Criteri di blocco delle password e degli account nei domini gestiti di Microsoft Entra Domain Services

Per gestire la sicurezza degli utenti in Microsoft Entra Domain Services, è possibile definire criteri password con granularità fine che controllano le impostazioni di blocco dell'account o la lunghezza minima delle password e la complessità. Viene creato un criterio di password a granularità fine predefinito e applicato a tutti gli utenti in un dominio gestito dai Servizi di dominio. Per fornire un controllo granulare e soddisfare specifiche esigenze aziendali o di conformità, è possibile creare e applicare criteri aggiuntivi a utenti o gruppi specifici.

Questo articolo illustra come creare e configurare criteri password con granularità fine in Servizi di dominio usando il Centro di amministrazione di Active Directory.

Prima di iniziare

Per completare questo articolo, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non hai una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato al tuo abbonamento, sincronizzato con una directory locale oppure con una directory esclusivamente cloud.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure al tuo account.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, completare il tutorial per creare e configurare un dominio gestito da Microsoft Entra Domain Services.
  • Il dominio gestito deve essere stato creato usando il modello di distribuzione Resource Manager.
• Macchina virtuale di gestione di Windows Server aggiunta al dominio gestito.
  • Se necessario, completare l'esercitazione per creare una macchina virtuale di gestione.
• Un account utente che è membro del gruppo amministratori di Microsoft Entra DC nel tenant di Microsoft Entra.

Impostazioni predefinite dei criteri delle password

I criteri delle password con granularità fine consentono di applicare restrizioni specifiche per i criteri di blocco delle password e degli account a utenti diversi in un dominio. Ad esempio, per proteggere gli account con privilegi, è possibile applicare impostazioni di blocco degli account più restrittive rispetto ai normali account senza privilegi. È possibile creare più FGPP all'interno di un dominio gestito e specificare l'ordine di priorità da applicare agli utenti.

Per altre informazioni sui criteri password e sull'uso dell'interfaccia di amministrazione di Active Directory, vedere gli articoli seguenti:

• Informazioni sui criteri delle password con granularità fine
• Configurare criteri di password a grana fine utilizzando l'interfaccia di amministrazione di Active Directory

I criteri vengono distribuiti tramite l'associazione di gruppi in un dominio gestito e tutte le modifiche apportate vengono applicate all'accesso utente successivo. La modifica del criterio non sblocca un account utente già bloccato.

I criteri password si comportano in modo leggermente diverso a seconda della modalità di creazione dell'account utente a cui vengono applicati. È possibile creare un account utente in Servizi di dominio in due modi:

• L'account utente può essere sincronizzato da Microsoft Entra ID. Sono inclusi gli account utente solo cloud creati direttamente in Azure e gli account utente ibridi sincronizzati da un ambiente di Active Directory Domain Services locale usando Microsoft Entra Connect.
  • La maggior parte degli account utente in Servizi di dominio viene creata tramite il processo di sincronizzazione da Microsoft Entra ID.
• L'account utente può essere creato manualmente in un dominio gestito e non esiste in Microsoft Entra ID.

Tutti gli utenti, indipendentemente dalla modalità di creazione, hanno i criteri di blocco dell'account seguenti applicati dai criteri di password predefiniti in Servizi di dominio:

• durata del blocco dell'account: 30
• Numero di tentativi di accesso non riusciti consentiti: 5
• Reimposta il conteggio dei tentativi di accesso falliti dopo: 2 minuti
• Validità massima password (durata): 90 giorni

Con queste impostazioni predefinite, gli account utente vengono bloccati per 30 minuti se vengono usate cinque password non valide entro 2 minuti. Gli account vengono sbloccati automaticamente dopo 30 minuti.

I blocchi dell'account si verificano solo all'interno del dominio gestito. Gli account utente vengono bloccati solo in Servizi di dominio e solo a causa di tentativi di accesso non riusciti nel dominio gestito. Gli account utente che sono stati sincronizzati da Microsoft Entra ID o da installazioni locali non vengono bloccati nelle directory di origine, ma solo nei Servizi di dominio.

Se si dispone di un criterio password di Microsoft Entra che specifica una validità massima della password superiore a 90 giorni, tale validità della password viene applicata ai criteri predefiniti in Servizi di dominio. È possibile configurare criteri password personalizzati per definire un'età massima della password diversa in Servizi di dominio. Prestare attenzione se si ha configurato un'età massima della password più breve in un criterio password di Domain Services rispetto a Microsoft Entra ID o in un ambiente di AD DS locale. In questo scenario, la password di un utente può scadere nei Servizi di dominio prima che venga richiesto di modificarla in Microsoft Entra ID o in un ambiente Active Directory Domain Services (AD DS) locale.

Per gli account utente creati manualmente in un dominio gestito, vengono applicate anche le impostazioni aggiuntive della password seguenti dai criteri predefiniti. Queste impostazioni non si applicano agli account utente sincronizzati da Microsoft Entra ID, perché un utente non può aggiornare la password direttamente in Servizi di dominio.

• Lunghezza minima password (caratteri): 7
• password devono soddisfare i requisiti di complessità

Non è possibile modificare le impostazioni di blocco dell'account o password nei criteri password predefiniti. Al contrario, i membri del gruppo amministratori di AAD DC possono creare politiche password personalizzate e configurarle per avere priorità sui criteri predefiniti, come illustrato nella sezione successiva.

Creare una politica password personalizzata

Durante la compilazione e l'esecuzione di applicazioni in Azure, è possibile configurare criteri password personalizzati. Ad esempio, è possibile creare un criterio per impostare impostazioni dei criteri di blocco dell'account diverse.

I criteri password personalizzati vengono applicati ai gruppi in un dominio gestito. Questa configurazione esegue in modo efficace l'override dei criteri predefiniti.

Per creare criteri password personalizzati, usare gli strumenti di amministrazione di Active Directory da una macchina virtuale aggiunta a un dominio. Il Centro di amministrazione di Active Directory consente di visualizzare, modificare e creare risorse in un dominio gestito, incluse le unità organizzative.

1. Nella schermata Start selezionare Strumenti di amministrazione. Viene visualizzato un elenco degli strumenti di gestione disponibili installati nell'esercitazione per creare una macchina virtuale di gestione.

2. Per creare e gestire unità organizzative, selezionare Centro di amministrazione di Active Directory dall'elenco degli strumenti di amministrazione.

3. Nel riquadro sinistro scegliere il dominio gestito, ad esempio aaddscontoso.com.

4. Aprire il contenitore sistema , quindi il contenitore delle impostazioni della password .

   Viene visualizzato un criterio password predefinito per il dominio gestito. Non è possibile modificare questo criterio predefinito. Invece, crea un criterio password personalizzato per eseguire l'override del criterio predefinito.

   

5. Nel pannello attività a destra, selezionare Nuova impostazione password >.

6. Nella finestra di dialogo Crea impostazioni della password , immettere un nome per la politica, ad esempio MyCustomFGPP.

7. Quando esistono più criteri password, i criteri con la precedenza più alta o la priorità vengono applicati a un utente. Minore è il numero, maggiore è la priorità. Il criterio predefinito delle password ha una priorità di 200.

   Impostare la precedenza per i criteri delle password personalizzati in modo da sovrascrivere le impostazioni predefinite, ad esempio 1.

8. Modificare le altre impostazioni dei criteri password a piacere. Le impostazioni di blocco dell'account si applicano a tutti gli utenti, ma diventano effettive solo all'interno del dominio gestito e non in Microsoft Entra stesso.

   

9. Deseleziona Proteggi dall'eliminazione accidentale. Se questa opzione è selezionata, non è possibile salvare il file FGPP.

10. Nella sezione Si applica direttamente a, selezionare il pulsante Aggiungi. Nella finestra di dialogo Seleziona utenti o gruppi selezionare il pulsante Posizioni.

    

11. Nella finestra di dialogo Percorsi, espandere il nome di dominio, ad esempio aaddscontoso.com, quindi selezionare un'unità organizzativa, ad esempio AADDC Users. Se si dispone di un'unità organizzativa personalizzata che contiene un gruppo di utenti a cui vuoi applicare le impostazioni, selezionare tale unità organizzativa.

    

12. Digitare il nome dell'utente o del gruppo a cui applicare il criterio. Selezionare Controlla i nomi per convalidare l'account.

    FGPP

13. Fare clic su OK per salvare i criteri password personalizzati.

Passaggi successivi

Per altre informazioni sui criteri password e sull'uso dell'interfaccia di amministrazione di Active Directory, vedere gli articoli seguenti:

• Informazioni sui criteri delle password con granularità fine
• Configurare criteri di password a granularità fine tramite l'interfaccia di amministrazione di Active Directory