다음을 통해 공유

Microsoft Entra Domain Services 관리되는 도메인의 암호 및 계정 잠금 정책

  • 아티클

Microsoft Entra Domain Services에서 사용자 보안을 관리하려면 계정 잠금 설정 또는 최소 암호 길이 및 복잡성을 제어하는 세분화된 암호 정책을 정의할 수 있습니다. 기본 세분화된 암호 정책이 만들어지고 Domain Services 관리되는 도메인의 모든 사용자에게 적용됩니다. 세부적인 제어를 제공하고 특정 비즈니스 또는 규정 준수 요구 사항을 충족하기 위해 추가 정책을 만들고 특정 사용자 또는 그룹에 적용할 수 있습니다.

이 문서에서는 Active Directory 관리 센터를 사용하여 Domain Services에서 세분화된 암호 정책을 만들고 구성하는 방법을 보여 줍니다.

메모

암호 정책은 Resource Manager 배포 모델을 사용하여 만든 관리되는 도메인에만 사용할 수 있습니다.

시작하기 전에

이 문서를 완료하려면 다음 리소스 및 권한이 필요합니다.

  • 활성 Azure 구독입니다.
    • Azure 구독이 없는 경우 계정을 만드십시오.
  • 온-프레미스 디렉터리 또는 클라우드 전용 디렉터리와 동기화된 구독과 연결된 Microsoft Entra 테넌트입니다.
  • Microsoft Entra 테넌트에서 사용하도록 설정되고 구성된 Microsoft Entra Domain Services가 관리하는 도메인입니다.
  • 관리되는 도메인에 가입된 Windows Server 관리 VM입니다.
    • 필요하다면 자습서를 완료하여 관리 VM을 만드십시오.
  • Microsoft Entra 테넌트에서 Microsoft Entra DC 관리자 그룹의 구성원인 사용자 계정입니다.

기본 암호 정책 설정

FGP(세분화된 암호 정책)를 사용하면 도메인의 다른 사용자에게 암호 및 계정 잠금 정책에 대한 특정 제한을 적용할 수 있습니다. 예를 들어 권한 있는 계정을 보호하려면 일반 권한 없는 계정보다 더 엄격한 계정 잠금 설정을 적용할 수 있습니다. 관리되는 도메인 내에서 여러 FGPP를 만들고 우선 순위 순서를 지정하여 사용자에게 적용할 수 있습니다.

암호 정책 및 Active Directory 관리 센터 사용에 대한 자세한 내용은 다음 문서를 참조하세요.

정책은 관리되는 도메인의 그룹 연결을 통해 배포되며, 변경한 내용은 다음 사용자 로그인 시 적용됩니다. 정책을 변경해도 이미 잠긴 사용자 계정의 잠금이 해제되지는 않습니다.

암호 정책은 적용된 사용자 계정을 만든 방법에 따라 약간 다르게 동작합니다. Domain Services에서 사용자 계정을 만들 수 있는 방법에는 두 가지가 있습니다.

  • 사용자 계정은 Microsoft Entra ID에서 동기화할 수 있습니다. 여기에는 Azure에서 직접 만든 클라우드 전용 사용자 계정과 Microsoft Entra Connect를 사용하여 온-프레미스 AD DS 환경에서 동기화된 하이브리드 사용자 계정이 포함됩니다.
    • Domain Services의 대부분의 사용자 계정은 Microsoft Entra ID의 동기화 프로세스를 통해 만들어집니다.
  • 사용자 계정은 관리되는 도메인에서 수동으로 만들 수 있으며 Microsoft Entra ID에 존재하지 않습니다.

모든 사용자는 만든 방법에 관계없이 Domain Services의 기본 암호 정책에 따라 다음과 같은 계정 잠금 정책을 적용합니다.

  • 계정 잠금 기간: 30
  • 허용된 실패한 로그온 시도 횟수: 5
  • 실패한 로그온 시도 횟수 초기화 시간: 2분 후
  • 최대 암호 사용 기간(수명): 90일

이러한 기본 설정을 사용하면 2분 내에 잘못된 암호 5개가 사용되는 경우 사용자 계정이 30분 동안 잠깁니다. 계정은 30분 후에 자동으로 잠금 해제됩니다.

계정 잠금은 관리되는 도메인 내에서만 발생합니다. 사용자 계정은 도메인 서비스에서만 잠기며, 이는 관리되는 도메인에 대한 로그인 시도가 실패했기 때문입니다. Microsoft Entra ID 또는 온-프레미스에서 동기화된 사용자 계정은 도메인 서비스에서만 잠기며, 원본 디렉터리에서 잠기는 것은 아닙니다.

최대 암호 사용 기간을 90일보다 크게 지정하는 Microsoft Entra 암호 정책이 있는 경우 해당 암호 사용 기간은 Domain Services의 기본 정책에 적용됩니다. Domain Services에서 다른 최대 암호 사용 기간을 정의하도록 사용자 지정 암호 정책을 구성할 수 있습니다. Domain Services 암호 정책에 구성된 최대 암호 사용 기간이 Microsoft Entra ID 또는 온-프레미스 AD DS 환경보다 짧은 경우 주의하세요. 이 시나리오에서 사용자의 암호는 Microsoft Entra ID 또는 온-프레미스 AD DS 환경에서 변경하라는 메시지가 표시되기 전에 Domain Services에서 만료될 수 있습니다.

관리되는 도메인에서 수동으로 만든 사용자 계정의 경우 기본 정책에서도 다음과 같은 추가 암호 설정이 적용됩니다. 사용자가 Domain Services에서 직접 암호를 업데이트할 수 없으므로 Microsoft Entra ID에서 동기화된 사용자 계정에는 이러한 설정이 적용되지 않습니다.

  • 최소 암호 길이(문자): 7
  • 암호는 복잡성 요구 사항을 충족해야

기본 암호 정책에서는 계정 잠금 또는 암호 설정을 수정할 수 없습니다. 대신 AAD DC Administrators 그룹의 구성원은 다음 섹션에 표시된 대로 사용자 지정 암호 정책을 만들고 기본 제공 정책보다 우선 적용되도록 구성할 수 있습니다.

사용자 지정 암호 정책 만들기

Azure에서 애플리케이션을 빌드하고 실행할 때 사용자 지정 암호 정책을 구성할 수 있습니다. 예를 들어 다른 계정 잠금 정책 설정을 위한 정책을 만들 수 있습니다.

사용자 지정 암호 정책은 관리되는 도메인의 그룹에 적용됩니다. 이 구성은 기본 정책을 효과적으로 재정의합니다.

사용자 지정 암호 정책을 만들려면 도메인에 가입된 VM에서 Active Directory 관리 도구를 사용합니다. Active Directory 관리 센터를 사용하면 OU를 포함하여 관리되는 도메인에서 리소스를 보고 편집하고 만들 수 있습니다.

메모

관리되는 도메인에서 사용자 지정 암호 정책을 만들려면 AAD DC Administrators 그룹의 구성원인 사용자 계정에 로그인해야 합니다.

  1. 시작 화면에서 관리 도구선택합니다. 관리 VM 만들기위해 자습서에 설치된 사용 가능한 관리 도구 목록이 표시됩니다.

  2. OU를 만들고 관리하려면 관리 도구 목록에서 Active Directory 관리 센터 선택합니다.

  3. 왼쪽 창에서 관리되는 도메인(예: aaddscontoso.com)을 선택합니다.

  4. 시스템 컨테이너를 연 다음 암호 설정 컨테이너을(를) 엽니다.

    관리되는 도메인에 대한 기본 제공 암호 정책이 표시됩니다. 이 기본 제공 정책은 수정할 수 없습니다. 대신 사용자 지정 암호 정책을 만들어 기본 정책을 재정의합니다.

    Active Directory 관리 센터 암호 정책 만들기

  5. 오른쪽의 작업 패널에서 새 > 암호 설정 선택합니다.

  6. 암호 설정 만들기 대화 상자에서 MyCustomFGPP같은 정책의 이름을 입력합니다.

  7. 여러 암호 정책이 있을 때 우선 순위가 가장 높은 정책이 사용자에게 적용됩니다. 숫자가 낮을수록 우선 순위가 높습니다. 기본 암호 정책의 우선 순위는 200.

    사용자 지정 암호 정책의 우선 순위를 설정하여 기본값(예: 1)을 재정의합니다.

  8. 원하는 대로 다른 암호 정책 설정을 편집합니다. 계정 잠금 설정은 모든 사용자에게 적용되지만 Microsoft Entra 자체가 아닌 관리되는 도메인 내에서만 적용됩니다.

    사용자 지정 세분화된 암호 정책 만들기

  9. 실수로 인한 삭제를 방지 설정선택 해제. 이 옵션을 선택하면 FGPP를 저장할 수 없습니다.

  10. 직접 적용 대상 섹션에서 추가 단추를 선택합니다. 사용자 또는 그룹 선택 대화 상자에서 위치 단추를 선택합니다.

    암호 정책을 적용할 사용자 및 그룹을 선택합니다.

  11. 위치 대화 상자에서 aaddscontoso.com같은 도메인 이름을 확장한 다음 AADDC 사용자 같은 OU를 선택합니다. 적용하려는 사용자 그룹이 포함된 사용자 지정 OU가 있는 경우 해당 OU를 선택합니다.

    그룹이 속한 OU를 선택하세요

  12. 정책을 적용할 사용자 또는 그룹의 이름을 입력합니다. 이름 확인 선택하여 계정을 확인합니다.

    FGPP 적용할 그룹을 검색하고 선택합니다.

  13. 확인 클릭하여 사용자 지정 암호 정책을 저장합니다.

다음 단계

암호 정책 및 Active Directory 관리 센터 사용에 대한 자세한 내용은 다음 문서를 참조하세요.