En esta página se explica cómo usar políticas de contraseñas detalladas (FGPP) en el servicio gestionado para Microsoft Active Directory.
Para configurar y gestionar FGPP en Managed Microsoft AD, puedes usar las herramientas estándar de Active Directory. Para obtener información sobre cómo usar las herramientas estándar de Active Directory en Managed Microsoft AD, consulta Gestionar objetos de Active Directory.
Delegar permisos para gestionar políticas
De forma predeterminada, la cuenta de administrador delegado puede gestionar las políticas en Managed Microsoft AD.
Para delegar la capacidad de gestionar políticas, puedes añadir usuarios al grupo Cloud
Service Fine Grained Password Policy Administrators. Para añadir usuarios a este grupo, ejecuta el siguiente comando en PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Sustituye USER_1,USER_2 por el nombre de los usuarios o grupos a los que quieras delegar permisos para gestionar las políticas de contraseñas. Por ejemplo, myuser.
Consulta más información sobre Add-ADGroupMember.
Quitar permisos para gestionar políticas
Para quitar la capacidad de gestionar políticas, puedes eliminar al usuario del grupo Cloud
Service Fine Grained Password Policy Administrators. Para quitar usuarios de este grupo, ejecuta el siguiente comando en PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Sustituye USER_1,USER_2 por el nombre de los usuarios o grupos a los que quieras quitar los permisos para gestionar las políticas de contraseñas. Por ejemplo, myuser.
Consulta más información sobre Remove-ADGroupMember.
Modificar una política de contraseñas creada previamente
Puedes modificar los ajustes de la política de un FGPP. Puedes decidir qué ajustes de la política quieres modificar y usar solo las propiedades obligatorias en el siguiente comando.
Para modificar una política de contraseñas creada previamente, ejecuta el siguiente comando en PowerShell.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Haz los cambios siguientes:
PSO: nombre del PSO cuya configuración de la política quieras modificar. Por ejemplo,
PSO-10.THRESHOLD: especifica el número de intentos de inicio de sesión fallidos tras los cuales se debe bloquear a un usuario.
DURATION_TIME: especifica el tiempo que debe transcurrir antes de que se desbloquee la cuenta de un usuario después de que haya superado el número especificado de intentos de inicio de sesión fallidos.
OBSERVATION_TIME: especifica el periodo durante el cual un usuario debe alcanzar el umbral de intentos de inicio de sesión fallidos para que se bloquee su cuenta.
COMPLEXITY_BOOLEAN: especifica si la complejidad de la contraseña debe estar habilitada para la política de contraseñas.
ENCRYPTION_BOOLEAN: especifica si las contraseñas se deben almacenar mediante cifrado reversible.
LENGTH: especifica el número mínimo de caracteres que deben tener las contraseñas.
PASSWORD_AGE: especifica el periodo durante el que un usuario puede tener la misma contraseña. El usuario debe cambiar la contraseña después de este periodo.
PASSWORD_COUNT: especifica el número de contraseñas anteriores que se guardarán en el historial de contraseñas de un usuario. Un usuario no puede reutilizar una contraseña guardada en su historial de contraseñas.
Consulta más información sobre Set-ADFineGrainedPasswordPolicy.
Añadir un usuario o un grupo a una política de contraseñas
Añade un usuario o un grupo a una política de contraseñas para aplicar la FGPP.
Para aplicar una política de contraseñas a un usuario o grupo, ejecuta el siguiente comando en PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Haz los cambios siguientes:
PSO: nombre del objeto de configuración de contraseña (PSO) al que quieres añadir el usuario o el grupo. Por ejemplo,
PSO-10.USER_1,USER_2: nombre de los usuarios o grupos a los que quieras aplicar la FGPP. Por ejemplo,
myuser.
Consulta más información sobre Add-ADFineGrainedPasswordPolicySubject.
Comprobar qué política de contraseñas se aplica a un usuario
Puedes aplicar varias políticas de contraseñas a un usuario o a un grupo. La política con el ajuste de prioridad más bajo es la que se aplica. Para obtener información sobre los ajustes de precedencia de los PSO, consulta Objetos de configuración de contraseñas.
Para ver la política efectiva de un usuario, ejecuta el siguiente comando en PowerShell.
Get-ADUserResultantPasswordPolicy -Identity USER
Sustituye USER por el nombre del usuario cuyas políticas de contraseñas aplicadas quieras consultar. Por ejemplo, myuser.
Consulta más información sobre Get-ADUserResultantPasswordPolicy.
Quitar un usuario o un grupo de una política de contraseñas
Quita un usuario o un grupo de una política de contraseñas para dejar de aplicar la FGPP.
Para quitar un usuario o un grupo de una política de contraseñas, ejecuta el siguiente comando en PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Haz los cambios siguientes:
PSO: nombre del PSO del que quieres quitar al usuario o al grupo. Por ejemplo,
PSO-10.USER_1,USER_2: nombre de los usuarios o grupos para los que quieras dejar de aplicar la FGPP. Por ejemplo,
myuser.
Consulta más información sobre Remove-ADFineGrainedPasswordPolicySubject.
Desbloquear a un usuario
Active Directory suspende o bloquea el acceso de un usuario cuando el número de contraseñas incorrectas introducidas supera el máximo permitido por la política de contraseñas.
Para desbloquear un usuario, ejecuta el siguiente comando de PowerShell. Ten en cuenta que debes ser miembro del grupo Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Sustituye USER por el nombre del usuario al que quieras desbloquear. Por ejemplo, myuser.
Consulta más información sobre Unlock-ADAccount.
El usuario se desbloquea automáticamente después de la duración del bloqueo configurada en la política de contraseñas.