Abilitare la protezione password di Microsoft Entra in locale

  • Articolo

Gli utenti creano spesso password che usano parole locali comuni, ad esempio il nome di una scuola, una squadra sportiva o un personaggio famoso. Queste password sono facili da indovinare e vulnerabili ad attacchi basati su dizionario. Per fare in modo che nell'organizzazione vengano usate password complesse, Protezione password di Microsoft Entra fornisce un elenco di password vietate globali e personalizzate. In questo modo una richiesta di modifica della password non verrà eseguita, se la password è presente nell'elenco di password escluse.

Per proteggere l'ambiente Active Directory Domain Services (AD DS) locale, è possibile installare e configurare Protezione password di Microsoft Entra per l'uso con il controller di dominio locale. Questo articolo illustra come abilitare la protezione password di Microsoft Entra per l'ambiente locale.

Per altre informazioni sul funzionamento di Password di protezione di Microsoft Entra in un ambiente locale, vedere Come applicare Password di protezione di Microsoft Entra per Windows Server Active Directory.

Operazioni preliminari

Questo articolo illustra come abilitare la protezione password di Microsoft Entra per l'ambiente locale. Prima di completare questo articolo, installare e registrare il servizio proxy di Password di protezione di Microsoft Entra e gli agenti del controller di dominio nell'ambiente di Active Directory Domain Services locale.

Abilitare la protezione password locali

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore autenticazione.

  2. Passare a Protezione>Metodi di autenticazione>Password di protezione.

  3. Impostare l'opzione Abilita la password di protezione in Windows Server Active Directory su .

    Quando questa impostazione è configurata su No, tutti gli agenti del controller di dominio di protezione password di Microsoft Entra distribuiti passano in una modalità in cui tutte le password vengono accettate così come sono. Non vengono eseguite attività di convalida e gli eventi di controllo non vengono generati.

  4. È consigliabile impostare inizialmente la Modalità su Audit. Dopo aver acquisito familiarità con la funzionalità e l'impatto sugli utenti dell'organizzazione, è possibile passare alla Modalità Applicata. Per altre informazioni, vedere la sezione seguente sulle modalità di funzionamento.

  5. Al termine, selezionare Salva.

    Abilitare la protezione password locale in Metodi di autenticazione nell'Interfaccia di amministrazione di Microsoft Entra

Modalità di funzionamento

Quando si abilita la protezione password di Microsoft Entra locale, è possibile usare la modalità di controllo o la modalità di applicazione. Microsoft consiglia di avviare la distribuzione iniziale e i test sempre in modalità di controllo. È quindi opportuno controllare gli eventi nel log eventi per cercare di prevedere se eventuali processi operativi esistenti potrebbero essere ostacolati dopo l'attivazione della modalità di imposizione.

Modalità di controllo

La modalità Audit è concepita come un modo per eseguire il software in modalità "what-if". Ogni servizio agente del controller di dominio di protezione password di Microsoft Entra valuta le password in ingresso in base ai criteri attualmente attivi.

Se i criteri correnti sono configurati per essere in modalità di controllo, le password "non corrette" generano messaggi del log eventi, ma vengono elaborate e aggiornate. Questo comportamento è l'unica differenza tra il controllo e la modalità di imposizione. Tutte le altre operazioni vengono eseguite allo stesso modo.

Modalità applicata

La modalità di imposizione è concepita come configurazione finale. Come nella modalità di controllo, ogni servizio agente del controller di dominio di protezione password di Microsoft Entra valuta le password in ingresso in base ai criteri attualmente attivi. Se è abilitata la modalità di imposizione, tuttavia, la password considerata non sicura in base ai criteri viene rifiutata.

Quando una password viene rifiutata in modalità di imposizione dall'agente del controller di dominio di Password di protezione di Microsoft Entra, un utente finale visualizza un errore simile come se la password fosse stata rifiutata dall'imposizione tradizionale della complessità delle password locale. Ad esempio, un utente potrebbe ricevere il seguente messaggio di errore tradizionale nella schermata di accesso o modifica password di Windows:

"Impossibile aggiornare la password. Il valore fornito per la nuova password non soddisfa i requisiti di lunghezza, complessità o cronologia del dominio".

Questo messaggio è solo un esempio dei possibili risultati. Il messaggio di errore specifico può variare a seconda del software o dello scenario effettivo che sta tentando di impostare una password non sicura.

Gli utenti finali interessati potrebbero avere bisogno di collaborare con il proprio personale IT per comprendere i nuovi requisiti e scegliere password sicure.

Nota

La protezione password di Microsoft Entra non ha alcun controllo sul messaggio di errore specifico visualizzato dal computer client quando viene rifiutata una password debole.

Passaggi successivi

Per personalizzare l'elenco delle password escluse per l'organizzazione, vedere Configurare l'elenco di password personalizzate di Password di protezione di Microsoft Entra.

Per monitorare gli eventi locali, vedere Monitoraggio della Password di protezione di Microsoft Entra.