:

    Password Protection On-Premises

    Password Protection ist ein Feature von Entra ID, welches erlaubt, bestimmte Wörter auf eine Sperrliste zu setzen, sodass diese nicht in Kennwörtern genutzt werden dürfen - selbst dann, wenn man zum Beispiel versucht, den Buchstaben O durch die Zahl 0 zu ersetzen.

    Password Protection kann durch die Installation von Proxy und Agenten auch auf das lokale Active Directory erweitert werden. Mehr dazu erfährst du in diesem Video.



    Im Video werden zwei Scripts eingesetzt: eins für die Installation vom Proxy und eins für die Installation der Agenten.

    Benötigst du Unterstützung?

    Melde dich bei uns!



    Der Proxy muss auf einem Server installiert werden, welcher kein DC oder RODC ist. Das Script dazu findest du hier. Passe die Variablen entsprechend an und führe die einzelnen Befehle wie im Video gezeigt aus.

    ProxySetup.ps1

    <#
    .SYNOPSIS
       Azure AD Password Protection Proxy Configuration
     
    .DESCRIPTION
       Die Befehle in diesem Script sind idealerweise einzeln auszuführen.
       Die Anmerkungen der einzelnen Schritte sind zu beachten.
    
    .NOTES
      Version:        1.0
      Author:         Raphael Baud
      Creation Date:  2023-02-02
      Purpose/Change: Creation
    #>
    
    #################
    #---Execution---#
    #################
    
    #Pfad zur AzureADPasswordProtectionProxySetup.exe
    #Download im Microsoft Download Center: https://www.microsoft.com/en-us/download/details.aspx?id=57071
    $InstallerPath = "C:\temp\install"
    
    #UPN des Global- oder Security-Admins
    $AdminUPN = "admin@tenant.onmicrosoft.com"
    
    
    
    #Proxy installieren
    cd $InstallerPath
    .\AzureADPasswordProtectionProxySetup.exe /quiet
    
    
    #Modul importieren
    Import-Module AzureADPasswordProtection 
    
    
    #Dienststatus prüfen 
    #sollte "Running" anzeigen
    Get-Service AzureADPasswordProtectionProxy | fl 
    
    
    
    #Proxy registrieren – Global oder Security Admin benötigt, unterstützt MFA 
    #auf jedem Proxy ausführen 
    Register-AzureADPasswordProtectionProxy AccountUpn $AdminUPN
    
    #sollte es fehlschlagen, z.B. wegen der IE Security Config, hinten –AuthenticateUsingDeviceCode anhängen und Device Auth über den Browser durchführen 
    Register-AzureADPasswordProtectionProxy AccountUpn $AdminUPN -AuthenticateUsingDeviceCode
    
    #sollte die Registrierung fehlschlagen, kurz abwarten und nochmal versuchen 
    
    
    
    #Registrierung und Verbindung zu Azure testen 
    #sollte "Passed" für TLS, Proxy und Azure anzeigen 
    Test-AzureADPasswordProtectionProxyHealth -TestAll 
    
    
    
    #AD-Forest registrieren – Global oder Security Admin benötigt, unterstützt MFA
    #der am Proxy-Server angemeldete Benutzer benötigt außerdem Enterprise Admin im lokalen AD  
    #nur einmal pro Forest auf einem beliebigen Proxy ausführen 
    Register-AzureADPasswordProtectionForest AccountUpn $AdminUPN
    
    #sollte es fehlschlagen, z.B. wegen der IE Security Config, hinten –AuthenticateUsingDeviceCode anhängen und Device Auth über den Browser durchführen
    Register-AzureADPasswordProtectionForest AccountUpn $AdminUPN -AuthenticateUsingDeviceCode
    

    Anschließend muss der Agent auf allen DCs installiert werden. Passe die Variablen wieder an und führe die Befehle erneut wie im Video gezeigt aus.

    DCAgentSetup.ps1

    <#
    .SYNOPSIS
       Azure AD Password Protection DC Agent Configuration
     
    .DESCRIPTION
       Die Befehle in diesem Script sind idealerweise einzeln auszuführen.
       Die Anmerkungen der einzelnen Schritte sind zu beachten.
    
    .NOTES
      Version:        1.0
      Author:         Raphael Baud
      Creation Date:  2023-02-02
      Purpose/Change: Creation
    #>
    
    #################
    #---Execution---#
    #################
    
    #Pfad zur AzureADPasswordProtectionDCAgentSetup.msi
    #Download im Microsoft Download Center: https://www.microsoft.com/en-us/download/details.aspx?id=57071
    $InstallerPath = "C:\temp\install"
    
    #UPN des Global- oder Security-Admins
    $AdminUPN = "admin@tenant.onmicrosoft.com"
    
    
    
    #DC-Agent installieren
    cd $InstallerPath
    msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart
    #nach der Installation muss der DC neugestartet werden. /norestart aus dem Befehl entfernen, um den Neustart automatisch durchzuführen
    
    #nach Neustart:
    #Modul importieren
    Import-Module AzureADPasswordProtection 
    
    #Status des Agenten prüfen
    #PasswordPolicyDateUTC sollte aktuellen Zeitstempel für die heruntergeladene Policy zeigen
    Get-AzureADPasswordProtectionDCAgent
    
    
    #Summary Report für alle DCs generieren
    Get-AzureADPasswordprotectionSummaryReport