В настоящее время я изучаю, как настроить список запрещенных паролей в Active Directory. Я делаю это в гибридной среде. К сожалению, прямо сейчас у нас есть лицензия только на Azure AD Free, которая является облачной - синхронизация списка запрещенных паролей доступна только для Premium P1 или P2; У меня нет на это бюджета.
Я хотел бы реализовать любую возможную защиту паролем. Что произойдет, если я включу облачную защиту паролем AD, но не синхронизирую список заблокированных паролей? Вызывает ли это ужасную головную боль с пользовательским интерфейсом или это просто менее безопасно?
Следующая статья в документации, которую вы связали:
Программное обеспечение [Защита паролем Azure AD] не зависит от других функций Azure AD; например, синхронизация хэша паролей Azure AD не связана и не требуется для работы защиты паролем Azure AD.
Службе агента DC необходимо извлечь политику для синхронизации фильтров. Естественно, в документации сказано, что он должен работать на всех доступных для записи контроллерах домена.
Проверка смены пароля на DC. Запрещенные пароли не будут разрешены. Успешные изменения не будут синхронизироваться с Azure AD.