Bereitstellen des Kennwortschutzes für Azure ADDeploy Azure AD password protection

Nachdem Sie nun erfahren haben, wie Sie den Azure AD-Kennwortschutz für Windows Server Active Directory durchsetzen können, ist der nächste Schritt die Planung und Ausführung der Bereitstellung.Now that you understand how to enforce Azure AD password protection for Windows Server Active Directory, the next step is to plan and execute your deployment.

BereitstellungsstrategieDeployment strategy

Es wird empfohlen, Bereitstellungen im Überwachungsmodus zu starten.We recommend that you start deployments in audit mode. Der Überwachungsmodus ist die anfängliche Standardeinstellung, bei der Kennwörter weiterhin festgelegt werden können.Audit mode is the default initial setting, where passwords can continue to be set. Kennwörter, die gesperrt würden, werden im Ereignisprotokoll aufgezeichnet.Passwords that would be blocked are recorded in the event log. Nachdem Sie die Proxyserver und DC-Agents im Überwachungsmodus bereitgestellt haben, sollten Sie die Auswirkungen überwachen, die die Kennwortrichtlinie auf Benutzer und die Umgebung hat, wenn die Richtlinie durchgesetzt wird.After you deploy the proxy servers and DC Agents in audit mode, you should monitor the impact that the password policy will have on users and the environment when the policy is enforced.

Während der Überwachungsphase erlangen viele Organisationen die folgenden Erkenntnisse:During the audit stage, many organizations find out that:

  • Sie müssen bestehende Betriebsprozesse verbessern, um sicherere Kennwörter zu verwenden.They need to improve existing operational processes to use more secure passwords.
  • Benutzer verwenden häufig unsichere Kennwörter.Users often use unsecure passwords.
  • Sie müssen Benutzer über bevorstehende Änderungen der Sicherheitsmaßnahmen und deren mögliche Auswirkungen auf sie informieren und aufklären, wie sicherere Kennwörter ausgewählt werden können.They need to inform users about the upcoming change in security enforcement, possible impact on them, and how to choose more secure passwords.

Es ist auch möglich, dass eine stärkere Kennwortüberprüfung die vorhandene Active Directory-Domänencontroller-Bereitstellungsautomatisierung beeinträchtigt.It is also possible for stronger password validation to affect your existing Active Directory domain controller deployment automation. Es wird empfohlen, während der Auswertung des Überwachungszeitraums mindestens eine DC-Heraufstufung und eine DC-Herabstufung durchzuführen, um solche Probleme im Voraus erkennen zu können.We recommend that at least one DC promotion and one DC demotion happen during the audit period evaluation in order to help uncover such issues in advance. Weitere Informationen finden Sie unterFor more information, see:

Nachdem das Feature für einen angemessenen Zeitraum im Überwachungsmodus ausgeführt wurde, können Sie die Konfiguration von Überwachen auf Erzwingen umstellen, um sicherere Kennwörter zu verlangen.After the feature has been running in audit mode for a reasonable period, you can switch the configuration from Audit to Enforce to require more secure passwords. Eine gezielte Überwachung während dieser Zeit wird empfohlen.Focused monitoring during this time is a good idea.

BereitstellungsanforderungenDeployment requirements

  • Lizenzanforderungen für den Azure AD-Kennwortschutz finden Sie im Artikel Beseitigen falscher Kennwörter in Ihrer Organisation.Licensing requirements for Azure AD password protection can be found in the article Eliminate bad passwords in your organization.

  • Alle Computer, auf denen die DC Agent-Software für Azure AD-Kennwortschutz installiert werden soll, müssen Windows Server 2012 oder höher ausführen.All machines where the Azure AD Password Protection DC Agent software will be installed must run Windows Server 2012 or later. Diese Anforderung bedeutet nicht, dass sich die Active Directory-Domäne oder die Gesamtstruktur ebenfalls in einer Windows Server 2012-Domäne oder auf einer Funktionsebene der Gesamtstruktur befinden muss.This requirement does not imply that the Active Directory domain or forest must also be at Windows Server 2012 domain or forest functional level. Wie unter Entwurfsprinzipien ausgeführt, gibt es für das Ausführen des DC-Agents oder der Proxy-Software keine Mindestanforderungen an die Domänenfunktionsebene (DFL) oder die Funktionsebene der Gesamtstruktur (FFL).As mentioned in Design Principles, there is no minimum DFL or FFL required for either the DC agent or proxy software to run.

  • Auf allen Computern, auf denen der DC-Agent-Dienst installiert werden soll, muss .NET 4.5 installiert sein.All machines that get the DC agent service installed must have .NET 4.5 installed.

  • Alle Computer, auf denen der Azure AD-Kennwortschutz-Proxydienst installiert werden soll, müssen Windows Server 2012 R2 oder höher ausführen.All machines where the Azure AD Password Protection Proxy service will be installed must run Windows Server 2012 R2 or later.

    Hinweis

    Die Bereitstellung von Proxydiensten ist eine obligatorische Voraussetzung für das Bereitstellen des Kennwortschutzes von Azure AD, auch wenn der Domänencontroller möglicherweise über eine direkte ausgehende Internetverbindung verfügt.Proxy service deployment is a mandatory requirement for deploying Azure AD password protection even though the domain controller may have outbound direct internet connectivity.

  • Auf allen Computern, auf denen der Azure AD-Kennwortschutz-Proxydienst installiert werden soll, muss .NET 4.7 installiert sein.All machines where the Azure AD Password Protection Proxy service will be installed must have .NET 4.7 installed. .NET 4.7 sollte bereits auf einem vollständig aktualisierten Windows-Server installiert sein..NET 4.7 should already be installed on a fully updated Windows Server. Laden Sie bei Bedarf das Installationsprogramm unter .NET Framework 4.7-Offlineinstallationsprogramm für Windows herunter, und führen Sie es aus.If necessary, download and run the installer found at The .NET Framework 4.7 offline installer for Windows.

  • Alle Computer (auch Domänencontroller), auf denen Azure AD-Kennwortschutzkomponenten installiert sind, müssen über eine Installation der Universal C-Runtime verfügen.All machines, including domain controllers, that have Azure AD password protection components installed must have the Universal C Runtime installed. Sie können die Runtime abrufen, indem Sie sicherstellen, dass Sie über alle Updates von Windows Update verfügen.You can get the runtime by making sure you have all updates from Windows Update. Sie können sie auch in einem betriebssystemspezifischen Updatepaket abrufen.Or you can get it in an OS-specific update package. Weitere Informationen finden Sie unter Update für die Universal C-Runtime in Windows.For more information, see Update for Universal C Runtime in Windows.

  • Netzwerkkonnektivität muss zwischen mindestens einem Domänencontroller in jeder Domäne und mindestens einem Server bestehen, der den Proxydienst für Kennwortschutz hostet.Network connectivity must exist between at least one domain controller in each domain and at least one server that hosts the proxy service for password protection. Diese Konnektivität muss es dem Domänencontroller gestatten, auf den RPC-Endpunktzuordnungsport 135 und den RPC-Serverport für den Proxydienst zuzugreifen.This connectivity must allow the domain controller to access RPC endpoint mapper port 135 and the RPC server port on the proxy service. Der RPC-Serverport ist standardmäßig ein dynamischer RPC-Port. Er kann jedoch so konfiguriert werden, dass er einen statischen Port verwendet.By default, the RPC server port is a dynamic RPC port, but it can be configured to use a static port.

  • Alle Computer, auf denen der Proxydienst für den AD-Kennwortschutz installiert werden soll, müssen Netzwerkzugriff auf die folgenden Endpunkte besitzen:All machines where the Azure AD Password Protection Proxy service will be installed must have network access to the following endpoints:

    EndpunktEndpoint ZweckPurpose
    https://login.microsoftonline.com AuthentifizierungsanforderungenAuthentication requests
    https://enterpriseregistration.windows.net Funktion für Azure AD-KennwortschutzAzure AD password protection functionality
  • Voraussetzungen für Microsoft Azure AD Connect Agent UpdaterMicrosoft Azure AD Connect Agent Updater prerequisites

    Der Microsoft Azure AD Connect Agent Updater-Dienst wird zusammen mit dem Azure AD-Kennwortschutz-Proxydienst installiert.The Microsoft Azure AD Connect Agent Updater service is installed side by side with the Azure AD Password Protection Proxy service. Damit der Microsoft Azure AD Connect Agent Updater-Dienst funktionieren kann, ist eine zusätzliche Konfiguration erforderlich:Additional configuration is required in order for the Microsoft Azure AD Connect Agent Updater service to be able to function:

    Wenn in Ihrer Umgebung ein HTTP-Proxyserver verwendet wird, müssen Sie die im Artikel Verwenden von vorhandenen lokalen Proxyservern angegebenen Richtlinien befolgen.If your environment uses an http proxy server, you must follow the guidelines specified in Work with existing on-premises proxy servers.

    Außerdem müssen Sie Netzwerkzugriff für die Ports und URLs aktivieren, die im Artikel Setupprozeduren für die Anwendungsproxyumgebung angegeben sind.Network access must be enabled for the set of ports and urls specified in the Application Proxy environment setup procedures.

    Warnung

    Für den Azure AD-Kennwortschutz-Proxy und den Anwendungsproxy werden unterschiedliche Versionen des Microsoft Azure AD Connect Agent Updater-Diensts installiert. Daher beziehen sich die Anweisungen auf Anwendungsproxy-Inhalte.Azure AD Password Protection Proxy and Application Proxy install different versions of the Microsoft Azure AD Connect Agent Updater service, which is why the instructions refer to Application Proxy content. Diese verschiedenen Versionen sind nicht kompatibel, wenn sie parallel installiert werden. Es empfiehlt sich daher nicht, den Azure AD-Kennwortschutz-Proxy und den Anwendungsproxy zusammen auf demselben Computer zu installieren.These different versions are incompatible when installed side by side, so it is not recommended to install Azure AD Password Protection Proxy and Application Proxy side by side on the same machine.

  • Alle Computer, auf denen der Proxydienst für den Kennwortschutz gehostet wird, müssen so konfiguriert werden, dass Domänencontrollern die Anmeldung beim Proxydienst ermöglicht wird.All machines that host the proxy service for password protection must be configured to grant domain controllers the ability to log on to the proxy service. Dies wird über die Zuweisung der Berechtigung „Auf diesen Computer vom Netzwerk aus zugreifen“ gesteuert.This ability is controlled via the "Access this computer from the network" privilege assignment.

  • Alle Computer, die den Proxydienst für Kennwortschutz hosten, müssen so konfiguriert sein, dass sie ausgehenden HTTP-Datenverkehr mit TLS 1.2 zulassen.All machines that host the proxy service for password protection must be configured to allow outbound TLS 1.2 HTTP traffic.

  • Ein globales Administratorkonto zum Registrieren des Proxydiensts für Kennwortschutz und der Gesamtstruktur bei Azure AD.A Global Administrator account to register the proxy service for password protection and forest with Azure AD.

  • Ein Konto mit Active Directory-Domänenadministratorrechten in der Stammdomäne der Gesamtstruktur, um die Windows Server Active Directory-Gesamtstruktur bei Azure AD zu registrieren.An account that has Active Directory domain administrator privileges in the forest root domain to register the Windows Server Active Directory forest with Azure AD.

  • Alle Active Directory-Domänen, die die DC-Agent-Dienstsoftware ausführen, müssen DFSR (Distributed File System Replication) für die SYSVOL-Replikation verwenden.Any Active Directory domain that runs the DC Agent service software must use Distributed File System Replication (DFSR) for sysvol replication.

    Sollte DFSR von Ihrer Domäne noch nicht verwendet werden, muss die Domäne vor der Installation des Azure AD-Kennwortschutzes für die Verwendung von DFSR migriert werden.If your domain is not already using DFSR, you MUST migrate it to use DFSR before installing Azure AD Password Protection. Weitere Informationen finden Sie unter dem folgenden Link:For more information, see the following link:

    Migrationshandbuch für die SYSVOL-Replikation: Replikation von FRS zu DFSSYSVOL Replication Migration Guide: FRS to DFS Replication

    Warnung

    Die DC-Agent-Software für den Azure AD-Kennwortschutz wird derzeit auf Domänencontrollern in Domänen installiert, von denen noch FRS (die Vorgängertechnologie zu DFSR) für die SYSVOL-Replikation verwendet wird. Die Software funktioniert in dieser Umgebung allerdings NICHT ordnungsgemäß.The Azure AD Password Protection DC Agent software will currently install on domain controllers in domains that are still using FRS (the predecessor technology to DFSR) for sysvol replication, but the software will NOT work properly in this environment. Dies macht sich unter anderem durch nicht erfolgreich replizierte Einzeldateien sowie durch scheinbar erfolgreiche SYSVOL-Wiederherstellungsprozeduren bemerkbar, bei denen jedoch nicht alle Dateien repliziert werden.Additional negative side-effects include individual files failing to replicate, and sysvol restore procedures appearing to succeed but silently failing to replicate all files. Es empfiehlt sich, die Domäne baldmöglichst für die Verwendung von DFSR zu migrieren, um von den DFSR-Vorteilen zu profitieren und die Blockierung der Bereitstellung des Azure AD-Kennwortschutzes aufzuheben.You should migrate your domain to use DFSR as soon as possible, both for DFSR's inherent benefits and also to unblock the deployment of Azure AD Password Protection. Zukünftige Versionen der Software werden automatisch deaktiviert, wenn sie in einer Domäne ausgeführt werden, die noch FRS verwendet.Future versions of the software will be automatically disabled when running in a domain that is still using FRS.

  • Den Schlüsselverteilungsdienst muss auf allen Domänencontrollern in der Domäne aktiviert sein, auf denen Windows Server 2012 ausgeführt wird.The Key Distribution Service must be enabled on all domain controllers in the domain that run Windows Server 2012. Standardmäßig wird dieser Dienst über das Starten eines manuellen Triggers aktiviert.By default, this service is enabled via manual trigger start.

Bereitstellung in einer einzelnen GesamtstrukturSingle-forest deployment

Die folgende Abbildung zeigt, wie die grundlegenden Komponenten des Azure AD-Kennwortschutzes in einer lokalen Active Directory-Umgebung zusammenarbeiten.The following diagram shows how the basic components of Azure AD password protection work together in an on-premises Active Directory environment.

Zusammenspiel der Komponenten des Azure AD-Kennwortschutzes

Es empfiehlt sich, sich vor der Bereitstellung mit der Funktionsweise der Software vertraut zu machen.It's a good idea to review how the software works before you deploy it. Weitere Informationen finden Sie unter Konzeptionelle Übersicht über den Azure AD-Kennwortschutz.See Conceptual overview of Azure AD password protection.

Herunterladen der SoftwareDownload the software

Es gibt zwei erforderliche Installationsprogramme für den Azure AD-Kennwortschutz.There are two required installers for Azure AD password protection. Sie sind im Microsoft Download Center verfügbar.They're available from the Microsoft Download Center.

Installieren und Konfigurieren des Proxydiensts für KennwortschutzInstall and configure the proxy service for password protection

  1. Wählen Sie mindestens einen Server aus, auf dem der Proxydienst für den Kennwortschutz gehostet werden soll.Choose one or more servers to host the proxy service for password protection.

    • Jeder dieser Dienste kann nur Kennwortrichtlinien für eine einzelne Gesamtstruktur bereitstellen.Each such service can only provide password policies for a single forest. Der Hostcomputer muss einer Domäne in dieser Gesamtstruktur angehören.The host machine must be joined to a domain in that forest. Stamm- und untergeordnete Domänen werden unterstützt.Root and child domains are both supported. Sie benötigen eine Netzwerkverbindung zwischen mindestens einem Domänencontroller in jeder Domäne der Gesamtstruktur und dem Kennwortschutzcomputer.You need network connectivity between at least one DC in each domain of the forest and the password protection machine.
    • Sie können den Proxydienst zu Testzwecken auf einem Domänencontroller ausführen.You can run the proxy service on a domain controller for testing. Aber dieses Domänencontrollers muss dann über eine Internetverbindung verfügen, was möglicherweise ein Sicherheitsrisiko darstellt.But that domain controller then requires internet connectivity, which can be a security concern. Es wird empfohlen, diese Konfiguration nur zu Testzwecken zu verwenden.We recommend this configuration for testing only.
    • Es wird empfohlen, mindestens zwei Proxyserver aus Gründen der Redundanz einzusetzen.We recommend at least two proxy servers for redundancy. Siehe Hochverfügbarkeit.See High availability.
  2. Installieren Sie den Azure AD-Kennwortschutz-Proxydienst mithilfe des Softwareinstallationsprogramms AzureADPasswordProtectionProxySetup.exe.Install the Azure AD Password Protection Proxy service using the AzureADPasswordProtectionProxySetup.exe software installer.

    • Nach der Softwareinstallation ist kein Neustart erforderlich.The software installation does not require a reboot. Die Softwareinstallation lässt sich mit Standard-MSI-Prozeduren automatisieren, z.B.:The software installation may be automated using standard MSI procedures, for example:

      AzureADPasswordProtectionProxySetup.exe /quiet

      Hinweis

      Der Windows-Firewalldienst muss vor der Installation des Pakets „AzureADPasswordProtectionProxySetup.msi“ ausgeführt werden, um einen Installationsfehler zu vermeiden.The Windows Firewall service must be running before you install the AzureADPasswordProtectionProxySetup.msi package to avoid an installation error. Wenn die Windows-Firewall dafür konfiguriert ist, nicht ausgeführt zu werden, besteht die Problemumgehung im vorübergehenden Aktivieren und Ausführen des Firewalldiensts während des Installationsvorgangs.If Windows Firewall is configured to not run, the workaround is to temporarily enable and run the Firewall service during the installation. Die Proxysoftware weist nach der Installation keine Abhängigkeit von der Windows-Firewall auf.The proxy software has no specific dependency on Windows Firewall after installation. Wenn Sie eine Firewall eines Drittanbieters verwenden, muss auch diese zum Erfüllen der Anforderungen für die Bereitstellung konfiguriert sein.If you're using a third-party firewall, it must still be configured to satisfy the deployment requirements. Dazu gehören Zugriff auf Port 135 für eingehenden Datenverkehr und auf den Proxy-RPC-Serverport.These include allowing inbound access to port 135 and the proxy RPC server port. Siehe Bereitstellungsanforderungen.See Deployment requirements.

  3. Öffnen Sie ein PowerShell-Fenster als Administrator.Open a PowerShell window as an administrator.

    • Die Software für den Kennwortschutzproxy enthält ein neues PowerShell-Modul namens AzureADPasswordProtection.The password protection proxy software includes a new PowerShell module, AzureADPasswordProtection. Die folgenden Schritte führen verschiedene Cmdlets aus diesem PowerShell-Modul aus.The following steps run various cmdlets from this PowerShell module. Importieren Sie das neue Modul wie folgt:Import the new module as follows:

      Import-Module AzureADPasswordProtection
      
    • Um sicherzustellen, dass der Dienst ausgeführt wird, verwenden Sie den folgenden PowerShell-Befehl:To check that the service is running, use the following PowerShell command:

      Get-Service AzureADPasswordProtectionProxy | fl.Get-Service AzureADPasswordProtectionProxy | fl.

      Das Ergebnis sollte einen Status „Wird ausgeführt“ anzeigen.The result should show a Status of "Running."

  4. Registrieren Sie den Proxy.Register the proxy.

    • Nachdem Schritt 3 abgeschlossen ist, wird der Proxydienst auf dem Computer ausgeführt.After step 3 is completed, the proxy service is running on the machine. Aber der Dienst verfügt noch nicht über die erforderlichem Anmeldeinformationen für die Kommunikation mit Azure AD.But the service doesn't yet have the necessary credentials to communicate with Azure AD. Die Registrierung bei Azure AD ist erforderlich:Registration with Azure AD is required:

      Register-AzureADPasswordProtectionProxy

      Dieses Cmdlet erfordert die Anmeldeinformationen des globalen Administrators für Ihren Azure AD-Mandanten.This cmdlet requires global administrator credentials for your Azure tenant. Sie benötigen außerdem ein Konto mit lokalen Active Directory-Domänenadministratorberechtigungen in der Stammdomäne der Gesamtstruktur.You also need on-premises Active Directory domain administrator privileges in the forest root domain. Nachdem dieser Befehl ein Mal für einen Proxydienst erfolgreich war, sind weitere Aufrufe erfolgreich, aber nicht erforderlich.After this command succeeds once for a proxy service, additional invocations of it will succeed but are unnecessary.

      Das Cmdlet Register-AzureADPasswordProtectionProxy unterstützt die folgenden drei Authentifizierungsmodi.The Register-AzureADPasswordProtectionProxy cmdlet supports the following three authentication modes.

      • Interaktiver Authentifizierungsmodus:Interactive authentication mode:

        Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
        

        Hinweis

        Dieser Modus funktioniert nicht auf Server Core-Betriebssystemen.This mode doesn't work on Server Core operating systems. Verwenden Sie stattdessen einen der folgenden Authentifizierungsmechanismen.Instead, use one of the following authentication modes. Dieser Modus kann fehlschlagen, wenn verstärkte Sicherheitskonfiguration für Internet Explorer aktiviert ist.Also, this mode might fail if Internet Explorer Enhanced Security Configuration is enabled. Die Problemumgehung besteht darin, diese Konfiguration zu deaktivieren, den Proxy zu registrieren und die Konfiguration dann erneut zu aktivieren.The workaround is to disable that Configuration, register the proxy, and then re-enable it.

      • Wählen Sie den Gerätecode-Authentifizierungsmodus aus:Device-code authentication mode:

        Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
        To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code XYZABC123 to authenticate.
        

        Anschließend schließen Sie die Authentifizierung mithilfe der auf einem anderen Gerät angezeigten Anweisungen ab.You then complete authentication by following the displayed instructions on a different device.

      • Automatischer (kennwortbasierter) Authentifizierungsmodus:Silent (password-based) authentication mode:

        $globalAdminCredentials = Get-Credential
        Register-AzureADPasswordProtectionProxy -AzureCredential $globalAdminCredentials
        

        Hinweis

        Diese Modus ist nicht erfolgreich, wenn Azure Multi-Factor Authentication für Ihr Konto erforderlich ist.This mode fails if Azure Multi-Factor Authentication is required for your account. Verwenden Sie in diesem Fall einen der beiden vorherigen Authentifizierungsmodi oder ein anderes Konto, für das keine mehrstufige Authentifizierung erforderlich ist.In that case, use one of the previous two authentication modes, or instead use a different account that does not require MFA.

        Eine mehrstufige Authentifizierung kann auch erforderlich sein, wenn der (im Hintergrund durch den Azure AD-Kennwortschutz verwendete) Azure-Geräteregistrierungsdienst so konfiguriert wurde, dass global eine mehrstufige Authentifizierung erzwungen wird.You may also see MFA required if Azure Device Registration (which is used under the covers by Azure AD Password Protection) has been configured to globally require MFA. Zur Umgehung dieses Problems können Sie ein anderes Konto verwenden, das die mehrstufige Authentifizierung mit einem der beiden vorherigen Authentifizierungsmodi unterstützt, oder die MFA-Anforderung des Azure-Geräteregistrierungsdients vorübergehend lockern.To workaround this you may use a different account that supports MFA with one of the previous two authentication modes, or you may also temporarily relax the Azure Device Registration MFA requirement. Navigieren Sie hierzu im Azure-Verwaltungsportal zu „Azure Active Directory“ > „Geräte“ > „Geräteeinstellungen“, und legen Sie die Einstellung „Mehrstufige Authentifizierung zum Hinzufügen von Geräten erforderlich“ auf „Nein“ fest.To do this, go to the Azure management portal, then go to Azure Active Directory, then Devices, then Device Settings, then set "Require Multi-Factor Auth to join devices" to No. Denken Sie daran, diese Einstellung nach Abschluss der Registrierung wieder auf „Ja“ zurücksetzen.Be sure to reconfigure this setting back to Yes once registration is complete.

        MFA-Anforderungen sollten ausschließlich zu Testzwecken umgangen werden.We recommend that MFA requirements be bypassed for test purposes only.

        Sie müssen zurzeit den Parameter -ForestCredential nicht angeben, der für zukünftige Funktionalität reserviert ist.You don't currently have to specify the -ForestCredential parameter, which is reserved for future functionality.

    Die Registrierung des Proxydiensts für den Kennwortschutz ist nur ein Mal während der Lebensdauer des Diensts erforderlich.Registration of the proxy service for password protection is necessary only once in the lifetime of the service. Danach führt der Proxydienst automatisch alle weiteren notwendigen Wartungen durch.After that, the proxy service will automatically perform any other necessary maintenance.

    Tipp

    Es kann zu einer spürbaren Verzögerung bis zum Abschluss kommen, wenn dieses Cmdlet zum ersten Mal für einen bestimmten Azure-Mandanten ausgeführt wird.There might be a noticeable delay before completion the first time that this cmdlet is run for a specific Azure tenant. Wenn kein Fehler gemeldet wird, müssen Sie sich keine Gedanken über diese Verzögerung machen.Unless a failure is reported, don't worry about this delay.

  5. Registrieren Sie die Gesamtstruktur.Register the forest.

    • Sie müssen die lokale Active Directory-Gesamtstruktur mit den erforderlichen Anmeldeinformationen für die Kommunikation mit Azure unter Verwendung des PowerShell-Cmdlets Register-AzureADPasswordProtectionForest initialisieren.You must initialize the on-premises Active Directory forest with the necessary credentials to communicate with Azure by using the Register-AzureADPasswordProtectionForest PowerShell cmdlet. Das Cmdlet erfordert die Anmeldeinformationen des globalen Administrators für Ihren Azure AD-Mandanten.The cmdlet requires global administrator credentials for your Azure tenant. Es benötigt außerdem lokale Active Directory-Unternehmensadministratorrechte.It also requires on-premises Active Directory Enterprise Administrator privileges. Dieser Schritt wird pro Gesamtstruktur einmal ausgeführt.This step is run once per forest.

      Das Cmdlet Register-AzureADPasswordProtectionForest unterstützt die folgenden drei Authentifizierungsmodi.The Register-AzureADPasswordProtectionForest cmdlet supports the following three authentication modes.

      • Interaktiver Authentifizierungsmodus:Interactive authentication mode:

        Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
        

        Hinweis

        Dieser Modus funktioniert nicht auf Server Core-Betriebssystemen.This mode won't work on Server Core operating systems. Verwenden Sie stattdessen einen der folgenden zwei Authentifizierungsmechanismen.Instead use one of the following two authentication modes. Dieser Modus kann fehlschlagen, wenn verstärkte Sicherheitskonfiguration für Internet Explorer aktiviert ist.Also, this mode might fail if Internet Explorer Enhanced Security Configuration is enabled. Die Problemumgehung besteht darin, diese Konfiguration zu deaktivieren, die Gesamtstruktur zu registrieren und die Konfiguration dann wieder zu aktivieren.The workaround is to disable that Configuration, register the forest, and then re-enable it.

      • Wählen Sie den Gerätecode-Authentifizierungsmodus aus:Device-code authentication mode:

        Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
        To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code XYZABC123 to authenticate.
        

        Anschließend schließen Sie die Authentifizierung mithilfe der auf einem anderen Gerät angezeigten Anweisungen ab.You then complete authentication by following the displayed instructions on a different device.

      • Automatischer (kennwortbasierter) Authentifizierungsmodus:Silent (password-based) authentication mode:

        $globalAdminCredentials = Get-Credential
        Register-AzureADPasswordProtectionForest -AzureCredential $globalAdminCredentials
        

        Hinweis

        Diese Modus ist nicht erfolgreich, wenn Azure Multi-Factor Authentication für Ihr Konto erforderlich ist.This mode fails if Azure Multi-Factor Authentication is required for your account. Verwenden Sie in diesem Fall einen der beiden vorherigen Authentifizierungsmodi oder ein anderes Konto, für das keine mehrstufige Authentifizierung erforderlich ist.In that case, use one of the previous two authentication modes, or instead use a different account that does not require MFA.

        Eine mehrstufige Authentifizierung kann auch erforderlich sein, wenn der (im Hintergrund durch den Azure AD-Kennwortschutz verwendete) Azure-Geräteregistrierungsdienst so konfiguriert wurde, dass global eine mehrstufige Authentifizierung erzwungen wird.You may also see MFA required if Azure Device Registration (which is used under the covers by Azure AD Password Protection) has been configured to globally require MFA. Zur Umgehung dieses Problems können Sie ein anderes Konto verwenden, das die mehrstufige Authentifizierung mit einem der beiden vorherigen Authentifizierungsmodi unterstützt, oder die MFA-Anforderung des Azure-Geräteregistrierungsdients vorübergehend lockern.To workaround this you may use a different account that supports MFA with one of the previous two authentication modes, or you may also temporarily relax the Azure Device Registration MFA requirement. Navigieren Sie hierzu im Azure-Verwaltungsportal zu „Azure Active Directory“ > „Geräte“ > „Geräteeinstellungen“, und legen Sie die Einstellung „Mehrstufige Authentifizierung zum Hinzufügen von Geräten erforderlich“ auf „Nein“ fest.To do this, go to the Azure management portal, then go to Azure Active Directory, then Devices, then Device Settings, then set "Require Multi-Factor Auth to join devices" to No. Denken Sie daran, diese Einstellung nach Abschluss der Registrierung wieder auf „Ja“ zurücksetzen.Be sure to reconfigure this setting back to Yes once registration is complete.

        MFA-Anforderungen sollten ausschließlich zu Testzwecken umgangen werden.We recommend that MFA requirements be bypassed for test purposes only.

        Diese Beispiele funktionieren nur, wenn der aktuell angemeldete Benutzer auch ein Active Directory-Domänenadministrator für die Stammdomäne ist.These examples only succeed if the currently signed-in user is also an Active Directory domain administrator for the root domain. Wenn dies nicht der Fall ist, können die alternativen Anmeldeinformationen für die Domäne auch über den Parameter -ForestCredential angegeben werden.If this isn't the case, you can supply alternative domain credentials via the -ForestCredential parameter.

    Hinweis

    Wenn mehrere Proxyserver in Ihrer Umgebung installiert sind, spielt es keine Rolle, welcher Proxyserver zum Registrieren der Gesamtstruktur verwendet wird.If multiple proxy servers are installed in your environment, it doesn't matter which proxy server you use to register the forest.

    Tipp

    Es kann zu einer spürbaren Verzögerung bis zum Abschluss kommen, wenn dieses Cmdlet zum ersten Mal für einen bestimmten Azure-Mandanten ausgeführt wird.There might be a noticeable delay before completion the first time that this cmdlet is run for a specific Azure tenant. Wenn kein Fehler gemeldet wird, müssen Sie sich keine Gedanken über diese Verzögerung machen.Unless a failure is reported, don't worry about this delay.

    Die Registrierung der Active Directory-Gesamtstruktur ist nur ein Mal während der Lebensdauer der Gesamtstruktur erforderlich.Registration of the Active Directory forest is necessary only once in the lifetime of the forest. Danach führen die Domänencontroller-Agents in der Gesamtstruktur automatisch alle weiteren notwendigen Wartungen durch.After that, the Domain Controller Agents in the forest will automatically perform any other necessary maintenance. Nachdem Register-AzureADPasswordProtectionForest erfolgreich für eine Gesamtstruktur ausgeführt wurde, sind weitere Aufrufe des Cmdlets erfolgreich, aber nicht erforderlich.After Register-AzureADPasswordProtectionForest runs successfully for a forest, additional invocations of the cmdlet succeed but are unnecessary.

    Damit Register-AzureADPasswordProtectionForest erfolgreich ist, muss mindestens ein Domänencontroller, der Windows Server 2012 oder höher ausführt, in der Domäne des Proxyservers verfügbar sein.For Register-AzureADPasswordProtectionForest to succeed, at least one domain controller running Windows Server 2012 or later must be available in the proxy server's domain. Die DC-Agent-Software muss vor diesem Schritt nicht auf einem Domänencontroller installiert sein.The DC Agent software does not have to be installed on any domain controllers prior to this step.

  6. Konfigurieren Sie den Proxydienst für Kennwortschutz so, dass er über einen HTTP-Proxy kommuniziert.Configure the proxy service for password protection to communicate through an HTTP proxy.

    Wenn Ihre Umgebung die Verwendung eines bestimmten HTTP-Proxys für die Kommunikation mit Azure erfordert, verwenden Sie die folgende Methode: Erstellen Sie eine Datei AzureADPasswordProtectionProxy.exe.config im Ordner „%Programme%\Azure AD Password Protection Proxy\Service“.If your environment requires the use of a specific HTTP proxy to communicate with Azure, use this method: Create a AzureADPasswordProtectionProxy.exe.config file in the %ProgramFiles%\Azure AD Password Protection Proxy\Service folder. Beziehen Sie die folgenden Inhalte ein:Include the following content:

    <configuration>
      <system.net>
        <defaultProxy enabled="true">
         <proxy bypassonlocal="true"
             proxyaddress="http://yourhttpproxy.com:8080" />
        </defaultProxy>
      </system.net>
    </configuration>
    

    Wenn Ihr HTTP-Proxy Authentifizierung erfordert, fügen Sie das useDefaultCredentials-Tag hinzu:If your HTTP proxy requires authentication, add the useDefaultCredentials tag:

    <configuration>
      <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy bypassonlocal="true"
             proxyaddress="http://yourhttpproxy.com:8080" />
        </defaultProxy>
      </system.net>
    </configuration>
    

    In beiden Fällen ersetzen Sie http://yourhttpproxy.com:8080 durch die Adresse und den Port Ihres jeweiligen HTTP-Proxyservers.In both cases, replace http://yourhttpproxy.com:8080 with the address and port of your specific HTTP proxy server.

    Wenn Ihr HTTP-Proxy für die Verwendung einer Autorisierungsrichtlinie konfiguriert ist, müssen Sie den Zugriff auf das Active Directory-Computerkonto des Computers gewähren, der den Proxydienst für den Kennwortschutz hostet.If your HTTP proxy is configured to use an authorization policy, you must grant access to the Active Directory computer account of the machine that hosts the proxy service for password protection.

    Es wird empfohlen, den Proxydienst zu beenden und neu zu starten, nachdem Sie die Datei AzureADPasswordProtectionProxy.exe.config erstellt oder aktualisiert haben.We recommend that you stop and restart the proxy service after you create or update the AzureADPasswordProtectionProxy.exe.config file.

    Der Proxydienst unterstützt nicht die Verwendung von spezifischen Anmeldeinformationen für das Herstellen einer Verbindung mit einem HTTP-Proxy.The proxy service doesn't support the use of specific credentials for connecting to an HTTP proxy.

  7. Optional: Konfigurieren Sie den Proxydienst für Kennwortschutz so, dass er an einem bestimmten Port lauscht.Optional: Configure the proxy service for password protection to listen on a specific port.

    • Die DC-Agent-Software für Kennwortschutz auf den Domänencontrollern verwendet RPC über TCP für die Kommunikation mit dem Proxydienst.The DC Agent software for password protection on the domain controllers uses RPC over TCP to communicate with the proxy service. Standardmäßig lauscht der Proxydienst an jedem verfügbaren dynamischen RPC-Endpunkt.By default, the proxy service listens on any available dynamic RPC endpoint. Sie können den Dienst jedoch so konfigurieren, dass er an einem bestimmten TCP-Port lauscht, wenn dies aufgrund von Netzwerktopologie- oder Firewallanforderungen in Ihrer Umgebung erforderlich ist.But you can configure the service to listen on a specific TCP port, if this is necessary because of networking topology or firewall requirements in your environment.
      • Verwenden Sie das Cmdlet Set-AzureADPasswordProtectionProxyConfiguration, um den Dienst für die Ausführung unter einem statischen Port zu konfigurieren.To configure the service to run under a static port, use the Set-AzureADPasswordProtectionProxyConfiguration cmdlet.

        Set-AzureADPasswordProtectionProxyConfiguration –StaticPort <portnumber>
        

        Warnung

        Sie müssen den Dienst beenden und neu starten, damit die Änderungen wirksam werden.You must stop and restart the service for these changes to take effect.

      • Um den Dienst so zu konfigurieren, dass er unter einem dynamischen Port ausgeführt wird, verwenden Sie die gleiche Prozedur, legen StaticPort dabei aber wieder auf Null fest:To configure the service to run under a dynamic port, use the same procedure but set StaticPort back to zero:

        Set-AzureADPasswordProtectionProxyConfiguration –StaticPort 0
        

        Warnung

        Sie müssen den Dienst beenden und neu starten, damit die Änderungen wirksam werden.You must stop and restart the service for these changes to take effect.

    Hinweis

    Der Proxydienst für Kennwortschutz erfordert einen manuellen Neustart nach jeder Änderung der Portkonfiguration.The proxy service for password protection requires a manual restart after any change in port configuration. Sie müssen jedoch die DC-Agent-Dienstsoftware auf Domänencontrollern nicht neu starten, nachdem Sie diese Konfigurationsänderungen vorgenommen haben.But you don't have to restart the DC Agent service software on domain controllers after you make these configuration changes.

    • Um die aktuelle Konfiguration des Diensts abzufragen, verwenden Sie das Cmdlet Get-AzureADPasswordProtectionProxyConfiguration:To query for the current configuration of the service, use the Get-AzureADPasswordProtectionProxyConfiguration cmdlet:

      Get-AzureADPasswordProtectionProxyConfiguration | fl
      
      ServiceName : AzureADPasswordProtectionProxy
      DisplayName : Azure AD password protection Proxy
      StaticPort  : 0
      

Installieren des DC-Agent-DienstsInstall the DC Agent service

Installieren Sie den DC-Agent-Dienst für Kennwortschutz mithilfe des AzureADPasswordProtectionDCAgentSetup.msi-Pakets.Install the DC Agent service for password protection by using the AzureADPasswordProtectionDCAgentSetup.msi package.

Die Installation oder Deinstallation der Software erfordert einen Neustart.The software installation, or uninstallation, requires a restart. Dies liegt daran, dass Kennwortfilter-DLLs nur durch einen Neustart geladen oder entladen werden.This requirement is because password filter DLLs are only loaded or unloaded by a restart.

Sie können den DC-Agent-Dienst auf einem Computer installieren, der noch kein Domänencontroller ist.You can install the DC Agent service on a machine that's not yet a domain controller. In diesem Fall wird der Dienst gestartet und ausgeführt, bleibt aber inaktiv, bis der Computer zum Domänencontroller höher gestuft wird.In this case, the service will start and run but remain inactive until the machine is promoted to be a domain controller.

Die Softwareinstallation kann mit MSI-Standardprozeduren automatisiert werden.You can automate the software installation by using standard MSI procedures. Beispiel:For example:

msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart

Sie können das /norestart-Flag auslassen, wenn Sie es vorziehen, dass der Computer vom Installationsprogramm automatisch neu gestartet wird.You may omit the /norestart flag if you prefer to have the installer automatically reboot the machine.

Die Installation ist abgeschlossen, nachdem die DC-Agent-Software auf einem Domänencontroller installiert und dieser Computer neu gestartet wurde.The installation is complete after the DC Agent software is installed on a domain controller, and that computer is rebooted. Eine andere Konfiguration ist weder erforderlich noch möglich.No other configuration is required or possible.

Upgrade des Proxy-AgentsUpgrading the Proxy agent

Wenn eine neuere Version der Azure AD-Kennwortschutz-Proxysoftware verfügbar ist, wird das Upgrade durch Ausführen der neuesten Version des Softwareinstallationsprogramms AzureADPasswordProtectionProxySetup.exe durchgeführt.When a newer version of the Azure AD Password Protection Proxy software is available, the upgrade is accomplished by running the latest version of the AzureADPasswordProtectionProxySetup.exe software installer. Die aktuelle Version der Software ist im Microsoft Download Center verfügbar.The latest version of the software is available on the Microsoft Download Center.

Es ist nicht erforderlich, die aktuelle Version der Proxysoftware zu deinstallieren. Das Installationsprogramm führt ein direktes Upgrade durch.It is not required to uninstall the current version of the Proxy software - the installer will perform an in-place upgrade. Beim Upgrade der Proxysoftware sollte kein Neustart erforderlich sein.No reboot should be required when upgrading the Proxy software. Das Softwareupgrade kann mit MSI-Standardprozeduren automatisiert werden, z.B. AzureADPasswordProtectionProxySetup.exe /quiet.The software upgrade may be automated using standard MSI procedures, for example: AzureADPasswordProtectionProxySetup.exe /quiet.

Der Proxy-Agent unterstützt das automatische Upgrade.The Proxy agent supports automatic upgrade. Für das automatische Upgrade wird der Microsoft Azure AD Connect Agent Updater-Dienst verwendet, der zusammen mit dem Proxydienst installiert wird.Automatic upgrade uses the Microsoft Azure AD Connect Agent Updater service, which is installed side by side with the Proxy service. Das automatische Upgrade ist standardmäßig aktiviert und kann mit dem Cmdlet Set-AzureADPasswordProtectionProxyConfiguration aktiviert oder deaktiviert werden.Automatic upgrade is on by default, and may be enabled or disabled using the Set-AzureADPasswordProtectionProxyConfiguration cmdlet. Die aktuelle Einstellung kann mit dem Cmdlet Get-AzureADPasswordProtectionProxyConfiguration abgefragt werden.The current setting can be queried using the Get-AzureADPasswordProtectionProxyConfiguration cmdlet. Microsoft empfiehlt, die Einstellung für das automatische Upgrade immer aktiviert zu lassen.Microsoft recommends that the automatic upgrade setting always is enabled.

Mit dem Cmdlet Get-AzureADPasswordProtectionProxy kann die Softwareversion aller aktuell installierten Proxy-Agents in einer Gesamtstruktur abgefragt werden.The Get-AzureADPasswordProtectionProxy cmdlet may be used to query the software version of all currently installed Proxy agents in a forest.

Upgrade des DC-AgentsUpgrading the DC agent

Wenn eine neuere Version der DC-Agent-Software für den Azure AD-Kennwortschutz verfügbar ist, wird das Upgrade durch Ausführen der neuesten Version des Softwarepakets AzureADPasswordProtectionDCAgentSetup.msi durchgeführt.When a newer version of the Azure AD Password Protection DC Agent software is available, the upgrade is accomplished by running the latest version of the AzureADPasswordProtectionDCAgentSetup.msi software package. Die aktuelle Version der Software ist im Microsoft Download Center verfügbar.The latest version of the software is available on the Microsoft Download Center.

Es ist nicht erforderlich, die aktuelle Version der DC-Agent-Software zu deinstallieren. Das Installationsprogramm führt ein direktes Upgrade durch.It is not required to uninstall the current version of the DC agent software - the installer will perform an in-place upgrade. Beim Upgrade der DC-Agent-Software ist immer ein Neustart erforderlich. Diese Anforderung wird durch das Kernverhalten von Windows verursacht.A reboot is always required when upgrading the DC agent software - this requirement is caused by core Windows behavior.

Das Softwareupgrade kann mit MSI-Standardprozeduren automatisiert werden, z.B. msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart.The software upgrade may be automated using standard MSI procedures, for example: msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart.

Sie können das /norestart-Flag auslassen, wenn Sie es vorziehen, dass der Computer vom Installationsprogramm automatisch neu gestartet wird.You may omit the /norestart flag if you prefer to have the installer automatically reboot the machine.

Mit dem Cmdlet Get-AzureADPasswordProtectionDCAgent kann die Softwareversion aller aktuell installierten DC-Agents in einer Gesamtstruktur abgefragt werden.The Get-AzureADPasswordProtectionDCAgent cmdlet may be used to query the software version of all currently installed DC agents in a forest.

Bereitstellungen in mehreren GesamtstrukturenMultiple forest deployments

Für die Bereitstellung des Azure AD-Kennwortschutzes in mehreren Gesamtstrukturen gibt es keine zusätzlichen Anforderungen.There are no additional requirements to deploy Azure AD password protection across multiple forests. Jede Gesamtstruktur wird unabhängig voneinander konfiguriert, wie im Abschnitt „Bereitstellung in einer einzelnen Gesamtstruktur“ beschrieben wird.Each forest is independently configured as described in the "Single-forest deployment" section. Jeder Kennwortschutzproxy kann nur Domänencontroller aus der Gesamtstruktur unterstützen, mit der er verknüpft ist.Each password protection proxy can only support domain controllers from the forest that it's joined to. Unabhängig von der in Active Directory konfigurierten Vertrauensstellung besitzt die Kennwortschutzsoftware in einer bestimmten Gesamtstruktur keine Informationen über eine Azure AD-Kennwortschutzsoftware, die in einer anderen Gesamtstruktur bereitgestellt ist.The password protection software in any forest is unaware of password protection software that's deployed in other forests, regardless of Active Directory trust configurations.

Schreibgeschützte DomänencontrollerRead-only domain controllers

Änderungen/Festlegungen von Kennwörtern werden auf schreibgeschützten Domänencontrollern (RODCs) nicht verarbeitet und gespeichert.Password changes/sets are not processed and persisted on read-only domain controllers (RODCs). Sie werden an nicht schreibgeschützte Domänencontroller weitergeleitet.They are forwarded to writable domain controllers. Eine Installation der DC-Agent-Software auf RODCs ist daher nicht erforderlich.So, you don't have to install the DC Agent software on RODCs.

HochverfügbarkeitHigh availability

Bei der Hochverfügbarkeit des Kennwortschutzes geht es hauptsächlich darum, die Verfügbarkeit der Proxyserver zu gewährleisten, wenn Domänencontroller in einer Gesamtstruktur versuchen, neue Richtlinien oder andere Daten aus Azure herunterzuladen.The main availability concern for password protection is the availability of proxy servers when the domain controllers in a forest try to download new policies or other data from Azure. Jeder DC-Agent verwendet bei der Entscheidung, welcher Proxyserver aufgerufen werden soll, einen einfachen Roundrobin-Algorithmus.Each DC Agent uses a simple round-robin-style algorithm when deciding which proxy server to call. Der Agent überspringt Proxyserver, die nicht antworten.The Agent skips proxy servers that aren't responding. Für die meisten vollständig verbundenen Active Directory-Bereitstellungen, die eine integre Replikation des Verzeichnisses und SYSVOL-Ordnerstatus aufweisen, reichen zwei Proxyserver aus, um die Verfügbarkeit sicherzustellen.For most fully connected Active Directory deployments that have healthy replication of both directory and sysvol folder state, two proxy servers is enough to ensure availability. Dies führt zum rechtzeitigen Download neuer Richtlinien und anderer Daten.This results in timely download of new policies and other data. Aber Sie können zusätzliche Proxyserver bereitstellen.But you can deploy additional proxy servers.

Die üblichen Probleme, die mit Hochverfügbarkeit einhergehen, werden durch den Entwurf der DC-Agent-Software verringert.The design of the DC Agent software mitigates the usual problems that are associated with high availability. Der DC-Agent verwaltet einen lokalen Cache, in dem sich die zuletzt heruntergeladene Kennwortrichtlinie befindet.The DC Agent maintains a local cache of the most recently downloaded password policy. Selbst wenn alle registrierten Proxyserver nicht mehr verfügbar sind, setzen die DC-Agents ihre zwischengespeicherten Kennwortrichtlinien durch.Even if all registered proxy servers become unavailable, the DC Agents continue to enforce their cached password policy. Eine angemessene Aktualisierungshäufigkeit für Kennwortrichtlinien in einer umfangreichen Bereitstellung liegt für gewöhnlich in der Größenordnung von Tagen, nicht Stunden oder weniger.A reasonable update frequency for password policies in a large deployment is usually days, not hours or less. Kurze Ausfälle der Proxyserver haben daher keinen wesentlichen Einfluss auf den Azure AD-Kennwortschutz.So, brief outages of the proxy servers don't significantly impact Azure AD password protection.

Nächste SchritteNext steps

Nachdem Sie nun die für den Azure AD-Kennwortschutz erforderlichen Dienste auf Ihren lokalen Servern installiert haben, lesen Sie Ausführen von Konfigurationsaufgaben nach der Installation und Sammeln von Berichtsinformationen, um Ihre Bereitstellung abzuschließen.Now that you've installed the services that you need for Azure AD password protection on your on-premises servers, perform post-install configuration and gather reporting information to complete your deployment.

Konzeptionelle Übersicht über den Azure AD-KennwortschutzConceptual overview of Azure AD password protection