Habilitar a Proteção de Senha do Microsoft Entra local
Os usuários geralmente criam senhas que usam palavras locais comuns, como uma escola, uma equipe esportiva ou uma pessoa famosa. Essas senhas são fáceis de adivinhar e fracas em relação a ataques baseados em dicionário. Para impor senhas fortes em sua organização, o Microsoft Entra Password Protection fornece uma lista de senhas proibidas globais e personalizadas. Uma solicitação de alteração de senha falhará se houver uma correspondência nestas listas de senhas proibidas.
Para proteger seu ambiente local do AD DS (Active Directory Domain Services), você pode instalar e configurar o Microsoft Entra Password Protection para trabalhar com seu DC local. Este artigo mostra como habilitar o Microsoft Entra Password Protection para seu ambiente local.
Para obter mais informações sobre como o Microsoft Entra Password Protection funciona em um ambiente local, consulte How to enforce Microsoft Entra Password Protection for Windows Server Active Directory.
Antes de começar
Este artigo mostra como habilitar o Microsoft Entra Password Protection para seu ambiente local. Antes de concluir este artigo, instale e registre o serviço proxy de Proteção de Senha do Microsoft Entra e os agentes do controlador de domínio em seu ambiente do AD DS local.
Habilitar a proteção por senha local
Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Autenticação.
Navegue até Proteção>Métodos de Autenticação de>Proteção de senha.
Defina a opção Habilitar proteção de senha no Windows Server Active Directory como Sim.
Quando essa configuração é definida como Não, todos os agentes do controlador de domínio de Proteção de Senha do Microsoft Entra implantados entram em um modo inativo onde todas as senhas são aceitas no estado em que se encontram. Nenhuma atividade de validação é executada e eventos de auditoria não são gerados.
É recomendável definir inicialmente o Modo para Auditoria. Depois que estiver familiarizado com o recurso e o impacto sobre os usuários em sua organização, você poderá alternar do Modo para Imposto. Para obter mais informações, consulte a seção a seguir sobre modos de operação.
Quando estiver pronto, selecione Salvar.
Modos de operação
Ao habilitar a Proteção de Senha do Microsoft Entra local, você pode usar o modo de auditoria ou o modo de imposição. Recomendamos que a implantação e o teste iniciais sempre comecem no modo de auditoria. As entradas nos eventos no log de eventos devem ser monitoradas para prever se todos os processos operacionais existentes seriam afetados quando o modo de impor for habilitado.
Modo de auditoria
O modo de auditoria foi desenvolvido como uma maneira de executar o software em um modo "what if". Cada serviço do agente de controlador de domínio de Proteção de Senha do Microsoft Entra avalia uma senha recebida de acordo com a política ativa no momento.
Se a política atual estiver configurada para estar no modo de auditoria, senhas "incorretas" resultarão em mensagens de log de eventos, mas serão processadas e atualizadas. Esse comportamento é a única diferença entre o modo de auditoria e de imposição. Todas as outras operações são executadas da mesma forma.
Modo Obrigatório
O modo de imposição serve como a configuração final. Assim como quando está no modo de auditoria, cada serviço do agente de DC da Proteção de Senha do Microsoft Entra avalia as senhas de entrada de acordo com a política ativa atualmente. No entanto, quando o modo imposto é habilitado, uma senha considerada insegura de acordo com a política é rejeitada.
Quando uma senha é rejeitada no modo de imposição pelo agente do controlador de domínio de Proteção de Senha do Microsoft Entra, o usuário final observa um erro idêntico ao que veria se a senha fosse rejeitada pela imposição tradicional de complexidade da senha local. Por exemplo, um usuário pode ver a seguinte mensagem de erro tradicional no logon do Windows ou alterar a tela de senha:
"Não é possível atualizar a senha. O valor fornecido para a nova senha não atende aos requisitos de comprimento, complexidade ou histórico do domínio."
Esta mensagem é apenas um exemplo de vários resultados possíveis. A mensagem de erro específica pode variar dependendo do software ou cenário real que está tentando definir uma senha insegura.
Os usuários finais afetados podem precisar trabalhar com sua equipe de TI para entender os novos requisitos e escolher senhas seguras.
Nota
A Proteção de Senha do Microsoft Entra não tem controle sobre a mensagem de erro específica exibida pelo computador cliente quando uma senha fraca é rejeitada.
Próximas etapas
Para personalizar a lista de senhas proibidas para sua organização, consulte Configurar a lista de senhas personalizadas proibidas do Microsoft Entra Password Protection.
Para monitorar eventos locais, confira Monitoramento da Proteção de Senha do Microsoft Entra local.