התקנה והגדרת Azure AD Password Protection

המאמר הראשון התמקד באפשרויות השונות של הגנה על זהויות עם Azure AD Password Protection ומהם ההמלצות והיכולות ביישום בתצורת ענן ותצורה היברידית בהגנה על שינוי סיסמאות של משתמשי קצה.
המאמר הנוכחי יתמקד בהתקנה, הגדרה ודגשים ביישום Azure AD Password Protection בתצורה היברידית.

דרישות סף

דרישות סף ליישום Azure AD Password Protection:

  • שרתים בגרסת Windows Server 2012 ומעלה (לטובת Proxy + DC Agent)
  • גרסת Active Directory המבוססת על שרתי Windows Server 2012 ומעלה
  • שרתי DC’s עם תמיכה ברכיב DFSR
  • הרשאות Global Admin בשירות Azure AD
  • הרשאות Domain Admin מול Active Directory מקומי

הערה: בתרחיש המתואר במאמר כל היישום יבוצע על שרת אחד, למרות שהתרחיש הנ”ל עובד Microsoft אינה ממליצה ביישום של כלל הרכיבים על אותו שרת.

הגדרת רכיב Proxy

בכדי להגדיר את רכיב Proxy יש לבצע את הפעולות הבאות:

  • הורדת רכיבים מתוך הקישור הבא Azure AD password protection for Windows Server Active Directory (יש להוריד את שני הרכיבים)
  • התקנת רכיב לפי הפקודה הבאה
    Start-Process C:\Temp\AzureADPasswordProtectionProxy.msi
  • טעינת מודול לפי הפקודה הבאה Import-Module AzureADPasswordProtection
  • בדיקת פעולות קיימות לפי הפקודה Get-Command *AzureADP*

image

ביצוע רגיסטרציה של הרכיב מול שירות Azure AD ומול Active Directory מקומי באמצעות הפקודות הבאות:

$CloudCredentials = Get-Credential

$ADCredentials = Get-Credential

Register-AzureADPasswordProtectionProxy -AzureCredential $CloudCredentials -ForestCredential $ADCredentials

image

הערה: הרישום הראשוני מול הענן לוקח זמן בגלל עדכון מול הרכיבים הנוספים בשירות Azure AD

לאחר מכן ניתן לבדוק מול לוג בשרת המקומי שבוצע רישום מוצלח מול השרת המקומי ונשלחה בקשה מול שירות Azure AD

image

הגדרת רכיב DC Agent

התקנת רכיב Start-Process C:\Temp\AzureADPasswordProtectionDCAgent.msi
ביצוע רגיסטרציה לרכיב Register-AzureADPasswordProtectionForest -AzureCredential $CloudCredentials
לאחר מכן ניתן לבדוק מול לוג בשרת המקומי שבוצע רישום מוצלח

image

בדיקת תקינות

במהלך ההתקנה נוצרו מספר קונטיינרים ותיקיות שענם עובד המנגנון ולכן מומלץ לוודא שהגדרות אלה נרשמו באופן תקין

ברמת Configuration Partition ישנו קונטיינר חדש שמכיל נתונים של Forest ושל Proxy

image

ברמת תיקיית Sysvol ישנה תיקייה חדשה שמכילה פוליסי, רפליקציה והגדרות נוספות

image

דגשים והערות חשובות

  • רכיב Proxy ניתן להגדרה ברמת Forest ולכן ניתן להחיל רק פוליסי אחד לאותו Forest, ובמידה ומבצעים הפרדה בין רכיב Proxy לבין DC Agent חייב להיות קישוריות בין השרתים
  • רכיב Proxy דורש קישוריות מול הענן ולכן עדיף להתקין על שרת שאינו DC
  • הרישום של הרכיבים חייב להיעשות מול משתמשים בעלי הרשאות
  • העדכון מול הרישום הראשוני מול הענן אורך לפחות 45 דקות
  • יש לבצע רישום רק פעם אחת של הרכיב ואין משמעות לביצוע רישום מספר פעמים
  • יכולים להיות מספר רכיבי Proxy ברמת Forest/Domain
  • הפרוטוקול גישה מתוך רכיב DC Agent נעשה על גבי RPC/TCP
  • רכיב Proxy מבצע האזנה לפורטים דינמיים על גבי RPC ובמידת הצורך ניתן להגדיר פורט סטטי
  • לאחר התקנת הרכיבים צריך לבצע אתחול לשרתים בכדי שייכנסו לתוקף
  • אין צורך להתקין DC Agent על שרת RODC

כל הפקודות זמינות להורדה Azure AD Password Protection (Hybrid)



:קטגוריותAzure AD, Security

תגים: , , ,

תגובה אחת

  1. מאמר מצוין וכתיבת ברורה ומדויקת

מה דעתך?

This site uses Akismet to reduce spam. Learn how your comment data is processed.