Dela via

Principer för lösenords- och kontoutelåsning på Microsoft Entra Domain Services-hanterade domäner

  • Artikel

Om du vill hantera användarsäkerhet i Microsoft Entra Domain Services kan du definiera detaljerade lösenordsprinciper som styr kontoutelåsningsinställningar eller minsta längd och komplexitet för lösenord. En standardprincip för detaljerade lösenord skapas och tillämpas på alla användare i en domän som hanteras av Domain Services. För att ge detaljerad kontroll och uppfylla specifika affärs- eller efterlevnadsbehov kan ytterligare principer skapas och tillämpas på specifika användare eller grupper.

Den här artikeln visar hur du skapar och konfigurerar en detaljerad lösenordsprincip i Domain Services med hjälp av Active Directory Administrationscenter.

Notis

Lösenordsprinciper är endast tillgängliga för hanterade domäner som skapats med resource manager-distributionsmodellen.

Innan du börjar

För att slutföra den här artikeln behöver du följande resurser och behörigheter:

Standardinställningar för lösenordsprinciper

Med detaljerade lösenordsprinciper (FGPP:er) kan du tillämpa specifika begränsningar för principer för lösenords- och kontoutelåsning för olika användare i en domän. För att skydda privilegierade konton kan du till exempel tillämpa striktare inställningar för kontoutelåsning än vanliga konton som inte är privilegierade. Du kan skapa flera FGPP:er inom en hanterad domän och ange prioritetsordningen för att tillämpa dem på användare.

Mer information om lösenordsprinciper och användning av Active Directory Administrationscenter finns i följande artiklar:

Principer distribueras via gruppassociation i en hanterad domän, och alla ändringar du gör tillämpas vid nästa användarinloggning. Att ändra principen låser inte upp ett användarkonto som redan är utelåst.

Lösenordsprinciper fungerar lite annorlunda beroende på hur användarkontot de tillämpas på skapades. Det finns två sätt att skapa ett användarkonto i Domain Services:

  • Användarkontot kan synkroniseras från Microsoft Entra-ID. Detta omfattar endast molnbaserade användarkonton som skapats direkt i Azure och hybridanvändarkonton som synkroniserats från en lokal AD DS-miljö med hjälp av Microsoft Entra Connect.
    • De flesta användarkonton i Domain Services skapas via synkroniseringsprocessen från Microsoft Entra ID.
  • Användarkontot kan skapas manuellt i en hanterad domän och finns inte i Microsoft Entra-ID.

Alla användare, oavsett hur de skapas, har följande principer för kontoutelåsning som tillämpas av standardprincipen för lösenord i Domain Services:

  • Varaktighet för kontoutelåsning: 30
  • Antal misslyckade inloggningsförsök tillåtna: 5
  • Återställ antalet misslyckade inloggningsförsök efter: 2 minuter
  • Maximal lösenordsålder (livslängd): 90 dagar

Med dessa standardinställningar är användarkonton utelåst i 30 minuter om fem ogiltiga lösenord används inom 2 minuter. Konton låss upp automatiskt efter 30 minuter.

Kontoutelåsningar sker endast inom den hanterade domänen. Användarkonton är endast låsta i domäntjänster och endast på grund av misslyckade inloggningsförsök för den hanterade domänen. Användarkonton som synkroniserades in från Microsoft Entra ID eller lokalt blir inte låsta i sina källkataloger, endast i Domain Services.

Om du har en Microsoft Entra-lösenordsprincip som anger en maximal lösenordsålder som är större än 90 dagar tillämpas lösenordsåldern på standardprincipen i Domain Services. Du kan konfigurera en anpassad lösenordsprincip för att definiera en annan maximal lösenordsålder i Domain Services. Var försiktig om du har en kortare högsta ålder för lösenord som konfigurerats i en Domäntjänsters lösenordsprincip än i Microsoft Entra-ID eller en lokal AD DS-miljö. I det scenariot kan en användares lösenord upphöra att gälla i Domain Services innan de uppmanas att ändra i Microsoft Entra-ID eller en lokal AD DS-miljö.

För användarkonton som skapas manuellt i en hanterad domän tillämpas även följande ytterligare lösenordsinställningar från standardprincipen. De här inställningarna gäller inte för användarkonton som synkroniserats från Microsoft Entra-ID eftersom en användare inte kan uppdatera sitt lösenord direkt i Domain Services.

  • Minsta längd på lösenord (tecken): 7
  • Lösenord måste uppfylla komplexitetskraven

Du kan inte ändra kontoutelåsningen eller lösenordsinställningarna i standardprincipen för lösenord. I stället kan medlemmar i AAD DC-administratörer-gruppen skapa anpassade lösenordsprinciper och konfigurera dem för att åsidosätta (ha företräde framför) den inbyggda standardprincipen, som visas i nästa avsnitt.

Skapa en anpassad lösenordspolicy

När du skapar och kör program i Azure kanske du vill konfigurera en anpassad lösenordsprincip. Du kan till exempel skapa en princip för att ange olika principinställningar för kontoutelåsning.

Anpassade lösenordsprinciper tillämpas på grupper i en hanterad domän. Den här konfigurationen åsidosätter i praktiken standardprincipen.

Om du vill skapa en anpassad lösenordsprincip använder du Active Directory Administrationsverktyg från en domänansluten virtuell dator. Med Active Directory Administrationscenter kan du visa, redigera och skapa resurser i en hanterad domän, inklusive organisationsenheter.

Not

Om du vill skapa en anpassad lösenordsprincip i en hanterad domän måste du vara inloggad på ett användarkonto som är medlem i gruppen AAD DC-administratörer.

  1. På startskärmen väljer du Administrationsverktyg. En lista över tillgängliga hanteringsverktyg som installerades i handledningen visas för att skapa en hanterings-VM.

  2. Välj Active Directory Administrative Center i listan över administrativa verktyg för att skapa och hantera organisationsenheter.

  3. I den vänstra rutan väljer du din hanterade domän, till exempel aaddscontoso.com.

  4. Öppna containern System och sedan containern Lösenordsinställningar.

    En inbyggd lösenordsprincip för den hanterade domänen visas. Du kan inte ändra den här inbyggda principen. Skapa i stället en anpassad lösenordsprincip för att åsidosätta standardprincipen.

    Skapa en lösenordsprincip i Active Directory Administrationscenter

  5. I panelen Uppgifter till höger väljer du Nya lösenordsinställningar för >.

  6. I dialogrutan Skapa lösenordsinställningar anger du ett namn för principen, till exempel MyCustomFGPP.

  7. När det finns flera lösenordsprinciper tillämpas principen med högst prioritet, eller prioritet, på en användare. Desto lägre tal, desto högre prioritet. Standardprincipen för lösenord har prioriteten 200.

    Ange prioriteten för din anpassade lösenordsprincip för att åsidosätta standardvärdet, till exempel 1.

  8. Redigera andra inställningar för lösenordsprinciper efter behov. Inställningar för kontoutelåsning gäller för alla användare, men börjar bara gälla inom den hanterade domänen och inte i Själva Microsoft Entra.

    Skapa en anpassad detaljerad lösenordsprincip

  9. Avmarkera Skydda mot oavsiktlig borttagning. Om det här alternativet är markerat kan du inte spara FGPP.

  10. I avsnittet Gäller direkt för väljer du knappen Lägg till. I dialogrutan Välj användare eller grupper väljer du knappen Platser.

    Välj de användare och grupper som lösenordsprincipen ska tillämpas på

  11. I dialogrutan Platser expanderar du domännamnet, till exempel aaddscontoso.comoch väljer sedan en organisationsenhet, till exempel AADDC-användare. Om du har en anpassad organisationsenhet som innehåller en grupp användare du vill tillämpa, väljer du den organisationsenheten.

    Välj den organisationsenhet som gruppen tillhör

  12. Ange namnet på den användare eller grupp som du vill tillämpa principen på. Välj Kontrollera namn för att verifiera kontot.

    Sök efter och välj den grupp som du vill använda FGPP-

  13. Klicka på OK för att spara din anpassade lösenordsprincip.

Nästa steg

Mer information om lösenordsprinciper och användning av Active Directory Administrationscenter finns i följande artiklar: