我目前正在研究如何设置Active Directory 中的禁止密码列表。我在混合环境中执行此操作。不幸的是,目前我们仅获得 Azure AD Free 的许可,它仅适用于云 - 同步禁用密码列表仅适用于 Premium P1 或 P2;我没有这些预算。
我想实施任何我能实施的密码保护。如果我打开基于云的 AD 密码保护,但不同步禁用密码列表,会发生什么?这会给用户体验带来极大的困扰,还是只是不太安全?
答案1
[Azure AD 密码保护] 软件不依赖于其他 Azure AD 功能;例如,Azure AD 密码哈希同步与 Azure AD 密码保护功能无关,并且不是 Azure AD 密码保护功能运行所必需的。
DC 代理服务需要提取策略以使过滤器保持同步。当然,文档中说它必须在所有可写域控制器上运行。
在 DC 上测试密码更改。不允许使用被禁止的密码。成功的更改不会同步到 Azure AD。