Zasady blokowania kont i haseł w domenach zarządzanych przez usługi Microsoft Entra Domain Services
Aby zarządzać zabezpieczeniami użytkowników w usługach Microsoft Entra Domain Services, można zdefiniować szczegółowe zasady haseł kontrolujące ustawienia blokady konta lub minimalną długość i złożoność hasła. Domyślne zasady dotyczące haseł o wysokim poziomie szczegółowości są tworzone i stosowane do wszystkich użytkowników w domenie zarządzanej przez Usługi Domenowe. Aby zapewnić szczegółową kontrolę i spełnić określone potrzeby biznesowe lub związane z zgodnością, można utworzyć i zastosować dodatkowe zasady dla określonych użytkowników lub grup.
W tym artykule pokazano, jak utworzyć i skonfigurować szczegółowe zasady haseł w usługach Domain Services przy użyciu Centrum administracyjnego usługi Active Directory.
Notatka
Zasady haseł są dostępne tylko dla domen zarządzanych utworzonych przy użyciu modelu wdrażania usługi Resource Manager.
Przed rozpoczęciem
Do ukończenia tego artykułu potrzebne są następujące zasoby i uprawnienia:
- Aktywna subskrypcja platformy Azure.
- Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
- Dzierżawa firmy Microsoft Entra skojarzona z twoją subskrypcją, zsynchronizowana z katalogiem lokalnym lub katalogiem tylko w chmurze.
- Jeśli to konieczne, utwórz dzierżawę usługi Microsoft Entra lub skojarz subskrypcję platformy Azure z kontem.
- Zarządzana domena w usłudze Microsoft Entra Domain Services jest włączona i skonfigurowana w dzierżawie Microsoft Entra.
- W razie potrzeby ukończ samouczek, aby utworzyć i skonfigurować domenę zarządzaną przez usługę Microsoft Entra Domain Services.
- Domena zarządzana musi zostać utworzona przy użyciu modelu wdrażania usługi Resource Manager.
- Maszyna wirtualna zarządzania systemem Windows Server przyłączona do domeny zarządzanej.
- W razie potrzeby ukończ samouczek, aby utworzyć maszynę wirtualną do zarządzania.
- Konto użytkownika będące członkiem administratorzy microsoft Entra DC grupy w dzierżawie firmy Microsoft Entra.
Domyślne ustawienia zasad haseł
Szczegółowe zasady haseł (FGPPs) umożliwiają stosowanie określonych ograniczeń dotyczących zasad blokady haseł i kont do różnych użytkowników w domenie. Na przykład w celu zabezpieczenia uprzywilejowanych kont można stosować bardziej rygorystyczne ustawienia blokady konta niż zwykłe konta nieuprzywilejowane. W zarządzanej domenie można utworzyć wiele FGPP i określić ich kolejność według priorytetów, aby zastosować je do użytkowników.
Aby uzyskać więcej informacji na temat zasad haseł i korzystania z Centrum administracyjnego usługi Active Directory, zobacz następujące artykuły:
- Dowiedz się więcej o szczegółowej polityce haseł
- Konfigurowanie precyzyjnych zasad haseł przy użyciu centrum administracyjnego usługi AD
Zasady są dystrybuowane poprzez skojarzenie grupowe w zarządzanej domenie, a wszelkie zmiany, które wprowadzasz, są implementowane podczas następnego logowania użytkownika. Zmiana zasad nie powoduje odblokowania konta użytkownika, które jest już zablokowane.
Zasady haseł zachowują się nieco inaczej w zależności od sposobu tworzenia konta użytkownika, do którego są one stosowane. Istnieją dwa sposoby tworzenia konta użytkownika w usługach domenowych:
- Konto użytkownika można zsynchronizować z identyfikatorem Entra firmy Microsoft. Obejmuje to konta użytkowników tylko w chmurze utworzone bezpośrednio na platformie Azure oraz konta użytkowników hybrydowych synchronizowane ze środowiska lokalnego usług AD DS przy użyciu programu Microsoft Entra Connect.
- Większość kont użytkowników w usługach domenowych jest tworzona za pośrednictwem procesu synchronizacji z identyfikatora Entra firmy Microsoft.
- Konto użytkownika można utworzyć ręcznie w domenie zarządzanej i nie istnieje w identyfikatorze Entra firmy Microsoft.
Wszyscy użytkownicy, niezależnie od sposobu ich tworzenia, mają następujące zasady blokady konta zastosowane do domyślnych zasad haseł w usługach domenowych:
- czas trwania blokady konta : 30
- liczba dozwolonych nieudanych prób logowania: 5
- Zresetuj liczbę nieudanych prób logowania po: 2 minuty
- maksymalny wiek hasła (okres istnienia): 90 dni
W przypadku tych ustawień domyślnych konta użytkowników są blokowane przez 30 minut, jeśli w ciągu 2 minut są używane pięć nieprawidłowych haseł. Konta są automatycznie odblokowywane po 30 minutach.
Blokady konta występują tylko w domenie zarządzanej. Konta użytkowników są blokowane tylko w usługach domenowych i tylko z powodu nieudanych prób logowania w domenie zarządzanej. Konta użytkowników zsynchronizowane z Microsoft Entra ID lub z lokalnej infrastruktury są blokowane tylko w usługach Domain Services, a nie w swoich katalogach źródłowych.
Jeśli masz zasady hasła firmy Microsoft Entra, które określają maksymalny wiek hasła większy niż 90 dni, wiek hasła jest stosowany do domyślnych zasad w usługach domenowych. Możesz skonfigurować niestandardowe zasady haseł w celu zdefiniowania innego maksymalnego wieku haseł w usługach Domain Services. Zachowaj ostrożność, jeśli w polityce haseł usług domenowych masz skonfigurowany krótszy maksymalny wiek hasła niż w Microsoft Entra ID lub w lokalnym środowisku AD DS. W tym scenariuszu hasło użytkownika może wygasnąć w usługach Domain Services, zanim nastąpi monit o jego zmianę w usłudze Microsoft Entra ID lub w lokalnym środowisku usług AD DS.
W przypadku kont użytkowników utworzonych ręcznie w domenie zarządzanej następujące dodatkowe ustawienia hasła są również stosowane z zasad domyślnych. Te ustawienia nie mają zastosowania do kont użytkowników zsynchronizowanych z identyfikatorem Entra firmy Microsoft, ponieważ użytkownik nie może zaktualizować swojego hasła bezpośrednio w usługach Domain Services.
- Minimalna długość hasła (znaki): 7
- Hasła muszą spełniać wymagania dotyczące złożoności
Nie można zmodyfikować ustawień blokady konta ani hasła w domyślnych zasadach haseł. Zamiast tego członkowie grupy Administratorzy DC AAD mogą tworzyć niestandardowe zasady haseł i konfigurować je tak, aby miały priorytet nad domyślnymi wbudowanymi zasadami, jak pokazano w następnej sekcji.
Tworzenie niestandardowych zasad haseł
Podczas kompilowania i uruchamiania aplikacji na platformie Azure możesz skonfigurować niestandardowe zasady haseł. Można na przykład utworzyć zasady, aby ustawić różne ustawienia zasad blokady konta.
Niestandardowe zasady haseł są stosowane do grup w domenie zarządzanej. Ta konfiguracja skutecznie zastępuje zasady domyślne.
Aby utworzyć niestandardowe zasady haseł, należy użyć narzędzi administracyjnych usługi Active Directory z maszyny wirtualnej przyłączonej do domeny. Centrum administracyjne usługi Active Directory umożliwia wyświetlanie, edytowanie i tworzenie zasobów w domenie zarządzanej, w tym jednostek organizacyjnych.
Notatka
Aby utworzyć niestandardowe zasady haseł w domenie zarządzanej, musisz zalogować się do konta użytkownika, które jest członkiem grupy AAD DC Administrators.
Na ekranie startowym wybierz pozycję Narzędzia administracyjne. Zostanie wyświetlona lista dostępnych narzędzi przeznaczonych do zarządzania, które zostały zainstalowane podczas samouczka, aby utworzyć maszynę zarządzającą.
Aby utworzyć jednostki organizacyjne i zarządzać nimi, wybierz Centrum administracyjne usługi Active Directory z listy narzędzi administracyjnych.
W okienku po lewej stronie wybierz domenę zarządzaną, taką jak aaddscontoso.com.
Otwórz kontener systemu, a następnie kontener ustawień haseł .
Wyświetlane są wbudowane zasady haseł dla domeny zarządzanej. Nie można modyfikować tych wbudowanych zasad. Zamiast tego utwórz niestandardowe zasady haseł, aby zastąpić domyślne zasady.
W panelu Zadania po prawej stronie wybierz pozycję Nowe ustawienia haseł >.
W oknie dialogowym Tworzenie ustawień haseł wprowadź nazwę zasad, taką jak MyCustomFGPP.
Jeśli istnieje wiele zasad haseł, zasada o najwyższym priorytecie jest stosowana do użytkownika. Im niższa liczba, tym wyższy priorytet. Domyślna polityka haseł ma priorytet 200.
Ustaw priorytet dla niestandardowych zasad haseł, aby zastąpić wartość domyślną, taką jak 1.
Edytuj inne ustawienia zasad haseł zgodnie z potrzebami. Ustawienia blokady konta mają zastosowanie do wszystkich użytkowników, ale obowiązują tylko w domenie zarządzanej, a nie w samej usłudze Microsoft Entra.
Usuń zaznaczenie Chroń przed przypadkowym usunięciem. Jeśli ta opcja jest zaznaczona, nie można zapisać programu FGPP.
W sekcji Bezpośrednio dotyczy wybierz przycisk Dodaj. W oknie dialogowym o nazwie Wybierz użytkowników lub grupy wybierz przycisk Lokalizacje.
W oknie dialogowym Lokalizacje rozwiń nazwę domeny, taką jak aaddscontoso.com, a następnie wybierz jednostkę organizacyjną, taką jak AADDC Users. Jeśli masz niestandardową jednostkę organizacyjną zawierającą grupę użytkowników, do których chcesz zastosować zasady, wybierz tę jednostkę organizacyjną.
Wpisz nazwę użytkownika lub grupy, do której chcesz zastosować zasady. Wybierz pozycję Sprawdź nazwy, aby zweryfikować konto.
Kliknij przycisk OK, aby zapisać niestandardowe zasady haseł.
Następne kroki
Aby uzyskać więcej informacji na temat zasad haseł i korzystania z Centrum administracyjnego usługi Active Directory, zobacz następujące artykuły: