Esta página mostra como usar as políticas de senhas detalhadas (FGPP, na sigla em inglês) no Serviço Gerenciado para Microsoft Active Directory.
Para configurar e gerenciar o FGPP no Managed Microsoft AD, use as ferramentas padrão do Active Directory. Para saber como usar as ferramentas padrão do Active Directory no Microsoft AD gerenciado, consulte Gerenciar objetos do Active Directory.
Delegar permissões para gerenciar políticas
Por padrão, a conta de administrador delegada pode gerenciar políticas no Microsoft AD gerenciado.
Para delegar a capacidade de gerenciar políticas, adicione usuários ao grupo Cloud
Service Fine Grained Password Policy Administrators. Para adicionar usuários a esse
grupo, execute o seguinte comando no PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Substitua USER_1,USER_2 pelo nome dos usuários ou grupos para os quais
você quer delegar permissões para gerenciar as políticas de senha. Por exemplo, myuser.
Saiba mais sobre Add-ADGroupMember.
Remover permissões para gerenciar políticas
Para remover a capacidade de gerenciar políticas, remova o usuário do grupo Cloud
Service Fine Grained Password Policy Administrators. Para remover usuários desse
grupo, execute o seguinte comando no PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Substitua USER_1,USER_2 pelo nome dos usuários ou grupos para os quais
você quer remover as permissões fornecidas para gerenciar as políticas de senha. Por exemplo, myuser.
Saiba mais sobre Remove-ADGroupMember.
Modificar uma política de senha pré-criada
É possível modificar as configurações de políticas de uma FGPP. Você pode decidir quais configurações de política quer modificar e usar apenas as propriedades necessárias no comando abaixo.
Para modificar uma política de senha pré-criada, execute o seguinte comando no PowerShell.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Substitua:
PSO: nome da PSO para a qual você quer modificar as configurações da política. Por exemplo,
PSO-10.THRESHOLD: especifica o número de tentativas de login malsucedidas após as quais um usuário precisa ser bloqueado.
DURATION_TIME: especifica o período em que um usuário precisa ser bloqueado após o número especificado de tentativas de login malsucedidas.
OBSERVATION_TIME: especifica o período em que um usuário precisa atingir o limite de tentativas de login malsucedidas para ser bloqueado.
COMPLEXITY_BOOLEAN: especifica se a complexidade de senha precisa ser ativada para a política de senha.
ENCRYPTION_BOOLEAN: especifica se as senhas precisam ser armazenadas usando criptografia reversível.
LENGTH: especifica o número mínimo de caracteres que as senhas precisam ter.
PASSWORD_AGE: especifica o período de tempo em que um usuário pode ter a mesma senha. O usuário precisa mudar a senha após esse período.
PASSWORD_COUNT: especifica o número de senhas anteriores a serem salvas no histórico de senhas de um usuário. Um usuário não pode reutilizar uma senha salva no histórico de senhas.
Saiba mais sobre Set-ADFineGrainedPasswordPolicy.
Adicionar um usuário ou grupo a uma política de senha
Adicione um usuário ou grupo a uma política de senha para aplicar a FGPP.
Para aplicar uma política de senha a um usuário ou grupo, execute o seguinte comando no PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Substitua:
PSO: nome do objeto de configuração de senha (PSO, na sigla em inglês) ao qual você quer adicionar o usuário ou grupo. Por exemplo,
PSO-10.USER_1,USER_2: nome dos usuários ou grupos para os quais você quer aplicar o FGPP. Por exemplo,
myuser.
Saiba mais sobre Add-ADFineGrainedPasswordPolicySubject.
Verificar qual política de senha se aplica a um usuário
É possível aplicar várias políticas de senha a um usuário ou grupo. A política com a configuração de precedência mais baixa é a efetiva. Para informações sobre as configurações de precedência de PSOs, consulte Objetos de configurações de senha.
Para ver a política vigente em um usuário, execute o seguinte comando no PowerShell:
Get-ADUserResultantPasswordPolicy -Identity USER
Substitua USER pelo nome do usuário para o qual você quer verificar
as políticas de senha aplicadas. Por exemplo, myuser.
Saiba mais sobre Get-ADUserResultantPasswordPolicy.
Remover um usuário ou grupo de uma política de senha
Remova um usuário ou grupo de uma política de senha para interromper a aplicação da FGPP.
Para remover um usuário ou grupo de uma política de senha, execute o seguinte comando no PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Substitua:
PSO: nome da PSO da qual você quer remover o usuário ou grupo. Por exemplo,
PSO-10.USER_1,USER_2: nome dos usuários ou grupos para os quais você quer parar de aplicar o FGPP. Por exemplo,
myuser.
Saiba mais sobre Remove-ADFineGrainedPasswordPolicySubject.
Desbloquear um usuário
O Active Directory suspende ou bloqueia o acesso de um usuário quando o número de entradas de senha incorretas excede o número máximo permitido pela política de senhas.
Para desbloquear um usuário, execute o seguinte comando do PowerShell. É necessário ser um
membro do grupo Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Substitua USER pelo nome do usuário que você quer desbloquear. Por exemplo, myuser.
Saiba mais sobre Unlock-ADAccount.
O usuário é desbloqueado automaticamente após a duração do bloqueio configurada na política de senha.