שלום לכולם,
במאמר זה נלמד איך להגדיר ולנהל את ” Azure AD Password Protection” בסביבת On-Prem.
אז מזה בכלל ” Password Protection” ולמה חשוב לכל ארגון להשתמש בו?
Azure AD Password Protection – כלי זה יודע לזהות ולחסום באופן אוטומטי ממשתמשי ה-Active Directory את השימוש בססמאות חלשות או כאלה שנפוצות ברחבי הרשת. בנוסך לכך, תוכלו גם להגדיר בעצמכם רשימה של ססמאות אשר אינכם רוצים שמשתמשי הארגון יוכלו להשתמש (banned password list).
כאשר אתם מגדירים במדיניות הססמאות שלכם בארגון את הפוליסי “Passwords must meet complexity” משתמשים בארגון שלכם עדיין יכולים להשתמש בססמאות חלשות ונפוצות כמו:”P@ssw0rd”, “Aa123456” וכו’. לכן חשוב לשתמש ב- Password Protection ובכך לשמור על מדניות ססמאות חזקה.
הקדמה:
כפי שאנו יודעים שרת ה-Domain Controller אינו מתקשר מול ה-AZURE באופן ישיר אלא מתוזמן לפי מה שמוגדר בשרת ה-AD-Connect (שאמור להיות מותקן על שרת נפרד ולא על ה-DC) ובכדי שתהיה גישה ישירה בין ה-Domain Controller ל-Azure AD נצטרך להתקין את השירות ” Azure AD Password Protection Proxy Service”
כל ה-Services של “Azure AD Password Protection” משתמשים בחשבון “LOCAL SYSTEM”.
אז איך זה עובד:
1. משתמש נדרש לשנות ססמה ע”י ה-Domain Controller.
2. ה-” DC Agent Password Filter dll” מקבל מהתחנה את הבקשה לשינוי הססמה של המשתמש ומעביר אותה אל- Azure AD Password Protection DC Agent בכדי לוודא שהססמה אכן עומדת בתנאים של ” Azure password policy”.
3. פעם בשעה הסוכן של Password Protection ימשוך עותק חדש של Azure password policy ע”י שימוש ב- proxy service.
דרישות קדם:
– בכדי להתחיל בהטמעה אנא וודאו שמעכרת ההפעלה בשרתי ב-Domain Controller שלכם נמצאים בגרסת Windows Server 2012R2 ומעלה.
– על מערכת ההפעלה חייב להיות מותקן .NET Framework 4.7. ומעלה ו- Universal C runtime for Windows.
– הורדת Azure AD Password Protection דרך הקישור הבא:
https://www.microsoft.com/en-us/download/details.aspx?id=57071%20
שימו לב שהורדתם את שני התוכנות הבאות:
AzureADPasswordProtectionDCAgentSetup
AzureADPasswordProtectionProxySetup
כעת ניתן להטמיע את Azure AD Password Protection בארגון:
התקינו את – Proxy Service (AzureADPasswordProtectionProxySetup.exe)
לאחר שההתקנה הסתיימה, התקינו גם את התוכנה השנייה – AzureADPasswordProtectionDCAgentSetup.msi
בסיום תהליך ההתקנה, תתבקשו לבצע הפעלה מחדש לשרת ה-DC.
נבצע רישום של PasswordProtectionProxy אל מול Azure AD Tenant ע”י הרצת הפקודה הבאה ב- Powershell מהשרת שהתקנו עליו את ה-PasswordProxy:
Register-AzureADPasswordProtectionProxy -AccountUpn 'admin@<yourtenant>.onmicrosoft.com'
ולאחר מכן נבצע רישום נוסף בין ה-Forest אל מול ה-Azure AD ע”י הרצת הפקודה הבאה ב-Powershell:
Register-AzureADPasswordProtectionForest -AccountUpn 'admin@<yourtenant>.onmicrosoft.com'אנא וודאו שאתם מבצעים את הרישום עם משתמש אשר חבר בקבוצת Domain Admins ב-active directory ובעל הרשאת ” Global Admin” על ה-Tenant.
כעת תוכלו להתחבר אל הפוטל של-Azure ולהתחיל לנהל את הססמאות דרך הענן של Microsoft:
https://portal.azure.com
All services –> Azure AD Authentication methods –> Password protection
This Article Was Written By Matan Sigavker.
