Halaman ini menunjukkan cara menggunakan kebijakan sandi terperinci (FGPP) di Layanan Terkelola untuk Microsoft Active Directory.
Untuk mengonfigurasi dan mengelola FGPP di Microsoft AD Terkelola, Anda dapat menggunakan alat Active Directory standar. Untuk informasi tentang cara menggunakan alat Active Directory standar di Managed Microsoft AD, lihat Mengelola objek Active Directory.
Mendelegasikan izin untuk mengelola kebijakan
Secara default, akun administrator yang didelegasikan memiliki kemampuan untuk mengelola kebijakan di Microsoft AD Terkelola.
Untuk mendelegasikan kemampuan mengelola kebijakan, Anda dapat menambahkan pengguna ke grup Cloud
Service Fine Grained Password Policy Administrators. Untuk menambahkan pengguna ke grup ini, jalankan perintah berikut di PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Ganti USER_1,USER_2 dengan nama pengguna atau grup yang izinnya ingin Anda delegasikan untuk mengelola kebijakan sandi. Contoh, myuser.
Pelajari lebih lanjut tentang Add-ADGroupMember.
Menghapus izin untuk mengelola kebijakan
Untuk menghapus kemampuan mengelola kebijakan, Anda dapat menghapus pengguna dari grup Cloud
Service Fine Grained Password Policy Administrators. Untuk menghapus pengguna dari grup ini, jalankan perintah berikut di PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Ganti USER_1,USER_2 dengan nama pengguna atau grup yang izinnya ingin Anda hapus untuk mengelola kebijakan sandi. Contoh,
myuser.
Pelajari lebih lanjut tentang Remove-ADGroupMember.
Mengubah kebijakan sandi yang telah dibuat sebelumnya
Anda dapat mengubah setelan kebijakan FGPP. Anda dapat menentukan setelan kebijakan yang ingin diubah dan hanya menggunakan properti yang diperlukan dalam perintah berikut.
Untuk mengubah kebijakan sandi yang telah dibuat sebelumnya, jalankan perintah berikut di PowerShell.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Ganti kode berikut:
PSO: Nama PSO yang setelan kebijakannya ingin Anda ubah. Contoh,
PSO-10.THRESHOLD: Tentukan jumlah upaya login yang gagal, setelahnya pengguna harus dikunci.
DURATION_TIME: Tentukan jangka waktu yang diperlukan pengguna untuk dikunci setelah jumlah upaya login yang gagal yang ditentukan.
OBSERVATION_TIME: Menentukan durasi waktu saat pengguna harus mencapai nilai minimum untuk upaya login yang gagal agar pengguna terkunci.
COMPLEXITY_BOOLEAN: Menentukan apakah kerumitan sandi harus diaktifkan untuk kebijakan sandi.
ENCRYPTION_BOOLEAN: Menentukan apakah sandi harus disimpan menggunakan enkripsi yang dapat dikembalikan.
LENGTH: Menentukan jumlah karakter minimum yang harus dimiliki sandi.
PASSWORD_AGE: Menentukan durasi waktu pengguna dapat memiliki sandi yang sama. Pengguna harus mengubah sandi setelah jangka waktu ini.
PASSWORD_COUNT: Menentukan jumlah sandi sebelumnya yang akan disimpan dalam histori sandi pengguna. Pengguna tidak dapat menggunakan kembali sandi yang disimpan di histori sandi mereka.
Pelajari lebih lanjut tentang Set-ADFineGrainedPasswordPolicy.
Menambahkan pengguna atau grup ke kebijakan sandi
Tambahkan pengguna atau grup ke kebijakan sandi untuk menerapkan FGPP.
Untuk menerapkan kebijakan sandi ke pengguna atau grup, jalankan perintah berikut di PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Ganti kode berikut:
PSO: Nama objek setelan sandi (PSO) tempat Anda ingin menambahkan pengguna atau grup. Contoh,
PSO-10.USER_1,USER_2: Nama pengguna atau grup yang ingin Anda terapkan FGPP. Contoh,
myuser.
Pelajari lebih lanjut tentang Add-ADFineGrainedPasswordPolicySubject.
Memeriksa kebijakan sandi yang berlaku untuk pengguna
Anda dapat menerapkan beberapa kebijakan sandi ke pengguna atau grup. Kebijakan dengan setelan prioritas terendah adalah kebijakan yang berlaku. Untuk informasi tentang setelan prioritas PSO, lihat Objek setelan sandi.
Untuk melihat kebijakan yang efektif pada pengguna, jalankan perintah berikut di PowerShell.
Get-ADUserResultantPasswordPolicy -Identity USER
Ganti USER dengan nama pengguna yang ingin Anda periksa
kebijakan sandinya yang diterapkan. Contoh, myuser.
Pelajari lebih lanjut tentang Get-ADUserResultantPasswordPolicy.
Menghapus pengguna atau grup dari kebijakan sandi
Hapus pengguna atau grup dari kebijakan sandi untuk berhenti menerapkan FGPP.
Untuk menghapus pengguna atau grup dari kebijakan sandi, jalankan perintah berikut di PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Ganti kode berikut:
PSO: Nama PSO tempat Anda ingin menghapus pengguna atau grup. Contoh,
PSO-10.USER_1,USER_2: Nama pengguna atau grup yang ingin Anda hentikan penerapan FGPP-nya. Contoh,
myuser.
Pelajari lebih lanjut tentang Remove-ADFineGrainedPasswordPolicySubject.
Membuka kunci pengguna
Active Directory menangguhkan atau mengunci akses untuk pengguna jika jumlah entri sandi yang salah melebihi jumlah maksimum yang diizinkan oleh kebijakan sandi.
Untuk membuka kunci pengguna, jalankan perintah PowerShell berikut. Perhatikan bahwa Anda harus menjadi
anggota grup Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Ganti USER dengan nama pengguna yang ingin Anda buka kuncinya. Contoh,
myuser.
Pelajari lebih lanjut tentang Unlock-ADAccount.
Pengguna akan otomatis dibuka kuncinya setelah durasi penguncian dikonfigurasi dalam kebijakan sandi.