Password Protection On-Premises

Password Protection ist ein Feature von Entra ID, welches erlaubt, bestimmte Wörter auf eine Sperrliste zu setzen, sodass diese nicht in Kennwörtern genutzt werden dürfen - selbst dann, wenn man zum Beispiel versucht, den Buchstaben O durch die Zahl 0 zu ersetzen.

Password Protection kann durch die Installation von Proxy und Agenten auch auf das lokale Active Directory erweitert werden. Mehr dazu erfährst du in diesem Video.

Im Video werden zwei Scripts eingesetzt: eins für die Installation vom Proxy und eins für die Installation der Agenten.

Benötigst du Unterstützung?

Melde dich bei uns!

Zum Kontaktformular

Der Proxy muss auf einem Server installiert werden, welcher kein DC oder RODC ist. Das Script dazu findest du hier. Passe die Variablen entsprechend an und führe die einzelnen Befehle wie im Video gezeigt aus.

ProxySetup.ps1

<#
.SYNOPSIS
   Azure AD Password Protection Proxy Configuration
 
.DESCRIPTION
   Die Befehle in diesem Script sind idealerweise einzeln auszuführen.
   Die Anmerkungen der einzelnen Schritte sind zu beachten.

.NOTES
  Version:        1.0
  Author:         Raphael Baud
  Creation Date:  2023-02-02
  Purpose/Change: Creation
#>

#################
#---Execution---#
#################

#Pfad zur AzureADPasswordProtectionProxySetup.exe
#Download im Microsoft Download Center: https://www.microsoft.com/en-us/download/details.aspx?id=57071
$InstallerPath = "C:\temp\install"

#UPN des Global- oder Security-Admins
$AdminUPN = "admin@tenant.onmicrosoft.com"



#Proxy installieren
cd $InstallerPath
.\AzureADPasswordProtectionProxySetup.exe /quiet


#Modul importieren
Import-Module AzureADPasswordProtection 


#Dienststatus prüfen 
#sollte "Running" anzeigen
Get-Service AzureADPasswordProtectionProxy | fl 



#Proxy registrieren – Global oder Security Admin benötigt, unterstützt MFA 
#auf jedem Proxy ausführen 
Register-AzureADPasswordProtectionProxy –AccountUpn $AdminUPN

#sollte es fehlschlagen, z.B. wegen der IE Security Config, hinten –AuthenticateUsingDeviceCode anhängen und Device Auth über den Browser durchführen 
Register-AzureADPasswordProtectionProxy –AccountUpn $AdminUPN -AuthenticateUsingDeviceCode

#sollte die Registrierung fehlschlagen, kurz abwarten und nochmal versuchen 



#Registrierung und Verbindung zu Azure testen 
#sollte "Passed" für TLS, Proxy und Azure anzeigen 
Test-AzureADPasswordProtectionProxyHealth -TestAll 



#AD-Forest registrieren – Global oder Security Admin benötigt, unterstützt MFA
#der am Proxy-Server angemeldete Benutzer benötigt außerdem Enterprise Admin im lokalen AD  
#nur einmal pro Forest auf einem beliebigen Proxy ausführen 
Register-AzureADPasswordProtectionForest –AccountUpn $AdminUPN

#sollte es fehlschlagen, z.B. wegen der IE Security Config, hinten –AuthenticateUsingDeviceCode anhängen und Device Auth über den Browser durchführen
Register-AzureADPasswordProtectionForest –AccountUpn $AdminUPN -AuthenticateUsingDeviceCode

Anschließend muss der Agent auf allen DCs installiert werden. Passe die Variablen wieder an und führe die Befehle erneut wie im Video gezeigt aus.

DCAgentSetup.ps1

<#
.SYNOPSIS
   Azure AD Password Protection DC Agent Configuration
 
.DESCRIPTION
   Die Befehle in diesem Script sind idealerweise einzeln auszuführen.
   Die Anmerkungen der einzelnen Schritte sind zu beachten.

.NOTES
  Version:        1.0
  Author:         Raphael Baud
  Creation Date:  2023-02-02
  Purpose/Change: Creation
#>

#################
#---Execution---#
#################

#Pfad zur AzureADPasswordProtectionDCAgentSetup.msi
#Download im Microsoft Download Center: https://www.microsoft.com/en-us/download/details.aspx?id=57071
$InstallerPath = "C:\temp\install"

#UPN des Global- oder Security-Admins
$AdminUPN = "admin@tenant.onmicrosoft.com"



#DC-Agent installieren
cd $InstallerPath
msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart
#nach der Installation muss der DC neugestartet werden. /norestart aus dem Befehl entfernen, um den Neustart automatisch durchzuführen

#nach Neustart:
#Modul importieren
Import-Module AzureADPasswordProtection 

#Status des Agenten prüfen
#PasswordPolicyDateUTC sollte aktuellen Zeitstempel für die heruntergeladene Policy zeigen
Get-AzureADPasswordProtectionDCAgent


#Summary Report für alle DCs generieren
Get-AzureADPasswordprotectionSummaryReport