התקנה והגדרת Azure AD Password Protection

המאמר הראשון התמקד באפשרויות השונות של הגנה על זהויות עם Azure AD Password Protection ומהם ההמלצות והיכולות ביישום בתצורת ענן ותצורה היברידית בהגנה על שינוי סיסמאות של משתמשי קצה.
המאמר הנוכחי יתמקד בהתקנה, הגדרה ודגשים ביישום Azure AD Password Protection בתצורה היברידית.

דרישות סף

שרתים בגרסת Windows Server 2012 ומעלה (לטובת Proxy + DC Agent)
גרסת Active Directory המבוססת על שרתי Windows Server 2012 ומעלה
שרתי DC’s עם תמיכה ברכיב DFSR
הרשאות Global Admin בשירות Azure AD
הרשאות Domain Admin מול Active Directory מקומי

הערה: בתרחיש המתואר במאמר כל היישום יבוצע על שרת אחד, למרות שהתרחיש הנ”ל עובד Microsoft אינה ממליצה ביישום של כלל הרכיבים על אותו שרת.

הגדרת רכיב Proxy

הורדת רכיבים מתוך הקישור הבא Azure AD password protection for Windows Server Active Directory (יש להוריד את שני הרכיבים)
התקנת רכיב לפי הפקודה הבאה Start-Process C:\Temp\AzureADPasswordProtectionProxy.msi
טעינת מודול לפי הפקודה הבאה Import-Module AzureADPasswordProtection
בדיקת פעולות קיימות לפי הפקודה Get-Command *AzureADP*

image

ביצוע רגיסטרציה של הרכיב מול שירות Azure AD ומול Active Directory מקומי באמצעות הפקודות הבאות:

$CloudCredentials = Get-Credential

$ADCredentials = Get-Credential

Register-AzureADPasswordProtectionProxy -AzureCredential $CloudCredentials -ForestCredential $ADCredentials

image

הערה: הרישום הראשוני מול הענן לוקח זמן בגלל עדכון מול הרכיבים הנוספים בשירות Azure AD

לאחר מכן ניתן לבדוק מול לוג בשרת המקומי שבוצע רישום מוצלח מול השרת המקומי ונשלחה בקשה מול שירות Azure AD

image

הגדרת רכיב DC Agent

התקנת רכיב Start-Process C:\Temp\AzureADPasswordProtectionDCAgent.msi
ביצוע רגיסטרציה לרכיב Register-AzureADPasswordProtectionForest -AzureCredential $CloudCredentials
לאחר מכן ניתן לבדוק מול לוג בשרת המקומי שבוצע רישום מוצלח

image

בדיקת תקינות

במהלך ההתקנה נוצרו מספר קונטיינרים ותיקיות שענם עובד המנגנון ולכן מומלץ לוודא שהגדרות אלה נרשמו באופן תקין

ברמת Configuration Partition ישנו קונטיינר חדש שמכיל נתונים של Forest ושל Proxy

image

ברמת תיקיית Sysvol ישנה תיקייה חדשה שמכילה פוליסי, רפליקציה והגדרות נוספות

image

דגשים והערות חשובות

רכיב Proxy ניתן להגדרה ברמת Forest ולכן ניתן להחיל רק פוליסי אחד לאותו Forest
במידה ומבצעים הפרדה בין רכיב Proxy לבין DC Agent חייב להיות קישוריות בין השרתים
רכיב Proxy דורש קישוריות מול הענן ולכן עדיף להתקין על שרת שאינו DC
הרישום של הרכיבים חייב להיעשות מול משתמשים בעלי הרשאות
העדכון מול הרישום הראשוני מול הענן אורך לפחות 45 דקות
יש לבצע רישום רק פעם אחת של הרכיב ואין משמעות לביצוע רישום מספר פעמים
יכולים להיות מספר רכיבי Proxy ברמת Forest/Domain
הפרוטוקול גישה מתוך רכיב DC Agent נעשה על גבי RPC/TCP
רכיב Proxy מבצע האזנה לפורטים דינמיים על גבי RPC
במידת הצורך ניתן להגדיר פורט סטטי
לאחר התקנת הרכיבים צריך לבצע אתחול לשרתים בכדי שייכנסו לתוקף
אין צורך להתקין DC Agent על שרת RODC

כל הפקודות זמינות להורדה Azure AD Password Protection (Hybrid)
*המאמר הבא יתמקד ביכולות הגנה, שינוי סיסמאות וניטור הגישה



:קטגוריותAzure, Azure AD, AzureSecurity, Security

תגיות: , , , , ,

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

w

מתחבר ל-%s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d בלוגרים אהבו את זה: