Microsoft Entra Domain Services 受控網域的密碼和帳戶鎖定原則
若要在 Microsoft Entra Domain Services 中管理使用者安全性,您可以定義可控制帳戶鎖定設定或密碼長度下限和複雜性的精細密碼原則。 系統會建立預設精細的密碼原則,並套用至 Domain Services 受控網域中的所有使用者。 若要提供細微的控制並符合特定商務或合規性需求,可以建立並套用至特定使用者或群組的其他原則。
本文說明如何使用 Active Directory 管理中心,在網域服務中建立和設定更細緻的密碼原則。
注意
密碼原則僅適用於使用 Resource Manager 部署模型建立的受控網域。
開始之前
若要完成本文,您需要下列資源和許可權:
- 作用中的 Azure 訂用帳戶。
- 如果您沒有 Azure 訂用帳戶,建立帳戶。
- 與您的訂用帳戶相關聯的 Microsoft Entra 租用戶,會同步至內部部署目錄或僅限雲端目錄。
- 在您的 Microsoft Entra 租用戶中啟用並設定 Microsoft Entra Domain Services 受控網域。
- 如有需要,請完成 建立及設定 Microsoft Entra Domain Services 受控網域的教學課程,。
- 受控網域必須使用 Resource Manager 部署模型來建立。
- 已加入受控網域的 Windows Server 管理 VM。
- 如有需要,請完成教學以 建立管理 VM(虛擬機)。
- 屬於您 Microsoft Entra 租用戶中 Microsoft Entra DC 系統管理員 群組的用戶帳戶。
默認密碼原則設定
更細緻的密碼原則 (FGP) 可讓您將密碼和帳戶鎖定原則的特定限制套用至網域中的不同使用者。 例如,若要保護特殊許可權帳戶,您可以套用比一般非特殊許可權帳戶更嚴格的帳戶鎖定設定。 您可以在受控網域內建立多個 FGPP,並指定優先順序以將其套用至使用者。
如需密碼原則和使用 Active Directory 系統管理中心的詳細資訊,請參閱下列文章:
- 瞭解更細緻的密碼原則
- 使用AD管理中心 設定更細緻的密碼原則
原則會透過受控網域中的群組關聯散發,而您所做的任何變更會在下一個使用者登入時套用。 變更原則並不會解除鎖定已鎖定的用戶帳戶。
密碼原則的行為稍有不同,取決於其套用至 的用戶帳戶的建立方式。 您可以在 Domain Services 中建立使用者帳戶的方式有兩種:
- 用戶帳戶可以從 Microsoft Entra ID 同步。 這包括直接在 Azure 中建立的僅限雲端用戶帳戶,以及使用 Microsoft Entra Connect 從內部部署 AD DS 環境同步處理的混合式用戶帳戶。
- 網域服務中的大多數用戶帳戶都是透過來自 Microsoft Entra 識別碼的同步處理程式來建立。
- 用戶帳戶可以在受控網域中手動建立,而且不存在於 Microsoft Entra ID 中。
不論其建立方式為何,所有用戶都會在 Domain Services 中套用預設密碼原則的下列帳戶鎖定原則:
- 帳戶鎖定持續時間: 30
- 允許的失敗登入嘗試次數: 5
- 失敗的登入嘗試計數將於 2 分鐘後重設
- 密碼存留期上限(存留期): 90 天
使用這些預設設定時,如果 2 分鐘內使用五個無效的密碼,用戶帳戶就會鎖定 30 分鐘。 帳戶會在 30 分鐘後自動解除鎖定。
帳戶鎖定只會發生在受控網域內。 用戶帳戶只會在網域服務中遭到鎖定,而且只會因為對受控網域的登入嘗試失敗。 從 Microsoft Entra ID 或內部部署引入同步的使用者帳戶不會在其來源目錄中鎖定,而只會鎖定在「Domain Services」中。
如果您有一個Microsoft Entra 密碼原則,指定大於 90 天的密碼存留期上限,該密碼存留期會套用至 Domain Services 中的默認原則。 您可以設定自定義密碼原則,以在網域服務中定義不同的密碼最長存留期。 在 Domain Services 密碼原則中,如果您設定的最大密碼期限比 Microsoft Entra ID 或內部部署的 AD DS 環境還短,請務必小心。 在該情況下,用戶的密碼可能會在他們被提示變更 Microsoft Entra ID 或內部部署 AD DS 環境中的密碼之前,於網域服務中過期。
針對在受控網域中手動建立的用戶帳戶,也會從默認原則套用下列額外的密碼設定。 這些設定不適用於從 Microsoft Entra ID 同步處理的使用者帳戶,因為使用者無法直接在 Domain Services 中更新其密碼。
- 密碼長度下限(字元): 7
- 密碼必須符合複雜度需求
您無法在預設密碼原則中修改帳戶鎖定或密碼設定。 相反地,AAD DC 系統管理員 群組的成員可以建立自訂密碼原則,並將其設定為優先於預設內建原則,如下一節所示。
建立自定義密碼原則
當您在 Azure 中建置和執行應用程式時,您可能想要設定自訂密碼原則。 例如,您可以建立原則來設定不同的帳戶鎖定原則設定。
自定義密碼原則會套用至受控網域中的群組。 此設定會有效地覆寫默認原則。
若要建立自定義密碼原則,您可以使用已加入網域的 VM 中的 Active Directory 系統管理工具。 Active Directory 管理中心可讓您在受控網域中檢視、編輯和建立資源,包括 OU。
注意
若要在受控網域中建立自定義密碼原則,您必須登入屬於 AAD DC Administrators 群組成員的用戶帳戶。
從 [開始] 畫面,選取 [系統管理工具] 。 本教學課程中會顯示可用的管理工具清單,以 建立管理 VM。
若要建立和管理 OU,請從系統管理工具清單中選取 [Active Directory 管理中心。
在左窗格中,選擇您的受控網域,例如 aaddscontoso.com。
開啟 系統 容器,然後開啟 [密碼設定容器]。
顯示受控網域的內建密碼原則。 您無法修改此內建原則。 相反地,請建立自定義密碼原則來覆蓋預設原則。
建立密碼原則在右側的 [工作] 面板中,選取 [新增 > 密碼設定]。
在 [建立密碼設定] 對話框中,輸入原則的名稱,例如 MyCustomFGPP。
當有多個密碼原則存在時,具有最高優先順序或優先順序的原則會套用至使用者。 數位越低,優先順序越高。 預設密碼原則的優先權為 200。
設定自訂密碼原則的優先順序以覆寫預設值,例如 1。
視需要編輯其他密碼原則設定。 帳戶鎖定設定會套用至所有使用者,但僅在受管理網域內生效,而不會在 Microsoft Entra 本身生效。
取消核取 [防止意外刪除。 如果選取此選項,則無法儲存 FGPP。
在 [直接套用至] 區段中,選取 [新增] 按鈕。 在 [選取使用者或群組] 對話框中,請選擇 [位置] 按鈕。
在 [位置] 對話框中,展開域名,例如 aaddscontoso.com,然後選取 OU,例如 AADDC Users。 如果您有包含您想要套用之使用者群組的自定義 OU,請選取該 OU。
輸入您想要套用原則的使用者或組名。 選取 檢查名稱 來驗證帳戶。
按一下 [確定],以儲存您的自訂密碼原則。
後續步驟
如需密碼原則和使用 Active Directory 系統管理中心的詳細資訊,請參閱下列文章:
- 瞭解更細緻的密碼原則
- 使用AD管理中心 設定更細緻的密碼原則