Megosztás a következőn keresztül:

Jelszó- és fiókzárolási szabályzatok felügyelt Microsoft Entra Domain Services-tartományokon

  • Cikk

A Microsoft Entra Domain Services felhasználói biztonságának kezeléséhez részletes jelszóházirendeket határozhat meg, amelyek szabályozzák a fiókzárolási beállításokat, illetve a jelszó minimális hosszát és összetettségét. A rendszer létrehoz és alkalmaz egy alapértelmezett, részletes jelszóházirendet a Domain Services által felügyelt tartomány összes felhasználója számára. A részletes ellenőrzés és az adott üzleti vagy megfelelőségi igények kielégítése érdekében további szabályzatok hozhatók létre és alkalmazhatók adott felhasználókra vagy csoportokra.

Ez a cikk bemutatja, hogyan hozhat létre és konfigurálhat részletes jelszóházirendet a Tartományi szolgáltatásokban az Active Directory felügyeleti központ használatával.

Jegyzet

A jelszószabályzatok csak a Resource Manager-alapú üzemi modellel létrehozott felügyelt tartományokhoz érhetők el.

Mielőtt hozzákezdene

A cikk elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

  • Aktív Azure-előfizetés.
  • Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy felhőalapú címtárral van szinkronizálva.
  • A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
    • Szükség esetén végezze el a Microsoft Entra Domain Services által felügyelt tartomány létrehozására és konfigurálására vonatkozó oktatóanyagot.
    • A felügyelt tartományt a Resource Manager üzemi modellel kell létrehozni.
  • A felügyelt tartományhoz csatlakoztatott Windows Server felügyeleti virtuális gép.
    • Szükség esetén végezze el az oktatóanyagot egy felügyeleti virtuális gép létrehozásához.
  • Olyan felhasználói fiók a Microsoft Entra-bérlőjében, amely tagja a Microsoft Entra DC-rendszergazdák csoportnak.

Alapértelmezett jelszóházirend-beállítások

A részletes jelszószabályzatok (FGPP-k) lehetővé teszik a jelszó- és fiókzárolási szabályzatok meghatározott korlátozásait a tartomány különböző felhasználóira. A kiemelt fiókok védelméhez például szigorúbb fiókzárolási beállításokat alkalmazhat, mint a hagyományos, nem emelt szintű fiókok. Egy felügyelt tartományon belül több FGPP-t is létrehozhat, és megadhatja a prioritás sorrendjét a felhasználókra való alkalmazásukhoz.

A jelszóházirendekről és az Active Directory felügyeleti központ használatáról az alábbi cikkekben talál további információt:

A szabályzatok egy felügyelt tartományban lévő csoporttársításon keresztül vannak elosztva, és a módosítások a következő felhasználói bejelentkezéskor lesznek alkalmazva. A szabályzat módosítása nem oldja fel a már zárolt felhasználói fiók zárolását.

A jelszószabályzatok kissé eltérően viselkednek attól függően, hogy az alkalmazott felhasználói fiók hogyan lett létrehozva. A tartományi szolgáltatásokban kétféleképpen hozható létre felhasználói fiók:

  • A felhasználói fiók szinkronizálható a Microsoft Entra-azonosítóból. Ide tartoznak a közvetlenül az Azure-ban létrehozott felhőalapú felhasználói fiókok, valamint a helyszíni AD DS-környezetből a Microsoft Entra Connect használatával szinkronizált hibrid felhasználói fiókok.
    • A Tartományi szolgáltatásokban a felhasználói fiókok többsége a Microsoft Entra ID szinkronizálási folyamatán keresztül jön létre.
  • A felhasználói fiók manuálisan hozható létre egy felügyelt tartományban, és nem létezik a Microsoft Entra-azonosítóban.

A tartományi szolgáltatások alapértelmezett jelszóházirendje minden felhasználóra érvényes fiókzárolási szabályzatokat alkalmaz, függetlenül attól, hogyan lettek létrehozva.

  • fiók zárolásának időtartama: 30
  • Engedélyezett sikertelen bejelentkezési kísérletek száma: 5
  • A sikertelen bejelentkezési kísérletek számának nullázása a következő után: 2 perc
  • Jelszó maximális életkora (élettartam): 90 nap

Ezekkel az alapértelmezett beállításokkal a felhasználói fiókok 30 percre zárolva lesznek, ha öt érvénytelen jelszót használnak 2 percen belül. A fiókok 30 perc elteltével automatikusan feloldásra kerülnek.

A fiókzárolások csak a felügyelt tartományban fordulnak elő. A felhasználói fiókok csak a Tartományi szolgáltatásokban vannak zárolva, és csak a felügyelt tartományra irányuló sikertelen bejelentkezési kísérletek miatt. A Microsoft Entra-azonosítóból vagy a helyszínen szinkronizált felhasználói fiókok nincsenek zárolva a forráskönyvtáraikban, csak a Tartományi Szolgáltatásokban.

Ha olyan Microsoft Entra jelszóházirenddel rendelkezik, amely 90 napnál hosszabb maximális jelszó-életkort határoz meg, a rendszer a tartományi szolgáltatások alapértelmezett szabályzatára alkalmazza a jelszó életkorát. Egyéni jelszóházirendet úgy konfigurálhat, hogy a Tartományi szolgáltatásokban eltérő maximális jelszó-életkort határozzon meg. Ügyeljen arra, hogy a tartományi szolgáltatások jelszóházirendjében rövidebb maximális jelszó-életkor legyen konfigurálva, mint a Microsoft Entra-azonosítóban vagy a helyszíni AD DS-környezetben. Ebben az esetben a felhasználó jelszava lejárhat a Domain Servicesben, mielőtt a rendszer a Microsoft Entra-azonosító vagy egy helyszíni AD DS-környezet módosítására kéri őket.

A felügyelt tartományban manuálisan létrehozott felhasználói fiókok esetében a következő további jelszóbeállításokat is alkalmazza a rendszer az alapértelmezett szabályzatból. Ezek a beállítások nem vonatkoznak a Microsoft Entra-azonosítóból szinkronizált felhasználói fiókokra, mivel a felhasználó nem tudja közvetlenül frissíteni a jelszavát a Domain Servicesben.

  • Jelszó minimális hossza (karakter): 7
  • jelszavaknak meg kell felelniük az összetettségi követelményeknek

Az alapértelmezett jelszóházirendben nem módosíthatja a fiókzárolást vagy a jelszóbeállításokat. Ehelyett az AAD tartományvezérlő rendszergazdái csoport tagjai egyéni jelszóházirendeket hozhatnak létre, és konfigurálhatják azt úgy, hogy felülbírálják (elsőbbséget élveznek) az alapértelmezett beépített szabályzattal szemben, ahogyan az a következő szakaszban látható.

Egyéni jelszóházirend létrehozása

Amikor alkalmazásokat hoz létre és futtat az Azure-ban, érdemes lehet egyéni jelszóházirendet konfigurálni. Létrehozhat például egy szabályzatot, amely különböző fiókzárolási házirend-beállításokat állít be.

A rendszer egyéni jelszószabályzatokat alkalmaz egy felügyelt tartomány csoportjaira. Ez a konfiguráció hatékonyan felülbírálja az alapértelmezett szabályzatot.

Egyéni jelszóházirend létrehozásához használja az Active Directory felügyeleti eszközeit egy tartományhoz csatlakoztatott virtuális gépről. Az Active Directory felügyeleti központ lehetővé teszi az erőforrások megtekintését, szerkesztését és létrehozását egy felügyelt tartományban, beleértve a szervezeti egységeket is.

Jegyzet

Ha egyéni jelszóházirendet szeretne létrehozni egy felügyelt tartományban, be kell jelentkeznie egy olyan felhasználói fiókba, amely tagja az AAD tartományvezérlő rendszergazdái csoportnak.

  1. A kezdőképernyőn válassza Felügyeleti eszközöklehetőséget. Megjelenik a felügyeleti virtuális gépek létrehozásához az oktatóanyagban telepített elérhető felügyeleti eszközök listája.

  2. Szervezeti egységek létrehozásához és kezeléséhez válassza Active Directory felügyeleti központ a felügyeleti eszközök listájából.

  3. A bal oldali panelen válassza ki a felügyelt tartományt, például aaddscontoso.com.

  4. Nyissa meg a Rendszer tárolót, majd a Jelszóbeállítások tárolót.

    Megjelenik egy beépített jelszóházirend a felügyelt tartományhoz. Ezt a beépített szabályzatot nem módosíthatja. Ehelyett hozzon létre egy egyéni jelszóházirendet az alapértelmezett házirend felülbírálásához.

    Jelszóházirend létrehozása az Active Directory felügyeleti központban

  5. A jobb oldali Feladatok panelen válassza Új > jelszóbeállításoklehetőséget.

  6. A Jelszóbeállítások létrehozása párbeszédpanelen adja meg a szabályzat nevét, például MyCustomFGPP.

  7. Ha több jelszóházirend létezik, a legmagasabb prioritású szabályzatot alkalmazza a felhasználóra. Minél alacsonyabb a szám, annál magasabb a prioritás. Az alapértelmezett jelszóházirend prioritása 200.

    Állítsa be az egyéni jelszóházirend elsőbbségi sorrendjét az alapértelmezett felülírásához, például 1.

  8. Igény szerint szerkessze az egyéb jelszóházirend-beállításokat. A fiókzárolási beállítások az összes felhasználóra vonatkoznak, de csak a felügyelt tartományon belül lépnek érvénybe, magát a Microsoft Entrát nem.

    Egyéni, részletes jelszószabályzat létrehozása

  9. Törölje Véletlen törlés elleni védelemjelölőnégyzet jelölését. Ha ez a beállítás be van jelölve, az FGPP nem menthető.

  10. A Közvetlenül érinti szakaszban kattintson a Hozzáadás gombra. A Felhasználók vagy csoportok kijelölése párbeszédpanelen válassza a Helyek gombot.

    Válassza ki a felhasználókat és csoportokat, akikre a jelszó szabályzatot alkalmazza

  11. A Helyek párbeszédpanelen bontsa ki a tartománynevet(például aaddscontoso.com), majd válasszon ki egy szervezeti egységet, például AADDC-felhasználók. Ha olyan egyéni szervezeti egysége van, amely a alkalmazni kívánt felhasználók egy csoportját tartalmazza, válassza ki ezt a szervezeti egységet.

    Válassza ki azt a szervezeti egységet, amelyhez a csoport tartozik

  12. Írja be annak a felhasználónak vagy csoportnak a nevét, akire alkalmazni szeretné a szabályzatot. A fiók ellenőrzéséhez válassza Nevek ellenőrzése lehetőséget.

    Keresse meg és válassza ki azt a csoportot, amelyre alkalmazni kell az FGPP-

  13. Az egyéni jelszóházirend mentéséhez kattintson az OK gombra.

Következő lépések

A jelszóházirendekről és az Active Directory felügyeleti központ használatáról az alábbi cikkekben talál további információt: