Lab Microsoft 365 – Module 16 Implement Password Management

Các tổ chức phải đảm bảo rằng quyền truy cập vào dữ liệu công ty của họ trên Microsoft 365 luôn được bảo mật và dữ liệu đó được bảo vệ khỏi truy cập trái phép. Cấu hình các chính sách mật khẩu an toàn là cần thiết cho nhiệm vụ này.

Azure AD Pass-Through Authentication (PTA) giúp đảm bảo rằng việc xác thực mật khẩu cho các dịch vụ trên Azure AD luôn được thực hiện với Active Directory tại chỗ.

Azure AD Pass-Through Authentication được định cấu hình bằng cách sử dụng Azure AD Connect, Nó sử dụng on-premises agent lắng nghe các yêu cầu xác thực mật khẩu từ bên ngoài. server chạy on-premises agent cho PTA phải được kết nối với Active Directory domain nơi có user.

Implement-password-management

Bài lab hướng dẫn cách sử dụng các công cụ quản lý mật khẩu để cung cấp khả năng bảo vệ dữ liệu và quyền truy cập.

Task 1 – Triển Khai Azure AD Pass-Through Authentication

  • Pass-through Authentication cho phép user đăng nhập vào các dịch vụ Microsoft 365 sử dụng mật khẩu tại on-premises.
  • Tất cả mật khẩu của user được lưu trữ tại domain on-premises không lưu trữ trên Azure AD.
  • Khi user sử dụng các dịch vụ Microsoft 365 sẽ xác thực mật khẩu tại domain on-premises sau đó trả kết quả về cho Azure AD.
  • Mục đích là sử dụng các chính sách mật khẩu trên domain on-premises.
Task 1.1 Kiểm Tra Pass-through Authentication

Task 1.1 Kiểm Tra Pass-through Authentication

  1. Đăng nhập vào trang https://admin.microsoft.com bằng user têncủabạn@customdomain
  2. Tại màn hình Microsoft 365 admin center, menu trái chọn Show All và chọn Azure Active Directory
  3. Màn hình Microsoft Entra admin center, trên thanh tìm kiếm, tìm và chọn Azure AD Connect, bên phải trong phần User Sign-in quan sát Pass-through Authentication đang là Disabled

pta-authentication

Task 1.2 Triển Khai Pass-through Authentication

Task 1.2 Triển Khai Pass-through Authentication

  1. Tại máy domain controller doubled click vào icon Azure AD Connect trên desktop.
  2. Cửa sổ Welcome to Azure AD Connect, ấn Configure.
  3. Cửa sổ Additional tasks, chọn Change user Sign-in ấn Next

Azure AD Pass-Through Authentication

4. Cửa sổ Connect to Azure AD, nhập user name và password của têncủabạn@customdomain.

5.  Cửa sổ User sign-in, chọn option Pass-Through Authentication ấn Next.

Azure AD Pass-Through Authentication

5. Cửa sổ Enable single sign-on, ấn Enter credentials

6. Nhập vào domain\administrator và password của domain admin, ấn Ok, ấn next.

7.  Cửa sổ Ready to configure, ấn Configure.

8. Chờ hoàn tất ấn Exit.

9. Trở lại màn hình Microsoft 365 admin center, menu trái chọn Show All và chọn Azure Active Directory

10. Màn hình Microsoft Entra admin center, trên thanh tìm kiếm, tìm và chọn Azure AD Connect, bên phải trong phần User Sign-in quan sát Pass-through Authentication đang là Enabled

Task 1.3 Thiết Lập Password Policy Trên Domain Controller

Task 1.3 Thiết Lập Password Policy Trên Domain Controller

  1. Tại máy domain controller vào run gõ lệnh GPMC.MSC
  2. Cửa sổ Group Policy Management, chọn Forest, chọn domain, chọn domain local của bạn, phải chuột vào Default domain policy chọn Edit.

Password Policy

3. Cửa sổ Group Policy Management Editor, chọn Computer Configuration, chọn Policies\Windows Settings\Security Settings\Account Policies\Password Policy

4. Bên phải thiết lập các policy sau:

  • Minimum password lenght = 3
  • Minimum password age = 0

5. Vào Run gõ lệnh Gpupdate /force

6. Vào DSA.MSC đổi password của user u1 thành 1?a

7. Vào Power Shell thực hiện lệnh sau để đồng bộ với Azure AD

  • Connect-MsolService (nhập user name và password của têncủabạn@customdomain)
  • Start-ADSyncSyncCycle -PolicyType Delta

8. Chờ vài phút, đăng nhập vào trong https://portal.office.com bằng user name và password của u1@customdomain với password là 1?a. (User đang sử dụng password trên domain local)

Password Policy

Task 2 – Triển Khai Azure AD Smart Lockout

Azure AD Smart Lockout giống như Accout Lockout Policy trên domain on-premises, dùng để qui định số lần nhập password sai cho user, nếu user nhập sai password đúng số lần qui định tài khoản sẽ bị khóa.

Task 2.1 Accout Lockout Policy

Task 2.1 Accout Lockout Policy

  1. Tại máy domain controller vào run gõ lệnh GPMC.MSC
  2. Cửa sổ Group Policy Management, chọn Forest, chọn domain, chọn domain local của bạn, phải chuột vào Default domain policy chọn Edit.
  3. Cửa sổ Group Policy Management Editor, chọn Computer Configuration, chọn Policies\Windows Settings\Security Settings\Account Policies\Account Lockout Policy
  4. Bên phải thiết lập các policy sau:
  • Account lockout threshold = 3 (3 lần nhập password sai)
  • Account lockout duration  = 60 (thời gian lock 60 phút)
  • Reset account lockout counter after = 30 ( thời gian reset số lần nhập password sai về 0)

5. vào Run gõ lệnh Gpupdate /force

Password Policy

Task 2.2 Azure AD Smart Lockout

Task 2.2 Azure AD Smart Lockout

  1. Trở lại màn hình Microsoft 365 admin center, menu trái chọn Show All và chọn Azure Active Directory
  2.  Màn hình Microsoft Entra admin center, menu trái chọn Protect and Secure, chọn tiếp Authentication methods,
  3. Cửa sổ Authentication methods, chọn Password Protection, cửa sổ Custom Smart Lockout bên phải thiết lập các thông tin sau:
  • Lockout threshold = 3 (số lần nhập password sai)
  • Lockout duration in seconds = 60 (thời gian lock 60 phút)
  • Enforce custom list: chọn Yes
  • Custom Banned Passwords List: nhập các password sau, mỗi gia trị trên một dòng

* 123456?aA

* Password123

* Never4get!! 

  • Ấn Save

smart-lockout

Task 2.3 Kiểm Tra Azure AD Smart Lockout

Task 2.3 Kiểm Tra Azure AD Smart Lockout

  1. Mở trình duyệt mới, truy cập vào trang https://portal.office.com bằng user u1@customdomain, cố tình nhập sai password 3 lần sẽ nhận được thông báo sau

Azure AD Smart Lockout

Hoàn tất bài lab

Mr-CTL

Lab Office 365 Module 17