Questa pagina mostra come utilizzare i criteri per le password granulari (FGPP) in Managed Service for Microsoft Active Directory.
Per configurare e gestire FGPP in Microsoft Active Directory gestito, puoi utilizzare Strumenti di Active Directory. Per informazioni su come utilizzare lo strumento Strumenti di directory in Managed Microsoft AD, vedi Gestire Active Directory oggetti.
Delegare le autorizzazioni per la gestione dei criteri
Per impostazione predefinita, l'amministratore delegato account può consentire per gestire i criteri in Microsoft Active Directory gestito.
Per delegare la possibilità di gestire i criteri, puoi aggiungere utenti al gruppo Cloud
Service Fine Grained Password Policy Administrators. Per aggiungere utenti a questo
esegui questo comando in PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Sostituisci USER_1,USER_2 con il nome degli utenti o dei gruppi per i quali vuoi delegare le autorizzazioni per gestire i criteri delle password. Ad esempio:
myuser.
Scopri di più su Add-ADGroupMember.
Rimuovere le autorizzazioni per gestire i criteri
Per rimuovere la possibilità di gestire i criteri, puoi rimuovere l'utente dal gruppo Cloud
Service Fine Grained Password Policy Administrators. Per rimuovere utenti da
questo gruppo, esegui il comando seguente in PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Sostituisci USER_1,USER_2 con il nome degli utenti o dei gruppi per i quali
vuoi rimuovere le autorizzazioni fornite per gestire i criteri relativi alle password. Ad esempio, myuser.
Scopri di più su Remove-ADGroupMember.
Modificare un criterio per le password creato in precedenza
Puoi modificare il criterio impostazioni di un FGPP. Puoi decidere quali impostazioni dei criteri modificare e utilizzare solo proprietà obbligatorie nel comando seguente.
Per modificare un criterio per le password creato in precedenza, esegui questo comando in PowerShell.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Sostituisci quanto segue:
PSO: nome del PSO per cui vuoi modificare il criterio impostazioni. Ad esempio,
PSO-10.THRESHOLD: specifica il numero di tentativi di accesso non riusciti dopo il giorno che un utente deve essere bloccato.
DURATION_TIME: specifica per quanto tempo un utente deve Deve essere bloccato dopo il numero specificato di tentativi di accesso non riusciti.
OBSERVATION_TIME: specifica per quanto tempo un utente Deve raggiungere la soglia di tentativi di accesso non riusciti per bloccare l'utente.
COMPLEXITY_BOOLEAN: specifica se la complessità della password deve essere abilitato per il criterio delle password.
ENCRYPTION_BOOLEAN: specifica se le password devono essere memorizzate con la crittografia reversibile.
LENGTH: specifica il numero minimo di caratteri utilizzati tutte le password devono avere.
PASSWORD_AGE: specifica per quanto tempo un utente può disporre la stessa password. Una volta trascorso questo periodo di tempo l'utente dovrà cambiare la password.
PASSWORD_COUNT: specifica il numero di password precedenti da salvare nella cronologia delle password di un utente. Un utente non può riutilizzare una password salvata nella sua traiettoria delle password.
Scopri di più su Set-ADFineGrainedPasswordPolicy.
Aggiungere un utente o un gruppo a un criterio delle password
Aggiungi un utente o un gruppo a un criterio delle password per applicare il FGPP.
Per applicare un criterio delle password a un utente o a un gruppo, esegui questo comando PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Sostituisci quanto segue:
PSO: nome dell'oggetto di impostazione della password (PSO) a cui vuoi per aggiungere l'utente o il gruppo. Ad esempio,
PSO-10.USER_1,USER_2: nome degli utenti o dei gruppi a cui vuoi partecipare per applicare il FGPP. Ad esempio,
myuser.
Scopri di più su Add-ADFineGrainedPasswordPolicySubject.
Verificare quali criteri relativi alle password si applicano a un utente
Puoi applicare diversi criteri per le password a un utente o a un gruppo. Il criterio con l'impostazione di precedenza più bassa è il criterio effettivo. Per informazioni sui per le impostazioni di precedenza dei PSO. Consulta l'articolo sulle impostazioni delle password oggetti.
Per vedere il criterio effettivo su un utente, esegui il comando seguente in PowerShell.
Get-ADUserResultantPasswordPolicy -Identity USER
Sostituisci USER con il nome dell'utente di cui vuoi controllare
i criteri relativi alle password applicati. Ad esempio, myuser.
Scopri di più su Get-ADUserResultantPasswordPolicy.
Rimuovere un utente o un gruppo da un criterio delle password
Per interrompere l'applicazione del FGPP, rimuovi un utente o un gruppo da un criterio delle password.
Per rimuovere un utente o un gruppo da un criterio delle password, esegui questo comando in PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Sostituisci quanto segue:
PSO: nome del PSO da cui vuoi rimuovere l'utente oppure gruppo. Ad esempio,
PSO-10.USER_1,USER_2: nome degli utenti o dei gruppi a cui vuoi partecipare non applicare più FGPP. Ad esempio,
myuser.
Scopri di più su Remove-ADFineGrainedPasswordPolicySubject.
Sbloccare un utente
Active Directory sospende o blocca l'accesso per un utente quando il numero di le password errate superano il numero massimo consentito dal criterio relativo alle password.
Per sbloccare un utente, esegui il seguente comando PowerShell. Tieni presente che devi essere un
membro del gruppo Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Sostituisci USER con il nome dell'utente che vuoi sbloccare. Ad esempio, myuser.
Scopri di più su Unlock-ADAccount.
L'utente viene sbloccato automaticamente dopo il durata del blocco configurate nel criterio relativo alle password.