Zásady uzamčení hesla a účtu ve spravovaných doménách služby Microsoft Entra Domain Services
Pokud chcete spravovat zabezpečení uživatelů ve službě Microsoft Entra Domain Services, můžete definovat jemně odstupňované zásady hesel, které řídí nastavení uzamčení účtu nebo minimální délku a složitost hesla. Vytvoří se výchozí jemně odstupňované zásady hesel a použijí se pro všechny uživatele ve spravované doméně Domain Services. Pokud chcete poskytovat podrobné řízení a splňovat konkrétní potřeby obchodních nebo dodržování předpisů, můžete vytvořit a použít další zásady pro konkrétní uživatele nebo skupiny.
V tomto článku se dozvíte, jak vytvořit a nakonfigurovat podrobné zásady hesel ve službě Domain Services pomocí služby Active Directory Správa istrative Center.
Poznámka:
Zásady hesel jsou dostupné jenom pro spravované domény vytvořené pomocí modelu nasazení Resource Manager.
Než začnete
K dokončení tohoto článku potřebujete následující prostředky a oprávnění:
- Aktivní předplatné Azure.
- Pokud nemáte předplatné Azure, vytvořte účet.
- Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
- V případě potřeby vytvořte tenanta Microsoft Entra nebo přidružte předplatné Azure k vašemu účtu.
- Spravovaná doména služby Microsoft Entra Domain Services je povolená a nakonfigurovaná ve vašem tenantovi Microsoft Entra.
- V případě potřeby dokončete kurz a vytvořte a nakonfigurujte spravovanou doménu služby Microsoft Entra Domain Services.
- Spravovaná doména musí být vytvořená pomocí modelu nasazení Resource Manager.
- Virtuální počítač pro správu Windows Serveru, který je připojený ke spravované doméně.
- V případě potřeby dokončete kurz a vytvořte virtuální počítač pro správu.
- Uživatelský účet, který je členem skupiny správců Microsoft Entra DC ve vašem tenantovi Microsoft Entra.
Výchozí nastavení zásad hesel
Jemně odstupňované zásady hesel (FGPPs) umožňují použít konkrétní omezení pro zásady uzamčení hesla a účtu pro různé uživatele v doméně. Například pro zabezpečení privilegovaných účtů můžete použít přísnější nastavení uzamčení účtu než běžné neprivilegované účty. V rámci spravované domény můžete vytvořit více protokolů FGPP a určit pořadí priority, které se mají použít pro uživatele.
Další informace o zásadách hesel a používání centra Správa istrace služby Active Directory najdete v následujících článcích:
- Další informace o jemně odstupňovaných zásadách hesel
- Konfigurace jemně odstupňovaných zásad hesel pomocí centra ad Správa istrace
Zásady se distribuují prostřednictvím přidružení skupiny ve spravované doméně a všechny provedené změny se použijí při příštím přihlášení uživatele. Změna zásady neodemkne uživatelský účet, který je už uzamčený.
Zásady hesel se chovají trochu jinak v závislosti na způsobu vytvoření uživatelského účtu, na který se vztahují. Ve službě Domain Services je možné vytvořit uživatelský účet dvěma způsoby:
- Uživatelský účet je možné synchronizovat z ID Microsoft Entra. To zahrnuje jenom cloudové uživatelské účty vytvořené přímo v Azure a hybridní uživatelské účty synchronizované z místního prostředí AD DS pomocí microsoft Entra Připojení.
- Většinauživatelských
- Uživatelský účet je možné ručně vytvořit ve spravované doméně a v Microsoft Entra ID neexistuje.
Všichni uživatelé bez ohledu na to, jak se vytvářejí, mají ve službě Domain Services použité následující zásady uzamčení účtu:
- Doba uzamčení účtu: 30
- Počet povolených neúspěšných pokusů o přihlášení: 5
- Počet neúspěšných pokusů o přihlášení k resetování po: 2 minutách
- Maximální stáří hesla (životnost): 90 dnů
U těchto výchozích nastavení se uživatelské účty zamknou po dobu 30 minut, pokud se během 2 minut použije pět neplatných hesel. Účty se po 30 minutách automaticky odemknou.
K uzamčení účtu dochází pouze ve spravované doméně. Uživatelské účty jsou ve službě Domain Services uzamčené a pouze kvůli neúspěšným pokusům o přihlášení ke spravované doméně. Uživatelské účty, které byly synchronizovány z ID Microsoft Entra nebo z místního prostředí, nejsou v jejich zdrojových adresářích uzamčeny, pouze ve službě Domain Services.
Pokud máte zásady hesel Microsoft Entra, které určují maximální stáří hesla vyšší než 90 dnů, použije se tento věk hesla na výchozí zásady ve službě Domain Services. Vlastní zásady hesel můžete nakonfigurovat tak, aby ve službě Domain Services definovaly jiný maximální věk hesla. Dbejte na to, pokud máte v zásadách hesel služby Domain Services nakonfigurované kratší stáří hesla než v případě ID Microsoft Entra nebo místního prostředí SLUŽBY AD DS. V tomto scénáři může platnost hesla uživatele vypršet ve službě Domain Services, než se zobrazí výzva ke změně v Microsoft Entra ID nebo místním prostředí služby AD DS.
U uživatelských účtů vytvořených ručně ve spravované doméně se z výchozích zásad použijí také následující další nastavení hesla. Tato nastavení se nevztahují na uživatelské účty synchronizované s ID Microsoft Entra, protože uživatel nemůže aktualizovat heslo přímo ve službě Domain Services.
- Minimální délka hesla (znaky): 7
- Hesla musí splňovat požadavky na složitost.
Ve výchozích zásadách hesel nemůžete změnit nastavení uzamčení účtu ani hesla. Místo toho můžou členové skupiny AAD DC Správa istrators vytvářet vlastní zásady hesel a konfigurovat je tak, aby přepsaly (mají přednost před) výchozí předdefinované zásady, jak je znázorněno v další části.
Vytvoření vlastních zásad hesel
Při vytváření a spouštění aplikací v Azure můžete chtít nakonfigurovat vlastní zásady hesel. Můžete například vytvořit zásadu pro nastavení různých nastavení zásad uzamčení účtu.
Vlastní zásady hesel se použijí pro skupiny ve spravované doméně. Tato konfigurace efektivně přepíše výchozí zásady.
Pokud chcete vytvořit vlastní zásady hesel, použijte službu Active Directory Správa istrativní nástroje z virtuálního počítače připojeného k doméně. Centrum Správa istrativní centrum služby Active Directory umožňuje zobrazovat, upravovat a vytvářet prostředky ve spravované doméně, včetně organizačních jednotek.
Poznámka:
Pokud chcete vytvořit vlastní zásady hesel ve spravované doméně, musíte být přihlášení k uživatelskému účtu, který je členem skupiny AAD DC Správa istrators.
Na obrazovce Start vyberte Správa istrativní nástroje. Zobrazí se seznam dostupných nástrojů pro správu, které byly nainstalovány v kurzu pro vytvoření virtuálního počítače pro správu.
Pokud chcete vytvořit a spravovat organizační jednotky, v seznamu nástrojů pro správu vyberte Active Directory Správa istrativní centrum.
V levém podokně zvolte spravovanou doménu, například aaddscontoso.com.
Otevřete kontejner System a pak zadejte heslo Nastavení kontejneru.
Zobrazí se předdefinované zásady hesel pro spravovanou doménu. Tuto předdefinované zásady nemůžete upravit. Místo toho vytvořte vlastní zásadu hesel, která přepíše výchozí zásadu.
Na panelu Úkoly vpravo vyberte Nové > heslo Nastavení.
V dialogovém okně Vytvořit heslo Nastavení zadejte název zásady, například MyCustomFGPP.
Pokud existuje více zásad hesel, zásada s nejvyšší prioritou nebo prioritou se použije pro uživatele. Čím nižší je číslo, tím vyšší je priorita. Výchozí zásady hesel mají prioritu 200.
Nastavte prioritu pro vlastní zásady hesel, aby se přepsaly výchozí hodnoty, například 1.
Podle potřeby upravte další nastavení zásad hesel. Nastavení uzamčení účtu platí pro všechny uživatele, ale projeví se pouze ve spravované doméně, nikoli v samotné aplikaci Microsoft Entra.
Zrušte zaškrtnutí políčka Chránit před náhodným odstraněním. Pokud je tato možnost vybraná, nemůžete FGPP uložit.
V části Přímo platí pro vyberte tlačítko Přidat. V dialogovém okně Vybrat uživatele nebo skupiny vyberte tlačítko Umístění .
V dialogovém okně Umístění rozbalte název domény, například aaddscontoso.com, a pak vyberte organizační jednotky, například uživatele AADDC. Pokud máte vlastní organizační jednotky obsahující skupinu uživatelů, které chcete použít, vyberte tuto organizační jednotky.
Zadejte jméno uživatele nebo skupiny, na které chcete zásadu použít. Vyberte Zkontrolovat jména a ověřte účet.
Kliknutím na TLAČÍTKO OK uložíte vlastní zásady hesel.
Další kroky
Další informace o zásadách hesel a používání centra Správa istrace služby Active Directory najdete v následujících článcích: