Azure AD Password Protection

Overview

 

Attraverso la definizione di opportune Group Policy (Minimum Password Length, Minimum Password Age, Maximum password Age, Password must meet complexity requirements, Enforce Password History) in Active Directory è possibile implementare un’idonea strategia di gestione delle password dei propri utenti.

Questo però non può e non deve essere considerato sufficiente, in quanto un utente sarebbe comunque in grado di creare password “vulnerabili” (ad esempio “P@ssw0rd.1!”) con un numero di caratteri maggiore 8 caratteri e con al proprio interno caratteri “speciali”.

Azure AD Password Protection è la funzionalità che consente di migliorare la sicurezza anche da questo punto vista.

Soluzione

Il servizio utilizza la Global Banned Password List, elenco dinamico di password “vietate” generata e mantenuta attraverso l’analisi dei dati di telemetria di sicurezza di Azure Active Directory da parte di Microsoft stessa.

Attraverso la creazione di una lista personalizzata di password non consentite (Custom Banned Password List), un’organizzazione avrebbe la possibilità di migliorare ulteriormente la sicurezza.

Prerequisiti

  • La licenza necessaria è Azure Active Directory (Azure AD): ci sono tre differenti edizioni di Azure AD: Free, Premium P1 e Premium P2.

  • La suite Microsoft Enterprise Mobility + Security (EMS) include Azure Active Directory.
    In particolare:
    1. EMS E3 include Azure Active Directory Premium P1
    2. EMS E5 include Azure Active Directory Premium P2
  • Il sistema operativo dei server su cui installare il servizio “Azure AD Password Protection Proxy” deve essere almeno Windows Server 2012 R2;

Benefici

  • Minimizzare la possibilità che gli utenti utilizzino Password «vulnerabili»
  • Protezione contro attacchi «password spray”