Helyszíni Azure Active Directory jelszavas védelem tervezése és üzembe helyezésePlan and deploy on-premises Azure Active Directory Password Protection

A felhasználók gyakran olyan gyakori helyi szavakat (például iskolát, sport csapatot vagy híres személyt) használó jelszavakat hoznak létre.Users often create passwords that use common local words such as a school, sports team, or famous person. Ezek a jelszavak könnyen kiolvashatók és gyengék a szótáron alapuló támadásokkal szemben.These passwords are easy to guess, and weak against dictionary-based attacks. A szervezet erős jelszavainak kényszerítéséhez Azure Active Directory (Azure AD) jelszavas védelme globális és egyéni tiltott jelszavakat tartalmaz.To enforce strong passwords in your organization, Azure Active Directory (Azure AD) Password Protection provides a global and custom banned password list. A jelszó-módosítási kérelem meghiúsul, ha egyezés szerepel a tiltott jelszavak listájában.A password change request fails if there's a match in these banned password list.

A helyszíni Active Directory tartományi szolgáltatások (AD DS) környezetének védelme érdekében telepítheti és konfigurálhatja az Azure AD jelszavas védelmet a helyszíni TARTOMÁNYVEZÉRLŐvel való együttműködéshez.To protect your on-premises Active Directory Domain Services (AD DS) environment, you can install and configure Azure AD Password Protection to work with your on-prem DC. Ebből a cikkből megtudhatja, hogyan telepítheti és regisztrálja az Azure AD jelszavas védelem-proxy szolgáltatást és az Azure AD jelszavas védelmet biztosító tartományvezérlő ügynököt a helyszíni környezetben.This article shows you how to install and register the Azure AD Password Protection proxy service and Azure AD Password Protection DC agent in your on-premises environment.

Az Azure AD jelszavas védelem helyszíni környezetben való működésével kapcsolatos további információkért lásd: Az Azure ad jelszavas védelem betartatása a Windows Server Active Directory.For more information on how Azure AD Password Protection works in an on-premises environment, see How to enforce Azure AD Password Protection for Windows Server Active Directory.

Központi telepítési stratégiaDeployment strategy

Az alábbi ábra bemutatja, hogyan működik együtt az Azure AD jelszavas védelem alapvető összetevői egy helyszíni Active Directory környezetben:The following diagram shows how the basic components of Azure AD Password Protection work together in an on-premises Active Directory environment:

Hogyan működnek együtt az Azure AD jelszavas védelmi összetevői?

Érdemes áttekinteni, hogyan működik a szoftver az üzembe helyezése előtt.It's a good idea to review how the software works before you deploy it. További információ: Az Azure ad jelszavas védelem fogalmi áttekintése.For more information, see Conceptual overview of Azure AD Password Protection.

Javasoljuk, hogy a központi telepítéseket vizsgálati módban indítsa el.We recommend that you start deployments in audit mode. A naplózási mód az alapértelmezett kezdeti beállítás, ahol a jelszavak továbbra is megadhatók.Audit mode is the default initial setting, where passwords can continue to be set. A blokkolni kívánt jelszavakat az eseménynapló rögzíti.Passwords that would be blocked are recorded in the event log. Miután a proxykiszolgálót és a TARTOMÁNYVEZÉRLŐi ügynököt naplózási módban telepítette, figyelje meg, hogy a jelszóházirend milyen hatással lesz a felhasználókra, amikor a házirend érvénybe lép.After you deploy the proxy servers and DC agents in audit mode, monitor the impact that the password policy will have on users when the policy is enforced.

A naplózási szakaszban számos szervezet úgy találja, hogy a következő helyzetek érvényesek:During the audit stage, many organizations find that the following situations apply:

  • A biztonságosabb jelszavak használatához javítaniuk kell a meglévő működési folyamatokat.They need to improve existing operational processes to use more secure passwords.
  • A felhasználók gyakran nem biztonságos jelszavakat használnak.Users often use unsecure passwords.
  • Tájékoztatniuk kell a felhasználókat a biztonsági kényszerítés közelgő változásáról, a lehetséges hatásokról, valamint a biztonságosabb jelszavak kiválasztásáról.They need to inform users about the upcoming change in security enforcement, possible impact on them, and how to choose more secure passwords.

Az is lehetséges, hogy az erősebb jelszó-érvényesítés a meglévő Active Directory tartományvezérlő üzembe helyezési automatizálásának befolyásolására is használható.It's also possible for stronger password validation to affect your existing Active Directory domain controller deployment automation. Javasoljuk, hogy a naplózási időszak kiértékelése során legalább egy DC-előléptetést és egy tartományvezérlő-lefokozást hajtson végre a probléma elhárítása érdekében.We recommend that at least one DC promotion and one DC demotion happen during the audit period evaluation to help uncover such issues. További információért tekintse át a következő cikkeket:For more information, see the following articles:

Ha a szolgáltatás egy ésszerű időszakra vonatkozóan a vizsgálati módban fut, a konfigurációt átválthatja a naplózásból , hogy a kényszerítse a biztonságosabb jelszavak megkövetelését.After the feature has been running in audit mode for a reasonable period, you can switch the configuration from Audit to Enforce to require more secure passwords. Ebben az időszakban további monitorozásra is jó ötlet.Additional monitoring during this time is a good idea.

Több erdőre vonatkozó megfontolásokMultiple forest considerations

Az Azure AD jelszavas védelem több erdőben való üzembe helyezéséhez nem szükséges további követelmény.There are no additional requirements to deploy Azure AD Password Protection across multiple forests.

Az egyes erdők egymástól függetlenül konfigurálhatók, a következő szakaszban leírtak szerint, az Azure ad jelszavas védelem üzembe helyezéséhez.Each forest is independently configured, as described in the following section to deploy on-prem Azure AD Password Protection. Minden egyes Azure AD jelszavas védelmi proxy csak abban az erdőben tud tartományvezérlőket támogatni, amelyhez csatlakozik.Each Azure AD Password Protection proxy can only support domain controllers from the forest that it's joined to.

Az Azure AD jelszavas védelem szoftvere bármely erdőben nem ismeri a más erdőkben üzembe helyezett jelszavas védelmi szoftvereket, függetlenül a Active Directory megbízhatósági konfigurációtól.The Azure AD Password Protection software in any forest is unaware of password protection software that's deployed in other forests, regardless of Active Directory trust configurations.

Írásvédett tartományvezérlői megfontolásokRead-only domain controller considerations

A jelszó módosítása vagy az események beállítása nem lett feldolgozva, és csak olvasható tartományvezérlőkön (írásvédett tartományvezérlőn) marad.Password change or set events aren't processed and persisted on read-only domain controllers (RODCs). Ehelyett írható tartományvezérlőkre továbbítják őket.Instead, they're forwarded to writable domain controllers. Nem kell telepítenie az Azure AD jelszavas védelem DC Agent szoftverét az írásvédett tartományvezérlőn.You don't have to install the Azure AD Password Protection DC agent software on RODCs.

Emellett nem támogatott az Azure AD Password Protection proxy szolgáltatás futtatása írásvédett tartományvezérlőn.Further, it's not supported to run the Azure AD Password Protection proxy service on a read-only domain controller.

Magas rendelkezésre állási megfontolásokHigh availability considerations

A jelszavas védelem fő problémája az Azure AD jelszavas védelmi proxykiszolgálók rendelkezésre állása, amikor egy erdőben lévő tartományvezérlők megpróbálnak letölteni új szabályzatokat vagy más, az Azure-ból származó adatok letöltését.The main concern for password protection is the availability of Azure AD Password Protection proxy servers when the DCs in a forest try to download new policies or other data from Azure. Minden egyes Azure AD Password Protection DC-ügynök egy egyszerű, ciklikusan megjelenő algoritmust használ, amikor eldönti, melyik proxykiszolgálót kell meghívni.Each Azure AD Password Protection DC agent uses a simple round-robin-style algorithm when deciding which proxy server to call. Az ügynök kihagyja a nem válaszoló proxykiszolgáló-kiszolgálókat.The agent skips proxy servers that aren't responding.

A címtár-és SYSVOL mappa állapotának kifogástalan replikálásával rendelkező Active Directory központi telepítések esetében két Azure AD-beli jelszavas védelmi proxykiszolgáló elegendő a rendelkezésre állás biztosításához.For most fully connected Active Directory deployments that have healthy replication of both directory and sysvol folder state, two Azure AD Password Protection proxy servers is enough to ensure availability. Ez a konfiguráció időben letölti az új szabályzatokat és egyéb adatmennyiségeket.This configuration results in timely download of new policies and other data. Szükség esetén további Azure AD-beli jelszavas védelmi proxykiszolgálók is üzembe helyezhetők.You can deploy additional Azure AD Password Protection proxy servers if desired.

Az Azure AD jelszavas védelem tartományvezérlő-ügynökének kialakítása csökkenti a magas rendelkezésre álláshoz kapcsolódó szokásos problémákat.The design of the Azure AD Password Protection DC agent software mitigates the usual problems that are associated with high availability. Az Azure AD jelszavas védelem tartományvezérlő ügynöke a legutóbb letöltött jelszóházirend helyi gyorsítótárát tárolja.The Azure AD Password Protection DC agent maintains a local cache of the most recently downloaded password policy. Még ha az összes regisztrált proxykiszolgáló elérhetetlenné válik, az Azure AD jelszavas védelem DC-ügynökei továbbra is érvénybe lépnek a gyorsítótárazott jelszavas házirendjében.Even if all registered proxy servers become unavailable, the Azure AD Password Protection DC agents continue to enforce their cached password policy.

A nagyméretű üzemelő példányok jelszavas házirendjének ésszerű frissítési gyakorisága általában nap, nem óra vagy kevesebb.A reasonable update frequency for password policies in a large deployment is usually days, not hours or less. Így a proxykiszolgálók rövid kimaradása nem befolyásolja jelentősen az Azure AD jelszavas védelmét.So, brief outages of the proxy servers don't significantly impact Azure AD Password Protection.

Üzembe helyezésre vonatkozó követelményekDeployment requirements

A licenceléssel kapcsolatos információkért lásd az Azure ad jelszavas védelem licencelési követelményeitismertető témakört.For information on licensing, see Azure AD Password Protection licensing requirements.

A következő alapvető követelmények érvényesek:The following core requirements apply:

  • Az Azure AD jelszavas védelem összetevőit tartalmazó összes gépnek telepítve kell lennie az univerzális C futtatókörnyezetnek.All machines, including domain controllers, that have Azure AD Password Protection components installed must have the Universal C Runtime installed.

  • Olyan fiókra van szüksége, amely Active Directory tartományi rendszergazdai jogosultságokkal rendelkezik az erdő gyökértartományában a Windows Server Active Directory-erdő Azure AD-vel való regisztrálásához.You need an account that has Active Directory domain administrator privileges in the forest root domain to register the Windows Server Active Directory forest with Azure AD.

  • A Key Distribution szolgáltatást engedélyezni kell a Windows Server 2012 rendszert futtató tartomány összes tartományvezérlőjén.The Key Distribution Service must be enabled on all domain controllers in the domain that run Windows Server 2012. Ez a szolgáltatás alapértelmezés szerint a manuális trigger indításával engedélyezhető.By default, this service is enabled via manual trigger start.

  • A hálózati kapcsolatnak léteznie kell legalább egy, az egyes tartományokban lévő tartományvezérlő és legalább egy olyan kiszolgáló között, amely az Azure AD jelszavas védelemhez az proxy szolgáltatást üzemelteti.Network connectivity must exist between at least one domain controller in each domain and at least one server that hosts the proxy service for Azure AD Password Protection. Ez a kapcsolat lehetővé teszi, hogy a tartományvezérlő hozzáférhessen az RPC Endpoint Mapper port 135-es portjához és a proxykiszolgáló RPC-kiszolgáló portjához.This connectivity must allow the domain controller to access RPC endpoint mapper port 135 and the RPC server port on the proxy service.

    • Alapértelmezés szerint az RPC-kiszolgáló portja egy dinamikus RPC-port, de konfigurálható statikus port használatárais.By default, the RPC server port is a dynamic RPC port, but it can be configured to use a static port.
  • Minden olyan gépen, amelyen telepítve van az Azure AD jelszavas védelmi proxy szolgáltatás, hálózati hozzáféréssel kell rendelkeznie a következő végpontokhoz:All machines where the Azure AD Password Protection Proxy service will be installed must have network access to the following endpoints:

    VégpontEndpoint SzerepPurpose
    https://login.microsoftonline.com Hitelesítési kérelmekAuthentication requests
    https://enterpriseregistration.windows.net Azure AD jelszavas védelem funkcióAzure AD Password Protection functionality

Azure AD jelszavas védelem – tartományvezérlő ügynökAzure AD Password Protection DC agent

Az Azure AD Password Protection DC-ügynökre az alábbi követelmények vonatkoznak:The following requirements apply to the Azure AD Password Protection DC agent:

  • Az Azure AD jelszavas védelem tartományvezérlő-ügynök szoftverét futtató összes gépnek Windows Server 2012 vagy újabb rendszernek kell futnia.All machines where the Azure AD Password Protection DC agent software will be installed must run Windows Server 2012 or later.
    • A Active Directory tartományhoz vagy erdőhöz nem szükséges a Windows Server 2012 tartomány működési szintjének (DFL) vagy az erdő működési szintje (FFL).The Active Directory domain or forest doesn't need to be at Windows Server 2012 domain functional level (DFL) or forest functional level (FFL). A tervezési alapelvekbenemlítettek szerint a DC-ügynök vagy a proxy szoftver futtatásához nincs szükség minimális DFL vagy FFL.As mentioned in Design Principles, there's no minimum DFL or FFL required for either the DC agent or proxy software to run.
  • Az Azure AD jelszavas védelem DC-ügynökét futtató összes gépnek telepítve kell lennie a .NET 4,5-nek.All machines that run the Azure AD Password Protection DC agent must have .NET 4.5 installed.
  • Az Azure AD jelszavas védelem DC Agent szolgáltatást futtató Active Directory tartományoknak elosztott fájlrendszer replikációt (DFSR) kell használniuk a SYSVOL-replikációhoz.Any Active Directory domain that runs the Azure AD Password Protection DC agent service must use Distributed File System Replication (DFSR) for sysvol replication.
    • Ha a tartomány még nem használja a DFSR-t, az Azure AD jelszavas védelem telepítése előtt át kell telepítenie.If your domain isn't already using DFSR, you must migrate before installing Azure AD Password Protection. További információ : SYSVOL-replikáció áttelepítési útmutatója: FRS – elosztott fájlrendszer replikációs szolgáltatásaFor more information, see SYSVOL Replication Migration Guide: FRS to DFS Replication

      Figyelmeztetés

      Az Azure AD jelszavas védelem TARTOMÁNYVEZÉRLŐi ügynöke jelenleg a SYSVOL-replikációhoz használt FRS (a megelőző technológia DFSR) használatával működő tartományvezérlőkön települ, de a szoftver nem fog megfelelően működni ebben a környezetben.The Azure AD Password Protection DC agent software will currently install on domain controllers in domains that are still using FRS (the predecessor technology to DFSR) for sysvol replication, but the software will NOT work properly in this environment.

      További negatív mellékhatások például az egyes fájlok replikálásának meghiúsulása, a SYSVOL visszaállítási eljárásai pedig sikeresek, de az összes fájl replikálásának csendes sikertelensége esetén sikertelenek lesznek.Additional negative side-effects include individual files failing to replicate, and sysvol restore procedures appearing to succeed but silently failing to replicate all files.

      A lehető leghamarabb telepítse át a tartományt a DFSR használatára, mind a DFSR rejlő előnyeit, mind pedig az Azure AD jelszavas védelem üzembe helyezésének feloldását.Migrate your domain to use DFSR as soon as possible, both for DFSR's inherent benefits and to unblock the deployment of Azure AD Password Protection. A szoftver jövőbeli verziói automatikusan le lesznek tiltva, ha olyan tartományban fut, amely továbbra is FÁJLREPLIKÁCIÓS szolgáltatást használ.Future versions of the software will be automatically disabled when running in a domain that's still using FRS.

Azure AD jelszavas védelem proxy szolgáltatásAzure AD Password Protection proxy service

Az Azure AD jelszavas védelem proxy szolgáltatására az alábbi követelmények vonatkoznak:The following requirements apply to the Azure AD Password Protection proxy service:

  • Az Azure AD jelszavas védelem-proxy szolgáltatást futtató összes gépnek Windows Server 2012 R2 vagy újabb rendszernek kell futnia.All machines where the Azure AD Password Protection proxy service will be installed must run Windows Server 2012 R2 or later.

    Megjegyzés

    Az Azure AD jelszavas védelmi proxy szolgáltatás üzembe helyezése kötelezően szükséges az Azure AD-jelszavas védelem üzembe helyezéséhez, annak ellenére, hogy a tartományvezérlő rendelkezik kimenő közvetlen internetkapcsolattal.The Azure AD Password Protection proxy service deployment is a mandatory requirement for deploying Azure AD Password Protection even though the domain controller may have outbound direct internet connectivity.

  • Minden olyan gépen, amelyen telepítve van az Azure AD jelszavas védelmi proxy szolgáltatás, telepítve kell lennie a .NET 4,7-nek.All machines where the Azure AD Password Protection proxy service will be installed must have .NET 4.7 installed.

  • Az Azure AD jelszavas védelmi proxy szolgáltatást futtató összes gépet úgy kell konfigurálni, hogy a tartományvezérlők számára engedélyezze a proxy szolgáltatásba való bejelentkezést.All machines that host the Azure AD Password Protection proxy service must be configured to grant domain controllers the ability to log on to the proxy service. Ezt a képességet a "számítógép elérése a hálózatról" jogosultság-hozzárendelésen keresztül vezérelheti.This ability is controlled via the "Access this computer from the network" privilege assignment.

  • Az Azure AD jelszavas védelmi proxy szolgáltatást futtató gépeket úgy kell konfigurálni, hogy engedélyezzék a kimenő TLS 1,2 HTTP-forgalmat.All machines that host the Azure AD Password Protection proxy service must be configured to allow outbound TLS 1.2 HTTP traffic.

  • Globális rendszergazdai fiók az Azure ad jelszavas védelmi proxy szolgáltatás és az erdő Azure ad-vel való regisztrálásához.A Global Administrator account to register the Azure AD Password Protection proxy service and forest with Azure AD.

  • A hálózati hozzáférés engedélyezéséhez engedélyezni kell az alkalmazásproxy-környezet telepítési eljárásaibanmegadott portok és URL-címek készletét.Network access must be enabled for the set of ports and URLs specified in the Application Proxy environment setup procedures.

Microsoft Azure AD összekapcsolási ügynök frissítési előfeltételeiMicrosoft Azure AD Connect Agent Updater prerequisites

Az Microsoft Azure AD összekapcsolási ügynök frissítési szolgáltatását az Azure AD jelszavas védelem proxy szolgáltatásával párhuzamosan telepíti a rendszer.The Microsoft Azure AD Connect Agent Updater service is installed side by side with the Azure AD Password Protection Proxy service. További konfigurálásra van szükség ahhoz, hogy a Microsoft Azure AD összekapcsolási ügynök frissítési szolgáltatása képes legyen működni:Additional configuration is required in order for the Microsoft Azure AD Connect Agent Updater service to be able to function:

Figyelmeztetés

Az Azure AD jelszavas védelem proxyja és az Azure AD Application Proxy a Microsoft Azure AD csatlakozás Agent Updater szolgáltatás különböző verzióit telepíti, ezért az utasítások az alkalmazásproxy tartalmára vonatkoznak.Azure AD Password Protection proxy and Azure AD Application Proxy install different versions of the Microsoft Azure AD Connect Agent Updater service, which is why the instructions refer to Application Proxy content. Ezek a különböző verziók nem kompatibilisek egymás mellett, és ennek köszönhetően az ügynök frissítési szolgáltatása nem fog tudni kapcsolatba lépni az Azure-nal a szoftverfrissítések számára, ezért soha ne telepítse az Azure AD jelszavas védelmi proxyt és az alkalmazásproxy-t ugyanarra a gépre.These different versions are incompatible when installed side by side and doing so will prevent the Agent Updater service from contacting Azure for software updates, so you should never install Azure AD Password Protection Proxy and Application Proxy on the same machine.

Szükséges szoftverek letöltéseDownload required software

A helyszíni Azure AD jelszavas védelem telepítéséhez két kötelező telepítő szükséges:There are two required installers for an on-premises Azure AD Password Protection deployment:

  • Azure AD Password Protection DC-ügynök (AzureADPasswordProtectionDCAgentSetup.msi)Azure AD Password Protection DC agent (AzureADPasswordProtectionDCAgentSetup.msi)
  • Azure AD jelszavas védelmi proxy (AzureADPasswordProtectionProxySetup.exe)Azure AD Password Protection proxy (AzureADPasswordProtectionProxySetup.exe)

Töltse le mindkét telepítőt a Microsoft letöltőközpontból.Download both installers from the Microsoft Download Center.

A proxy szolgáltatás telepítése és konfigurálásaInstall and configure the proxy service

Az Azure AD jelszavas védelem-proxy szolgáltatás általában a helyszíni AD DS-környezetben található tagkiszolgálón található.The Azure AD Password Protection proxy service is typically on a member server in your on-premises AD DS environment. A telepítés után az Azure AD jelszavas védelmi proxy szolgáltatás kommunikál az Azure AD-vel, hogy megőrizze az Azure AD-bérlőhöz tartozó globális és ügyfél által tiltott jelszavak listáját.Once installed, the Azure AD Password Protection proxy service communicates with Azure AD to maintain a copy of the global and customer banned password lists for your Azure AD tenant.

A következő szakaszban az Azure AD jelszavas védelem DC-ügynökeit telepíti a helyi AD DS környezet tartományvezérlőinek tartományvezérlőjén.In the next section, you install the Azure AD Password Protection DC agents on domain controllers in your on-premises AD DS environment. Ezek a DC-ügynökök kommunikálnak a proxy szolgáltatással, hogy megkapják a legutóbb betiltott jelszavak listáját a jelszó-módosítási események a tartományon belüli feldolgozásához.These DC agents communicate with the proxy service to get the latest banned password lists for use when processing password change events within the domain.

Válasszon ki egy vagy több kiszolgálót az Azure AD jelszavas védelem proxy szolgáltatásának üzemeltetéséhez.Choose one or more servers to host the Azure AD Password Protection proxy service. A következő szempontokat kell figyelembe venni a-kiszolgáló (k) esetében:The following considerations apply for the server(s):

  • Minden ilyen szolgáltatás csak egyetlen erdőhöz biztosít jelszavas házirendeket.Each such service can only provide password policies for a single forest. A gazdagépnek az erdőben lévő tartományhoz kell csatlakoznia.The host machine must be joined to a domain in that forest. A gyökér és a gyermek tartományok egyaránt támogatottak.Root and child domains are both supported. Az erdő minden tartományában és a jelszavas védelemben használt számítógépen legalább egy TARTOMÁNYVEZÉRLŐnek hálózati kapcsolatra van szüksége.You need network connectivity between at least one DC in each domain of the forest and the password protection machine.
  • Az Azure AD jelszavas védelmi proxy szolgáltatást egy tartományvezérlőn futtathatja tesztelésre, de a tartományvezérlőhöz internetkapcsolat szükséges.You can run the Azure AD Password Protection proxy service on a domain controller for testing, but that domain controller then requires internet connectivity. Ez a kapcsolat biztonsági szempontból fontos lehet.This connectivity can be a security concern. Ezt a konfigurációt csak tesztelésre javasoljuk.We recommend this configuration for testing only.
  • Legalább két Azure AD-beli jelszavas védelmi proxykiszolgálót ajánlunk a redundancia érdekében, ahogyan azt az előző, magas rendelkezésre állással kapcsolatos szempontokatismertető szakaszban ismertetjük.We recommend at least two Azure AD Password Protection proxy servers for redundancy, as noted in the previous section on high availability considerations.
  • Nem támogatott az Azure AD Password Protection proxy szolgáltatás futtatása írásvédett tartományvezérlőn.It's not supported to run the Azure AD Password Protection proxy service on a read-only domain controller.

Az Azure AD jelszavas védelem proxy szolgáltatásának telepítéséhez hajtsa végre a következő lépéseket:To install the Azure AD Password Protection proxy service, complete the following steps:

  1. Az Azure AD jelszavas védelem proxy szolgáltatásának telepítéséhez futtassa a AzureADPasswordProtectionProxySetup.exe szoftver telepítőjét.To install the Azure AD Password Protection proxy service, run the AzureADPasswordProtectionProxySetup.exe software installer.

    A Szoftvertelepítés nem igényel újraindítást, és a szabványos MSI-eljárások használatával automatizálható, ahogy az alábbi példában is látható:The software installation doesn't require a reboot and may be automated using standard MSI procedures, as in the following example:

    AzureADPasswordProtectionProxySetup.exe /quiet
    

    Megjegyzés

    A telepítési hiba elkerülése érdekében a Windows tűzfal szolgáltatásnak futnia kell a csomag telepítése előtt AzureADPasswordProtectionProxySetup.exe .The Windows Firewall service must be running before you install the AzureADPasswordProtectionProxySetup.exe package to avoid an installation error.

    Ha a Windows tűzfal úgy van konfigurálva, hogy ne fusson, a megoldás a telepítés során átmenetileg engedélyezi és futtatja a tűzfal szolgáltatást.If Windows Firewall is configured to not run, the workaround is to temporarily enable and run the Firewall service during the installation. A proxykiszolgáló a telepítés után nem rendelkezik specifikus függőséggel a Windows tűzfalon.The proxy software has no specific dependency on Windows Firewall after installation.

    Ha külső gyártótól származó tűzfalat használ, azt továbbra is konfigurálni kell, hogy az megfeleljen a telepítési követelményeknek.If you're using a third-party firewall, it must still be configured to satisfy the deployment requirements. Ezek közé tartozik a 135-es port és a proxy RPC-kiszolgáló portjának bejövő hozzáférésének engedélyezése.These include allowing inbound access to port 135 and the proxy RPC server port. További információ: az üzembe helyezési követelményekelőző szakasza.For more information, see the previous section on deployment requirements.

  2. Az Azure AD jelszavas védelem proxy szoftver tartalmaz egy új PowerShell-modult AzureADPasswordProtection .The Azure AD Password Protection proxy software includes a new PowerShell module, AzureADPasswordProtection. A következő lépések különféle parancsmagokat futtatnak ebből a PowerShell-modulból.The following steps run various cmdlets from this PowerShell module.

    A modul használatához nyisson meg egy PowerShell-ablakot rendszergazdaként, és importálja az új modult az alábbiak szerint:To use this module, open a PowerShell window as an administrator and import the new module as follows:

    Import-Module AzureADPasswordProtection
    
  3. Az Azure AD jelszavas védelem proxy szolgáltatásának futtatásához használja a következő PowerShell-parancsot:To check that the Azure AD Password Protection proxy service is running, use the following PowerShell command:

    Get-Service AzureADPasswordProtectionProxy | fl
    

    Az eredménynek a futó állapotot kell mutatnia.The result should show a Status of Running.

  4. A proxy szolgáltatás a gépen fut, de nem rendelkezik hitelesítő adatokkal az Azure AD-vel való kommunikációhoz.The proxy service is running on the machine, but doesn't have credentials to communicate with Azure AD. Regisztrálja az Azure AD jelszavas védelmi proxykiszolgálót az Azure AD-ben a Register-AzureADPasswordProtectionProxy parancsmag használatával.Register the Azure AD Password Protection proxy server with Azure AD using the Register-AzureADPasswordProtectionProxy cmdlet.

    Ehhez a parancsmaghoz globális rendszergazdai hitelesítő adatok szükségesek az Azure-bérlőhöz.This cmdlet requires global administrator credentials for your Azure tenant. Helyi Active Directory tartományi rendszergazdai jogosultságokkal is rendelkeznie kell az erdő gyökértartományában.You also need on-premises Active Directory domain administrator privileges in the forest root domain. Ezt a parancsmagot helyi rendszergazdai jogosultságokkal rendelkező fiókkal is futtatni kell:This cmdlet must also be run using an account with local administrator privileges:

    Miután ez a parancs egyszer sikeresen bekerült egy Azure AD-beli jelszavas védelmi proxy szolgáltatásra, a további meghívások sikeresek lesznek, de szükségtelenek.After this command succeeds once for a Azure AD Password Protection proxy service, additional invocations of it succeed, but are unnecessary.

    A Register-AzureADPasswordProtectionProxy parancsmag a következő három hitelesítési módot támogatja.The Register-AzureADPasswordProtectionProxy cmdlet supports the following three authentication modes. Az első két mód támogatja az Azure Multi-Factor Authentication-t, de a harmadik mód nem.The first two modes support Azure Multi-Factor Authentication but the third mode doesn't.

    Tipp

    Előfordulhat, hogy egy adott Azure-bérlő esetében a parancsmag első futtatásakor észrevehető késleltetési idő van.There might be a noticeable delay before completion the first time that this cmdlet is run for a specific Azure tenant. Ha nem jelent hibát, ne aggódjon ez a késés.Unless a failure is reported, don't worry about this delay.

    • Interaktív hitelesítési mód:Interactive authentication mode:

      Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
      

      Megjegyzés

      Ez a mód nem működik a Server Core operációs rendszereken.This mode doesn't work on Server Core operating systems. Ehelyett használja a következő hitelesítési módok egyikét.Instead, use one of the following authentication modes. Ez a mód akkor is meghiúsulhat, ha az Internet Explorer fokozott biztonsági beállításai engedélyezve vannak.Also, this mode might fail if Internet Explorer Enhanced Security Configuration is enabled. A megkerülő megoldás a konfiguráció letiltása, a proxy regisztrálása, majd újbóli engedélyezése.The workaround is to disable that Configuration, register the proxy, and then re-enable it.

    • Eszköz-kód hitelesítési mód:Device-code authentication mode:

      Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
      

      Amikor a rendszer rákérdez, a hivatkozásra kattintva nyisson meg egy webböngészőt, és adja meg a hitelesítési kódot.When prompted, following the link to open a web browser and enter the authentication code.

    • Csendes (jelszó-alapú) hitelesítési mód:Silent (password-based) authentication mode:

      $globalAdminCredentials = Get-Credential
      Register-AzureADPasswordProtectionProxy -AzureCredential $globalAdminCredentials
      

      Megjegyzés

      Ez a mód meghiúsul, ha az Azure Multi-Factor Authentication szükséges a fiókhoz.This mode fails if Azure Multi-Factor Authentication is required for your account. Ebben az esetben használja az előző két hitelesítési mód egyikét, vagy használjon egy másik fiókot, amely nem igényel MFA-t.In that case, use one of the previous two authentication modes, or instead use a different account that does not require MFA.

      Azt is megteheti, hogy az MFA szükséges, ha az Azure-eszköz regisztrációja (amelyet az Azure AD jelszavas védelem keretében használ) úgy van konfigurálva, hogy globálisan megkövetelje az MFA-t.You may also see MFA required if Azure Device Registration (which is used under the covers by Azure AD Password Protection) has been configured to globally require MFA. Ennek a követelménynek a megkerülő megoldásához használhat egy másik fiókot, amely támogatja az MFA-t az előző két hitelesítési mód egyikével, vagy átmenetileg kihasználhatja az Azure-eszköz regisztrációjának MFA-követelményét is.To workaround this requirement you may use a different account that supports MFA with one of the previous two authentication modes, or you may also temporarily relax the Azure Device Registration MFA requirement.

      A módosítás végrehajtásához keresse meg és válassza ki Azure Active Directory a Azure Portal, majd az eszközök > eszközbeállításokelemet.To make this change, search for and select Azure Active Directory in the Azure portal, then select Devices > Device Settings. Állítsa be a többtényezős hitelesítés megkövetelése eszközt a nemértékre való csatlakoztatáshoz.Set Require Multi-Factor Auth to join devices to No. Ügyeljen rá, hogy ezt a beállítást állítsa vissza az Igen értékre, ha a regisztráció befejeződött.Be sure to reconfigure this setting back to Yes once registration is complete.

      Javasoljuk, hogy az MFA-követelményeket csak tesztelési célokra lehessen kihagyni.We recommend that MFA requirements be bypassed for test purposes only.

    Jelenleg nem kell megadnia a -ForestCredential paramétert, amely a jövőbeli funkciók számára van fenntartva.You don't currently have to specify the -ForestCredential parameter, which is reserved for future functionality.

    Az Azure AD jelszavas védelem-proxy szolgáltatás regisztrációját csak egyszer kell elvégezni a szolgáltatás élettartama során.Registration of the Azure AD Password Protection proxy service is necessary only once in the lifetime of the service. Ezt követően az Azure AD jelszavas védelmi proxy szolgáltatás automatikusan végrehajtja a többi szükséges karbantartást.After that, the Azure AD Password Protection proxy service will automatically perform any other necessary maintenance.

  5. Most regisztrálja a helyszíni Active Directory erdőben a szükséges hitelesítő adatokat az Azure-hoz való kommunikációhoz a Register-AzureADPasswordProtectionForest PowerShell-parancsmag használatával.Now register the on-premises Active Directory forest with the necessary credentials to communicate with Azure by using the Register-AzureADPasswordProtectionForest PowerShell cmdlet.

    Megjegyzés

    Ha több Azure AD-beli jelszavas védelmi proxykiszolgáló van telepítve a környezetben, nem számít, hogy melyik proxykiszolgálót használja az erdő regisztrálásához.If multiple Azure AD Password Protection proxy servers are installed in your environment, it doesn't matter which proxy server you use to register the forest.

    A parancsmaghoz globális rendszergazdai hitelesítő adatok szükségesek az Azure-bérlőhöz.The cmdlet requires global administrator credentials for your Azure tenant. Ezt a parancsmagot a helyi rendszergazdai jogosultságokkal rendelkező fiókkal is futtatnia kell.You must also run this cmdlet using an account with local administrator privileges. Helyszíni Active Directory vállalati rendszergazdai jogosultságokat is igényel.It also requires on-premises Active Directory Enterprise Administrator privileges. Ez a lépés erdőn keresztül egyszer fut.This step is run once per forest.

    A Register-AzureADPasswordProtectionForest parancsmag a következő három hitelesítési módot támogatja.The Register-AzureADPasswordProtectionForest cmdlet supports the following three authentication modes. Az első két mód támogatja az Azure Multi-Factor Authentication-t, de a harmadik mód nem.The first two modes support Azure Multi-Factor Authentication but the third mode doesn't.

    Tipp

    Előfordulhat, hogy egy adott Azure-bérlő esetében a parancsmag első futtatásakor észrevehető késleltetési idő van.There might be a noticeable delay before completion the first time that this cmdlet is run for a specific Azure tenant. Ha nem jelent hibát, ne aggódjon ez a késés.Unless a failure is reported, don't worry about this delay.

    • Interaktív hitelesítési mód:Interactive authentication mode:

      Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
      

      Megjegyzés

      Ez a mód nem működik a Server Core operációs rendszereken.This mode won't work on Server Core operating systems. Ehelyett használja a következő két hitelesítési mód egyikét.Instead use one of the following two authentication modes. Ez a mód akkor is meghiúsulhat, ha az Internet Explorer fokozott biztonsági beállításai engedélyezve vannak.Also, this mode might fail if Internet Explorer Enhanced Security Configuration is enabled. A megkerülő megoldással tiltsa le ezt a konfigurációt, regisztrálja az erdőt, majd engedélyezze újra.The workaround is to disable that Configuration, register the forest, and then re-enable it.

    • Eszköz-kód hitelesítési mód:Device-code authentication mode:

      Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
      

      Amikor a rendszer rákérdez, a hivatkozásra kattintva nyisson meg egy webböngészőt, és adja meg a hitelesítési kódot.When prompted, following the link to open a web browser and enter the authentication code.

    • Csendes (jelszó-alapú) hitelesítési mód:Silent (password-based) authentication mode:

      $globalAdminCredentials = Get-Credential
      Register-AzureADPasswordProtectionForest -AzureCredential $globalAdminCredentials
      

      Megjegyzés

      Ez a mód meghiúsul, ha az Azure Multi-Factor Authentication szükséges a fiókhoz.This mode fails if Azure Multi-Factor Authentication is required for your account. Ebben az esetben használja az előző két hitelesítési mód egyikét, vagy használjon egy másik fiókot, amely nem igényel MFA-t.In that case, use one of the previous two authentication modes, or instead use a different account that does not require MFA.

      Azt is megteheti, hogy az MFA szükséges, ha az Azure-eszköz regisztrációja (amelyet az Azure AD jelszavas védelem keretében használ) úgy van konfigurálva, hogy globálisan megkövetelje az MFA-t.You may also see MFA required if Azure Device Registration (which is used under the covers by Azure AD Password Protection) has been configured to globally require MFA. Ennek a követelménynek a megkerülő megoldásához használhat egy másik fiókot, amely támogatja az MFA-t az előző két hitelesítési mód egyikével, vagy átmenetileg kihasználhatja az Azure-eszköz regisztrációjának MFA-követelményét is.To workaround this requirement you may use a different account that supports MFA with one of the previous two authentication modes, or you may also temporarily relax the Azure Device Registration MFA requirement.

      A módosítás végrehajtásához keresse meg és válassza ki Azure Active Directory a Azure Portal, majd az eszközök > eszközbeállításokelemet.To make this change, search for and select Azure Active Directory in the Azure portal, then select Devices > Device Settings. Állítsa be a többtényezős hitelesítés megkövetelése eszközt a nemértékre való csatlakoztatáshoz.Set Require Multi-Factor Auth to join devices to No. Ügyeljen rá, hogy ezt a beállítást állítsa vissza az Igen értékre, ha a regisztráció befejeződött.Be sure to reconfigure this setting back to Yes once registration is complete.

      Javasoljuk, hogy az MFA-követelményeket csak tesztelési célokra lehessen kihagyni.We recommend that MFA requirements be bypassed for test purposes only.

      Ezek a példák csak akkor sikeresek, ha az aktuálisan bejelentkezett felhasználó Active Directory tartományi rendszergazda is a legfelső szintű tartományhoz.These examples only succeed if the currently signed-in user is also an Active Directory domain administrator for the root domain. Ha ez nem igaz, alternatív tartományi hitelesítő adatokat is megadhat a -ForestCredential paraméter használatával.If this isn't the case, you can supply alternative domain credentials via the -ForestCredential parameter.

    A Active Directory erdő regisztrációját csak egyszer kell elvégezni az erdő élettartama során.Registration of the Active Directory forest is necessary only once in the lifetime of the forest. Ezt követően az erdőben lévő Azure AD jelszavas védelem DC-ügynökei automatikusan elvégzik a többi szükséges karbantartást.After that, the Azure AD Password Protection DC agents in the forest automatically perform any other necessary maintenance. Az Register-AzureADPasswordProtectionForest erdő sikeres futtatása után a parancsmag további meghívásai sikeresek lesznek, de szükségtelenek.After Register-AzureADPasswordProtectionForest runs successfully for a forest, additional invocations of the cmdlet succeed, but are unnecessary.

    Register-AzureADPasswordProtectionForestAhhoz, hogy a sikeres legyen, legalább egy Windows Server 2012 vagy újabb rendszert futtató tartományvezérlőnek elérhetőnek kell lennie az Azure ad jelszavas védelmi proxykiszolgáló tartományában.For Register-AzureADPasswordProtectionForest to succeed, at least one DC running Windows Server 2012 or later must be available in the Azure AD Password Protection proxy server's domain. Az Azure AD jelszavas védelem – TARTOMÁNYVEZÉRLŐi ügynök szoftverét nem kell minden tartományvezérlőn telepíteni a lépés előtt.The Azure AD Password Protection DC agent software doesn't have to be installed on any domain controllers prior to this step.

A proxy szolgáltatás konfigurálása HTTP-proxyn keresztüli kommunikációraConfigure the proxy service to communicate through an HTTP proxy

Ha a környezete egy adott HTTP-proxy használatát igényli az Azure-hoz való kommunikációhoz, az alábbi lépésekkel konfigurálhatja az Azure AD jelszavas védelmi szolgáltatást.If your environment requires the use of a specific HTTP proxy to communicate with Azure, use the following steps to configure the Azure AD Password Protection service.

Hozzon létre egy AzureADPasswordProtectionProxy.exe.config fájlt a %ProgramFiles%\Azure AD Password Protection Proxy\Service mappában.Create a AzureADPasswordProtectionProxy.exe.config file in the %ProgramFiles%\Azure AD Password Protection Proxy\Service folder. A következő tartalom belefoglalása:Include the following content:

<configuration>
   <system.net>
      <defaultProxy enabled="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

Ha a HTTP-proxy hitelesítést igényel, adja hozzá a useDefaultCredentials címkét:If your HTTP proxy requires authentication, add the useDefaultCredentials tag:

<configuration>
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

Mindkét esetben cserélje le a- http://yourhttpproxy.com:8080 t az adott HTTP-proxykiszolgáló címe és portja helyére.In both cases, replace http://yourhttpproxy.com:8080 with the address and port of your specific HTTP proxy server.

Ha a HTTP-proxy engedélyezési házirend használatára van konfigurálva, hozzáférést kell biztosítania annak a számítógépnek a Active Directory számítógépfiókja számára, amely a proxy szolgáltatást a jelszavas védelemhez futtatja.If your HTTP proxy is configured to use an authorization policy, you must grant access to the Active Directory computer account of the machine that hosts the proxy service for password protection.

Azt javasoljuk, hogy a AzureADPasswordProtectionProxy.exe.config fájl létrehozása vagy frissítése után állítsa le és indítsa újra az Azure ad jelszavas védelmi proxy szolgáltatást.We recommend that you stop and restart the Azure AD Password Protection proxy service after you create or update the AzureADPasswordProtectionProxy.exe.config file.

A proxy szolgáltatás nem támogatja a HTTP-proxyhoz való csatlakozáshoz megadott hitelesítő adatok használatát.The proxy service doesn't support the use of specific credentials for connecting to an HTTP proxy.

A proxy szolgáltatás beállítása egy adott port figyeléséreConfigure the proxy service to listen on a specific port

Az Azure AD jelszavas védelem tartományvezérlő ügynökének szoftvere RPC protokollt használ a proxy szolgáltatással való kommunikációhoz.The Azure AD Password Protection DC agent software uses RPC over TCP to communicate with the proxy service. Alapértelmezés szerint az Azure AD jelszavas védelem proxy szolgáltatása figyeli az összes elérhető dinamikus RPC-végpontot.By default, the Azure AD Password Protection proxy service listens on any available dynamic RPC endpoint. A szolgáltatás beállítható úgy, hogy egy adott TCP-portot figyelje, szükség esetén a hálózat topológiája vagy a környezete által támasztott tűzfalszabályok miatt.You can configure the service to listen on a specific TCP port, if necessary due to networking topology or firewall requirements in your environment.

Ha úgy szeretné konfigurálni a szolgáltatást, hogy statikus porton fusson, használja a Set-AzureADPasswordProtectionProxyConfiguration parancsmagot a következő módon:To configure the service to run under a static port, use the Set-AzureADPasswordProtectionProxyConfiguration cmdlet as follows:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort <portnumber>

Figyelmeztetés

A módosítások érvénybe léptetéséhez le kell állítania, majd újra kell indítania az Azure AD jelszavas védelem proxy szolgáltatását.You must stop and restart the Azure AD Password Protection proxy service for these changes to take effect.

Ha úgy szeretné konfigurálni a szolgáltatást, hogy egy dinamikus porton fusson, ugyanazt az eljárást használja, de állítsa vissza a StaticPort nullára:To configure the service to run under a dynamic port, use the same procedure but set StaticPort back to zero:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort 0

Figyelmeztetés

A módosítások érvénybe léptetéséhez le kell állítania, majd újra kell indítania az Azure AD jelszavas védelem proxy szolgáltatását.You must stop and restart the Azure AD Password Protection proxy service for these changes to take effect.

Az Azure AD jelszavas védelem-proxy szolgáltatáshoz manuális újraindítás szükséges a port konfigurációjának módosítása után.The Azure AD Password Protection proxy service requires a manual restart after any change in port configuration. A konfiguráció módosítása után nem kell újraindítani az Azure AD jelszavas védelmi DC Agent szolgáltatást a tartományvezérlőkön.You don't have to restart the Azure AD Password Protection DC agent service on domain controllers after you make these configuration changes.

A szolgáltatás jelenlegi konfigurációjának lekérdezéséhez használja a Get-AzureADPasswordProtectionProxyConfiguration parancsmagot az alábbi példában látható módon.To query for the current configuration of the service, use the Get-AzureADPasswordProtectionProxyConfiguration cmdlet as shown in the following example

Get-AzureADPasswordProtectionProxyConfiguration | fl

A következő példa kimenete azt mutatja, hogy az Azure AD jelszavas védelmi proxy szolgáltatás dinamikus portot használ:The following example output shows that the Azure AD Password Protection proxy service is using a dynamic port:

ServiceName : AzureADPasswordProtectionProxy
DisplayName : Azure AD password protection Proxy
StaticPort  : 0

A DC Agent szolgáltatás telepítéseInstall the DC agent service

Az Azure AD jelszavas védelem DC Agent szolgáltatásának telepítéséhez futtassa a AzureADPasswordProtectionDCAgentSetup.msi csomagot.To install the Azure AD Password Protection DC agent service, run the AzureADPasswordProtectionDCAgentSetup.msi package.

A Szoftvertelepítés a szabványos MSI-eljárások használatával automatizálható, ahogy az alábbi példában is látható:You can automate the software installation by using standard MSI procedures, as shown in the following example:

msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart

A /norestart jelző kihagyható, ha szeretné, hogy a telepítő automatikusan újraindítsa a számítógépet.The /norestart flag can be omitted if you prefer to have the installer automatically reboot the machine.

A szoftver telepítése vagy eltávolítása újraindítást igényel.The software installation, or uninstallation, requires a restart. Ennek a követelménynek az az oka, hogy a rendszer csak a jelszó-szűrő DLL-eket tölti be vagy távolítja el újra.This requirement is because password filter DLLs are only loaded or unloaded by a restart.

A helyszíni Azure AD jelszavas védelem telepítése akkor fejeződik be, ha a tartományvezérlő ügynök szoftverét tartományvezérlőre telepítették, és a számítógép újraindul.The installation of on-prem Azure AD Password Protection is complete after the DC agent software is installed on a domain controller, and that computer is rebooted. Nincs szükség más konfigurációra.No other configuration is required or possible. A helyi tartományvezérlők jelszavas változási eseményei az Azure AD-ban konfigurált betiltott jelszavak listáját használják.Password change events against the on-prem DCs use the configured banned password lists from Azure AD.

Ha engedélyezni szeretné az Azure AD-beli jelszavas védelmet a Azure Portal, vagy egyéni tiltott jelszavakat konfigurál, tekintse meg a helyszíni Azure ad jelszavas védelem engedélyezésecímű témakört.To enable on-prem Azure AD Password Protection from the Azure portal or configure custom banned passwords, see Enable on-premises Azure AD Password Protection.

Tipp

Az Azure AD jelszavas védelem tartományvezérlő ügynökét olyan gépre is telepítheti, amely még nem tartományvezérlő.You can install the Azure AD Password Protection DC agent on a machine that's not yet a domain controller. Ebben az esetben a szolgáltatás elindul és fut, de mindaddig inaktív marad, amíg a gépet tartományvezérlővé nem előléptetik.In this case, the service starts and runs but remain inactive until the machine is promoted to be a domain controller.

A proxy szolgáltatás frissítéseUpgrading the proxy service

Az Azure AD jelszavas védelem proxy szolgáltatása támogatja az automatikus frissítést.The Azure AD Password Protection proxy service supports automatic upgrade. Az automatikus frissítés a Microsoft Azure AD összekapcsolási ügynök frissítési szolgáltatását használja, amelyet a rendszer a proxy szolgáltatással párhuzamosan telepít.Automatic upgrade uses the Microsoft Azure AD Connect Agent Updater service, which is installed side by side with the proxy service. Az automatikus frissítés alapértelmezés szerint be van kapcsolva, és a parancsmag használatával engedélyezhető vagy letiltható Set-AzureADPasswordProtectionProxyConfiguration .Automatic upgrade is on by default, and may be enabled or disabled using the Set-AzureADPasswordProtectionProxyConfiguration cmdlet.

Az aktuális beállítás a parancsmag használatával kérdezhető le Get-AzureADPasswordProtectionProxyConfiguration .The current setting can be queried using the Get-AzureADPasswordProtectionProxyConfiguration cmdlet. Javasoljuk, hogy az automatikus frissítési beállítás mindig engedélyezve legyen.We recommend that the automatic upgrade setting always is enabled.

A Get-AzureADPasswordProtectionProxy parancsmag segítségével lekérdezhető az összes jelenleg telepített Azure ad jelszavas védelmi proxykiszolgáló szoftveres verziója egy erdőben.The Get-AzureADPasswordProtectionProxy cmdlet may be used to query the software version of all currently installed Azure AD Password Protection proxy servers in a forest.

Manuális verziófrissítési folyamatManual upgrade process

A szoftver telepítőjének legújabb verziójának futtatásával manuális frissítést hajthat végre AzureADPasswordProtectionProxySetup.exe .A manual upgrade is accomplished by running the latest version of the AzureADPasswordProtectionProxySetup.exe software installer. A szoftver legújabb verziója a Microsoft letöltőközpontbólérhető el.The latest version of the software is available on the Microsoft Download Center.

Nem szükséges az Azure AD Password Protection proxy szolgáltatás aktuális verziójának eltávolítása – a telepítő helyben történő frissítést hajt végre.It's not required to uninstall the current version of the Azure AD Password Protection proxy service - the installer performs an in-place upgrade. A proxy szolgáltatás frissítésekor nem szükséges újraindítást végezni.No reboot should be required when upgrading the proxy service. Előfordulhat, hogy a szoftverfrissítés szabványos MSI-eljárásokat használ, például: AzureADPasswordProtectionProxySetup.exe /quiet .The software upgrade may be automated using standard MSI procedures, such as AzureADPasswordProtectionProxySetup.exe /quiet.

A DC-ügynök frissítéseUpgrading the DC agent

Ha az Azure AD jelszavas védelem DC-ügynökének újabb verziója érhető el, a frissítés a szoftvercsomag legújabb verziójának futtatásával valósítható meg AzureADPasswordProtectionDCAgentSetup.msi .When a newer version of the Azure AD Password Protection DC agent software is available, the upgrade is accomplished by running the latest version of the AzureADPasswordProtectionDCAgentSetup.msi software package. A szoftver legújabb verziója a Microsoft letöltőközpontbólérhető el.The latest version of the software is available on the Microsoft Download Center.

A DC-ügynök szoftverének aktuális verzióját nem szükséges eltávolítani – a telepítő helyben történő frissítést hajt végre.It's not required to uninstall the current version of the DC agent software - the installer performs an in-place upgrade. A DC-ügynök szoftverének frissítésekor mindig újraindítás szükséges – ezt a követelményt az alapvető Windows-viselkedés okozza.A reboot is always required when upgrading the DC agent software - this requirement is caused by core Windows behavior.

Előfordulhat, hogy a szoftverfrissítés szabványos MSI-eljárásokat használ, például: msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart .The software upgrade may be automated using standard MSI procedures, such as msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart.

/norestartHa szeretné, hogy a telepítő automatikusan újraindítsa a gépet, kihagyhatja a jelzőt.You may omit the /norestart flag if you prefer to have the installer automatically reboot the machine.

A Get-AzureADPasswordProtectionDCAgent parancsmag segítségével lekérdezhető az összes jelenleg telepített Azure ad Password Protection DC-ügynök szoftveres verziója egy erdőben.The Get-AzureADPasswordProtectionDCAgent cmdlet may be used to query the software version of all currently installed Azure AD Password Protection DC agents in a forest.

További lépésekNext steps

Most, hogy telepítette az Azure AD jelszavas védelemhez szükséges szolgáltatásokat a helyszíni kiszolgálókon, engedélyezze az Azure ad jelszavas védelmet a Azure Portal az üzembe helyezés befejezéséhez.Now that you've installed the services that you need for Azure AD Password Protection on your on-premises servers, enable on-prem Azure AD Password Protection in the Azure portal to complete your deployment.