きめ細やかなパスワード ポリシーを構成する

このページでは、Managed Service for Microsoft Active Directory できめ細やかなパスワードのポリシー(FGPP)を使用する方法について説明します。

マネージド Microsoft AD で FGPP を構成して管理するには、標準の Active Directory ツールを使用できます。マネージド Microsoft AD で標準の Active Directory ツールを使用する方法については、Active Directory オブジェクトを管理するをご覧ください。

ポリシーを管理する権限を委任する

デフォルトでは、委任された管理者アカウントはマネージド Microsoft AD でポリシーを管理できます。

ポリシーを管理する権限を委任するには、ユーザーを Cloud Service Fine Grained Password Policy Administrators グループに追加します。このグループにユーザーを追加するには、PowerShell で次のコマンドを実行します。

Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

USER_1,USER_2 は、パスワード ポリシーを管理する権限を委任するユーザーまたはグループの名前に置き換えます。例: myuser

詳細については、Add-ADGroupMember についてをご覧ください。

ポリシーを管理する権限を削除する

ポリシーを管理する権限を削除するには、Cloud Service Fine Grained Password Policy Administrators グループからユーザーを削除します。このグループからユーザーを削除するには、PowerShell で次のコマンドを実行します。

Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

USER_1,USER_2 は、パスワード ポリシーを管理するために与えられた権限を削除するユーザーまたはグループの名前に置き換えます。例: myuser

詳細については、Remove-ADGroupMember についてをご覧ください。

事前に作成されたパスワード ポリシーを変更する

FGPP のポリシー設定を変更できます。変更するポリシー設定を決定したら、次のコマンドで必要なプロパティのみを使用します。

事前に作成されたパスワード ポリシーを変更するには、PowerShell で次のコマンドを実行します。

Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \
   -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \
   -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \
   -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT

次のように置き換えます。

  • PSO: ポリシー設定を変更する PSO の名前。例: PSO-10

  • THRESHOLD: ユーザーがロックされるまでのログイン失敗回数を指定します。

  • DURATION_TIME: 指定したログイン失敗回数の後に、ユーザーがロックされる期間を指定します。

  • OBSERVATION_TIME: ユーザーをロックするログイン失敗回数のしきい値に達するまでの時間を指定します。

  • COMPLEXITY_BOOLEAN: パスワード ポリシーに対してパスワードの複雑さを有効にする必要があるかどうかを指定します。

  • ENCRYPTION_BOOLEAN: 元に戻せる暗号化を使用してパスワードを保存する必要があるかどうかを指定します。

  • LENGTH: パスワードの最小文字数を指定します。

  • PASSWORD_AGE: ユーザーが同じパスワードを使用できる期間を指定します。この期間が経過したら、ユーザーはパスワードを変更する必要があります。

  • PASSWORD_COUNT: ユーザーのパスワード履歴に保存するこれまでのパスワードの数を指定します。ユーザーは、パスワード履歴に保存されているパスワードを再利用できません。

詳細については、Set-ADFineGrainedPasswordPolicy についてをご覧ください。

パスワード ポリシーにユーザーまたはグループを追加する

パスワード ポリシーにユーザーまたはグループを追加して、FGPP を適用します。

パスワード ポリシーをユーザーまたはグループに適用するには、PowerShell で次のコマンドを実行します。

Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

次のように置き換えます。

  • PSO: 追加するユーザーまたはグループのパスワード設定オブジェクト(PSO)の名前。例: PSO-10

  • USER_1,USER_2: FGPP を適用するユーザーまたはグループの名前。例: myuser

詳細については、Add-ADFineGrainedPasswordPolicySubject についてをご覧ください。

ユーザーに適用されるパスワード ポリシーを確認する

ユーザーまたはグループには、複数のパスワード ポリシーを適用できます。最も優先度設定の低いポリシーが有効なポリシーです。PSO の優先順位の設定については、パスワード設定オブジェクトをご覧ください。

ユーザーに対して有効になっているポリシーを表示するには、PowerShell で次のコマンドを実行します。

Get-ADUserResultantPasswordPolicy -Identity USER

USER は、適用されているパスワード ポリシーを確認するユーザー名に置き換えます。例: myuser

詳細については、Get-ADUserResultantPasswordPolicy についてをご覧ください。

パスワード ポリシーからユーザーまたはグループを削除する

FGPP の適用を停止するには、パスワード ポリシーからユーザーまたはグループを削除します。

パスワード ポリシーからユーザーまたはグループを削除するには、PowerShell で次のコマンドを実行します。

Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

次のように置き換えます。

  • PSO: ユーザーまたはグループを削除する PSO の名前。例: PSO-10

  • USER_1,USER_2: FGPP の適用を停止するユーザーまたはグループの名前。例: myuser

詳細については、Remove-ADFineGrainedPasswordPolicySubject についてをご覧ください。

ユーザーのロックを解除する

間違ったパスワード入力の数がパスワード ポリシーで許可されている最大数を超えると、Active Directory はユーザーのアクセスを一時停止またはロックします。

ユーザーのロックを解除するには、次の PowerShell コマンドを実行します。なお、Cloud Service All Administrators グループのメンバーである必要があります。

Unlock-ADAccount -Identity USER

USER は、ロック解除するユーザー名に置き換えます。例: myuser

詳細については、Unlock-ADAccount についてをご覧ください。

パスワード ポリシーで構成されているロックアウト期間が経過すると、ユーザーは自動的にロック解除されます。