Questa pagina mostra come utilizzare i criteri per le password granulari (FGPP) in Managed Service for Microsoft Active Directory.
Per configurare e gestire FGPP in Microsoft Active Directory gestito, puoi utilizzare gli strumenti standard di Active Directory. Per informazioni su come utilizzare gli strumenti standard di Active Directory in Microsoft AD gestito, consulta Gestione degli oggetti di Active Directory.
Delega le autorizzazioni per gestire i criteri
Per impostazione predefinita, l'account amministratore delegato ha la possibilità di gestire i criteri in Microsoft Active Directory gestito.
Per delegare la possibilità di gestire i criteri, puoi aggiungere utenti al gruppo Cloud
Service Fine Grained Password Policy Administrators. Per aggiungere utenti a questo gruppo, esegui il comando seguente in PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Sostituisci USER_1,USER_2 con il nome degli utenti o dei gruppi a cui vuoi delegare le autorizzazioni per gestire i criteri relativi alle password. Ad esempio,
myuser.
Scopri di più su Add-ADGroupMember.
Rimuovi le autorizzazioni per gestire i criteri
Per rimuovere la possibilità di gestire i criteri, puoi rimuovere l'utente dal gruppo Cloud
Service Fine Grained Password Policy Administrators. Per rimuovere gli utenti da questo gruppo, esegui il comando seguente in PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Sostituisci USER_1,USER_2 con il nome degli utenti o dei gruppi per i quali vuoi rimuovere le autorizzazioni fornite per gestire i criteri relativi alle password. Ad esempio, myuser.
Scopri di più su Remove-ADGroupMember.
Modificare un criterio per le password creato in precedenza
Puoi modificare le impostazioni dei criteri di un FGPP. Puoi decidere quali impostazioni dei criteri modificare e utilizzare solo le proprietà obbligatorie nel seguente comando.
Per modificare un criterio per le password creato in precedenza, esegui questo comando in PowerShell.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Sostituisci quanto segue:
PSO: nome dell'PSO per cui vuoi modificare le impostazioni dei criteri. Ad esempio,
PSO-10.THRESHOLD: specifica il numero di tentativi di accesso non riusciti dopo i quali un utente deve essere bloccato.
DURATION_TIME: specifica il periodo di tempo per cui un utente deve essere bloccato dopo il numero specificato di tentativi di accesso non riusciti.
OBSERVATION_TIME: specifica il periodo di tempo durante il quale un utente deve raggiungere la soglia relativa ai tentativi di accesso non riusciti per ottenere il blocco dell'utente.
COMPLEXITY_BOOLEAN: specifica se è necessario attivare la complessità delle password per il criterio relativo alle password.
ENCRYPTION_BOOLEAN: specifica se le password devono essere archiviate utilizzando la crittografia reversibile.
LENGTH: specifica il numero minimo di caratteri che le password devono avere.
PASSWORD_AGE: specifica il periodo di tempo durante il quale un utente può avere la stessa password. L'utente deve cambiare la password una volta trascorso questo periodo di tempo.
PASSWORD_COUNT: specifica il numero di password precedenti da salvare nella cronologia delle password di un utente. Un utente non può riutilizzare una password salvata nella propria cronologia delle password.
Scopri di più su Set-ADFineGrainedPasswordPolicy.
Aggiungere un utente o un gruppo a un criterio per le password
Aggiungi un utente o un gruppo a un criterio per le password per applicare il FGPP.
Per applicare un criterio per le password a un utente o a un gruppo, esegui questo comando in PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Sostituisci quanto segue:
PSO: nome dell'oggetto impostazione password (PSO) a cui vuoi aggiungere l'utente o il gruppo. Ad esempio,
PSO-10.USER_1,USER_2: nome degli utenti o dei gruppi a cui vuoi applicare il protocollo FGPP. Ad esempio,
myuser.
Scopri di più su Add-ADFineGrainedPasswordPolicySubject.
Verificare quali criteri relativi alle password vengono applicati a un utente
Puoi applicare diversi criteri per le password a un utente o a un gruppo. Il criterio con l'impostazione di precedenza più bassa è il criterio effettivo. Per informazioni sulle impostazioni di precedenza dei PSO, consulta Oggetti impostazioni delle password.
Per visualizzare il criterio effettivo per un utente, esegui il comando seguente in PowerShell.
Get-ADUserResultantPasswordPolicy -Identity USER
Sostituisci USER con il nome dell'utente per cui vuoi controllare i criteri relativi alle password applicati. Ad esempio, myuser.
Scopri di più su Get-ADUserResultantPasswordPolicy.
Rimuovere un utente o un gruppo da un criterio per le password
Per interrompere l'applicazione del FGPP, rimuovi un utente o un gruppo da un criterio per le password.
Per rimuovere un utente o un gruppo da un criterio per le password, esegui questo comando in PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Sostituisci quanto segue:
PSO: nome dell'PSO da cui vuoi rimuovere l'utente o il gruppo. Ad esempio,
PSO-10.USER_1,USER_2: nome degli utenti o dei gruppi per i quali vuoi interrompere l'applicazione del FGPP. Ad esempio,
myuser.
Scopri di più su Remove-ADFineGrainedPasswordPolicySubject.
Sbloccare un utente
Active Directory sospende o blocca l'accesso di un utente quando il numero di voci errate di password supera il numero massimo consentito dai criteri relativi alle password.
Per sbloccare un utente, esegui il comando PowerShell. Tieni presente che devi essere un membro del gruppo Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Sostituisci USER con il nome dell'utente che vuoi sbloccare. Ad esempio, myuser.
Scopri di più su Unlock-ADAccount.
L'utente viene sbloccato automaticamente dopo la durata del blocco configurata nel criterio relativo alle password.