Политики блокировки паролей и учетных записей в управляемых доменах доменных служб Microsoft Entra
Для управления безопасностью пользователей в доменных службах Microsoft Entra можно определить детализированные политики паролей, которые управляют параметрами блокировки учетной записи или минимальной длиной и сложностью пароля. Политика паролей по умолчанию создается и применяется ко всем пользователям в управляемом домене доменных служб. Чтобы обеспечить детализированный контроль и соответствовать конкретным бизнес-потребностям или требованиям, можно создавать и применять дополнительные политики к конкретным пользователям или группам.
В этой статье показано, как создать и настроить детальную политику паролей в доменных службах с помощью Центра Администратор istrative Center Active Directory.
Примечание.
Политики паролей доступны только для управляемых доменов, созданных с помощью модели развертывания Resource Manager.
Подготовка к работе
Для работы с этой статьей требуются следующие ресурсы и разрешения:
- Активная подписка Azure.
- Если у вас еще нет подписки Azure, создайте учетную запись.
- Клиент Microsoft Entra, связанный с подпиской, либо синхронизирован с локальным каталогом или облачным каталогом.
- При необходимости создайте клиент Microsoft Entra или свяжите подписку Azure с вашей учетной записью.
- Управляемый домен доменных служб Microsoft Entra включен и настроен в клиенте Microsoft Entra.
- При необходимости выполните инструкции по созданию и настройке управляемого домена доменных служб Microsoft Entra.
- Управляемый домен должен быть создан с помощью модели развертывания Resource Manager.
- Виртуальная машина управления на базе Windows Server, подключенная к управляемому домену.
- Если потребуется, выполните инструкции из руководства по созданию виртуальной машины управления.
- Учетная запись пользователя, которая входит в группу администраторов контроллера домена Microsoft Entra в клиенте Microsoft Entra.
Параметры политики паролей по умолчанию
Детально настроенные политики паролей позволяют применять определенные ограничения для политик паролей и блокировки учетных записей для разных пользователей в домене. Например, чтобы защитить привилегированные учетные записи, можно применить более надежные параметры блокировки учетной записи, чем для обычных учетных записей без привилегий. Можно создать несколько детально настроенных политик паролей в управляемом домене и указать порядок приоритета их применения к пользователям.
Дополнительные сведения о политиках паролей и использовании центра администрирования Active Directory см. в следующих статьях:
- Детально настроенные политики паролей
- Сведения о настройке детальных политик паролей в центре администрирования AD
Политики распространяются с помощью связи групп в управляемом домене, а все вносимые изменения применяются при следующем входе пользователя в систему. Изменение политики не разблокирует уже заблокированную учетную запись пользователя.
Политики паролей работают по-разному в зависимости от того, как была создана учетная запись пользователя, к которой они применяются. В доменных службах можно создать учетную запись пользователя двумя способами:
- Учетная запись пользователя может быть синхронизирована из идентификатора Microsoft Entra. Это включает облачные учетные записи пользователей, созданные непосредственно в Azure, и гибридные учетные записи пользователей, синхронизированные из локальной среды AD DS с помощью Microsoft Entra Подключение.
- Большинство учетных записей пользователей в доменных службах создаются с помощью процесса синхронизации из идентификатора Microsoft Entra.
- Учетная запись пользователя может быть создана вручную в управляемом домене и не существует в идентификаторе Microsoft Entra.
Все пользователи независимо от того, как они созданы, применяют следующие политики блокировки учетных записей, применяемые политикой паролей по умолчанию в доменных службах:
- Длительность блокировки учетных записей: 30
- Разрешенное число неудачных попыток входа в систему: 5
- Время, по истечении которого сбрасываются неудачные попытки входа в систему: 2 мин
- Максимальный срок действия пароля (время жизни): 90 дней
С такими настройками учетные записи пользователей блокируются на 30 минут, если в течение 2 минут используются пять недействительных паролей. Учетные записи автоматически разблокируются через 30 минут.
Блокировки учетных записей происходят только в управляемом домене. Учетные записи пользователей заблокированы только в доменных службах, и только из-за неудачных попыток входа в управляемый домен. Учетные записи пользователей, которые были синхронизированы из идентификатора Microsoft Entra ID или локальной среды, не блокируются в исходных каталогах только в доменных службах.
Если у вас есть политика паролей Microsoft Entra, указывающая максимальный возраст пароля, превышающий 90 дней, этот возраст пароля применяется к политике по умолчанию в доменных службах. Настраиваемую политику паролей можно настроить для определения другого максимального возраста пароля в доменных службах. Убедитесь, что у вас более короткий максимальный возраст пароля, настроенный в политике паролей доменных служб, чем в идентификаторе Microsoft Entra или локальной среде AD DS. В этом случае пароль пользователя может истекать в доменных службах, прежде чем будет предложено изменить идентификатор Microsoft Entra или локальную среду AD DS.
Для учетных записей пользователей, созданных вручную в управляемом домене, также применяются следующие дополнительные параметры политики паролей по умолчанию. Эти параметры не применяются к учетным записям пользователей, синхронизированным из идентификатора Microsoft Entra, так как пользователь не может обновлять пароль непосредственно в доменных службах.
- Минимальная длина пароля (знаков): 7
- Пароли должны соответствовать требованиям сложности
Параметры блокировки учетной записи или пароля в политике паролей по умолчанию изменить нельзя. Вместо этого члены группы Администраторы контроллера домена AAD могут создавать пользовательские политики паролей, которые имеют больший приоритет и переопределяют политику по умолчанию, как описано в следующем разделе.
Создание пользовательской политики паролей
При создании и запуске приложений в Azure может потребоваться настроить пользовательскую политику паролей. Например, можно создать политику для установки различных параметров блокировки учетной записи.
Пользовательские политики паролей применяются к группам в управляемом домене. Эта конфигурация переопределяет политику по умолчанию.
Для создания пользовательской политики паролей используйте средства администрирования Active Directory на виртуальной машине, подключенной к домену. Центр администрирования Active Directory позволяет просматривать, изменять и создавать ресурсы в управляемом домене, включая подразделения.
Примечание.
Чтобы создать пользовательскую политику паролей в управляемом домене, необходимо войти в учетную запись пользователя, принадлежащую к группе Администраторы контроллера домена AAD.
На начальном экране выберите Администрирование. Отобразится список доступных средств управления, установка которых описана в руководстве по созданию виртуальной машины управления.
Чтобы создать и настроить подразделение, выберите Центр администрирования Active Directory в списке средств администрирования.
Выберите нужный управляемый домен, например aaddscontoso.com.
Откройте контейнер Система, а затем Контейнер параметров паролей.
Отобразится политика паролей для управляемого домена по умолчанию. Эта политика недоступна для редактирования. Вместо этого можно создать пользовательскую политику паролей для переопределения политики по умолчанию.
На панели Задачи справа выберите Создать > Настройки пароля.
В диалоговом окне Создать параметры пароля введите имя политики, например MyCustomFGPP.
Если существует несколько политик паролей, к пользователю применяется политика с наивысшим приоритетом или важностью. Чем меньше число, тем выше приоритет. Политика паролей по умолчанию имеет приоритет 200.
Задайте более высокий приоритет для пользовательской политики паролей, например 1.
При необходимости измените другие параметры политики паролей. Параметры блокировки учетной записи применяются ко всем пользователям, но вступают в силу только в управляемом домене, а не в самом Microsoft Entra.
Снимите флажок Защитить от случайного удаления. Если выбран этот параметр, вы не сможете сохранить детально настроенную политику паролей.
В разделе Применимо непосредственно к нажмите кнопку Добавить. В диалоговом окне Выбор пользователей или групп нажмите кнопку Расположения.
В диалоговом окне Расположения разверните имя домена, например aaddscontoso.com, а затем выберите подразделение, например Пользователи AADDC. Если у вас есть пользовательское подразделение, содержащее группу пользователей, для которой вы хотите применить настройки, выберите это подразделение.
Введите имя пользователя или группы, к которой вы хотите применить политику. Выберите " Проверить имена" , чтобы проверить учетную запись.
Нажмите кнопку "ОК ", чтобы сохранить настраиваемую политику паролей.
Следующие шаги
Дополнительные сведения о политиках паролей и использовании центра администрирования Active Directory см. в следующих статьях: