Configurar políticas de senha detalhadas

Esta página mostra como usar políticas de senha detalhadas (FGPP, na sigla em inglês) no serviço gerenciado do Microsoft Active Directory.

Para configurar e gerenciar o FGPP no Managed Microsoft AD, use as ferramentas padrão do Active Directory. Para mais informações sobre como usar o Active Directory Ferramentas do diretório no Microsoft AD gerenciado, consulte Gerenciar o Active Directory objetos.

Delegar permissões para gerenciar políticas

Por padrão, a conta de administrador delegada pode gerenciar políticas no Microsoft AD gerenciado.

Para delegar a capacidade de gerenciar políticas, adicione usuários ao grupo Cloud Service Fine Grained Password Policy Administrators. Para adicionar usuários a esse grupo, execute o seguinte comando no PowerShell.

Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

Substitua USER_1,USER_2 pelo nome dos usuários ou grupos para os quais você quer delegar permissões para gerenciar as políticas de senha. Por exemplo, myuser.

Saiba mais sobre Add-ADGroupMember.

Remover permissões para gerenciar políticas

Para não permitir o gerenciamento de políticas, remova o usuário do grupo Cloud Service Fine Grained Password Policy Administrators. Para remover usuários desse grupo, execute o seguinte comando no PowerShell.

Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

Substitua USER_1,USER_2 pelo nome dos usuários ou grupos para os quais você quer remover as permissões fornecidas para gerenciar as políticas de senha. Por exemplo, myuser.

Saiba mais sobre Remove-ADGroupMember.

Modificar uma política de senha pré-criada

Você pode modificar a política de configuração de um FGPP. Você pode decidir quais configurações de política quer modificar e usar apenas as propriedades necessárias no comando abaixo.

Para modificar uma política de senha pré-criada, execute o seguinte comando em e PowerShell.

Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \
   -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \
   -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \
   -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT

Substitua:

  • PSO: nome da PSO para a qual você quer modificar as configurações da política. Por exemplo, PSO-10.

  • THRESHOLD: especifica o número de tentativas de login com falha após que um usuário deve ser bloqueado.

  • DURATION_TIME: especifica o período em que um usuário precisa ser bloqueado após o número especificado de tentativas de login com falha.

  • OBSERVATION_TIME: especifica o período em que um usuário precisa atingir o limite de tentativas de login com falha para bloquear o usuário.

  • COMPLEXITY_BOOLEAN: especifica se a complexidade de senha precisa ser ativada para a política de senha.

  • ENCRYPTION_BOOLEAN: especifica se as senhas precisam ser armazenadas usando criptografia reversível.

  • LENGTH: especifica o número mínimo de caracteres que o que as senhas devem ter.

  • PASSWORD_AGE: especifica por quanto tempo um usuário pode ter usando a mesma senha. Um usuário precisa alterar a senha após esse período.

  • PASSWORD_COUNT: especifica o número de senhas anteriores a serem salvas. no histórico de senhas de um usuário. Um usuário não pode reutilizar uma senha salva no histórico de senhas.

Saiba mais sobre Set-ADFineGrainedPasswordPolicy.

Adicionar um usuário ou grupo a uma política de senha

Adicione um usuário ou grupo a uma política de senha para aplicar o FGPP.

Para aplicar uma política de senha a um usuário ou grupo, execute o seguinte comando no PowerShell.

Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

Substitua:

  • PSO: nome do objeto de configuração de senha (PSO, na sigla em inglês) ao qual você quer adicionar o usuário ou grupo. Por exemplo, PSO-10.

  • USER_1,USER_2: nome dos usuários ou grupos para os quais você quer aplicar o FGPP. Por exemplo, myuser.

Saiba mais sobre Add-ADFineGrainedPasswordPolicySubject.

Verificar qual política de senha se aplica a um usuário

É possível aplicar várias políticas de senha a um usuário ou grupo. A política com a configuração de precedência mais baixa é a efetiva. Para informações sobre as configurações de precedência de PSOs, consulte Objetos de configurações de senha.

Para ver a política vigente em um usuário, execute o seguinte comando no PowerShell:

Get-ADUserResultantPasswordPolicy -Identity USER

Substitua USER pelo nome do usuário que você quer verificar. as políticas de senha aplicadas. Por exemplo, myuser.

Saiba mais sobre Get-ADUserResultantPasswordPolicy.

Remover um usuário ou grupo de uma política de senha

Remova um usuário ou grupo de uma política de senha para interromper a aplicação da FGPP.

Para remover um usuário ou grupo de uma política de senha, execute o seguinte comando no PowerShell.

Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

Substitua:

  • PSO: nome da PSO da qual você quer remover o usuário ou grupo. Por exemplo, PSO-10.

  • USER_1,USER_2: nome dos usuários ou grupos para os quais você quer de aplicar o FGPP. Por exemplo, myuser.

Saiba mais sobre Remove-ADFineGrainedPasswordPolicySubject.

Desbloquear um usuário

O Active Directory suspende ou bloqueia o acesso de um usuário quando o número de entradas de senha incorretas excedem o número máximo permitido pela política de senha.

Para desbloquear um usuário, execute o seguinte comando do PowerShell. Você deve ser um participante do grupo Cloud Service All Administrators.

Unlock-ADAccount -Identity USER

Substitua USER pelo nome do usuário que você quer desbloquear. Por exemplo, myuser.

Saiba mais sobre Unlock-ADAccount.

O usuário é desbloqueado automaticamente após o duração do bloqueio na política de senha.