Pianificare e distribuire Protezione password di Microsoft Entra locale

Gli utenti creano spesso password che usano parole locali comuni, ad esempio il nome di una scuola, una squadra sportiva o un personaggio famoso. Queste password sono facili da indovinare e vulnerabili ad attacchi basati su dizionario. Per fare in modo che nell'organizzazione vengano usate password complesse, Protezione password di Microsoft Entra fornisce un elenco di password vietate globali e personalizzate. Una richiesta di modifica della password ha esito negativo se è presente una corrispondenza in questo elenco di password escluse.

Per proteggere l'ambiente Active Directory locale Domain Services (AD DS), è possibile installare e configurare La protezione password di Microsoft Entra per l'uso con il controller di dominio locale. Questo articolo illustra come installare e registrare il servizio proxy di protezione password Di Microsoft Entra e l'agente del controller di dominio di protezione password Di Microsoft Entra nell'ambiente locale.

Per altre informazioni sul funzionamento di Microsoft Entra Password Protection in un ambiente locale, vedere Come applicare la protezione password di Microsoft Entra per Windows Server Active Directory.

Strategia di distribuzione

Il diagramma seguente mostra come interagiscono i componenti di base di Protezione password di Microsoft Entra in un ambiente Active Directory locale:

È consigliabile esaminare il funzionamento del software prima di distribuirlo. Per altre informazioni, vedere Panoramica concettuale di Microsoft Entra Password Protection.

È consigliabile iniziare le distribuzioni in modalità di controllo. La modalità di controllo è l'impostazione iniziale predefinita in cui è possibile continuare a impostare le password. Le password che verrebbero bloccate vengono inserite nel registro eventi. Dopo aver distribuito i server proxy e gli agenti del controller di dominio in modalità di controllo, monitorare l'impatto che i criteri password avranno sugli utenti quando verranno applicati.

Durante la fase di controllo, molte organizzazioni riscontrano le situazioni seguenti:

• Hanno necessità di migliorare i processi operativi esistenti per usare password più sicure.
• Gli utenti spesso usano password non sicure.
• È necessario informare gli utenti sulle future modifiche nell'applicazione della sicurezza, sul possibile impatto che queste avranno su di loro e su come scegliere password più sicure.

È anche possibile che la convalida per le password più sicure influisca sull'automazione della distribuzione del controller di dominio Active Directory esistente. È consigliabile che almeno una promozione del controller di dominio e un'abbassamento di livello del controller di dominio si verifichino durante la valutazione del periodo di controllo per individuare tali problemi. Per altre informazioni, vedere gli articoli seguenti:

• Ntdsutil.exe non è possibile impostare una password debole della modalità di ripristino dei servizi directory
• L'innalzamento di livello della replica del controller di dominio non riesce a causa di una password debole della modalità di ripristino dei servizi directory
• L'abbassamento di livello del controller di dominio non riesce a causa di una password locale Amministrazione istrator debole

Dopo aver eseguito la funzionalità in modalità di controllo per un periodo di tempo ragionevole, è possibile cambiare la configurazione da Controllo ad Applica per richiedere l'uso di password più sicure. Un monitoraggio aggiuntivo durante questo periodo è una buona idea.

È importante notare che La protezione password di Microsoft Entra può convalidare solo le password durante le operazioni di modifica o impostazione della password. Le password accettate e archiviate in Active Directory prima della distribuzione di Microsoft Entra Password Protection non verranno mai convalidate e continueranno a funzionare così come sono. Nel corso del tempo, tutti gli utenti e gli account inizieranno a usare password convalidate da Microsoft Entra Password protection man mano che le password esistenti scadono normalmente. Gli account configurati con l'opzione "La password non scade mai" sono esenti da questo comportamento.

Considerazioni sulla presenza di più foreste

Non sono previsti requisiti aggiuntivi per distribuire la Protezione password di Microsoft Entra in più foreste.

Ogni foresta è configurata in modo indipendente, come descritto nella sezione seguente per distribuire la protezione password di Microsoft Entra locale. Ogni proxy di Protezione password di Microsoft Entra può supportare solo i controller di dominio della foresta a cui è aggiunto.

Il software di Protezione password di Microsoft Entra in una specifica foresta non rileva la presenza del software di protezione password distribuito nelle altre foreste, indipendentemente dalle configurazioni di trust di Active Directory.

Considerazioni sui controller di dominio di sola lettura

Gli eventi di modifica o di impostazione della password non vengono elaborati e resi permanenti nei controller di dominio di sola lettura. Vengono invece inoltrati ai controller di dominio scrivibili. Non è necessario installare il software dell'agente del controller di dominio di Protezione password di Microsoft Entra nei controller di dominio di sola lettura.

Inoltre, non è supportato eseguire il servizio proxy di protezione password di Microsoft Entra in un controller di dominio di sola lettura.

Considerazioni sulla disponibilità elevata

La preoccupazione principale per quanto riguarda la protezione password è la disponibilità dei server proxy di Protezione password di Microsoft Entra quando i controller di dominio in una foresta cercano di scaricare nuovi criteri o altri dati da Azure. Ogni agente del controller di dominio di Protezione password di Microsoft Entra usa un semplice algoritmo di tipo round robin per decidere quale server proxy chiamare. L'agente ignora i server proxy che non rispondono.

Per la maggior parte delle distribuzioni di Active Directory completamente connesse con una replica integra dello stato della cartella sysvol e della directory, due server proxy di Protezione password di Microsoft Entra sono sufficienti per assicurare la disponibilità. Questa configurazione consente il download tempestivo dei nuovi criteri e di altri dati. Se lo si desidera, è possibile distribuire server proxy aggiuntivi di Protezione password di Microsoft Entra.

La progettazione del software dell'agente del controller di dominio di Protezione password di Microsoft Entra mitiga i normali problemi associati alla disponibilità elevata. L'agente del controller di dominio di Protezione password di Microsoft Entra gestisce una cache locale dei criteri password scaricati più di recente. Anche se tutti i server proxy registrati diventano non disponibili, gli agenti del controller di dominio di Protezione password di Microsoft Entra continuano ad applicare i criteri password memorizzati nella cache.

Una frequenza di aggiornamento ragionevole per i criteri password in una distribuzione di grandi dimensioni è in genere nell'ordine dei giorni, non delle ore o a intervalli inferiori. Pertanto, brevi interruzioni dei server proxy non influiscono in modo significativo sulla protezione password di Microsoft Entra.

Requisiti di distribuzione

Per informazioni sulle licenze, vedere Requisiti di licenza di Microsoft Entra Password Protection.

Si applicano i requisiti di base seguenti:

• Per tutti i computer, inclusi i controller di dominio, in cui sono installati i componenti di Protezione password Di Microsoft Entra, è necessario che sia installato Universal C Runtime.

  • È possibile ottenere il runtime assicurandosi di disporre di tutti gli aggiornamenti da Windows Update. In alternativa, è possibile ottenerlo in un pacchetto di aggiornamento specifico del sistema operativo. Per altre informazioni, vedere Aggiornamento per Universal C Runtime in Windows.

• È necessario un account con privilegi di amministratore di dominio di Microsoft Entra nel dominio radice della foresta per registrare la foresta di Windows Server Active Directory con Microsoft Entra.

• Il servizio distribuzione chiavi deve essere abilitato in tutti i controller di dominio nel dominio che eseguono Windows Server 2012 e versioni successive. Per impostazione predefinita, questo servizio viene abilitato tramite l'avvio del trigger manuale.

• È necessaria la connettività di rete tra almeno un controller di dominio in ogni dominio e almeno un server che ospita il servizio proxy per Protezione password di Microsoft Entra. Questa connettività deve consentire al controller di dominio di accedere alla porta del mapper di endpoint RPC 135 e alla porta del server RPC nel servizio proxy.

  • Per impostazione predefinita, la porta del server RPC è una porta RPC dinamica dall'intervallo (49152 - 65535), ma può essere configurata per l'uso di una porta statica.

• Tutti i computer in cui verrà installato il servizio proxy di protezione password di Microsoft Entra devono avere accesso di rete agli endpoint seguenti:

  Endpoint	Scopo
  https://login.microsoftonline.com	Richieste di autenticazione
  https://enterpriseregistration.windows.net	Funzionalità di protezione password di Microsoft Entra
  https://autoupdate.msappproxy.net	Funzionalità di aggiornamento automatico di Microsoft Entra Password Protection

Nota

Alcuni endpoint, ad esempio l'endpoint CRL, non vengono risolti in questo articolo. Per un elenco di tutti gli endpoint supportati, vedere URL e intervalli di indirizzi IP di Microsoft 365. Inoltre, per l'autenticazione dell'interfaccia di amministrazione di Microsoft Entra sono necessari altri endpoint. Per altre informazioni, vedere URL dell'interfaccia di amministrazione di Microsoft Entra per il bypass del proxy.

Agente del controller di dominio di Protezione password di Microsoft Entra ID

All'agente del controller di dominio di Protezione password di Microsoft Entra si applicano i requisiti seguenti:

• I computer in cui verrà installato il software agente del controller di dominio microsoft Entra Password Protection possono eseguire qualsiasi versione supportata di Windows Server, incluse le edizioni Windows Server Core.
  • Il dominio o la foresta di Active Directory può essere qualsiasi livello funzionale supportato.
• Tutti i computer in cui verrà installato l'agente del controller di dominio microsoft Entra Password Protection devono avere installato .NET 4.7.2.
  • Se .NET 4.7.2 non è già installato, scaricare ed eseguire il programma di installazione trovato in Programma di installazione offline di .NET Framework 4.7.2 per Windows.
• Qualsiasi dominio di Active Directory in cui è in esecuzione il servizio agente del controller di dominio di Protezione password di Microsoft Entra deve usare la replica del file system distribuito (DFSR) per la replica sysvol.

  • Se il dominio non usa già DFSR, è necessario eseguire la migrazione prima di installare Microsoft Entra Password Protection. Per altre informazioni, vedere SysVOL Replication Migration Guide: FRS to DFS Replication

    Avviso

    Il software agente del controller di dominio microsoft Entra Password Protection verrà attualmente installato nei controller di dominio nei domini che usano ancora FRS (la tecnologia predecessore per DFSR) per la replica sysvol, ma il software non funzionerà correttamente in questo ambiente.

    Altri effetti collaterali negativi includono la mancata replica di singoli file e procedure di ripristino sysvol che sembrano completate ma che non riescono automaticamente a replicare tutti i file.

    Eseguire la migrazione del dominio per usare DFSR il prima possibile, sia per i vantaggi intrinseci di DFSR che per sbloccare la distribuzione di Microsoft Entra Password Protection. Le versioni future del software verranno disabilitate automaticamente durante l'esecuzione in un dominio che usa ancora FRS.

Servizio proxy di protezione della password di Microsoft Entra

I requisiti seguenti si applicano al servizio proxy di protezione password di Microsoft Entra:

• Tutti i computer in cui verrà installato il servizio proxy di protezione password Microsoft Entra devono eseguire Windows Server 2012 R2 o versione successiva, incluse le edizioni Windows Server Core.

  Nota

  La distribuzione del servizio proxy di protezione password di Microsoft Entra è un requisito obbligatorio per la distribuzione di Microsoft Entra Password Protection anche se il controller di dominio può avere connettività Internet diretta in uscita.

• Tutti i computer in cui verrà installato il servizio proxy di protezione password Microsoft Entra devono avere installato .NET 4.7.2.

  • Se .NET 4.7.2 non è già installato, scaricare ed eseguire il programma di installazione trovato in Programma di installazione offline di .NET Framework 4.7.2 per Windows.

• Tutti i computer che ospitano il servizio proxy di protezione password di Microsoft Entra devono essere configurati per concedere ai controller di dominio la possibilità di accedere al servizio proxy. Questa possibilità viene controllata tramite l'assegnazione del privilegio di accesso al computer dalla rete.

• Tutti i computer che ospitano il servizio proxy di protezione password di Microsoft Entra devono essere configurati per consentire il traffico HTTP TLS 1.2 in uscita.

• È necessario un account globale Amministrazione istrator per registrare il servizio proxy di protezione password di Microsoft Entra per la prima volta in un determinato tenant. Le successive registrazioni del proxy e della foresta con l'ID Microsoft Entra possono usare un account con credenziali di Amministrazione istrator globale o security Amministrazione istrator.

• L'accesso alla rete deve essere abilitato per il set di porte e URL specificati nelle procedure di configurazione dell'ambiente proxy dell'applicazione. Oltre ai due endpoint descritti in precedenza.

Prerequisiti di Microsoft Entra Connessione Agent Updater

Il servizio Microsoft Entra Connessione Agent Updater viene installato side-by-side con il servizio Proxy di protezione password di Microsoft Entra. È necessaria una configurazione aggiuntiva per consentire al servizio Microsoft Entra Connessione Agent Updater di funzionare:

• Se l'ambiente usa un server proxy HTTP, seguire le linee guida specificate in Usare i server proxy locali esistenti.
• Il servizio Microsoft Entra Connessione Agent Updater richiede anche i passaggi di TLS 1.2 specificati nei requisiti TLS.

Avviso

Il proxy di Protezione password di Microsoft Entra e Microsoft Entra Application Proxy installano versioni diverse del servizio di aggiornamento dell'agente di Microsoft Entra Connect e per questo motivo le istruzioni fanno riferimento al contenuto di Application Proxy. Queste diverse versioni non sono compatibili quando installate side-by-side e in questo modo impediranno al servizio Agent Updater di contattare Azure per gli aggiornamenti software, quindi non è mai consigliabile installare Microsoft Entra Password Protection Proxy e Application Proxy nello stesso computer.

Scaricare il software richiesto

Esistono due programmi di installazione necessari per una distribuzione locale di Microsoft Entra Password Protection:

• Agente del controller di dominio di Protezione password di Microsoft Entra (AzureADPasswordProtectionDCAgentSetup.msi)
• Proxy di Protezione password di Microsoft Entra (AzureADPasswordProtectionProxySetup.exe)

Scaricare entrambi i programmi di installazione dall'Area download Microsoft.

Installare e configurare il servizio proxy

Il servizio proxy di protezione password Di Microsoft Entra si trova in genere in un server membro nell'ambiente di Active Directory Domain Services locale. Dopo l'installazione, il servizio proxy di protezione password di Microsoft Entra comunica con Microsoft Entra ID per mantenere una copia degli elenchi di password globali e escluse dal cliente per il tenant di Microsoft Entra.

Nella sezione successiva si installano gli agenti del controller di dominio di protezione password Di Microsoft Entra nei controller di dominio nell'ambiente di Active Directory Domain Services locale. Questi agenti del controller di dominio comunicano con il servizio proxy per ottenere gli elenchi più recenti di password escluse da usare durante l'elaborazione degli eventi di modifica delle password all'interno del dominio.

Scegliere uno o più server per ospitare il servizio proxy di protezione password di Microsoft Entra. Per i server si applicano le considerazioni seguenti:

• Ogni servizio di questo tipo può fornire solo criteri password per una singola foresta. Il computer host deve essere aggiunto a qualsiasi dominio in tale foresta.
• È possibile installare il servizio proxy in domini radice o figlio o in una combinazione di tali domini.
• È necessaria la connettività di rete tra almeno un controller di dominio in ogni dominio della foresta e un server proxy di protezione password.
• È possibile eseguire il servizio proxy di protezione password di Microsoft Entra in un controller di dominio per il test, ma tale controller di dominio richiede quindi la connettività Internet. Questa connettività può essere un problema di sicurezza. Questa configurazione è consigliata solo per i test.
• È consigliabile almeno due server proxy di protezione password di Microsoft Entra per foresta per la ridondanza, come indicato nella sezione precedente sulle considerazioni sulla disponibilità elevata.
• Non è supportato per eseguire il servizio proxy di protezione password di Microsoft Entra in un controller di dominio di sola lettura.
• Se necessario, è possibile rimuovere il servizio proxy usando Installazione applicazioni. Non è necessaria alcuna pulizia manuale dello stato gestito dal servizio proxy.

Per installare il servizio proxy di protezione password di Microsoft Entra, completare la procedura seguente:

1. Per installare il servizio proxy microsoft Entra Password Protection, eseguire il AzureADPasswordProtectionProxySetup.exe programma di installazione del software.

   L'installazione software non richiede un riavvio e può essere automatizzata usando le procedure MSI standard, come nell'esempio seguente:

   AzureADPasswordProtectionProxySetup.exe /quiet
   

   Nota

   Il servizio Windows Firewall deve essere in esecuzione prima di installare il AzureADPasswordProtectionProxySetup.exe pacchetto per evitare un errore di installazione.

   Se Windows Firewall è configurato per non essere eseguito, la soluzione alternativa consiste nell'abilitare ed eseguire temporaneamente il servizio Firewall durante l'installazione. Il software proxy non ha alcuna dipendenza specifica da Windows Firewall dopo l'installazione.

   Se si usa un firewall di terze parti, deve comunque essere configurato per soddisfare i requisiti di distribuzione. Tra cui consentire l'accesso in ingresso alla porta 135 e alla porta del server RPC proxy. Per altre informazioni, vedere la sezione precedente sui requisiti di distribuzione.

2. Il software proxy di protezione password di Microsoft Entra include un nuovo modulo di PowerShell, AzureADPasswordProtection. I passaggi seguenti eseguono vari cmdlet di questo modulo di PowerShell.

   Per usare questo modulo, aprire una finestra di PowerShell come amministratore e importare il nuovo modulo come segue:

   Import-Module AzureADPasswordProtection
   

   Avviso

   È necessario usare la versione a 64 bit di PowerShell. Alcuni cmdlet potrebbero non funzionare con PowerShell (x86).

3. Per verificare che il servizio proxy di protezione password di Microsoft Entra sia in esecuzione, usare il comando di PowerShell seguente:

   Get-Service AzureADPasswordProtectionProxy | fl
   

   Il risultato dovrebbe mostrare lo stato In esecuzione.

4. Il servizio proxy è in esecuzione nel computer, ma non dispone di credenziali per comunicare con Microsoft Entra ID. Registrare il server proxy di Protezione password Di Microsoft Entra con l'ID Microsoft Entra usando il Register-AzureADPasswordProtectionProxy cmdlet .

   Questo cmdlet richiede le credenziali global Amministrazione istrator la prima volta che un proxy viene registrato per un determinato tenant. Le registrazioni proxy successive in tale tenant, sia per gli stessi proxy che per i proxy diversi, possono usare le credenziali di Amministrazione istrator globale o di sicurezza Amministrazione istrator.

   Dopo l'esito positivo di questo comando, anche le chiamate aggiuntive avranno esito positivo, ma non sono necessarie.

   Il Register-AzureADPasswordProtectionProxy cmdlet supporta le tre modalità di autenticazione seguenti. Le prime due modalità supportano l'autenticazione a più fattori Microsoft Entra, ma la terza modalità non lo è.

   Suggerimento

   Potrebbe verificarsi un ritardo notevole prima del completamento la prima volta che questo cmdlet viene eseguito per un tenant di Azure specifico. A meno che non venga segnalato un errore, non preoccuparti di questo ritardo.

   • Modalità di autenticazione interattiva:

     Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
     

     Nota

     Questa modalità non funziona nei sistemi operativi Server Core. Usare invece una delle modalità di autenticazione seguenti. Inoltre, questa modalità potrebbe non riuscire se è abilitata la configurazione di sicurezza avanzata di Internet Explorer. La soluzione alternativa consiste nel disabilitare tale configurazione, registrare il proxy e quindi riabilitarlo.

   • Modalità di autenticazione basata sul codice del dispositivo:

     Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
     

     Quando richiesto, seguire il collegamento per aprire un Web browser e immettere il codice di autenticazione.

   • Modalità di autenticazione automatica (basata su password):

     $globalAdminCredentials = Get-Credential
     Register-AzureADPasswordProtectionProxy -AzureCredential $globalAdminCredentials
     

     Nota

     Questa modalità ha esito negativo se per l'account è necessaria l'autenticazione a più fattori Microsoft Entra. In tal caso, usare una delle due modalità di autenticazione precedenti oppure usare un account diverso che non richiede l'autenticazione a più fattori.

     È anche possibile che venga visualizzata l'autenticazione a più fattori necessaria se la registrazione del dispositivo di Azure (usata sotto le quinte da Microsoft Entra Password Protection) è stata configurata per richiedere l'autenticazione a più fattori a livello globale. Per ovviare a questo requisito, è possibile usare un account diverso che supporta l'autenticazione a più fattori con una delle due modalità di autenticazione precedenti oppure è anche possibile ridurre temporaneamente il requisito di autenticazione a più fattori di Registrazione dispositivi di Azure.

     Per apportare questa modifica, selezionare Identità nell'interfaccia di amministrazione di Microsoft Entra, quindi selezionare Dispositivi>Impostazioni. Impostare Richiedi autenticazione a più fattori per aggiungere i dispositivi su No. Assicurarsi di riconfigurare questa impostazione su Sì al termine della registrazione.

     È consigliabile ignorare i requisiti di autenticazione a più fattori solo a scopo di test.

   Non è attualmente necessario specificare il parametro -ForestCredential , riservato per le funzionalità future.

   La registrazione del servizio proxy di protezione password di Microsoft Entra è necessaria solo una volta nella durata del servizio. Successivamente, il servizio proxy di protezione password di Microsoft Entra eseguirà automaticamente qualsiasi altra manutenzione necessaria.

5. Per assicurarsi che le modifiche siano state applicate, eseguire Test-AzureADPasswordProtectionProxyHealth -TestAll. Per informazioni sulla risoluzione degli errori, vedere Risolvere i problemi relativi alla protezione password di Microsoft Entra locale.

6. Registrare ora la foresta Active Directory locale con le credenziali necessarie per comunicare con Azure usando il Register-AzureADPasswordProtectionForest cmdlet di PowerShell.

   Nota

   Se nell'ambiente sono installati più server proxy di protezione password di Microsoft Entra, non è importante quale server proxy usare per registrare la foresta.

   Il cmdlet richiede le credenziali di Amministrazione istrator globale o security Amministrazione istrator per il tenant di Azure. Richiede anche privilegi di Active Directory locale Enterprise Amministrazione istrator. È anche necessario eseguire questo cmdlet usando un account con privilegi di amministratore locale. L'account Azure usato per registrare la foresta può essere diverso dall'account Active Directory locale.

   Questo passaggio viene eseguito una volta per ogni foresta.

   Il Register-AzureADPasswordProtectionForest cmdlet supporta le tre modalità di autenticazione seguenti. Le prime due modalità supportano l'autenticazione a più fattori Microsoft Entra, ma la terza modalità non lo è.

   Suggerimento

   Potrebbe verificarsi un ritardo notevole prima del completamento la prima volta che questo cmdlet viene eseguito per un tenant di Azure specifico. A meno che non venga segnalato un errore, non preoccuparti di questo ritardo.

   • Modalità di autenticazione interattiva:

     Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
     

     Nota

     Questa modalità non funzionerà nei sistemi operativi Server Core. Usare invece una delle due modalità di autenticazione seguenti. Inoltre, questa modalità potrebbe non riuscire se è abilitata la configurazione di sicurezza avanzata di Internet Explorer. La soluzione alternativa consiste nel disabilitare la configurazione, registrare la foresta e quindi riabilitarla.

   • Modalità di autenticazione basata sul codice del dispositivo:

     Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
     

     Quando richiesto, seguire il collegamento per aprire un Web browser e immettere il codice di autenticazione.

   • Modalità di autenticazione automatica (basata su password):

     $globalAdminCredentials = Get-Credential
     Register-AzureADPasswordProtectionForest -AzureCredential $globalAdminCredentials
     

     Nota

     Questa modalità ha esito negativo se per l'account è necessaria l'autenticazione a più fattori Microsoft Entra. In tal caso, usare una delle due modalità di autenticazione precedenti oppure usare un account diverso che non richiede l'autenticazione a più fattori.

     È anche possibile che venga visualizzata l'autenticazione a più fattori necessaria se la registrazione del dispositivo di Azure (usata sotto le quinte da Microsoft Entra Password Protection) è stata configurata per richiedere l'autenticazione a più fattori a livello globale. Per ovviare a questo requisito, è possibile usare un account diverso che supporta l'autenticazione a più fattori con una delle due modalità di autenticazione precedenti oppure è anche possibile ridurre temporaneamente il requisito di autenticazione a più fattori di Registrazione dispositivi di Azure.

     Per apportare questa modifica, selezionare Identità nell'interfaccia di amministrazione di Microsoft Entra, quindi selezionare Dispositivi>Impostazioni. Impostare Richiedi autenticazione a più fattori per aggiungere i dispositivi su No. Assicurarsi di riconfigurare questa impostazione su Sì al termine della registrazione.

     È consigliabile ignorare i requisiti di autenticazione a più fattori solo a scopo di test.

     Questi esempi hanno esito positivo solo se l'utente attualmente connesso è anche un amministratore di dominio di Active Directory per il dominio radice. In caso contrario, è possibile specificare credenziali di dominio alternative tramite il parametro -ForestCredential .

   La registrazione della foresta Active Directory è necessaria solo una volta nella durata della foresta. Successivamente, gli agenti del controller di dominio di protezione password di Microsoft Entra nella foresta eseguono automaticamente qualsiasi altra manutenzione necessaria. Dopo Register-AzureADPasswordProtectionForest l'esecuzione per una foresta, le chiamate aggiuntive del cmdlet hanno esito positivo, ma non sono necessarie.

   Per Register-AzureADPasswordProtectionForest avere esito positivo, almeno un controller di dominio che esegue Windows Server 2012 o versione successiva deve essere disponibile nel dominio del server proxy di Protezione password di Microsoft Entra. Il software agente del controller di dominio microsoft Entra Password Protection non deve essere installato in alcun controller di dominio prima di questo passaggio.

7. Per assicurarsi che le modifiche siano state applicate, eseguire Test-AzureADPasswordProtectionProxyHealth -TestAll. Per informazioni sulla risoluzione degli errori, vedere Risolvere i problemi relativi alla protezione password di Microsoft Entra locale.

Configurare il servizio proxy per comunicare tramite un proxy HTTP

Se l'ambiente richiede l'uso di un proxy HTTP specifico per comunicare con Azure, seguire questa procedura per configurare il servizio Protezione password di Microsoft Entra.

Creare un file AzureADPasswordProtectionProxy.exe.config nella %ProgramFiles%\Azure AD Password Protection Proxy\Service cartella . Includere il contenuto seguente:

<configuration>
   <system.net>
      <defaultProxy enabled="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

Se il proxy HTTP richiede l'autenticazione, aggiungere il tag useDefaultCredentials :

<configuration>
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

In entrambi i casi sostituire http://yourhttpproxy.com:8080 con l'indirizzo e la porta del server proxy HTTP specifico.

Se il proxy HTTP è configurato per l'uso di criteri di autorizzazione, è necessario concedere l'accesso all'account computer Active Directory del computer che ospita il servizio proxy per la protezione delle password.

È consigliabile arrestare e riavviare il servizio proxy di protezione password di Microsoft Entra dopo aver creato o aggiornato il file AzureADPasswordProtectionProxy.exe.config .

Il servizio proxy non supporta l'uso di credenziali specifiche per la connessione a un proxy HTTP.

Configurare il servizio proxy per l'ascolto su una porta specifica

Il software agente del controller di dominio di protezione password Di Microsoft Entra usa RPC su TCP per comunicare con il servizio proxy. Per impostazione predefinita, il servizio proxy di protezione password Di Microsoft Entra è in ascolto su qualsiasi endpoint RPC dinamico disponibile. È possibile configurare il servizio per l'ascolto su una porta TCP specifica, se necessario a causa dei requisiti della topologia di rete o del firewall nell'ambiente in uso. Quando si configura una porta statica, è necessario aprire la porta 135 e la porta statica desiderata.

Per configurare il servizio per l'esecuzione in una porta statica, usare il Set-AzureADPasswordProtectionProxyConfiguration cmdlet come indicato di seguito:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort <portnumber>

Avviso

Per rendere effettive queste modifiche, è necessario arrestare e riavviare il servizio proxy di protezione password di Microsoft Entra.

Per configurare il servizio per l'esecuzione in una porta dinamica, usare la stessa procedura ma impostare StaticPort su zero:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort 0

Avviso

Per rendere effettive queste modifiche, è necessario arrestare e riavviare il servizio proxy di protezione password di Microsoft Entra.

Il servizio proxy di protezione password Di Microsoft Entra richiede un riavvio manuale dopo qualsiasi modifica nella configurazione della porta. Non è necessario riavviare il servizio agente del controller di dominio di protezione password Di Microsoft Entra nei controller di dominio dopo aver apportato queste modifiche alla configurazione.

Per eseguire una query per la configurazione corrente del servizio, usare il Get-AzureADPasswordProtectionProxyConfiguration cmdlet come illustrato nell'esempio seguente

Get-AzureADPasswordProtectionProxyConfiguration | fl

L'output di esempio seguente mostra che il servizio proxy di protezione password di Microsoft Entra usa una porta dinamica:

ServiceName : AzureADPasswordProtectionProxy
DisplayName : Azure AD password protection Proxy
StaticPort  : 0

Installare il servizio agente del controller di dominio

Per installare il servizio agente del controller di dominio di Protezione password di Microsoft Entra, eseguire il pacchetto AzureADPasswordProtectionDCAgentSetup.msi.

È possibile automatizzare l'installazione del software usando le procedure MSI standard, come illustrato nell'esempio seguente:

msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart

Il flag /norestart può essere omesso se si preferisce che il programma di installazione riavvii automaticamente il computer.

Per l'installazione o la disinstallazione del software è necessario un riavvio. Ciò è necessario perché le DLL del filtro delle password vengono caricate o scaricate solo in caso di riavvio.

L'installazione di Microsoft Entra Password Protection locale viene completata dopo l'installazione del software agente del controller di dominio in un controller di dominio e il computer viene riavviato. Non è necessario né possibile eseguire altre configurazioni. Gli eventi di modifica delle password rispetto ai controller di dominio locali usano gli elenchi di password vietati configurati da Microsoft Entra ID.

Per abilitare la protezione password di Microsoft Entra locale o configurare password personalizzate escluse, vedere Abilitare la protezione password di Microsoft Entra password locale.

Suggerimento

È possibile installare l'agente del controller di dominio di Protezione password di Microsoft Entra in un computer che non è ancora un controller di dominio. In questo caso, il servizio viene avviato ed eseguito ma rimane inattivo fino a quando il computer non viene alzato di livello come controller di dominio.

Aggiornamento del servizio proxy

Il servizio proxy di protezione password Di Microsoft Entra supporta l'aggiornamento automatico. L'aggiornamento automatico usa il servizio di aggiornamento dell'agente di Microsoft Entra Connect, installato affiancato al servizio proxy. L'aggiornamento automatico è attivato per impostazione predefinita e può essere abilitato o disabilitato usando il Set-AzureADPasswordProtectionProxyConfiguration cmdlet .

È possibile eseguire una query per l'impostazione corrente usando il cmdlet Get-AzureADPasswordProtectionProxyConfiguration. È consigliabile lasciare sempre abilitata l'impostazione di aggiornamento automatico.

Il Get-AzureADPasswordProtectionProxy cmdlet può essere usato per eseguire query sulla versione software di tutti i server proxy di Protezione password di Microsoft Entra attualmente installati in una foresta.

Nota

Il servizio proxy eseguirà automaticamente l'aggiornamento a una versione più recente solo quando sono necessarie patch di sicurezza critiche.

Processo di aggiornamento graduale

L'aggiornamento manuale richiede l'esecuzione della versione più recente del programma di installazione software AzureADPasswordProtectionProxySetup.exe. La versione più recente del software è disponibile nell'Area download Microsoft.

Non è necessario disinstallare la versione corrente del servizio proxy di protezione password di Microsoft Entra. Il programma di installazione esegue un aggiornamento sul posto. Quando si aggiorna il servizio proxy, non è necessario il riavvio del computer. L'aggiornamento del software può essere automatizzato usando le procedure MSI standard, ad esempio AzureADPasswordProtectionProxySetup.exe /quiet.

Aggiornamento dell'agente del controller di dominio

Quando è disponibile una versione più recente del software dell'agente del controller di dominio di Protezione password di Microsoft Entra, l'aggiornamento viene eseguito tramite la versione più recente del pacchetto software AzureADPasswordProtectionDCAgentSetup.msi. La versione più recente del software è disponibile nell'Area download Microsoft.

Non è necessario disinstallare la versione corrente del software agente del controller di dominio. Il programma di installazione esegue un aggiornamento sul posto. Un riavvio è sempre necessario quando si aggiorna il software dell'agente del controller di dominio. Questo requisito è causato dal comportamento principale di Windows.

L'aggiornamento del software può essere automatizzato usando le procedure MSI standard, ad esempio msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart.

Il flag /norestart può essere omesso se si preferisce che il programma di installazione riavvii automaticamente il computer.

È possibile usare il cmdlet Get-AzureADPasswordProtectionDCAgent per eseguire una query per la versione software di tutti gli agenti del controller di dominio di Protezione password di Microsoft Entra attualmente installati in una foresta.

Passaggi successivi

Dopo aver installato i servizi necessari per la protezione password di Microsoft Entra nei server locali, abilitare microsoft Entra Password Protection per completare la distribuzione.