Cette page explique comment utiliser des règles relatives aux mots de passe ultraprécis (FGPP) dans le service géré pour Microsoft Active Directory.
Pour configurer et gérer FGPP dans le service Microsoft AD géré, vous pouvez utiliser le les outils Active Directory. Pour en savoir plus sur l'utilisation de la clé Outils d'annuaire dans le service Microsoft AD géré, consultez la page Gérer Active Directory Objets.
Déléguer les autorisations pour gérer les règles
Par défaut, l'administrateur délégué votre compte peut pour gérer les stratégies dans le service Microsoft AD géré.
Pour déléguer la gestion des règles, vous pouvez ajouter des utilisateurs au groupe Cloud
Service Fine Grained Password Policy Administrators. Pour ajouter des utilisateurs à ce groupe, exécutez la commande suivante dans PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Remplacez USER_1,USER_2 par le nom des utilisateurs ou des groupes pour lesquels vous souhaitez déléguer des autorisations de gestion des stratégies de mots de passe. Exemple : myuser.
En savoir plus sur Add-ADGroupMember.
Supprimer les autorisations permettant de gérer les règles
Pour l'empêcher de gérer les règles, vous pouvez retirer l'utilisateur du groupe Cloud
Service Fine Grained Password Policy Administrators. Pour supprimer des utilisateurs
ce groupe, exécutez la commande
suivante dans PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Remplacez USER_1,USER_2 par le nom des utilisateurs ou des groupes pour lesquels
vous souhaitez supprimer les autorisations fournies
pour gérer les stratégies de mot de passe. Exemple : myuser.
En savoir plus sur Remove-ADGroupMember.
Modifier une règle de mot de passe préconfigurée
Vous pouvez modifier les paramètres de stratégie d'un FGPP. Vous pouvez choisir les paramètres de stratégie que vous souhaitez modifier et n'utiliser que les propriétés requises dans la commande suivante.
Pour modifier une règle de mot de passe pré-créée, exécutez la commande suivante dans PowerShell.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Remplacez les éléments suivants :
PSO: nom de l'équipe PSO pour laquelle vous souhaitez modifier la règle paramètres. Exemple :
PSO-10THRESHOLD : spécifiez le nombre de tentatives de connexion infructueuses après lesquelles un utilisateur doit être verrouillé.
DURATION_TIME: spécifiez la durée pendant laquelle un utilisateur doit être verrouillé après le nombre spécifié de tentatives de connexion infructueuses.
OBSERVATION_TIME: spécifiez la durée pendant laquelle un utilisateur doit atteindre le seuil de tentatives de connexion infructueuses pour verrouiller l'utilisateur.
COMPLEXITY_BOOLEAN : indique si la complexité des mots de passe doit être activée pour la règle de mot de passe.
ENCRYPTION_BOOLEAN: permet de spécifier si les mots de passe doivent être stockés. à l'aide d'un chiffrement réversible.
LENGTH: spécifiez le nombre minimal de caractères que le paramètre mots de passe doivent avoir.
PASSWORD_AGE : spécifie la durée pendant laquelle un utilisateur peut utiliser le même mot de passe. Passé ce délai, l'utilisateur doit modifier son mot de passe.
PASSWORD_COUNT : spécifie le nombre de mots de passe précédents à enregistrer dans l'historique des mots de passe d'un utilisateur. Un utilisateur ne peut pas réutiliser un mot de passe enregistré dans son historique des mots de passe.
En savoir plus sur Set-ADFineGrainedPasswordPolicy.
Ajouter un utilisateur ou un groupe à une règle de mots de passe
Ajoutez un utilisateur ou un groupe à une stratégie de mot de passe pour appliquer le FGPP.
Pour appliquer une règle de mot de passe à un utilisateur ou à un groupe, exécutez la commande suivante dans PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Remplacez les éléments suivants :
PSO: nom de l'objet de configuration du mot de passe (PSO) auquel vous souhaitez pour ajouter l'utilisateur ou le groupe. Exemple :
PSO-10USER_1,USER_2: nom des utilisateurs ou des groupes pour lesquels vous souhaitez appliquer la loi FGPP. Exemple :
myuser
En savoir plus sur Add-ADFineGrainedPasswordPolicySubject.
Vérifier les règles relatives aux mots de passe qui s'appliquent à un utilisateur
Vous pouvez appliquer plusieurs règles de mots de passe à un utilisateur ou à un groupe. La règle avec le paramètre de priorité le plus faible est la règle en vigueur. Pour en savoir plus sur la paramètres de priorité des PSO, consultez la section Paramètres de mot de passe Objets.
Pour afficher la règle en vigueur sur un utilisateur, exécutez la commande suivante dans PowerShell.
Get-ADUserResultantPasswordPolicy -Identity USER
Remplacez USER par le nom de l'utilisateur pour lequel vous souhaitez effectuer la vérification.
les règles de mot de
passe appliquées. Exemple :myuser
En savoir plus sur Get-ADUserResultantPasswordPolicy.
Supprimer un utilisateur ou un groupe d'une règle de mot de passe
Supprimez un utilisateur ou un groupe d'une règle de mot de passe pour arrêter de l'appliquer.
Pour supprimer un utilisateur ou un groupe d'une règle de mot de passe, exécutez la commande suivante dans PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Remplacez les éléments suivants :
PSO: nom du PSO duquel vous souhaitez supprimer l'utilisateur ou groupe. Exemple :
PSO-10USER_1,USER_2: nom des utilisateurs ou des groupes pour lesquels vous souhaitez cesser d'appliquer la loi FGPP. Exemple :
myuser
En savoir plus sur Remove-ADFineGrainedPasswordPolicySubject.
Déverrouiller un utilisateur
Active Directory suspend ou verrouille l'accès d'un utilisateur lorsque le nombre de mots de passe incorrects saisis dépasse le nombre maximal autorisé par la stratégie de mot de passe.
Pour déverrouiller un utilisateur, exécutez la commande PowerShell suivante. Notez que vous devez
membre du groupe Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Remplacez USER par le nom de l'utilisateur que vous souhaitez déverrouiller. Exemple : myuser.
En savoir plus sur Unlock-ADAccount.
L'utilisateur est automatiquement déverrouillé après durée du verrouillage configurés dans la règle relative aux mots de passe.