Compartilhar via

Habilitar a Proteção de Senha do Microsoft Entra local

  • Artigo

Os usuários geralmente criam senhas que usam palavras locais comuns, como uma escola, uma equipe esportiva ou uma pessoa famosa. Essas senhas são fáceis de serem adivinhadas e fracas contra os ataques baseados em dicionário. A Proteção de Senha do Microsoft Entra fornece uma lista global e personalizada de senhas proibidas para impor senhas fortes à sua organização. Uma solicitação de alteração de senha falha quando há uma correspondência na lista de senhas proibidas.

Para proteger o ambiente no seu Active Directory Domain Services (AD DS) local, instale e configure a Proteção de Senha do Microsoft Entra para trabalhar com o controlador de domínio local. Este artigo mostra como habilitar a Proteção de Senha do Microsoft Entra para seu ambiente local.

Para obter mais informações sobre como a Proteção de Senha do Microsoft Entra funciona em um ambiente local, confira Como impor a Proteção de Senha do Microsoft Entra para o Windows Server Active Directory.

Antes de começar

Este artigo mostra como habilitar a Proteção de Senha do Microsoft Entra para seu ambiente local. Antes de concluir este artigo, instale e registre o serviço proxy de Proteção de Senha do Microsoft Entra e os agentes do controlador de domínio em seu ambiente do AD DS local.

Habilitar proteção por senha local

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Autenticação.

  2. Navegue até Proteção>Métodos de Autenticação de>Proteção de senha.

  3. Defina a opção Habilitar proteção de senha no Windows Server Active Directory como Sim.

    Quando essa configuração é definida como Não, todos os agentes do controlador de domínio de Proteção de Senha do Microsoft Entra implantados entram em um modo inativo onde todas as senhas são aceitas no estado em que se encontram. Nenhuma atividade de validação é executada e eventos de auditoria não são gerados.

  4. É recomendável definir inicialmente o Modo para Auditoria. Depois que estiver familiarizado com o recurso e o impacto sobre os usuários em sua organização, você poderá alternar do Modo para Imposto. Para obter mais informações, confira a seção a seguir sobre modos de operação.

  5. Quando estiver pronto, selecione Salvar.

    Enable on-premises password protection under Authentication Methods in the Microsoft Entra admin center

Modos de operação

Ao habilitar a Proteção de Senha do Microsoft Entra local, você pode usar o modo de auditoria ou o modo de imposição. Recomendamos que a implantação e testes iniciais sempre sejam iniciados no modo de auditoria. As entradas nos eventos no log de eventos devem ser monitoradas para prever se todos os processos operacionais existentes seriam afetados quando o modo de impor for habilitado.

Modo de auditoria

O modo de auditoria foi desenvolvido como uma maneira de executar o software em um modo "what if". Cada serviço do agente de controlador de domínio de Proteção de Senha do Microsoft Entra avalia uma senha recebida de acordo com a política ativa no momento.

Se a política atual está configurada no modo de auditoria, senhas "incorretas" resultam em mensagens do log de eventos, mas são processadas e atualizadas. Esse comportamento é a única diferença entre o modo de auditoria e de imposição. Todas as outras operações são executadas da mesma forma.

Modo de imposição

O modo de imposição serve como a configuração final. Como no modo de auditoria, cada serviço do agente do controlador de domínio de Proteção de Senha do Microsoft Entra avalia as senhas recebidas de acordo com a política ativa no momento. No entanto, quando o modo de imposição está habilitado, uma senha que não for considerada segura, conforme a política, será rejeitada.

Quando uma senha é rejeitada no modo de imposição pelo agente do controlador de domínio de Proteção de Senha do Microsoft Entra, o usuário final observa um erro idêntico ao que veria se a senha fosse rejeitada pela imposição tradicional de complexidade da senha local. Por exemplo, um usuário pode observar a seguinte mensagem de erro tradicional na tela de logon do Windows ou de alteração de senha:

"Não foi possível atualizar a senha. O valor fornecido para a nova senha não atende os requisitos de comprimento, complexidade ou de histórico do domínio."

Essa mensagem é apenas um exemplo dos vários resultados possíveis. A mensagem de erro específica pode variar, dependendo do software ou cenário real que está tentando definir uma senha não segura.

Os usuário finais afetados talvez precisem trabalhar com a equipe de TI para entender os requisitos novos e escolher senhas seguras.

Observação

A Proteção de Senha do Microsoft Entra não tem controle sobre a mensagem de erro específica exibida pelo computador cliente quando uma senha fraca é rejeitada.

Próximas etapas

Para personalizar a lista de senhas proibidas para sua organização, consulte Configurar a lista de senhas proibidas personalizadas da Proteção de Senha do Microsoft Entra.

Para monitorar eventos no local, consulte Monitoramento da Proteção de Senha do Microsoft Entra local.