Políticas de bloqueio de senha e conta nos domínios gerenciados dos Serviços de Domínio Microsoft Entra
Para gerenciar a segurança do usuário nos Serviços de Domínio Microsoft Entra, você pode definir políticas de senha refinadas que controlam as configurações de bloqueio de conta ou o comprimento e a complexidade mínimos da senha. Uma política de senha refinada padrão é criada e aplicada a todos os usuários em um domínio gerenciado pelos Serviços de Domínio. Para fornecer controle granular e atender a necessidades específicas de negócios ou conformidade, políticas adicionais podem ser criadas e aplicadas a usuários ou grupos específicos.
Este artigo mostra como criar e configurar uma política de senha refinada nos Serviços de Domínio usando o Centro Administrativo do Ative Directory.
Observação
As políticas de senha só estão disponíveis para domínios gerenciados criados usando o modelo de implantação do Resource Manager.
Antes de começar
Para concluir este artigo, você precisa dos seguintes recursos e privilégios:
- Uma assinatura ativa do Azure.
- Se você não tiver uma assinatura do Azure, crie uma conta.
- Um inquilino do Microsoft Entra associado à sua subscrição, sincronizado com um diretório local ou um diretório exclusivamente na nuvem.
- Se necessário, criar um inquilino do Microsoft Entra ou associar uma assinatura do Azure à sua conta.
- Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.
- Se necessário, conclua o tutorial para criar e configurar um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
- O domínio gerenciado deve ter sido criado usando o modelo de implantação do Resource Manager.
- Uma VM de gerenciamento do Windows Server que ingressou no domínio gerenciado.
- Se necessário, conclua o tutorial para criar uma VM de gerenciamento.
- Uma conta de utilizador que seja membro do grupo administradores do Microsoft Entra DC no seu tenant do Microsoft Entra.
Configurações de política de senha padrão
As políticas de senha refinadas (FGPPs) permitem aplicar restrições específicas para políticas de bloqueio de senha e conta a diferentes usuários em um domínio. Por exemplo, para proteger contas privilegiadas, você pode aplicar configurações de bloqueio de conta mais rígidas do que contas não privilegiadas comuns. Você pode criar vários FGPPs dentro de um domínio gerenciado e especificar a ordem de prioridade para aplicá-los aos usuários.
Para obter mais informações sobre diretivas de senha e como usar o Centro de Administração do Ative Directory, consulte os seguintes artigos:
- Saiba mais sobre políticas de senha refinadas
- Configurar políticas de senha refinadas usando o Centro de Administração do AD
As políticas são distribuídas por meio da associação de grupo em um domínio gerenciado e todas as alterações feitas são aplicadas no próximo login do usuário. Alterar a política não desbloqueia uma conta de usuário que já está bloqueada.
As políticas de senha se comportam de forma um pouco diferente, dependendo de como a conta de usuário à qual elas são aplicadas foi criada. Há duas maneiras de criar uma conta de usuário nos Serviços de Domínio:
- A conta de usuário pode ser sincronizada a partir do Microsoft Entra ID. Isso inclui contas de usuário somente na nuvem criadas diretamente no Azure e contas de usuário híbridas sincronizadas a partir de um ambiente AD DS local usando o Microsoft Entra Connect.
- A maioria das contas de utilizador nos Serviços de Domínio é criada através do processo de sincronização a partir do Microsoft Entra ID.
- A conta de usuário pode ser criada manualmente em um domínio gerenciado e não existe no Microsoft Entra ID.
Todos os usuários, independentemente de como são criados, têm as seguintes políticas de bloqueio de conta aplicadas pela política de senha padrão nos Serviços de Domínio:
- Duração do bloqueio da conta: 30
- Número de tentativas de logon com falha permitidas: 5
- Redefinir a contagem de tentativas de logon com falha após: 2 minutos
- Idade máxima da palavra-passe: 90 dias
Com essas configurações padrão, as contas de usuário são bloqueadas por 30 minutos se cinco senhas inválidas forem usadas em 2 minutos. As contas são desbloqueadas automaticamente após 30 minutos.
Os bloqueios de conta só ocorrem dentro do domínio gerenciado. As contas de utilizador só são bloqueadas nos Serviços de Domínio e apenas devido a tentativas de início de sessão falhadas no domínio gerido. As contas de usuário que foram sincronizadas a partir da ID do Microsoft Entra ou no local não são bloqueadas em seus diretórios de origem, apenas nos Serviços de Domínio.
Se você tiver uma política de senha do Microsoft Entra que especifique uma idade máxima da senha superior a 90 dias, essa idade da senha será aplicada à política padrão nos Serviços de Domínio. Você pode configurar uma política de senha personalizada para definir uma idade máxima de senha diferente nos Serviços de Domínio. Tenha cuidado se você tiver uma idade máxima de senha mais curta configurada em uma política de senha dos Serviços de Domínio do que na ID do Microsoft Entra ou em um ambiente AD DS local. Nesse cenário, a palavra-passe de um utilizador pode expirar nos Serviços de Domínio antes de serem solicitados a alterá-la no Microsoft Entra ID ou num ambiente AD DS local.
Para contas de usuário criadas manualmente em um domínio gerenciado, as seguintes configurações de senha adicionais também são aplicadas a partir da política padrão. Essas configurações não se aplicam a contas de usuário sincronizadas a partir do Microsoft Entra ID, pois um usuário não pode atualizar sua senha diretamente nos Serviços de Domínio.
- Comprimento mínimo da palavra-passe (caracteres): 7
- senhas devem atender aos requisitos de complexidade
Não é possível modificar as configurações de bloqueio de conta ou senha na política de senha padrão. Em vez disso, os membros do grupo Administradores de DC do AAD podem criar políticas de senha personalizadas e configurá-las para que substituam (tenham precedência sobre) a política interna padrão, conforme mostrado na próxima seção.
Criar uma política de senha personalizada
À medida que cria e executa aplicações no Azure, poderá querer configurar uma política de palavra-passe personalizada. Por exemplo, você pode criar uma política para definir diferentes configurações de política de bloqueio de conta.
As políticas de senha personalizadas são aplicadas a grupos em um domínio gerenciado. Essa configuração substitui efetivamente a política padrão.
Para criar uma política de senha personalizada, use as Ferramentas Administrativas do Ative Directory de uma VM associada a um domínio. A Central Administrativa do Ative Directory permite exibir, editar e criar recursos em um domínio gerenciado, incluindo UOs.
Observação
Para criar uma política de palavra-passe personalizada num domínio gerido, deve iniciar sessão numa conta de utilizador que seja membro do grupo AAD Administradores de DC.
Na tela inicial, selecione Ferramentas administrativas. É mostrada uma lista de ferramentas de gerenciamento disponíveis que foram instaladas no tutorial para criar uma VM de gerenciamento.
Para criar e gerenciar UOs, selecione do Centro Administrativo do Ative Directory na lista de ferramentas administrativas.
No painel esquerdo, escolha seu domínio gerenciado, como aaddscontoso.com.
Abra o contêiner System e, em seguida, o contêiner Password Settings.
É apresentada uma política de palavra-passe incorporada para o domínio gerido. Não é possível modificar esta política interna. Em vez disso, crie uma política de senha personalizada para substituir a política padrão.
No painel Tarefas à direita, selecione Nova Configurações de > Senha.
Na janela de diálogo Criar Configurações de Palavra-passe, insira um nome para a política de palavra-passe, como MyCustomFGPP.
Quando existem várias políticas de senha, a política com a maior precedência, ou prioridade, é aplicada a um usuário. Quanto menor o número, maior a prioridade. A política de senha padrão tem prioridade de 200.
Defina a precedência da sua política de senha personalizada para substituir o padrão, como 1.
Edite outras configurações de política de senha conforme desejado. As configurações de bloqueio de conta se aplicam a todos os usuários, mas só entram em vigor dentro do domínio gerenciado e não no próprio Microsoft Entra.
Desmarque Proteção contra eliminação acidental. Se essa opção estiver selecionada, não será possível salvar o FGPP.
Na seção Aplica-se Diretamente a, selecione o botão Adicionar. Na caixa de diálogo Selecionar Utilizadores ou Grupos, selecione o botão Locais.
Na caixa de diálogo Locais, expanda o nome de domínio, como aaddscontoso.come, em seguida, selecione uma UO, como Usuários AADDC. Se você tiver uma UO personalizada que contenha um grupo de usuários que deseja aplicar, selecione essa UO.
Digite o nome do usuário ou grupo ao qual você deseja aplicar a política. Selecione Verificar nomes para validar a conta.
Clique em OK para salvar sua política de senha personalizada.
Próximos passos
Para obter mais informações sobre diretivas de senha e como usar o Centro de Administração do Ative Directory, consulte os seguintes artigos: