Configurar Azure AD Password Protection: Protegendo Senhas no Azure e Active Directory
- Rodrigo Motta
- 23 de set.
- 3 min de leitura
Introdução
A senha ainda é a principal porta de entrada para acessos não autorizados em ambientes corporativos. Ataques como password spray e o uso de senhas comuns ou comprometidas estão entre os vetores mais explorados por atacantes.
Para reduzir esse risco, a Microsoft disponibiliza o Azure AD Password Protection, um recurso que bloqueia automaticamente senhas fracas, comuns ou personalizadas, elevando o nível de segurança da sua organização. Neste artigo, vamos aprender o que é, como configurar e aplicar o Azure AD Password Protection tanto no Microsoft Entra ID (Azure AD) quanto em ambientes híbridos com Active Directory On-Premises.
O que é o Azure AD Password Protection?
O Azure AD Password Protection é um serviço que aplica políticas de senhas inteligentes, baseadas em:
Lista global da Microsoft com termos e padrões proibidos (mantida e atualizada automaticamente).
Lista personalizada da organização, onde é possível incluir palavras relacionadas ao negócio, como nome da empresa, produtos, nomes de times ou cidades.
Políticas de bloqueio em tempo real no momento da criação ou alteração da senha.
Esse recurso funciona tanto no Azure AD (nuvem) quanto no Active Directory local, utilizando agentes instalados nos controladores de domínio para aplicar a política em ambientes híbridos.
Pré-requisitos
Antes de iniciar a configuração, verifique os seguintes pontos:
Licença: Azure AD Premium P1 ou P2.
Permissões: Administrador Global ou Administrador de Segurança no Entra ID.
Ambientes híbridos: Azure AD Connect configurado e comunicação com a nuvem.
Configuração Passo a Passo
1. Acessando o Portal
Entre no Microsoft Entra admin center (entra.microsoft.com).
Vá em Segurança → Autenticação → Proteção de Senha.
2. Configurar a Política Global
Defina a complexidade mínima da senha.
Escolha o modo de operação:
Audit (Auditoria): apenas registra tentativas de senhas proibidas.
Enforce (Aplicar): bloqueia imediatamente senhas fracas.
Ative a lista global de senhas proibidas da Microsoft.
3. Criar Lista Personalizada de Senhas Proibidas
Adicione termos relacionados ao negócio, como:
Nome da empresa (ex.: Aramis).
Produtos e serviços.
Palavras de uso comum entre usuários.
Clique em Salvar para aplicar a lista.
4. Configuração para Active Directory On-Premises
Se sua empresa utiliza AD local, é possível aplicar a proteção também on-premises:
Instale o Azure AD Password Protection Proxy Service em dois servidores (alta disponibilidade).
Instale o DC Agent em todos os controladores de domínio.
Verifique nos logs do Event Viewer se as políticas estão sendo aplicadas.
5. Testar a Política
Tente alterar a senha de um usuário para algo fraco, como Aramis2025!.
Caso esteja na lista bloqueada, o sistema exibirá mensagem de erro.
No modo Audit, o evento será registrado, mas a senha será aceita.
Diagrama Ilustrativo
A seguir, um diagrama simplificado do funcionamento do Azure AD Password Protection em ambientes híbridos:
Monitoramento e Relatórios
Use os logs de auditoria do Azure AD para acompanhar tentativas de senhas fracas.
Nos controladores de domínio, verifique o Event Viewer → Applications and Services Logs → Microsoft → AzureADPasswordProtection.
Boas Práticas
Sempre utilize modo Audit antes de aplicar em produção.
Crie listas personalizadas realistas (não bloqueie termos demais).
Revise periodicamente as senhas proibidas.
Combine com MFA e Políticas de Acesso Condicional para camadas adicionais de segurança.
Conclusão
O Azure AD Password Protection é uma solução prática, simples de implementar e que gera grande impacto na segurança do ambiente. Ao proibir senhas fracas, comuns ou previsíveis, sua empresa reduz significativamente as chances de ser alvo de ataques de força bruta e password spray.
Integrado ao Microsoft Entra ID, esse recurso garante que a primeira barreira de segurança — a senha — seja realmente forte.
Comentários