Nesta página, mostramos como usar políticas de senha refinadas (FGPP, na sigla em inglês) no serviço gerenciado para o Microsoft Active Directory.
Para configurar e gerenciar o FGPP no Microsoft AD gerenciado, use as ferramentas padrão do Active Directory. Para mais informações sobre como usar as ferramentas padrão do Active Directory no Microsoft AD gerenciado, consulte Gerenciar objetos do Active Directory.
Delegar permissões para gerenciar políticas
Por padrão, a conta de administrador delegada pode gerenciar políticas no Microsoft AD gerenciado.
Para delegar o gerenciamento de políticas, adicione usuários ao grupo Cloud
Service Fine Grained Password Policy Administrators. Para adicionar usuários a esse
grupo, execute o seguinte comando no PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Substitua USER_1,USER_2 pelo nome dos usuários ou grupos a que
você quer delegar permissões para gerenciar as políticas de senha. Por exemplo, myuser.
Saiba mais sobre Add-ADGroupMember.
Remover permissões para gerenciar políticas
Para remover a capacidade de gerenciar políticas, remova o usuário do grupo Cloud
Service Fine Grained Password Policy Administrators. Para remover usuários desse grupo, execute o comando a seguir no PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Substitua USER_1,USER_2 pelo nome dos usuários ou grupos em que você quer remover as permissões fornecidas para gerenciar as políticas de senha. Por exemplo, myuser.
Saiba mais sobre Remove-ADGroupMember.
Modificar uma política de senha pré-criada
Você pode modificar as configurações de política de um FGPP. Você pode decidir quais configurações de política quer modificar e usar apenas as propriedades necessárias no comando a seguir.
Para modificar uma política de senha pré-criada, execute o seguinte comando no PowerShell.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Substitua:
PSO: nome da PSO em que você quer modificar as configurações de política. Por exemplo,
PSO-10.THRESHOLD: especifica o número de tentativas de login com falha após as quais um usuário precisa ser bloqueado.
DURATION_TIME: especifica o período em que um usuário precisa ser bloqueado após o número especificado de tentativas de login com falha.
OBSERVATION_TIME: especifica o período em que um usuário precisa atingir o limite de tentativas de login com falha para bloquear o usuário.
COMPLEXITY_BOOLEAN: especifica se a complexidade de senha precisa estar ativada para a política de senha.
ENCRYPTION_BOOLEAN: especifica se as senhas precisam ser armazenadas usando criptografia reversível.
LENGTH: especifica o número mínimo de caracteres que as senhas precisam ter.
PASSWORD_AGE: especifica por quanto tempo um usuário pode ter a mesma senha. O usuário precisará alterar a senha após esse período.
PASSWORD_COUNT: especifica o número de senhas anteriores a serem salvas no histórico de senhas de um usuário. Um usuário não pode reutilizar uma senha salva no histórico de senhas.
Saiba mais sobre Set-ADFineGrainedPasswordPolicy.
Adicionar um usuário ou grupo a uma política de senha
Adicione um usuário ou grupo a uma política de senha para aplicar o FGPP.
Para aplicar uma política de senha a um usuário ou grupo, execute o seguinte comando no PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Substitua:
PSO: nome do objeto de configuração de senha (PSO, na sigla em inglês) a que você quer adicionar o usuário ou grupo. Por exemplo,
PSO-10.USER_1,USER_2: nome dos usuários ou grupos aos quais você quer aplicar o FGPP. Por exemplo,
myuser.
Saiba mais sobre Add-ADFineGrainedPasswordPolicySubject.
Verificar qual política de senha se aplica a um usuário
É possível aplicar várias políticas de senha a um usuário ou grupo. A política com a configuração de precedência mais baixa é a efetiva. Para informações sobre as configurações de precedência de PSOs, consulte Objetos de configurações de senha.
Para ver a política vigente em um usuário, execute o seguinte comando no PowerShell:
Get-ADUserResultantPasswordPolicy -Identity USER
Substitua USER pelo nome do usuário para o qual você quer verificar
as políticas de senha aplicadas. Por exemplo, myuser.
Saiba mais sobre Get-ADUserResultantPasswordPolicy.
Remover um usuário ou grupo de uma política de senha
Remova um usuário ou grupo de uma política de senha para interromper a aplicação do FGPP.
Para remover um usuário ou grupo de uma política de senha, execute o seguinte comando no PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Substitua:
PSO: nome da PSO de que você quer remover o usuário ou grupo. Por exemplo,
PSO-10.USER_1,USER_2: nome dos usuários ou grupos a que você quer parar de aplicar o FGPP. Por exemplo,
myuser.
Saiba mais sobre Remove-ADFineGrainedPasswordPolicySubject.
Desbloquear um usuário
O Active Directory suspende ou bloqueia o acesso de um usuário quando o número de entradas de senha incorretas excede o máximo permitido pela política de senha.
Para desbloquear um usuário, execute o seguinte comando do PowerShell. Observe que você precisa ser membro do grupo Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Substitua USER pelo nome do usuário que você quer desbloquear. Por exemplo, myuser.
Saiba mais sobre Unlock-ADAccount.
O usuário é desbloqueado automaticamente após a duração do bloqueio configurada na política de senha.