Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Microsoft vient de mettre à disposition la Public Preview de la protection de mot de passe Azure Active Directory pour des environnements On-Premises Active Directory. La solution permet de valider la liste des mots de passe bannis ou personnalisés que vous avez pu définir dans Azure Active Directory pour vérifier cette liste lorsqu’un utilisateur change de mot de passe.

La fonctionnalité requiert Azure AD Premium. Il est à noter que la liste des mots de passe bannis est proposée avec Azure AD Basic.

 

Il y a trois composants éléments qui composent la protection par mot de passe Azure AD :

  • Le service de proxy Azure AD password protection fonctionne sur n'importe quelle machine associée à un domaine dans la forêt Active Directory actuelle. Il transmet les demandes des contrôleurs de domaine à Azure AD et renvoie la réponse d'Azure AD au contrôleur de domaine.
  • Le service agent de contrôleur de domaine d’Azure AD password protection reçoit les demandes de validation de mot de passe de la DLL de filtre de mot de passe de l'agent DC, les traite en utilisant la politique de mot de passe disponible localement, et retourne le résultat (pass\fail). Ce service est responsable d'appeler périodiquement (une fois par heure) le service de proxy Azure AD password pour récupérer les nouvelles versions de la politique de mot de passe. La communication pour les appels à destination et en provenance du service de proxy Azure AD password est gérée via RPC (Remote Procedure Call) sur TCP. Une fois récupérées, les nouvelles stratégies sont stockées dans un dossier sysvol où elles peuvent être répliquées vers d'autres contrôleurs de domaine. Le service agent de contrôleur de domaine surveille également le dossier sysvol pour détecter les changements au cas où d'autres contrôleurs de domaine y auraient écrit de nouvelles politiques de mot de passe, si une politique récente appropriée est déjà disponible, la vérification du service de proxy Azure AD password protection sera ignorée.
  • La DLL de filtre de mot de passe de l’agent de contrôleur de domaine reçoit les demandes de validation de mot de passe du système d'exploitation et les transmet au service agent de contrôleur de domaine d’Azure AD password protection qui fonctionne localement sur le contrôleur de domaine.

Télécharger Azure AD password protection for Windows Server Active Directory (preview)

Facebook Like