이 페이지에서는 Microsoft Active Directory용 관리형 서비스에서 세분화된 비밀번호 정책(FGPP)을 사용하는 방법을 보여줍니다.
관리형 Microsoft AD에서 FGPP를 구성하고 관리하려면 표준 Active Directory 도구를 사용하면 됩니다. 관리형 Microsoft AD에서 표준 Active Directory 도구를 사용하는 방법에 대한 자세한 내용은 Active Directory 객체 관리를 참조하세요.
정책 관리 권한 위임
기본적으로 위임된 관리자 계정에는 관리형 Microsoft AD에서 정책을 관리할 수 있는 권한이 있습니다.
정책 관리 권한을 위임하려면 사용자를 Cloud
Service Fine Grained Password Policy Administrators 그룹에 추가하면 됩니다. 이 그룹에 사용자를 추가하려면 PowerShell에서 다음 명령어를 실행하세요.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
USER_1,USER_2를 비밀번호 정책 관리 권한을 위임할 사용자 또는 그룹의 이름으로 바꿉니다. 예를 들면 myuser입니다.
Add-ADGroupMember를 자세히 알아보세요.
정책 관리 권한 삭제
정책 관리 권한을 삭제하려면 Cloud
Service Fine Grained Password Policy Administrators 그룹에서 사용자를 삭제하면 됩니다. 이 그룹에서 사용자를 삭제하려면 PowerShell에서 다음 명령어를 실행하세요.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
USER_1,USER_2를 비밀번호 정책을 관리하기 위해 제공된 권한을 삭제할 사용자 또는 그룹의 이름으로 바꿉니다. 예를 들면 myuser입니다.
Remove-ADGroupMember를 자세히 알아보세요.
사전 생성된 비밀번호 정책 수정
FGPP의 정책 설정을 수정할 수 있습니다. 수정할 정책 설정을 결정하고 다음 명령어에서 필요한 속성만 사용할 수 있습니다.
사전 생성된 비밀번호 정책을 수정하려면 PowerShell에서 다음 명령어를 실행하세요.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
다음을 바꿉니다.
PSO: 정책 설정을 수정할 PSO의 이름입니다. 예를 들면
PSO-10입니다.THRESHOLD: 사용자가 잠금 설정해야 하는 실패한 로그인 시도 횟수를 지정합니다.
DURATION_TIME: 지정된 횟수의 실패한 로그인 시도 후 사용자 계정이 잠겨 있어야 하는 시간을 지정합니다.
OBSERVATION_TIME: 사용자 계정이 잠길 때까지의 실패한 로그인 시도 임곗값에 도달해야 하는 시간을 지정합니다.
COMPLEXITY_BOOLEAN: 비밀번호 정책에 비밀번호 복잡성을 사용 설정해야 하는지 여부를 지정합니다.
ENCRYPTION_BOOLEAN: 복원 가능한 암호화를 사용하여 비밀번호를 저장해야 하는지 여부를 지정합니다.
LENGTH: 비밀번호에 필요한 최소 문자 수를 지정합니다.
PASSWORD_AGE: 사용자가 동일한 비밀번호를 유지할 수 있는 시간을 지정합니다. 이 기간 이후에는 비밀번호를 변경해야 합니다.
PASSWORD_COUNT: 사용자 비밀번호 기록에 저장할 이전 비밀번호 수를 지정합니다. 비밀번호 기록에 저장된 비밀번호는 재사용할 수 없습니다.
Set-ADFineGrainedPasswordPolicy를 자세히 알아보세요.
비밀번호 정책에 사용자 또는 그룹 추가
비밀번호 정책에 사용자 또는 그룹을 추가하여 FGPP를 시행합니다.
사용자 또는 그룹에 비밀번호 정책을 적용하려면 PowerShell에서 다음 명령어를 실행하세요.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
다음을 바꿉니다.
PSO: 사용자 또는 그룹을 추가할 비밀번호 설정 객체(PSO)의 이름입니다. 예를 들면
PSO-10입니다.USER_1,USER_2: FGPP를 시행할 사용자 또는 그룹의 이름입니다. 예를 들면
myuser입니다.
Add-ADFineGrainedPasswordPolicySubject를 자세히 알아보세요.
사용자에게 적용되는 비밀번호 정책 확인
여러 사용자 또는 그룹에 비밀번호 정책을 적용할 수 있습니다. 설정 우선순위가 가장 낮은 정책이 효과적인 정책입니다. PSO의 우선 적용 설정에 대한 자세한 내용은 비밀번호 설정 객체를 참조하세요.
사용자에 적용되는 정책을 보려면 PowerShell에서 다음 명령어를 실행하세요.
Get-ADUserResultantPasswordPolicy -Identity USER
USER를 적용된 비밀번호 정책을 확인할 사용자의 이름으로 바꿉니다. 예를 들면 myuser입니다.
Get-ADUserResultantPasswordPolicy를 자세히 알아보세요.
비밀번호 정책에서 사용자 또는 그룹 삭제
비밀번호 정책에서 사용자 또는 그룹을 삭제하여 FGPP 시행을 중지합니다.
비밀번호 정책에서 사용자 또는 그룹을 삭제하려면 PowerShell에서 다음 명령어를 실행하세요.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
다음을 바꿉니다.
PSO: 사용자 또는 그룹을 삭제하려는 PSO의 이름입니다. 예를 들면
PSO-10입니다.USER_1,USER_2: FGPP 시행을 중지할 사용자 또는 그룹의 이름입니다. 예를 들면
myuser입니다.
Remove-ADFineGrainedPasswordPolicySubject를 자세히 알아보세요.
사용자 잠금 해제
잘못된 비밀번호 항목 수가 비밀번호 정책에서 허용하는 최대 수를 초과하면 Active Directory에서 사용자의 액세스를 정지하거나 잠급니다.
사용자를 잠금 해제하려면 다음 PowerShell 명령어를 실행하세요. Cloud Service All Administrators 그룹의 구성원이어야 합니다.
Unlock-ADAccount -Identity USER
USER를 잠금 해제하려는 사용자의 이름으로 바꿉니다. 예를 들면 myuser입니다.
Unlock-ADAccount를 자세히 알아보세요.
사용자는 비밀번호 정책에 구성된 잠금 기간 이후에 자동으로 잠금 해제됩니다.