Condividi tramite

Abilitare la protezione password di Microsoft Entra in sede

  • Articolo

Gli utenti spesso creano password che usano parole locali comuni, ad esempio una scuola, una squadra sportiva o una persona famosa. Queste password sono facili da indovinare e deboli contro gli attacchi basati su dizionario. Per applicare password complesse nell'organizzazione, Microsoft Entra Password Protection fornisce un elenco globale e personalizzato di password escluse. Una richiesta di modifica della password ha esito negativo se è presente una corrispondenza in questi elenchi di password escluse.

Per proteggere l'ambiente Active Directory Domain Services (AD DS) locale, è possibile installare e configurare la protezione password di Microsoft Entra per l'uso con il controller di dominio locale. Questo articolo illustra come abilitare la protezione password di Microsoft Entra per l'ambiente locale.

Per altre informazioni sul funzionamento di Microsoft Entra Password Protection in un ambiente locale, vedere How to enforce Microsoft Entra Password Protection for Windows Server Active Directory.

Prima di iniziare

Questo articolo illustra come abilitare la protezione password di Microsoft Entra per l'ambiente locale. Prima di completare questo articolo, installare e registrare il servizio proxy di Microsoft Entra Password Protection e gli agenti DC nell'ambiente locale di Active Directory Domain Services.

Abilitare la protezione password locale

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno un amministratore di autenticazione .

  2. Vai a Protezione>Metodi di autenticazione>Protezione con password.

  3. Imposta l'opzione per abilitare la protezione con password su Windows Server Active Directory su .

    Quando questa impostazione è impostata su Nessuna, tutti gli agenti di protezione della password di Microsoft Entra distribuiti entrano in una modalità di riposo in cui tutte le password vengono accettate as-is. Non vengono eseguite attività di convalida e gli eventi di controllo non vengono generati.

  4. È consigliabile impostare inizialmente il modalità su Audit. Dopo aver acquisito familiarità con la funzionalità e l'impatto sugli utenti dell'organizzazione, è possibile passare alla modalità in applicata. Per ulteriori informazioni, vedere la sezione seguente sulle modalità di funzionamento .

  5. Quando si è pronti, selezionare Salva.

    Abilitare la protezione password locale in Metodi di autenticazione nell'interfaccia di amministrazione di Microsoft Entra

Modalità di funzionamento

Quando si abilita Protezione password di Microsoft Entra on-premises, è possibile usare la modalità di audit o la modalità di applicazione. È consigliabile avviare sempre la distribuzione iniziale e i test in modalità di controllo. Le voci nel registro eventi devono quindi essere monitorate per prevedere se eventuali processi operativi esistenti verrebbero disturbati una volta abilitata la modalità Impone.

Modalità di controllo

Modalità audit è intesa come un modo per eseguire il software in modalità "what if". Ogni servizio agente DC di protezione password di Microsoft Entra valuta una password in ingresso in base ai criteri attualmente attivi.

Se il criterio corrente è configurato per essere in modalità di verifica, le password "non valide" generano messaggi del registro eventi, ma vengono elaborate e aggiornate. Questo comportamento è l'unica differenza tra il controllo e la modalità di imposizione. Tutte le altre operazioni funzionano allo stesso modo.

Modalità forzata

La modalità forzata è destinata alla configurazione finale. Come in modalità di audit, ogni servizio agente del controller di dominio di Microsoft Entra Protezione Password valuta le password in ingresso in base ai criteri attualmente attivi. Quando la modalità applicata è abilitata, tuttavia, una password considerata non sicura in base ai criteri viene rifiutata.

Quando una password viene rifiutata in modalità applicata dall'agente DC di Microsoft Entra Password Protection, un utente finale visualizza un errore simile a quello che vedrebbe se la password fosse stata rifiutata dall'applicazione tradizionale della complessità delle password in locale. Ad esempio, un utente potrebbe visualizzare il seguente messaggio di errore tradizionale nella schermata di accesso di Windows o modificare la password:

"Impossibile aggiornare la password. Il valore fornito per la nuova password non soddisfa i requisiti di lunghezza, complessità o cronologia del dominio."

Questo messaggio è solo un esempio di diversi risultati possibili. Il messaggio di errore specifico può variare a seconda del software o dello scenario effettivo che sta tentando di impostare una password non sicura.

Gli utenti finali interessati potrebbero dover collaborare con il personale IT per comprendere i nuovi requisiti e scegliere password sicure.

Nota

La protezione password di Microsoft Entra non ha alcun controllo sul messaggio di errore specifico visualizzato dal computer client quando viene rifiutata una password debole.

Passaggi successivi

Per personalizzare l'elenco delle password vietate per l'organizzazione, vedere Configurare l'elenco di password personalizzate di Microsoft Entra Password Protection.

Per monitorare gli eventi locali, vedere Monitoring on-premises Microsoft Entra Password Protection.