Esta página mostra como usar políticas de senha detalhadas (FGPP, na sigla em inglês) no serviço gerenciado do Microsoft Active Directory.
Para configurar e gerenciar o FGPP no Managed Microsoft AD, use as ferramentas padrão do Active Directory. Para mais informações sobre como usar o Active Directory Ferramentas do diretório no Microsoft AD gerenciado, consulte Gerenciar o Active Directory objetos.
Delegar permissões para gerenciar políticas
Por padrão, a conta de administrador delegada pode gerenciar políticas no Microsoft AD gerenciado.
Para delegar a capacidade de gerenciar políticas, adicione usuários ao grupo Cloud
Service Fine Grained Password Policy Administrators. Para adicionar usuários a esse
grupo, execute o seguinte comando no PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Substitua USER_1,USER_2 pelo nome dos usuários ou grupos para os quais
você quer delegar permissões para gerenciar as políticas de senha. Por exemplo, myuser.
Saiba mais sobre Add-ADGroupMember.
Remover permissões para gerenciar políticas
Para não permitir o gerenciamento de políticas, remova o usuário do grupo Cloud
Service Fine Grained Password Policy Administrators. Para remover usuários desse
grupo, execute o seguinte comando no PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Substitua USER_1,USER_2 pelo nome dos usuários ou grupos para os quais
você quer remover as permissões fornecidas para gerenciar as políticas de senha. Por exemplo, myuser.
Saiba mais sobre Remove-ADGroupMember.
Modificar uma política de senha pré-criada
Você pode modificar a política de configuração de um FGPP. Você pode decidir quais configurações de política quer modificar e usar apenas as propriedades necessárias no comando abaixo.
Para modificar uma política de senha pré-criada, execute o seguinte comando em e PowerShell.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Substitua:
PSO: nome da PSO para a qual você quer modificar as configurações da política. Por exemplo,
PSO-10.THRESHOLD: especifica o número de tentativas de login com falha após que um usuário deve ser bloqueado.
DURATION_TIME: especifica o período em que um usuário precisa ser bloqueado após o número especificado de tentativas de login com falha.
OBSERVATION_TIME: especifica o período em que um usuário precisa atingir o limite de tentativas de login com falha para bloquear o usuário.
COMPLEXITY_BOOLEAN: especifica se a complexidade de senha precisa ser ativada para a política de senha.
ENCRYPTION_BOOLEAN: especifica se as senhas precisam ser armazenadas usando criptografia reversível.
LENGTH: especifica o número mínimo de caracteres que o que as senhas devem ter.
PASSWORD_AGE: especifica por quanto tempo um usuário pode ter usando a mesma senha. Um usuário precisa alterar a senha após esse período.
PASSWORD_COUNT: especifica o número de senhas anteriores a serem salvas. no histórico de senhas de um usuário. Um usuário não pode reutilizar uma senha salva no histórico de senhas.
Saiba mais sobre Set-ADFineGrainedPasswordPolicy.
Adicionar um usuário ou grupo a uma política de senha
Adicione um usuário ou grupo a uma política de senha para aplicar o FGPP.
Para aplicar uma política de senha a um usuário ou grupo, execute o seguinte comando no PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Substitua:
PSO: nome do objeto de configuração de senha (PSO, na sigla em inglês) ao qual você quer adicionar o usuário ou grupo. Por exemplo,
PSO-10.USER_1,USER_2: nome dos usuários ou grupos para os quais você quer aplicar o FGPP. Por exemplo,
myuser.
Saiba mais sobre Add-ADFineGrainedPasswordPolicySubject.
Verificar qual política de senha se aplica a um usuário
É possível aplicar várias políticas de senha a um usuário ou grupo. A política com a configuração de precedência mais baixa é a efetiva. Para informações sobre as configurações de precedência de PSOs, consulte Objetos de configurações de senha.
Para ver a política vigente em um usuário, execute o seguinte comando no PowerShell:
Get-ADUserResultantPasswordPolicy -Identity USER
Substitua USER pelo nome do usuário que você quer verificar.
as políticas de senha aplicadas. Por exemplo, myuser.
Saiba mais sobre Get-ADUserResultantPasswordPolicy.
Remover um usuário ou grupo de uma política de senha
Remova um usuário ou grupo de uma política de senha para interromper a aplicação da FGPP.
Para remover um usuário ou grupo de uma política de senha, execute o seguinte comando no PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Substitua:
PSO: nome da PSO da qual você quer remover o usuário ou grupo. Por exemplo,
PSO-10.USER_1,USER_2: nome dos usuários ou grupos para os quais você quer de aplicar o FGPP. Por exemplo,
myuser.
Saiba mais sobre Remove-ADFineGrainedPasswordPolicySubject.
Desbloquear um usuário
O Active Directory suspende ou bloqueia o acesso de um usuário quando o número de entradas de senha incorretas excedem o número máximo permitido pela política de senha.
Para desbloquear um usuário, execute o seguinte comando do PowerShell. Você deve ser um
participante do grupo Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Substitua USER pelo nome do usuário que você quer desbloquear. Por exemplo, myuser.
Saiba mais sobre Unlock-ADAccount.
O usuário é desbloqueado automaticamente após o duração do bloqueio na política de senha.