Windows Server Active Directory için Azure AD parola koruması zorlamaEnforce Azure AD password protection for Windows Server Active Directory

Azure AD parola koruması parola ilkeleri bir kuruluşta geliştiren bir özelliktir.Azure AD password protection is a feature that enhances password policies in an organization. Şirket içi dağıtım parola koruması, Azure AD'de depolanan her iki genel ve özel yasaklanmış parola listelerini kullanır.On-premises deployment of password protection uses both the global and custom banned-password lists that are stored in Azure AD. Bunu, aynı denetimleri şirket içi olarak Azure AD için bulut tabanlı değişiklikler yapar.It does the same checks on-premises as Azure AD for cloud-based changes.

Tasarım ilkeleriDesign principles

Azure AD parola koruması ile bu ilkeleri göz önünde tasarlanmıştır:Azure AD password protection is designed with these principles in mind:

  • Etki alanı denetleyicileri hiçbir zaman doğrudan internet ile iletişim kurması gerekir.Domain controllers never have to communicate directly with the internet.
  • Yeni bir ağ bağlantı noktaları, etki alanı denetleyicilerinde açılmadı.No new network ports are opened on domain controllers.
  • Active Directory şema değişiklik büyük/küçük harf gerekmez.No Active Directory schema changes are required. Yazılım mevcut Active Directory kullanan kapsayıcı ve serviceConnectionPoint şema nesneleri.The software uses the existing Active Directory container and serviceConnectionPoint schema objects.
  • En düşük Active Directory etki alanı veya orman işlevsel düzeyi yok (DFL/FFL) gereklidir.No minimum Active Directory domain or forest functional level (DFL/FFL) is required.
  • Yazılım oluşturma değil veya koruduğu Active Directory etki alanı hesaplarında gerektirir.The software doesn't create or require accounts in the Active Directory domains that it protects.
  • Kullanıcı düz metin parolaları, parola doğrulama işlemleri sırasında veya başka bir zaman etki alanı denetleyicisi hiçbir zaman ayrılmaz.User clear-text passwords never leave the domain controller, either during password validation operations or at any other time.
  • Yazılım, diğer Azure AD özellikleri bağımlı değildir; Örneğin Azure AD parola karma eşitlemesi, ilişkili değildir ve sırada Azure AD parola koruması işlevi için gerekli değildir.The software is not dependent on other Azure AD features; for example Azure AD password hash sync is not related and is not required in order for Azure AD password protection to function.
  • Artımlı dağıtım desteklenir, ancak parola ilkesini etki alanı denetleyicisi Aracısı'nı (DC Aracısı) yüklendiği devreye girer.Incremental deployment is supported, however the password policy is only enforced where the Domain Controller Agent (DC Agent) is installed. Daha fazla ayrıntı için sonraki bölüme bakın.See next topic for more details.

Artımlı dağıtımIncremental deployment

Azure AD parola koruması, bir Active Directory etki alanındaki etki alanı denetleyicileri arasında artımlı dağıtımı destekler. ancak bunun gerçekten anlamı ve ödün ne olduğunu anlamak önemlidir.Azure AD password protection supports incremental deployment across domain controllers in an Active Directory domain but it's important to understand what this really means and what the tradeoffs are.

Bu etki alanı denetleyicisine gönderilen parola değişiklikleri yanı sıra, bir etki alanı denetleyicisine yüklendiğinde Azure AD parola DC koruma Aracısı yazılımı yalnızca parolaları doğrulayabilirsiniz.The Azure AD password protection DC agent software can only validate passwords when it is installed on a domain controller, and only for password changes that are sent to that domain controller. Hangi etki alanı denetleyicileri Windows istemci makineleri için kullanıcının parola değişiklikleri işlemeye tarafından seçmiş denetlemek için mümkün değildir.It is not possible to control which domain controllers are chosen by Windows client machines for processing user password changes. Tutarlı bir davranış ve evrensel parola koruması güvenlik zorlama garanti için DC Aracısı yazılımını bir etki alanındaki tüm etki alanı denetleyicilerinde yüklenmelidir.In order to guarantee consistent behavior and universal password protection security enforcement, the DC agent software MUST be installed on all domain controllers in a domain.

Birçok kuruluşun bir alt kümesi üzerinde Azure AD parola koruması tam dağıtımını yapmadan önce etki alanı denetleyicilerini dikkatli testi yapmak isteyebilirsiniz.Many organizations will want to do careful testing of Azure AD password protection on a subset of their domain controllers prior to doing a full deployment. Azure AD parola koruması kısmi dağıtım desteği, bile etki alanındaki diğer DC'leri DC aracı yazılımı yüklü olmadığında IE DC aracı yazılımı belirli bir DC üzerinde etkin bir şekilde parolaları doğrular.Azure AD password protection does support partial deployment, ie the DC agent software on a given DC will actively validate passwords even when other DCs in the domain do not have the DC agent software installed. Bu tür kısmi dağıtımları olmayan dışında tavsiye edilmez ve güvenli sınama amacıyla.Partial deployments of this type are NOT secure and are NOT recommended other than for testing purposes.

Mimari diyagramıArchitectural diagram

Azure AD parola koruması bir şirket içi Active Directory ortamında dağıtmadan önce temel alınan tasarım ve işlev kavramları anlamak önemlidir.It's important to understand the underlying design and function concepts before you deploy Azure AD password protection in an on-premises Active Directory environment. Aşağıdaki diyagramda, parola koruması bileşenlerinin birlikte nasıl çalıştığı gösterilmektedir:The following diagram shows how the components of password protection work together:

Azure AD parola koruması bileşenleri birlikte nasıl çalıştığını

  • Azure AD parola koruması Proxy Hizmeti geçerli Active Directory ormanındaki tüm etki alanına katılmış makinede çalıştırır.The Azure AD Password Protection Proxy service runs on any domain-joined machine in the current Active Directory forest. Birincil amacı, parola ilkesi indirme istekleri için Azure AD etki alanı denetleyicilerinden iletmek sağlamaktır.Its primary purpose is to forward password policy download requests from domain controllers to Azure AD. Daha sonra yanıtları Azure AD etki alanı denetleyicisine döndürür.It then returns the responses from Azure AD to the domain controller.
  • DC aracısının DLL parola filtresinin işletim sisteminden kullanıcı parolası doğrulama isteklerini alır.The password filter DLL of the DC Agent receives user password-validation requests from the operating system. Bunları yerel olarak etki alanı denetleyicisinde çalışan DC aracı hizmetine iletir.It forwards them to the DC Agent service that's running locally on the domain controller.
  • Parola koruma DC Aracı hizmeti DC aracısının DLL parola filtresinden parola doğrulama isteği alır.The DC Agent service of password protection receives password-validation requests from the password filter DLL of the DC Agent. Geçerli (yerel olarak kullanılabilir) parola ilkesini kullanarak isteği işler ve sonucu döndürür: geçirmek veya başarısız.It processes them by using the current (locally available) password policy and returns the result: pass or fail.

Parola koruması nasıl çalışır?How password protection works

Her Azure AD parola koruması Proxy Hizmeti örneği kendisini ormandaki etki alanı denetleyicilerine oluşturarak tanıtır bir serviceConnectionPoint Active Directory'de nesnesi.Each Azure AD Password Protection Proxy service instance advertises itself to the domain controllers in the forest by creating a serviceConnectionPoint object in Active Directory.

Her DC Aracısı hizmeti parola koruması için ayrıca oluşturur bir serviceConnectionPoint Active Directory'de nesnesi.Each DC Agent service for password protection also creates a serviceConnectionPoint object in Active Directory. Bu nesne, öncelikle raporlama ve tanılama için kullanılır.This object is used primarily for reporting and diagnostics.

DC Aracı hizmeti, Azure AD'de yeni bir parola ilkesi yüklenmesi başlatmaktan sorumludur.The DC Agent service is responsible for initiating the download of a new password policy from Azure AD. Bir Azure AD parola koruması Proxy Hizmeti proxy ormanın sorgulayarak bulmak için ilk adımıdır serviceConnectionPoint nesneleri.The first step is to locate an Azure AD Password Protection Proxy service by querying the forest for proxy serviceConnectionPoint objects. Mevcut proxy hizmet bulunduğunda, DC aracı proxy hizmeti için bir parola ilkesi indirme isteği gönderir.When an available proxy service is found, the DC Agent sends a password policy download request to the proxy service. Proxy hizmeti, Azure AD'ye sırayla isteği gönderir.The proxy service in turn sends the request to Azure AD. Proxy hizmeti, ardından DC Aracı hizmeti yanıtı döndürür.The proxy service then returns the response to the DC Agent service.

DC aracı hizmetini yeni bir parola ilkesi Azure AD'den aldıktan sonra hizmeti ilke, etki alanı kökünde adanmış bir klasörde depolar. sysvol klasör paylaşımı.After the DC Agent service receives a new password policy from Azure AD, the service stores the policy in a dedicated folder at the root of its domain sysvol folder share. Diğer etki alanındaki DC aracı hizmetlerden içinde yeni ilkeleri çoğaltma durumunda DC Aracı hizmeti bu klasör de izler.The DC Agent service also monitors this folder in case newer policies replicate in from other DC Agent services in the domain.

DC Aracısı her zaman hizmeti başlatma sırasında yeni bir ilke ister.The DC Agent service always requests a new policy at service startup. DC Aracı hizmeti başlatıldıktan sonra geçerli yerel olarak kullanılabilir ilke saatlik yaşını denetler.After the DC Agent service is started, it checks the age of the current locally available policy hourly. İlkeyi bir saatten eskiyse DC aracıyı yeni bir ilke proxy hizmeti aracılığıyla Azure AD'den daha önce açıklandığı gibi ister.If the policy is older than one hour, the DC Agent requests a new policy from Azure AD via the proxy service, as described previously. Bir saatten daha eski geçerli ilke yoksa, DC aracı, bu ilkeyi kullanmaya devam eder.If the current policy isn't older than one hour, the DC Agent continues to use that policy.

Bir Azure AD parola koruması parola ilkesi indirilir her ilkenin bir kiracınıza özgüdür.Whenever an Azure AD password protection password policy is downloaded, that policy is specific to a tenant. Diğer bir deyişle, parola ilkeleri her zaman bir Microsoft Genel yasaklanmış parola listesi ve Kiracı başına özel yasaklanmış parola liste birleşimidir.In other words, password policies are always a combination of the Microsoft global banned-password list and the per-tenant custom banned-password list.

DC aracı proxy hizmeti RPC üzerinden ile TCP üzerinden iletişim kurar.The DC Agent communicates with the proxy service via RPC over TCP. Proxy hizmeti bu çağrılar yapılandırmasına bağlı olarak dinamik veya statik RPC bağlantı noktasında dinler.The proxy service listens for these calls on a dynamic or static RPC port, depending on the configuration.

DC Aracısı'nı hiçbir zaman ağ kullanılabilir bir bağlantı noktasında dinler.The DC Agent never listens on a network-available port.

Proxy hizmeti, hiçbir zaman DC aracı hizmetini çağırır.The proxy service never calls the DC Agent service.

Durum bilgisi olmayan proxy'si hizmetidir.The proxy service is stateless. Hiçbir zaman ilkeleri önbelleğe alır ya da herhangi bir durumu Azure'dan indirilebilir.It never caches policies or any other state downloaded from Azure.

DC Aracı hizmeti, bir kullanıcının parolasını değerlendirmek için her zaman en son yerel olarak kullanılabilir parola ilkesi kullanır.The DC Agent service always uses the most recent locally available password policy to evaluate a user's password. Parola, parola ilkesi yok, yerel DC üzerinde kullanılabilir haldeyse, otomatik olarak kabul edilir.If no password policy is available on the local DC, the password is automatically accepted. Bu durum oluştuğunda, olay iletisi yönetici uyarmak için günlüğe kaydedilir.When that happens, an event message is logged to warn the administrator.

Azure AD parola koruması gerçek zamanlı ilke uygulama altyapısı değildir.Azure AD password protection isn't a real-time policy application engine. Ne zaman, Azure AD'de parola ilkesi yapılandırma değişiklik yapıldığında ve ne zaman ulaştığında değiştirmek ve tüm etki alanı denetleyicilerinde zorlanan arasında bir gecikme olabilir.There can be a delay between when a password policy configuration change is made in Azure AD and when that change reaches and is enforced on all domain controllers.

Azure AD parola koruması, mevcut Active Directory parola ilkeleri, bir değiştirme için bir ek olarak görev yapar.Azure AD password protection acts as a supplement to the existing Active Directory password policies, not a replacement. Bu, yüklenebilir diğer 3. taraf parola filtresi DLL'lerin içerir.This includes any other 3rd-party password filter dlls that may be installed. Active Directory, her zaman parola kabul etmeden önce tüm parola doğrulaması bileşenleri kabul gerektirir.Active Directory always requires that all password validation components agree before accepting a password.

Parola koruması için orman/Kiracı bağlamaForest/tenant binding for password protection

Azure AD parola koruması bir Active Directory ormanındaki dağıtımını söz konusu ormanın Azure AD ile kayıt gerektirir.Deployment of Azure AD password protection in an Active Directory forest requires registration of that forest with Azure AD. Dağıtılan her bir proxy hizmeti ayrıca Azure AD ile kayıtlı olması gerekir.Each proxy service that is deployed must also be registered with Azure AD. Bu orman ve proxy kayıtları belirli bir ile ilişkili kayıt sırasında kullanılan kimlik bilgileri tarafından örtük olarak tanımlandığında, Azure AD kiracısına.These forest and proxy registrations are associated with a specific Azure AD tenant, which is identified implicitly by the credentials that are used during registration.

Active Directory ormanı ve bir orman içindeki tüm dağıtılan proxy Hizmetleri ile aynı kiracıda kayıtlı olması gerekir.The Active Directory forest and all deployed proxy services within a forest must be registered with the same tenant. Farklı Azure AD'ye kayıtlı orman Kiracı, bir Active Directory orman ya da tüm proxy hizmetleri için desteklenmiyor.It is not supported to have an Active Directory forest or any proxy services in that forest being registered to different Azure AD tenants. Yanlış yapılandırılmış bir dağıtım belirtileri parola ilkelerini karşıdan yükleyebilir yeteneğinin içerir.Symptoms of such a mis-configured deployment include the inability to download password policies.

İndirmeDownload

Azure AD parola koruması için iki gerekli aracı yükleyici kullanılabilir Microsoft Download Center.The two required agent installers for Azure AD password protection are available from the Microsoft Download Center.

Sonraki adımlarNext steps

Azure AD parola korumasını dağıtmaDeploy Azure AD password protection