Планирование и развертывание локальной защиты паролей Microsoft Entra

Пользователи часто создают пароли, использующие распространенные местные слова, такие как школа, спортивная команда или известный человек. Эти пароли легко угадать и слабы против атак на основе словаря. Для принудительного применения надежных паролей в организации Microsoft Entra Password Protection предоставляет глобальный и настраиваемый список запрещенных паролей. Запрос на изменение пароля завершается ошибкой, если в этом запрещенном списке паролей совпадает.

Чтобы защитить среду доменных служб локальная служба Active Directory (AD DS), можно установить и настроить защиту паролей Microsoft Entra для работы с локальным контроллером домена. В этой статье показано, как установить и зарегистрировать прокси-службу защиты паролей Microsoft Entra Password Protection и агент контроллера домена Защиты паролей Microsoft в локальной среде.

Дополнительные сведения о том, как microsoft Entra Password Protection работает в локальной среде, см. в статье "Как применить защиту паролей Microsoft Entra для Windows Server Active Directory".

Стратегия развертывания

На следующей схеме показано, как основные компоненты Microsoft Entra Password Protection работают вместе в среде локальная служба Active Directory:

Рекомендуется проверить, как работает программное обеспечение перед развертыванием. Дополнительные сведения см . в концептуальном обзоре защиты паролей Microsoft Entra.

Рекомендуется запускать развертывания в режиме аудита . Режим аудита — это начальный параметр по умолчанию, где пароли могут продолжать задаваться. Пароли, которые будут заблокированы, записываются в журнал событий. После развертывания прокси-серверов и агентов контроллера домена в режиме аудита отслеживайте влияние политики паролей на пользователей при применении политики.

На этапе аудита многие организации обнаруживают, что применяются следующие ситуации:

• Им необходимо улучшить существующие операционные процессы, чтобы использовать более безопасные пароли.
• Пользователи часто используют небезопасные пароли.
• Им необходимо сообщить пользователям о предстоящих изменениях в обеспечении безопасности, возможном влиянии на них и о том, как выбрать более безопасные пароли.

Кроме того, для более надежной проверки пароля можно повлиять на существующую автоматизацию развертывания контроллера домена Active Directory. Рекомендуется, чтобы во время оценки периода аудита произошло по крайней мере одно повышение домена и одно понижение контроллера домена, чтобы помочь выявить такие проблемы. Дополнительные сведения см. в следующих статьях:

• Ntdsutil.exe не удается задать пароль в режиме восстановления служб каталогов
• Повышение реплики контроллера домена завершается ошибкой из-за слабого пароля режима восстановления служб каталогов
• Сбой понижения контроллера домена из-за слабого пароля локального администратора

После выполнения функции в режиме аудита в течение разумного периода можно переключить конфигурацию с audit to Enforce , чтобы требовать более безопасные пароли. Дополнительное наблюдение за этим временем является хорошей идеей.

Важно отметить, что Защита паролей Microsoft Entra может проверять только пароли во время операций изменения пароля или установки. Пароли, которые были приняты и сохранены в Active Directory до развертывания Защиты паролей Microsoft Entra, никогда не будут проверены и будут продолжать работать как есть. Со временем все пользователи и учетные записи в конечном итоге начнут использовать пароли, проверенные в Microsoft Entra Password Protection, как срок действия существующих паролей обычно истекает. Учетные записи, настроенные с использованием "срок действия пароля никогда не истекает", освобождаются от этого.

Рекомендации по нескольким лесам

Для развертывания защиты паролей Microsoft Entra в нескольких лесах нет дополнительных требований.

Каждый лес настраивается независимо, как описано в следующем разделе для развертывания локальной защиты паролей Microsoft Entra. Каждый прокси-сервер защиты паролей Microsoft Entra может поддерживать только контроллеры домена из леса, к которому он присоединен.

Программное обеспечение защиты паролей Microsoft Entra в любом лесу не знает о программном обеспечении защиты паролем, развернутом в других лесах, независимо от конфигураций доверия Active Directory.

Рекомендации контроллера домена только для чтения

События изменения пароля или задания не обрабатываются и сохраняются на контроллерах домена только для чтения (RODCs). Вместо этого они перенаправляются на записываемые контроллеры домена. Вам не нужно устанавливать программное обеспечение агента контроллера домена защиты паролей Microsoft Entra на контроллерах домена.

Кроме того, он не поддерживается для запуска прокси-службы защиты паролей Microsoft Entra на контроллере домена только для чтения.

Рекомендации по обеспечению высокого уровня доступности

Основной проблемой защиты паролей является доступность прокси-серверов Microsoft Entra Password Protection, когда контроллеры домена в лесу пытаются скачать новые политики или другие данные из Azure. Каждый агент контроллера домена защиты паролей Майкрософт использует простой алгоритм циклического перебора при выборе прокси-сервера для вызова. Агент пропускает прокси-серверы, которые не отвечают.

Для большинства полностью подключенных развертываний Active Directory, которые имеют работоспособное репликацию состояния каталога и папки sysvol, достаточно двух прокси-серверов Microsoft Entra Password Protection, чтобы обеспечить доступность. Эта конфигурация приводит к своевременному скачиванию новых политик и других данных. При необходимости можно развернуть дополнительные прокси-серверы Защиты паролей Microsoft Entra.

Разработка программного обеспечения агента DC для защиты паролей Microsoft Entra устраняет обычные проблемы, связанные с высокой доступностью. Агент контроллера домена защиты паролей Microsoft Entra сохраняет локальный кэш последней скачавшейся политики паролей. Даже если все зарегистрированные прокси-серверы становятся недоступными, агенты контроллера домена Защиты паролей Майкрософт продолжают применять кэшированную политику паролей.

Частота обновления для политик паролей в большом развертывании обычно составляет дни, а не часы или меньше. Таким образом, краткие сбои прокси-серверов не влияют на защиту паролей Microsoft Entra.

Требования к развертыванию

Дополнительные сведения о лицензировании см. в статье о требованиях к лицензированию Защиты паролей Microsoft Entra.

Применяются следующие основные требования:

• Все компьютеры, включая контроллеры домена, имеющие компоненты защиты паролей Microsoft Entra, должны иметь универсальную среду выполнения C.

  • Вы можете получить среду выполнения, убедившись, что у вас есть все обновления из Обновл. Windows. Кроме того, вы можете получить его в пакете обновления для конкретной ОС. Дополнительные сведения см. в разделе "Обновление для универсальной среды выполнения C" в Windows.

• Чтобы зарегистрировать лес Windows Server Active Directory с идентификатором Microsoft Entra ID, требуется учетная запись, которая имеет права администратора домена Active Directory в корневом домене леса Active Directory.

• Служба распространения ключей должна быть включена на всех контроллерах домена в домене под управлением Windows Server 2012 и более поздних версий. По умолчанию эта служба включена с помощью запуска триггера вручную.

• Сетевое подключение должно существовать между по крайней мере одним контроллером домена в каждом домене и по крайней мере одним сервером, на котором размещена прокси-служба для защиты паролей Microsoft Entra. Это подключение должно позволить контроллеру домена получить доступ к порту сопоставления конечных точек RPC 135 и порту сервера RPC в прокси-службе.

  • По умолчанию порт сервера RPC является динамическим портом RPC из диапазона (49152 – 65535), но его можно настроить для использования статического порта.

• Все компьютеры, на которых будет установлена служба прокси-сервера защиты паролем Майкрософт, должны иметь сетевой доступ к следующим конечным точкам:

  Конечная точка	Цель
  https://login.microsoftonline.com	Запросы проверки подлинности
  https://enterpriseregistration.windows.net	Функции защиты паролей Microsoft Entra
  https://autoupdate.msappproxy.net	Функция автоматического обновления защиты паролей Microsoft Entra

Агент контроллера домена защиты паролем Microsoft Entra

Следующие требования применяются к агенту контроллера домена защиты паролей Microsoft Entra:

• Компьютеры, на которых будет установлено программное обеспечение агента DC для защиты паролей Microsoft Entra, должны работать под управлением Windows Server 2012 R2 или более поздней версии, включая выпуски Windows Server Core.
  • Домен Или лес Active Directory может быть любым поддерживаемым функциональным уровнем.
• На всех компьютерах, на которых установлен агент контроллера домена защиты паролем Microsoft Entra Password Protection, должен быть установлен .NET 4.7.2.
  • Если .NET 4.7.2 еще не установлен, скачайте и запустите установщик, найденный в автономном установщике платформа .NET Framework 4.7.2 для Windows.
• Любой домен Active Directory, на котором выполняется служба агента контроллера домена защиты паролем Майкрософт, должен использовать репликацию распределенной файловой системы (DFSR) для репликации sysvol.

  • Если домен еще не использует DFSR, перед установкой защиты паролей Microsoft Entra необходимо выполнить миграцию. Дополнительные сведения см . в руководстве по миграции репликации SYSVOL: FRS в репликацию DFS

    Предупреждение

    В настоящее время программное обеспечение агента КОНТРОЛЛЕРа домена Microsoft Entra Password Protection устанавливается на контроллеры домена в доменах, которые по-прежнему используют FRS (предшественник технологии DFSR) для репликации sysvol, но программное обеспечение не будет работать должным образом в этой среде.

    Дополнительные негативные побочные эффекты включают отдельные файлы, которые не реплицируются, и процедуры восстановления sysvol, как представляется, будут успешными, но автоматически не реплицируются все файлы.

    Перенос домена на использование DFSR как можно скорее для преимуществ DFSR, так и для разблокировки развертывания защиты паролей Microsoft Entra. Будущие версии программного обеспечения будут автоматически отключены при запуске в домене, который по-прежнему использует FRS.

Прокси-служба защиты паролей Microsoft Entra

Следующие требования применяются к прокси-службе защиты паролей Microsoft Entra:

• Все компьютеры, на которых будет установлена прокси-служба защиты паролем Microsoft Entra, должны работать под управлением Windows Server 2012 R2 или более поздней версии, включая выпуски Windows Server Core.

  Заметка

  Развертывание прокси-службы защиты паролей Microsoft Entra является обязательным требованием для развертывания защиты паролей Microsoft Entra, даже если контроллер домена может иметь исходящее подключение к Интернету.

• Все компьютеры, на которых будет установлена прокси-служба защиты паролем Microsoft Entra, должны быть установлены .NET 4.7.2.

  • Если .NET 4.7.2 еще не установлен, скачайте и запустите установщик, найденный в автономном установщике платформа .NET Framework 4.7.2 для Windows.

• Все компьютеры, на которых размещена прокси-служба защиты паролей Майкрософт, должны быть настроены для предоставления контроллерам домена возможности входа в службу прокси-сервера. Эта возможность управляется с помощью назначения привилегий "Доступ к этому компьютеру из сети".

• Все компьютеры, на которых размещена прокси-служба защиты паролей Microsoft Entra, должны быть настроены для разрешения исходящего ТРАФИКА TLS 1.2.

• Глобальный администратор должен зарегистрировать прокси-службу защиты паролей Microsoft Entra в первый раз в данном клиенте. Последующие регистрации прокси-сервера и леса с идентификатором Microsoft Entra могут использовать учетную запись по крайней мере с ролью администратора безопасности.

• Сетевой доступ должен быть включен для набора портов и URL-адресов, указанных в процедурах настройки среды прокси приложения. Это в дополнение к двум описанным выше конечным точкам.

Предварительные требования microsoft Entra Connect Agent Updater

Служба Обновления агента Microsoft Entra Connect устанавливается параллельно со службой прокси-сервера защиты паролей Microsoft Entra. Дополнительная конфигурация необходима, чтобы служба обновления агента Microsoft Entra Connect могла функционировать:

• Если в вашей среде используется прокси-сервер HTTP, следуйте инструкциям, указанным в разделе "Работа с существующими локальными прокси-серверами".
• Для службы обновления агента Microsoft Entra Connect также требуются шаги TLS 1.2, указанные в требованиях TLS.

Скачивание необходимого программного обеспечения

Существует два обязательных установщика для локального развертывания Защиты паролей Microsoft Entra:

• Агент контроллера домена защиты паролей Microsoft Entra (AzureADPasswordProtectionDCAgentSetup.msi)
• Прокси-сервер защиты паролей Microsoft Entra (AzureADPasswordProtectionProxySetup.exe)

Скачайте оба установщика из Центра загрузки Майкрософт.

Установка и настройка прокси-службы

Служба прокси-сервера защиты паролей Microsoft Entra обычно находится на сервере-члене в локальной среде AD DS. После установки прокси-служба microsoft Entra Password Protection взаимодействует с идентификатором Microsoft Entra, чтобы сохранить копию глобальных списков запрещенных паролей для клиента Microsoft Entra.

В следующем разделе описано, как установить агенты контроллера домена Защиты паролей Microsoft Entra на контроллерах домена в локальной среде AD DS. Эти агенты контроллера домена взаимодействуют со службой прокси-сервера, чтобы получить последние запрещенные списки паролей для использования при обработке событий изменения пароля в домене.

Выберите один или несколько серверов для размещения прокси-службы microsoft Entra Password Protection. Следующие рекомендации относятся к серверам:

• Каждая такая служба может предоставлять только политики паролей для одного леса. Узел должен быть присоединен к любому домену в этом лесу.
• Вы можете установить прокси-службу в корневых или дочерних доменах или в сочетании с ними.
• Требуется сетевое подключение между по крайней мере одним контроллером домена в каждом домене леса и одним прокси-сервером защиты паролем.
• Вы можете запустить прокси-службу microsoft Entra Password Protection на контроллере домена для тестирования, но для этого контроллера домена требуется подключение к Интернету. Это может быть проблемой безопасности. Мы рекомендуем использовать эту конфигурацию только для тестирования.
• Мы рекомендуем по крайней мере два прокси-сервера Защиты паролей Microsoft Entra для каждого леса для избыточности, как отмечалось в предыдущем разделе по вопросам высокого уровня доступности.
• Не поддерживается запуск прокси-службы защиты паролей Microsoft Entra на контроллере домена только для чтения.
• При необходимости можно удалить прокси-службу с помощью добавления или удаления программ. Очистка состояния прокси-службы не требуется вручную.

Чтобы установить прокси-службу защиты паролей Microsoft Entra, выполните следующие действия.

1. Чтобы установить прокси-службу защиты паролей Microsoft Entra, запустите установщик программного AzureADPasswordProtectionProxySetup.exe обеспечения.

   Установка программного обеспечения не требует перезагрузки и может быть автоматизирована с помощью стандартных процедур MSI, как показано в следующем примере:

   AzureADPasswordProtectionProxySetup.exe /quiet
   

   Заметка

   Перед установкой AzureADPasswordProtectionProxySetup.exe пакета необходимо запустить службу брандмауэра Windows, чтобы избежать ошибки установки.

   Если брандмауэр Windows не запущен, решение временно включает и запускает службу брандмауэра во время установки. Программное обеспечение прокси-сервера не зависит от брандмауэра Windows после установки.

   Если вы используете сторонний брандмауэр, он по-прежнему должен быть настроен для удовлетворения требований к развертыванию. К ним относятся разрешение входящего доступа к порту 135 и порту прокси-сервера RPC. Дополнительные сведения см. в предыдущем разделе о требованиях к развертыванию.

2. Программное обеспечение прокси-сервера защиты паролей Microsoft Entra включает новый модуль AzureADPasswordProtectionPowerShell. Следующие шаги выполняют различные командлеты из этого модуля PowerShell.

   Чтобы использовать этот модуль, откройте окно PowerShell от имени администратора и импортируйте новый модуль следующим образом:

   Import-Module AzureADPasswordProtection
   

   Предупреждение

   Необходимо использовать 64-разрядную версию PowerShell. Некоторые командлеты могут не работать с PowerShell (x86).

3. Чтобы проверить, запущена ли прокси-служба защиты паролем Microsoft Entra, используйте следующую команду PowerShell:

   Get-Service AzureADPasswordProtectionProxy | fl
   

   Результат должен показать состояние выполнения.

4. Прокси-служба выполняется на компьютере, но не имеет учетных данных для взаимодействия с идентификатором Microsoft Entra. Зарегистрируйте прокси-сервер защиты паролей Microsoft Entra с помощью идентификатора Microsoft Entra с помощью командлета Register-AzureADPasswordProtectionProxy .

   Для этого командлета требуются учетные данные глобального администратора при первом регистрации любого прокси-сервера для данного клиента. Последующие регистрации прокси-сервера в этом клиенте, независимо от того, для одного или разных прокси-серверов могут использовать учетные данные администратора безопасности.

   После того как эта команда завершится один раз, дополнительные вызовы также будут успешными, но не являются ненужными.

   Командлет Register-AzureADPasswordProtectionProxy поддерживает следующие три режима проверки подлинности. Первые два режима поддерживают многофакторную проверку подлинности Microsoft Entra, но третий режим не поддерживает.

   Кончик

   Перед первым выполнением этого командлета для определенного клиента Azure может возникнуть заметная задержка. Если не сообщается об ошибке, не беспокойтесь об этой задержке.

   • Режим интерактивной проверки подлинности:

     Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
     

     Заметка

     Этот режим не работает в операционных системах основных серверных компонентов. Вместо этого используйте один из следующих режимов проверки подлинности. Кроме того, этот режим может завершиться ошибкой, если включена конфигурация расширенной безопасности Internet Explorer. Обходной путь — отключить эту конфигурацию, зарегистрировать прокси-сервер и повторно включить ее.

   • Режим проверки подлинности с кодом устройства:

     Register-AzureADPasswordProtectionProxy -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
     

     При появлении запроса перейдите по ссылке, чтобы открыть веб-браузер и ввести код проверки подлинности.

   • Режим автоматической проверки подлинности (на основе пароля):

     $globalAdminCredentials = Get-Credential
     Register-AzureADPasswordProtectionProxy -AzureCredential $globalAdminCredentials
     

     Заметка

     Этот режим завершается ошибкой, если для учетной записи требуется многофакторная проверка подлинности Microsoft Entra. В этом случае используйте один из предыдущих двух режимов проверки подлинности или используйте другую учетную запись, которая не требует многофакторной проверки подлинности.

     Кроме того, может потребоваться многофакторная проверка подлинности, если регистрация устройств Azure (которая используется в рамках защиты паролей Майкрософт) настроена на глобальное требование MFA. Чтобы обойти это требование, вы можете использовать другую учетную запись, которая поддерживает MFA с одним из предыдущих двух режимов проверки подлинности, или вы также можете временно расслабить требование MFA регистрации устройств Azure.

     Чтобы внести это изменение, выберите "Удостоверение" в Центре администрирования Microsoft Entra, а затем выберите "Параметры устройства".> Установка параметра "Требовать многофакторную проверку подлинности" для присоединения устройств к No. Не забудьте перенастроить этот параметр на "Да " после завершения регистрации.

     Мы рекомендуем обойти требования MFA только для тестирования.

   В настоящее время не нужно указывать параметр -ForestCredential , зарезервированный для будущих функций.

   Регистрация прокси-службы защиты паролей Microsoft Entra требуется только один раз в течение всего времени существования службы. После этого прокси-служба защиты паролей Microsoft Entra будет автоматически выполнять любое другое необходимое обслуживание.

5. Чтобы убедиться, что изменения вступили в силу, выполните команду Test-AzureADPasswordProtectionProxyHealth -TestAll. Сведения об устранении ошибок см. в статье "Устранение неполадок: локальная защита паролей Microsoft Entra".

6. Теперь зарегистрируйте лес локальная служба Active Directory с необходимыми учетными данными для взаимодействия с Azure с помощью командлета Register-AzureADPasswordProtectionForest PowerShell.

   Заметка

   Если в среде установлены несколько прокси-серверов Защиты паролей Microsoft Entra, то не имеет значения, какой прокси-сервер используется для регистрации леса.

   Для этого командлета требуются учетные данные глобального администратора или администратора безопасности для клиента Azure. Для этого также требуются права администратора предприятия локальная служба Active Directory. Этот командлет также необходимо запустить с помощью учетной записи с правами локального администратора. Учетная запись Azure, используемая для регистрации леса, может отличаться от учетной записи локальная служба Active Directory.

   Этот шаг выполняется один раз в лесу.

   Командлет Register-AzureADPasswordProtectionForest поддерживает следующие три режима проверки подлинности. Первые два режима поддерживают многофакторную проверку подлинности Microsoft Entra, но третий режим не поддерживает.

   Кончик

   Перед первым выполнением этого командлета для определенного клиента Azure может возникнуть заметная задержка. Если не сообщается об ошибке, не беспокойтесь об этой задержке.

   • Режим интерактивной проверки подлинности:

     Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com'
     

     Заметка

     Этот режим не будет работать в операционных системах основных серверных компонентов. Вместо этого используйте один из следующих двух режимов проверки подлинности. Кроме того, этот режим может завершиться ошибкой, если включена конфигурация расширенной безопасности Internet Explorer. Обходной путь — отключить эту конфигурацию, зарегистрировать лес и повторно включить ее.

   • Режим проверки подлинности с кодом устройства:

     Register-AzureADPasswordProtectionForest -AccountUpn 'yourglobaladmin@yourtenant.onmicrosoft.com' -AuthenticateUsingDeviceCode
     

     При появлении запроса перейдите по ссылке, чтобы открыть веб-браузер и ввести код проверки подлинности.

   • Режим автоматической проверки подлинности (на основе пароля):

     $globalAdminCredentials = Get-Credential
     Register-AzureADPasswordProtectionForest -AzureCredential $globalAdminCredentials
     

     Заметка

     Этот режим завершается ошибкой, если для учетной записи требуется многофакторная проверка подлинности Microsoft Entra. В этом случае используйте один из предыдущих двух режимов проверки подлинности или используйте другую учетную запись, которая не требует многофакторной проверки подлинности.

     Кроме того, может потребоваться многофакторная проверка подлинности, если регистрация устройств Azure (которая используется в рамках защиты паролей Майкрософт) настроена на глобальное требование MFA. Чтобы обойти это требование, вы можете использовать другую учетную запись, которая поддерживает MFA с одним из предыдущих двух режимов проверки подлинности, или вы также можете временно расслабить требование MFA регистрации устройств Azure.

     Чтобы внести это изменение, выберите "Удостоверение" в Центре администрирования Microsoft Entra, а затем выберите "Параметры устройства".> Установка параметра "Требовать многофакторную проверку подлинности" для присоединения устройств к No. Не забудьте перенастроить этот параметр на "Да " после завершения регистрации.

     Мы рекомендуем обойти требования MFA только для тестирования.

     Эти примеры успешно выполнены только в том случае, если текущий пользователь, вошедшего в систему, также является администратором домена Active Directory для корневого домена. Если это не так, можно указать альтернативные учетные данные домена с помощью параметра -ForestCredential .

   Регистрация леса Active Directory необходима только один раз в течение всего времени существования леса. После этого агенты контроллера домена защиты паролей Microsoft Entra в лесу автоматически выполняют любое другое необходимое обслуживание. После Register-AzureADPasswordProtectionForest успешного выполнения леса дополнительные вызовы командлета завершаются успешно, но не нужны.

   Для Register-AzureADPasswordProtectionForest успешного выполнения по крайней мере один контроллер домена под управлением Windows Server 2012 или более поздней версии должен быть доступен в домене прокси-сервера Microsoft Entra Password Protection. Программное обеспечение агента контроллера домена защиты паролей Майкрософт не должно быть установлено на контроллерах домена до этого шага.

7. Чтобы убедиться, что изменения вступили в силу, выполните команду Test-AzureADPasswordProtectionProxyHealth -TestAll. Сведения об устранении ошибок см. в статье "Устранение неполадок: локальная защита паролей Microsoft Entra".

Настройка прокси-службы для обмена данными через HTTP-прокси

Если в вашей среде требуется использовать конкретный HTTP-прокси для взаимодействия с Azure, выполните следующие действия, чтобы настроить службу защиты паролей Microsoft Entra.

Создайте файл конфигурации AzureADPasswordProtectionProxy.exe.config в папке%ProgramFiles%\Azure AD Password Protection Proxy\Service. Включите следующее содержимое:

<configuration>
   <system.net>
      <defaultProxy enabled="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

Если для прокси-сервера HTTP требуется проверка подлинности, добавьте тег useDefaultCredentials :

<configuration>
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
      <proxy bypassonlocal="true"
         proxyaddress="http://yourhttpproxy.com:8080" />
      </defaultProxy>
   </system.net>
</configuration>

В обоих случаях замените http://yourhttpproxy.com:8080 адресом и портом конкретного прокси-сервера HTTP.

Если прокси-сервер HTTP настроен для использования политики авторизации, необходимо предоставить доступ к учетной записи компьютера Active Directory компьютера, на котором размещена прокси-служба для защиты паролей.

Рекомендуется остановить и перезапустить прокси-службу защиты паролей Microsoft Entra после создания или обновления файла конфигурации AzureADPasswordProtectionProxy.exe.config .

Служба прокси-сервера не поддерживает использование определенных учетных данных для подключения к HTTP-прокси.

Настройка прокси-службы для прослушивания определенного порта

Программное обеспечение агента контроллера домена защиты паролей Microsoft Entra использует RPC по протоколу TCP для обмена данными с прокси-службой. По умолчанию прокси-служба защиты паролей Microsoft Entra прослушивает любую доступную динамическую конечную точку RPC. Вы можете настроить службу для прослушивания определенного TCP-порта, если это необходимо из-за требований к сетевой топологии или брандмауэру в вашей среде. При настройке статического порта необходимо открыть порт 135 и статический порт.

Чтобы настроить службу для запуска под статическим портом, используйте Set-AzureADPasswordProtectionProxyConfiguration следующий командлет:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort <portnumber>

Чтобы настроить службу для запуска под динамическим портом, используйте ту же процедуру, но установите staticPort обратно в нулевое значение:

Set-AzureADPasswordProtectionProxyConfiguration –StaticPort 0

Для прокси-службы защиты паролей Microsoft Entra требуется перезапуск вручную после любого изменения конфигурации порта. После внесения этих изменений в конфигурацию вам не нужно перезапустить службу агента агента контроллера контроллера домена Microsoft Entra Password Protection dc на контроллерах домена.

Чтобы запросить текущую Get-AzureADPasswordProtectionProxyConfiguration конфигурацию службы, используйте командлет, как показано в следующем примере.

Get-AzureADPasswordProtectionProxyConfiguration | fl

В следующем примере выходных данных показано, что прокси-служба защиты паролей Майкрософт использует динамический порт:

ServiceName : AzureADPasswordProtectionProxy
DisplayName : Azure AD password protection Proxy
StaticPort  : 0

Установка службы агента контроллера домена

Чтобы установить службу агента контроллера домена защиты паролей Microsoft Entra, запустите AzureADPasswordProtectionDCAgentSetup.msi пакет.

Вы можете автоматизировать установку программного обеспечения с помощью стандартных процедур MSI, как показано в следующем примере:

msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart

Флаг /norestart может быть опущен, если вы предпочитаете автоматически перезагрузить компьютер установщиком.

Для установки программного обеспечения или удаления требуется перезагрузка. Это требование связано с тем, что библиотеки DLL фильтра паролей загружаются или выгружаются перезапуском.

Установка предварительной защиты паролей Microsoft Entra после установки программного обеспечения агента контроллера домена на контроллере домена и перезагрузки компьютера. Другая конфигурация не требуется или возможна. События изменения пароля для локальных контроллеров домена используют настроенные списки запрещенных паролей из идентификатора Microsoft Entra.

Чтобы включить предварительную защиту паролей Microsoft Entra Password Protection или настроить пользовательские запрещенные пароли, см. статью "Включить локальную защиту паролей Microsoft Entra".

Обновление прокси-службы

Служба прокси-сервера защиты паролей Microsoft Entra поддерживает автоматическое обновление. Автоматическое обновление использует службу обновления агента Microsoft Entra Connect, которая устанавливается параллельно со службой прокси-сервера. Автоматическое обновление по умолчанию и может быть включено или отключено с помощью командлета Set-AzureADPasswordProtectionProxyConfiguration .

Текущий параметр можно запросить с помощью командлета Get-AzureADPasswordProtectionProxyConfiguration . Рекомендуется всегда включить параметр автоматического обновления.

Командлет Get-AzureADPasswordProtectionProxy может использоваться для запроса программной версии всех установленных прокси-серверов Microsoft Entra Password Protection в лесу.

Процесс обновления вручную

Обновление вручную выполняется путем запуска последней версии установщика программного AzureADPasswordProtectionProxySetup.exe обеспечения. Последняя версия программного обеспечения доступна в Центре загрузки Майкрософт.

Не требуется удалить текущую версию прокси-службы microsoft Entra Password Protection. Установщик выполняет обновление на месте. При обновлении прокси-службы не требуется перезагрузка. Обновление программного обеспечения может быть автоматизировано с помощью стандартных процедур MSI, таких как AzureADPasswordProtectionProxySetup.exe /quiet.

Обновление агента контроллера домена

Когда доступна более новая версия программного обеспечения агента DC для защиты паролей Microsoft Entra, обновление выполняется с помощью последней версии пакета программного AzureADPasswordProtectionDCAgentSetup.msi обеспечения. Последняя версия программного обеспечения доступна в Центре загрузки Майкрософт.

Для удаления текущей версии программного обеспечения агента контроллера домена установщик выполняет обновление на месте. Перезагрузка всегда требуется при обновлении программного обеспечения агента контроллера домена. Это требование вызвано основным поведением Windows.

Обновление программного обеспечения может быть автоматизировано с помощью стандартных процедур MSI, таких как msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart.

Если вы предпочитаете автоматически перезагрузить компьютер, можно опустить /norestart флаг.

Командлет Get-AzureADPasswordProtectionDCAgent может использоваться для запроса программной версии всех установленных в настоящее время агентов контроллера домена Защиты паролей Microsoft Entra в лесу.

Дальнейшие действия

Теперь, когда вы установили службы, необходимые для защиты паролей Microsoft Entra на локальных серверах, включите предварительную защиту паролей Microsoft Entra Password Protection для завершения развертывания.