Cette page explique comment utiliser des règles relatives aux mots de passe ultraprécis (FGPP) dans le service géré pour Microsoft Active Directory.
Pour configurer et gérer FGPP dans Microsoft AD géré, vous pouvez utiliser les outils Active Directory standards. Pour en savoir plus sur l'utilisation de la clé Outils d'annuaire dans le service Microsoft AD géré, consultez la page Gérer Active Directory Objets.
Déléguer des autorisations pour gérer les stratégies
Par défaut, l'administrateur délégué votre compte peut pour gérer les stratégies dans le service Microsoft AD géré.
Pour déléguer la gestion des règles, vous pouvez ajouter des utilisateurs au groupe Cloud
Service Fine Grained Password Policy Administrators. Pour ajouter des utilisateurs à ce groupe, exécutez la commande suivante dans PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Remplacez USER_1,USER_2 par le nom des utilisateurs ou des groupes pour lesquels
vous souhaitez déléguer les autorisations
pour gérer les stratégies de mot de passe. Exemple : myuser.
En savoir plus sur Add-ADGroupMember.
Supprimer les autorisations permettant de gérer les règles
Pour l'empêcher de gérer les règles, vous pouvez retirer l'utilisateur du groupe Cloud
Service Fine Grained Password Policy Administrators. Pour supprimer des utilisateurs de ce groupe, exécutez la commande suivante dans PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Remplacez USER_1,USER_2 par le nom des utilisateurs ou des groupes pour lesquels
vous souhaitez supprimer les autorisations fournies
pour gérer les stratégies de mot de passe. Exemple : myuser.
En savoir plus sur Remove-ADGroupMember.
Modifier une règle de mot de passe précréée
Vous pouvez modifier les règles d'un FGPP. Vous pouvez choisir les paramètres de stratégie à modifier et n'utiliser que les les propriétés obligatoires dans la commande suivante.
Pour modifier une règle de mot de passe pré-créée, exécutez la commande suivante dans PowerShell.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Remplacez les éléments suivants :
PSO: nom de l'équipe PSO pour laquelle vous souhaitez modifier la règle paramètres. Exemple :
PSO-10THRESHOLD: spécifiez le nombre de tentatives de connexion infructueuses après le qu'un utilisateur doit être verrouillé.
DURATION_TIME: spécifiez la durée pendant laquelle un utilisateur doit être verrouillé après le nombre spécifié de tentatives de connexion infructueuses.
OBSERVATION_TIME: spécifiez la durée pendant laquelle un utilisateur doit atteindre le seuil de tentatives de connexion infructueuses pour verrouiller l'utilisateur.
COMPLEXITY_BOOLEAN: spécifiez si la complexité du mot de passe doit être activée pour la règle de mot de passe.
ENCRYPTION_BOOLEAN: permet de spécifier si les mots de passe doivent être stockés. à l'aide d'un chiffrement réversible.
LENGTH: spécifiez le nombre minimal de caractères que le paramètre mots de passe doivent avoir.
PASSWORD_AGE : spécifie la durée pendant laquelle un utilisateur peut utiliser le même mot de passe. L'utilisateur doit modifier le mot de passe passé ce délai.
PASSWORD_COUNT: permet d'indiquer le nombre de mots de passe précédents à enregistrer. dans l'historique des mots de passe d'un utilisateur. Un utilisateur ne peut pas réutiliser un mot de passe enregistré de mots de passe.
En savoir plus sur Set-ADFineGrainedPasswordPolicy.
Ajouter un utilisateur ou un groupe à une règle de mots de passe
Ajoutez un utilisateur ou un groupe à une stratégie de mot de passe pour appliquer le FGPP.
Pour appliquer une règle de mot de passe à un utilisateur ou à un groupe, exécutez la commande suivante dans PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Remplacez les éléments suivants :
PSO: nom de l'objet de configuration du mot de passe (PSO) auquel vous souhaitez pour ajouter l'utilisateur ou le groupe. Exemple :
PSO-10USER_1,USER_2: nom des utilisateurs ou des groupes pour lesquels vous souhaitez appliquer la loi FGPP. Exemple :
myuser
En savoir plus sur Add-ADFineGrainedPasswordPolicySubject.
Vérifier les règles relatives aux mots de passe qui s'appliquent à un utilisateur
Vous pouvez appliquer plusieurs règles relatives aux mots de passe à un utilisateur ou à un groupe. La règle avec le paramètre de priorité le plus faible est la règle en vigueur. Pour en savoir plus sur la paramètres de priorité des PSO, consultez la section Paramètres de mot de passe Objets.
Pour afficher la règle en vigueur sur un utilisateur, exécutez la commande suivante dans PowerShell.
Get-ADUserResultantPasswordPolicy -Identity USER
Remplacez USER par le nom de l'utilisateur pour lequel vous souhaitez effectuer la vérification.
les règles de mot de
passe appliquées. Exemple :myuser
En savoir plus sur Get-ADUserResultantPasswordPolicy.
Supprimer un utilisateur ou un groupe d'une règle de mot de passe
Supprimez un utilisateur ou un groupe d'une règle relative aux mots de passe pour cesser d'appliquer la loi FGPP.
Pour supprimer un utilisateur ou un groupe d'une règle de mot de passe, exécutez la commande suivante dans PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Remplacez les éléments suivants :
PSO: nom du PSO duquel vous souhaitez supprimer l'utilisateur ou groupe. Exemple :
PSO-10USER_1,USER_2: nom des utilisateurs ou des groupes pour lesquels vous souhaitez cesser d'appliquer la loi FGPP. Exemple :
myuser
En savoir plus sur Remove-ADFineGrainedPasswordPolicySubject.
Déverrouiller un utilisateur
Active Directory suspend ou verrouille l'accès d'un utilisateur lorsque le nombre de mots de passe incorrects saisis dépasse le nombre maximal autorisé par la stratégie de mot de passe.
Pour déverrouiller un utilisateur, exécutez la commande PowerShell suivante. Notez que vous devez
membre du groupe Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Remplacez USER par le nom de l'utilisateur que vous souhaitez déverrouiller. Exemple : myuser.
En savoir plus sur Unlock-ADAccount.
L'utilisateur est automatiquement déverrouillé après la durée de verrouillage configurée dans la stratégie de mot de passe.