Configurer des règles de mots de passe précises

Cette page explique comment utiliser les règles de mots de passe détaillées (FGPP) dans le service géré pour Microsoft Active Directory.

Pour configurer et gérer FGPP dans le service Microsoft AD géré, vous pouvez utiliser les outils Active Directory standards. Pour en savoir plus sur l'utilisation des outils Active Directory standards dans le service Microsoft AD géré, consultez la page Gérer des objets Active Directory.

Déléguer des autorisations pour gérer les règles

Par défaut, le compte administrateur délégué peut gérer les règles dans le service Microsoft AD géré.

Pour déléguer la gestion des règles, vous pouvez ajouter des utilisateurs au groupe Cloud Service Fine Grained Password Policy Administrators. Pour ajouter des utilisateurs à ce groupe, exécutez la commande suivante dans PowerShell.

Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

Remplacez USER_1,USER_2 par le nom des utilisateurs ou des groupes pour lesquels vous souhaitez déléguer des autorisations pour gérer les stratégies de mots de passe. Exemple : myuser.

En savoir plus sur Add-ADGroupMember.

Supprimer les autorisations de gestion des règles

Pour ne plus pouvoir gérer les règles, vous pouvez supprimer l'utilisateur du groupe Cloud Service Fine Grained Password Policy Administrators. Pour supprimer des utilisateurs de ce groupe, exécutez la commande suivante dans PowerShell.

Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

Remplacez USER_1,USER_2 par le nom des utilisateurs ou des groupes pour lesquels vous souhaitez supprimer les autorisations fournies pour gérer les stratégies de mots de passe. Exemple : myuser.

En savoir plus sur Remove-ADGroupMember.

Modifier une règle de mot de passe prédéfinie

Vous pouvez modifier les paramètres de règle d'un FGPP. Vous pouvez choisir les paramètres de stratégie à modifier et n'utiliser que les propriétés requises dans la commande suivante.

Pour modifier une stratégie de mot de passe prédéfinie, exécutez la commande suivante dans PowerShell.

Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \
   -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \
   -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \
   -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT

Remplacez les éléments suivants :

  • PSO: nom du PSO pour lequel vous souhaitez modifier les paramètres de la règle. Par exemple, PSO-10.

  • THRESHOLD: indique le nombre de tentatives de connexion infructueuses au-delà desquelles un utilisateur doit être verrouillé.

  • DURATION_TIME: spécifie la durée pendant laquelle un utilisateur doit être verrouillé après le nombre spécifié de tentatives de connexion infructueuses.

  • OBSERVATION_TIME: spécifiez la durée pendant laquelle un utilisateur doit atteindre le seuil d'échecs de connexion pour que l'utilisateur soit verrouillé.

  • COMPLEXITY_BOOLEAN: indique si la complexité des mots de passe doit être activée pour la règle relative aux mots de passe.

  • ENCRYPTION_BOOLEAN: indique si les mots de passe doivent être stockés à l'aide d'un chiffrement réversible.

  • LENGTH: spécifie le nombre minimal de caractères que les mots de passe doivent avoir.

  • PASSWORD_AGE: spécifiez la durée pendant laquelle un utilisateur peut avoir le même mot de passe. Passé ce délai, l'utilisateur doit modifier le mot de passe.

  • PASSWORD_COUNT: permet de spécifier le nombre de mots de passe précédents à enregistrer dans l'historique des mots de passe d'un utilisateur. Un utilisateur ne peut pas réutiliser un mot de passe enregistré dans son historique.

En savoir plus sur Set-ADFineGrainedPasswordPolicy.

Ajouter un utilisateur ou un groupe à une règle relative aux mots de passe

Ajoutez un utilisateur ou un groupe à une règle de mot de passe pour appliquer la FGPP.

Pour appliquer une règle de mot de passe à un utilisateur ou à un groupe, exécutez la commande suivante dans PowerShell.

Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

Remplacez les éléments suivants :

  • PSO: nom de l'objet de paramètre de mot de passe (PSO) auquel vous souhaitez ajouter l'utilisateur ou le groupe. Par exemple, PSO-10.

  • USER_1,USER_2: nom des utilisateurs ou des groupes pour lesquels vous souhaitez appliquer la FGPP. Par exemple, myuser.

En savoir plus sur Add-ADFineGrainedPasswordPolicySubject.

Vérifier la règle relative aux mots de passe qui s'applique à un utilisateur

Vous pouvez appliquer plusieurs règles de mots de passe à un utilisateur ou à un groupe. La règle avec le paramètre de priorité le plus faible est la règle en vigueur. Pour en savoir plus sur les paramètres de priorité des PSO, consultez la section Objets de paramètres de mot de passe.

Pour afficher la règle en vigueur sur un utilisateur, exécutez la commande suivante dans PowerShell.

Get-ADUserResultantPasswordPolicy -Identity USER

Remplacez USER par le nom de l'utilisateur pour lequel vous souhaitez vérifier les règles de mots de passe appliquées. Par exemple, myuser.

En savoir plus sur Get-ADUserResultantPasswordPolicy.

Supprimer un utilisateur ou un groupe d'une règle relative aux mots de passe

Supprimez un utilisateur ou un groupe d'une stratégie de mots de passe pour arrêter l'application du FGPP.

Pour supprimer un utilisateur ou un groupe d'une règle de mot de passe, exécutez la commande suivante dans PowerShell.

Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

Remplacez les éléments suivants :

  • PSO: nom de la PSO duquel vous souhaitez supprimer l'utilisateur ou le groupe. Par exemple, PSO-10.

  • USER_1,USER_2: nom des utilisateurs ou des groupes pour lesquels vous souhaitez arrêter d'appliquer le FGPP. Par exemple, myuser.

En savoir plus sur Remove-ADFineGrainedPasswordPolicySubject.

Déverrouiller un utilisateur

Active Directory suspend ou verrouille l'accès d'un utilisateur lorsque le nombre d'entrées de mot de passe incorrectes dépasse le nombre maximal autorisé par la règle relative aux mots de passe.

Pour déverrouiller un utilisateur, exécutez la commande PowerShell suivante. Notez que vous devez être membre du groupe Cloud Service All Administrators.

Unlock-ADAccount -Identity USER

Remplacez USER par le nom de l'utilisateur que vous souhaitez déverrouiller. Exemple : myuser.

En savoir plus sur Unlock-ADAccount.

L'utilisateur est automatiquement déverrouillé après la durée de verrouillage configurée dans les règles relatives aux mots de passe.