure AD to the domain controller.
  • Die Kennwortfilter-DLL des DC-Agents empfängt Anforderungen zur Kennwortüberprüfung vom Betriebssystem.The password filter DLL of the DC Agent receives user password-validation requests from the operating system. Sie leitet diese an den DC-Agent-Dienst weiter, der lokal auf dem Domänencontroller ausgeführt wird.It forwards them to the DC Agent service that's running locally on the domain controller.
  • Der DC-Agent-Dienst des Kennwortschutzes empfängt Anforderungen zur Kennwortüberprüfung von der Kennwortfilter-DLL des DC-Agents.The DC Agent service of password protection receives password-validation requests from the password filter DLL of the DC Agent. Er verarbeitet sie mit der aktuellen (lokal verfügbaren) Kennwortrichtlinie und gibt das Ergebnis zurück: pass (erfolgreich) oder fail (fehlerhaft).It processes them by using the current (locally available) password policy and returns the result: pass or fail.

Funktionsweise des KennwortschutzesHow password protection works

Jede Proxydienstinstanz des Kennwortschutzes für Azure AD kündigt sich selbst bei Domänencontrollern in der Gesamtstruktur an, indem sie ein Objekt vom Typ serviceConnectionPoint in Active Directory erstellt.Each Azure AD Password Protection Proxy service instance advertises itself to the domain controllers in the forest by creating a serviceConnectionPoint object in Active Directory.

Jeder DC-Agent-Dienst für den Kennwortschutz erstellt zudem ein Objekt vom Typ serviceConnectionPoint in Active Directory.Each DC Agent service for password protection also creates a serviceConnectionPoint object in Active Directory. Dieses Objekt wird jedoch in erster Linie für Berichte und Diagnosen verwendet.This object is used primarily for reporting and diagnostics.

Der DC-Agent-Dienst ist dafür verantwortlich, das Herunterladen einer neuen Kennwortrichtlinie von Azure AD einzuleiten.The DC Agent service is responsible for initiating the download of a new password policy from Azure AD. Zuerst sucht er einen Proxydienst für den Azure AD-Kennwortschutz. Dazu fragt er Proxyobjekte vom Typ serviceConnectionPoint in der Gesamtstruktur ab.The first step is to locate an Azure AD Password Protection Proxy service by querying the forest for proxy serviceConnectionPoint objects. Sobald er einen verfügbaren Proxydienst gefunden hat, sendet der DC-Agent eine Downloadanforderung für Kennwortrichtlinien an diesen Proxydienst.When an available proxy service is found, the DC Agent sends a password policy download request to the proxy service. Der Proxydienst sendet die Anforderung wiederum an Azure AD.The proxy service in turn sends the request to Azure AD. Der Proxydienst gibt dann die Antwort an den DC-Agent-Dienst zurück.The proxy service then returns the response to the DC Agent service.

Nachdem der DC-Agent-Dienst eine neue Kennwortrichtlinie von Azure AD erhalten hat, speichert er die Richtlinie in einem speziellen Ordner im Stammverzeichnis der sysvol-Ordnerfreigabe seiner Domäne.After the DC Agent service receives a new password policy from Azure AD, the service stores the policy in a dedicated folder at the root of its domain sysvol folder share. Der DC-Agent-Dienst überwacht auch diesen Ordner, falls neuere Richtlinien von anderen DC-Agent-Diensten in der Domäne repliziert werden.The DC Agent service also monitors this folder in case newer policies replicate in from other DC Agent services in the domain.

Der DC-Agent-Dienst fordert beim Starten des Diensts immer eine neue Richtlinie an.The DC Agent service always requests a new policy at service startup. Nachdem der DC-Agent-Dienst gestartet wurde, überprüft er stündlich das Alter der aktuellen lokal verfügbaren Richtlinie.After the DC Agent service is started, it checks the age of the current locally available policy hourly. Wenn die Richtlinie älter als eine Stunde ist, fordert der DC-Agent wie oben beschrieben über den Proxydienst eine neue Richtlinie von Azure AD an.If the policy is older than one hour, the DC Agent requests a new policy from Azure AD via the proxy service, as described previously. Wenn die aktuelle Richtlinie nicht älter als eine Stunde ist, verwendet der DC-Agent weiterhin diese Richtlinie.If the current policy isn't older than one hour, the DC Agent continues to use that policy.

Wenn eine Kennwortrichtlinie für den Azure AD-Kennwortschutz heruntergeladen wird, gilt diese Richtlinie spezifisch für einen Mandanten.Whenever an Azure AD password protection password policy is downloaded, that policy is specific to a tenant. Anders gesagt: Kennwortrichtlinien sind stets eine Kombination der globalen Liste gesperrter Kennwörter von Microsoft und der benutzerdefinierten Liste gesperrter Kennwörter des Mandanten.In other words, password policies are always a combination of the Microsoft global banned-password list and the per-tenant custom banned-password list.

Der DC-Agent kommuniziert mit dem Proxydienst via RPC über TCP.The DC Agent communicates with the proxy service via RPC over TCP. Der Proxydienst lauscht an einem dynamischen oder statischen RPC-Port auf diese Aufrufe (je nach Konfiguration).The proxy service listens for these calls on a dynamic or static RPC port, depending on the configuration.

Der DC-Agent lauscht nie an einem im Netzwerk verfügbaren Port.The DC Agent never listens on a network-available port.

Der Proxydienst ruft nie den DC-Agent-Dienst auf.The proxy service never calls the DC Agent service.

Der Proxydienst ist zustandslos.The proxy service is stateless. Richtlinien oder andere aus Azure heruntergeladene Zustände werden nicht zwischengespeichert.It never caches policies or any other state downloaded from Azure.

Der DC-Agent-Dienst verwendet immer die neueste lokal verfügbare Kennwortrichtlinie, um Benutzerkennwörter auszuwerten.The DC Agent service always uses the most recent locally available password policy to evaluate a user's password. Wenn keine Kennwortrichtlinie auf dem lokalen Domänencontroller verfügbar ist, wird das Kennwort automatisch akzeptiert.If no password policy is available on the local DC, the password is automatically accepted. In diesem Fall wird eine Ereignismeldung protokolliert, um den Administrator zu warnen.When that happens, an event message is logged to warn the administrator.

Der Azure AD-Kennwortschutz ist kein Echtzeitmodul für die Richtlinienanwendung.Azure AD password protection isn't a real-time policy application engine. Zwischen einer Änderung der Kennwortrichtlinienkonfiguration in Azure AD und dem Zeitpunkt, zu dem sie alle Domänencontroller erreicht und dort durchgesetzt wird, kann eine Verzögerung auftreten.There can be a delay between when a password policy configuration change is made in Azure AD and when that change reaches and is enforced on all domain controllers.

Der Azure AD-Kennwortschutz dient als Ergänzung zu den vorhandenen Active Directory-Kennwortrichtlinien und soll diese nicht ersetzen.Azure AD password protection acts as a supplement to the existing Active Directory password policies, not a replacement. Dies gilt auch für andere möglicherweise installierte Kennwortfilter-DLLs von Drittanbietern.This includes any other 3rd-party password filter dlls that may be installed. In Active Directory ist es immer erforderlich, dass in allen Komponenten der Kennwortüberprüfung eine Zustimmung erfolgt, bevor ein Kennwort akzeptiert wird.Active Directory always requires that all password validation components agree before accepting a password.

Gesamtstruktur-/Mandantenbindung für den KennwortschutzForest/tenant binding for password protection

Wenn Sie den Kennwortschutz für Azure AD in einer Active Directory-Gesamtstruktur bereitstellen möchten, müssen Sie diese Gesamtstruktur bei Azure AD registrieren.Deployment of Azure AD password protection in an Active Directory forest requires registration of that forest with Azure AD. Die bereitgestellten Proxydienste müssen ebenfalls bei Azure AD registriert werden.Each proxy service that is deployed must also be registered with Azure AD. Diese Registrierungen der Gesamtstrukturen und Proxydienste sind einem bestimmten Azure AD-Mandanten zugeordnet, der implizit über die bei der Registrierung verwendeten Anmeldeinformationen identifiziert wird.These forest and proxy registrations are associated with a specific Azure AD tenant, which is identified implicitly by the credentials that are used during registration.

Die Active Directory-Gesamtstruktur und alle bereitgestellten Proxydienste innerhalb einer Gesamtstruktur müssen beim gleichen Mandanten registriert werden.The Active Directory forest and all deployed proxy services within a forest must be registered with the same tenant. Active Directory-Gesamtstrukturen oder andere Proxydienste in dieser Gesamtstruktur können nicht bei unterschiedlichen Azure AD-Mandanten registriert werden.It is not supported to have an Active Directory forest or any proxy services in that forest being registered to different Azure AD tenants. Wenn die Bereitstellung falsch konfiguriert wurde, können Sie beispielsweise keine Kennwortrichtlinien herunterladen.Symptoms of such a mis-configured deployment include the inability to download password policies.

DownloadDownload

Die zwei erforderlichen Agent-Installer für den Azure AD-Kennwortschutz können Sie im Microsoft Download Center herunterladen.The two required agent installers for Azure AD password protection are available from the Microsoft Download Center.

Nächste SchritteNext steps

Bereitstellen des Kennwortschutzes für Azure ADDeploy Azure AD password protection