Impor a proteção de senha do Azure AD local para Active Directory Domain ServicesEnforce on-premises Azure AD Password Protection for Active Directory Domain Services

A proteção por senha do Azure AD detecta e bloqueia senhas fracas conhecidas e suas variantes e também pode bloquear outros termos fracos que são específicos para sua organização.Azure AD Password Protection detects and blocks known weak passwords and their variants, and can also block additional weak terms that are specific to your organization. A implantação local da proteção de senha do Azure AD usa as mesmas listas de senhas excluídas globais e personalizadas que são armazenadas no Azure AD e faz as mesmas verificações para as alterações de senha no local, uma vez que o Azure AD faz alterações baseadas em nuvem.On-premises deployment of Azure AD Password Protection uses the same global and custom banned password lists that are stored in Azure AD, and does the same checks for on-premises password changes as Azure AD does for cloud-based changes. Essas verificações são executadas durante as alterações de senha e os eventos de redefinição de senha em controladores de domínio Active Directory Domain Services (AD DS) locais.These checks are performed during password changes and password reset events against on-premises Active Directory Domain Services (AD DS) domain controllers.

Princípios de designDesign principles

A proteção de senha do Azure AD é projetada com os seguintes princípios em mente:Azure AD Password Protection is designed with the following principles in mind:

  • Controladores de domínio (DCs) nunca precisam se comunicar diretamente com a Internet.Domain controllers (DCs) never have to communicate directly with the internet.
  • Nenhuma nova porta de rede é aberta nos DCs.No new network ports are opened on DCs.
  • Nenhuma alteração de esquema de AD DS é necessária.No AD DS schema changes are required. O software usa o contêiner de AD DS existente e os objetos de esquema do serviceConnectionPoint .The software uses the existing AD DS container and serviceConnectionPoint schema objects.
  • Nenhum nível funcional de domínio ou floresta de AD DS mínimo (DFL/FFL) é necessário.No minimum AD DS domain or forest functional level (DFL/FFL) is required.
  • O software não cria ou exige contas nos domínios de AD DS que ele protege.The software doesn't create or require accounts in the AD DS domains that it protects.
  • As senhas de texto não criptografado do usuário nunca deixam o controlador de domínio, seja durante as operações de validação de senha ou a qualquer outro momento.User clear-text passwords never leave the domain controller, either during password validation operations or at any other time.
  • O software não depende de outros recursos do Azure AD.The software isn't dependent on other Azure AD features. Por exemplo, a sincronização de hash de senha (PHS) do Azure AD não está relacionada ou necessária para a proteção de senha do Azure AD.For example, Azure AD password hash sync (PHS) isn't related or required for Azure AD Password Protection.
  • A implantação incremental tem suporte, no entanto, a política de senha só é imposta quando o agente de controlador de domínio (agente DC) está instalado.Incremental deployment is supported, however the password policy is only enforced where the Domain Controller Agent (DC Agent) is installed.

Implantação incrementalIncremental deployment

A proteção de senha do Azure AD dá suporte à implantação incremental entre os DCs em um domínio AD DS.Azure AD Password Protection supports incremental deployment across DCs in an AD DS domain. É importante entender o que isso realmente significa e quais são as compensações.It's important to understand what this really means and what the tradeoffs are.

O software de agente DC de proteção de senha do Azure AD só pode validar senhas quando ela está instalada em um controlador de domínio e apenas para alterações de senha enviadas para esse DC.The Azure AD Password Protection DC agent software can only validate passwords when it's installed on a DC, and only for password changes that are sent to that DC. Não é possível controlar quais DCs são escolhidos por computadores cliente Windows para processar alterações de senha de usuário.It's not possible to control which DCs are chosen by Windows client machines for processing user password changes. Para garantir o comportamento consistente e a imposição de segurança de proteção de senha do Azure AD universal, o software do agente de DC deve ser instalado em todos os DCs em um domínio.To guarantee consistent behavior and universal Azure AD Password Protection security enforcement, the DC agent software must be installed on all DCs in a domain.

Muitas organizações desejam testar cuidadosamente a proteção de senha do Azure AD em um subconjunto de controladores de domínio antes de uma implantação completa.Many organizations want to carefully test Azure AD Password Protection on a subset of their DCs prior to a full deployment. Para dar suporte a esse cenário, a proteção de senha do Azure AD dá suporte à implantação parcial.To support this scenario, Azure AD Password Protection supports partial deployment. O software do agente de DC em um determinado DC valida ativamente as senhas mesmo quando outros DCs no domínio não têm o software do agente de DC instalado.The DC agent software on a given DC actively validates passwords even when other DCs in the domain don't have the DC agent software installed. Implantações parciais desse tipo não são seguras e não são recomendadas além de para fins de teste.Partial deployments of this type aren't secure and aren't recommended other than for testing purposes.

Diagrama de arquiteturaArchitectural diagram

É importante entender os conceitos subjacentes de design e função antes de implantar a proteção de senha do Azure AD em um ambiente de AD DS local.It's important to understand the underlying design and function concepts before you deploy Azure AD Password Protection in an on-premises AD DS environment. O diagrama a seguir mostra como os componentes da Proteção de Senha do Azure AD funcionam em conjunto:The following diagram shows how the components of Azure AD Password Protection work together:

Como os componentes de Proteção de Senha do Azure AD trabalham em conjunto

  • O serviço de proxy de proteção de senha do Azure AD é executado em qualquer computador ingressado no domínio na floresta de AD DS atual.The Azure AD Password Protection Proxy service runs on any domain-joined machine in the current AD DS forest. A finalidade principal do serviço é encaminhar solicitações de download da política de senha de DCs para o Azure AD e, em seguida, retornar as respostas do Azure AD para o controlador de domínio.The service's primary purpose is to forward password policy download requests from DCs to Azure AD and then return the responses from Azure AD to the DC.
  • A DLL de filtro de senha do agente de DC recebe solicitações de validação de senha de usuário do sistema operacional.The password filter DLL of the DC Agent receives user password-validation requests from the operating system. O filtro os encaminha para o serviço de agente de DC que está sendo executado localmente no controlador de domínio.The filter forwards them to the DC Agent service that's running locally on the DC.
  • O serviço de agente de controlador de domínio da proteção de senha do Azure AD recebe solicitações de validação de senha da DLL de filtro de senha do agente de DC.The DC Agent service of Azure AD Password Protection receives password-validation requests from the password filter DLL of the DC Agent. O serviço de agente de controlador de domínio o processa usando a política de senha atual (disponível localmente) e retorna o resultado de Pass ou Fail.The DC Agent service processes them by using the current (locally available) password policy and returns the result of pass or fail.

Como funciona a proteção de senha do Azure ADHow Azure AD Password Protection works

Os componentes locais de proteção de senha do Azure AD funcionam da seguinte maneira:The on-premises Azure AD Password Protection components work as follows:

  1. Cada instância de serviço de proxy de proteção de senha do Azure AD se anuncia aos controladores de domínio na floresta criando um objeto serviceConnectionPoint no Active Directory.Each Azure AD Password Protection Proxy service instance advertises itself to the DCs in the forest by creating a serviceConnectionPoint object in Active Directory.

    Cada serviço de agente de DC para proteção de senha do Azure AD também cria um objeto serviceConnectionPoint no Active Directory.Each DC Agent service for Azure AD Password Protection also creates a serviceConnectionPoint object in Active Directory. Esse objeto é usado principalmente para relatórios e diagnósticos.This object is used primarily for reporting and diagnostics.

  2. O serviço de agente de controlador de domínio é responsável por iniciar o download de uma nova política de senha do Azure AD.The DC Agent service is responsible for initiating the download of a new password policy from Azure AD. A primeira etapa é localizar um serviço de proxy de proteção por senha do Azure AD consultando a floresta em busca de objetos serviceConnectionPoint de proxy.The first step is to locate an Azure AD Password Protection Proxy service by querying the forest for proxy serviceConnectionPoint objects.

  3. Quando um serviço de proxy disponível é encontrado, o agente de DC envia uma solicitação de download de política de senha para o serviço de proxy.When an available proxy service is found, the DC Agent sends a password policy download request to the proxy service. O serviço de proxy, por sua vez, envia a solicitação ao Azure AD e, em seguida, retorna a resposta ao serviço de agente de controlador de domínio.The proxy service in turn sends the request to Azure AD, then returns the response to the DC Agent service.

  4. Depois que o serviço de agente de controlador de domínio recebe uma nova política de senha do Azure AD, o serviço armazena a política em uma pasta dedicada na raiz de seu compartilhamento de pasta SYSVOL de domínio.After the DC Agent service receives a new password policy from Azure AD, the service stores the policy in a dedicated folder at the root of its domain sysvol folder share. O serviço de agente de controlador de domínio também monitora essa pasta caso as políticas mais recentes repliquem em de outros serviços de agente de DC no domínio.The DC Agent service also monitors this folder in case newer policies replicate in from other DC Agent services in the domain.

  5. O serviço de agente de controlador de domínio sempre solicita uma nova política na inicialização do serviço.The DC Agent service always requests a new policy at service startup. Depois que o serviço de agente de controlador de domínio é iniciado, ele verifica a duração da política disponível localmente atual por hora.After the DC Agent service is started, it checks the age of the current locally available policy hourly. Se a política for anterior a uma hora, o agente de DC solicitará uma nova política do Azure AD por meio do serviço de proxy, conforme descrito anteriormente.If the policy is older than one hour, the DC Agent requests a new policy from Azure AD via the proxy service, as described previously. Se a política atual não tiver mais de uma hora, o agente de DC continuará a usar essa política.If the current policy isn't older than one hour, the DC Agent continues to use that policy.

  6. Quando os eventos de alteração de senha são recebidos por um DC, a política armazenada em cache é usada para determinar se a nova senha é aceita ou rejeitada.When password change events are received by a DC, the cached policy is used to determine if the new password is accepted or rejected.

Principais considerações e recursosKey considerations and features

  • Sempre que uma política de senha de proteção de senha do Azure AD é baixada, essa política é específica para um locatário.Whenever an Azure AD Password Protection password policy is downloaded, that policy is specific to a tenant. Em outras palavras, as políticas de senha sempre são uma combinação da lista global banida de senhas da Microsoft e da lista personalizada de senha proibida por locatário.In other words, password policies are always a combination of the Microsoft global banned-password list and the per-tenant custom banned-password list.
  • O agente de DC se comunica com o serviço de proxy via RPC sobre TCP.The DC Agent communicates with the proxy service via RPC over TCP. O serviço de proxy escuta essas chamadas em uma porta RPC dinâmica ou estática, dependendo da configuração.The proxy service listens for these calls on a dynamic or static RPC port, depending on the configuration.
  • O agente de DC nunca escuta em uma porta disponível de rede.The DC Agent never listens on a network-available port.
  • O serviço de proxy nunca chama o serviço de agente de controlador de domínio.The proxy service never calls the DC Agent service.
  • O serviço de proxy não tem estado.The proxy service is stateless. Ele nunca armazena em cache as políticas ou qualquer outro Estado baixado do Azure.It never caches policies or any other state downloaded from Azure.
  • O serviço de agente de controlador de domínio sempre usa a política de senha mais recente disponível localmente para avaliar a senha de um usuário.The DC Agent service always uses the most recent locally available password policy to evaluate a user's password. Se nenhuma política de senha estiver disponível no controlador de domínio local, a senha será aceita automaticamente.If no password policy is available on the local DC, the password is automatically accepted. Quando isso acontece, uma mensagem de evento é registrada para avisar o administrador.When that happens, an event message is logged to warn the administrator.
  • A proteção por senha do Azure AD não é um mecanismo de aplicativo de política em tempo real.Azure AD Password Protection isn't a real-time policy application engine. Pode haver um atraso entre o momento em que uma alteração de configuração de política de senha é feita no Azure AD e quando essa alteração atinge e é imposta em todos os DCs.There can be a delay between when a password policy configuration change is made in Azure AD and when that change reaches and is enforced on all DCs.
  • A proteção de senha do Azure AD atua como um suplemento para as políticas de senha de AD DS existentes, não com uma substituição.Azure AD Password Protection acts as a supplement to the existing AD DS password policies, not a replacement. Isso inclui qualquer outra DLL de filtro de senha de terceiros que possa ser instalada.This includes any other 3rd-party password filter dlls that may be installed. AD DS sempre exige que todos os componentes de validação de senha concordem antes de aceitar uma senha.AD DS always requires that all password validation components agree before accepting a password.

Associação de floresta/locatário para proteção de senha do Azure ADForest / tenant binding for Azure AD Password Protection

A implantação da proteção de senha do Azure AD em uma floresta AD DS requer o registro dessa floresta com o Azure AD.Deployment of Azure AD Password Protection in an AD DS forest requires registration of that forest with Azure AD. Cada serviço de proxy implantado também deve ser registrado com o Azure AD.Each proxy service that's deployed must also be registered with Azure AD. Esses registros de floresta e proxy são associados a um locatário específico do Azure AD, que é identificado implicitamente pelas credenciais que são usadas durante o registro.These forest and proxy registrations are associated with a specific Azure AD tenant, which is identified implicitly by the credentials that are used during registration.

A floresta AD DS e todos os serviços de proxy implantados em uma floresta devem ser registrados com o mesmo locatário.The AD DS forest and all deployed proxy services within a forest must be registered with the same tenant. Não há suporte para ter uma floresta AD DS ou quaisquer serviços de proxy na floresta que estão sendo registrados em locatários diferentes do Azure AD.It's not supported to have an AD DS forest or any proxy services in that forest being registered to different Azure AD tenants. Os sintomas de tal implantação mal configurada incluem a incapacidade de baixar políticas de senha.Symptoms of such a mis-configured deployment include the inability to download password policies.

Observação

Os clientes que têm vários locatários do Azure AD devem, portanto, escolher um locatário distinto para registrar cada floresta para fins de proteção de senha do Azure AD.Customers that have multiple Azure AD tenants must therefore choose one distinguished tenant to register each forest for Azure AD Password Protection purposes.

BaixarDownload

Os dois instaladores de agente necessários para a proteção de senha do Azure AD estão disponíveis no centro de download da Microsoft.The two required agent installers for Azure AD Password Protection are available from the Microsoft Download Center.

Próximas etapasNext steps

Para começar a usar a proteção de senha do Azure AD local, conclua as seguintes instruções:To get started with using on-premises Azure AD Password Protection, complete the following how-to: