Directivas de bloqueo de cuentas y contraseñas en dominios administrados de Microsoft Entra Domain Services
Para administrar la seguridad del usuario en Microsoft Entra Domain Services, puede definir directivas de contraseña específicas que controlen la configuración de bloqueo de cuenta o la longitud mínima y la complejidad de la contraseña. Se crea y aplica una directiva de contraseñas específica predeterminada a todos los usuarios de un dominio administrado de Domain Services. Para proporcionar un control granular y satisfacer necesidades comerciales o de cumplimiento específicas, se pueden crear y aplicar políticas adicionales a usuarios o grupos específicos.
En este artículo se muestra cómo crear y configurar una directiva de contraseñas específica en Domain Services mediante el Centro de administración de Active Directory.
Nota:
Las directivas de contraseña solo están disponibles para los dominios administrados creados con el modelo de implementación de Resource Manager.
Antes de empezar
Para completar este artículo, necesitará los siguientes recursos y privilegios:
- Una suscripción de Azure activa.
- Si no tiene una suscripción a Azure, cree una cuenta.
- Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio en el entorno local o con un directorio solo en la nube.
- Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
- Un dominio administrado de Microsoft Entra Domain Services habilitado y configurado en el inquilino de Microsoft Entra.
- Si es necesario, complete el tutorial para crear y configurar un dominio administrado de Microsoft Entra Domain Services.
- El dominio administrado se debe haber creado con el modelo de implementación de Resource Manager.
- Una máquina virtual de administración de Windows Server que está unida al dominio administrado.
- Si es necesario, complete el tutorial para crear una máquina virtual de administración.
- Una cuenta de usuario que sea miembro del grupo de administradores de Microsoft Entra DC en el inquilino de Microsoft Entra.
Configuración de directiva de contraseña predeterminada
Las directivas de contraseñas específicas (FGPP) le permiten aplicar restricciones específicas de directivas de bloqueo de cuentas y contraseñas a diferentes usuarios de un dominio. Por ejemplo, para proteger las cuentas con privilegios, puede aplicar una configuración de bloqueo de cuenta más estricta que para las cuentas normales sin privilegios. Puede crear varias Fgpp asignadas dentro de un dominio administrado y especificar el orden de prioridad para aplicarlas a los usuarios.
Para más información acerca de las directivas de contraseñas y el uso del centro de administración de Active Directory, consulte los siguientes artículos:
- Más información sobre las directivas de contraseñas específicas
- Configuración de directivas de contraseñas específicas mediante el Centro de administración de AD
Las directivas se distribuyen a través de la asociación de grupo en un dominio administrado y los cambios que realice se aplican en el siguiente inicio de sesión de usuario. Al cambiar la directiva, no se desbloquea una cuenta de usuario que ya esté bloqueada.
Las directivas de contraseñas se comportan de un modo un poco diferente dependiendo de cómo se creó la cuenta de usuario a la que se aplican. Hay dos maneras de crear una cuenta de usuario en Domain Services:
- La cuenta de usuario se puede sincronizar desde Microsoft Entra ID. Esto incluye las cuentas de usuario solo en la nube creadas directamente en Azure y las cuentas de usuario híbridas sincronizadas desde un entorno de AD DS local mediante Microsoft Entra Connect.
- La mayoría de las cuentas de usuario de Domain Services se crean a través del proceso de sincronización a partir de Microsoft Entra ID.
- La cuenta de usuario se puede crear manualmente en un dominio administrado y no existe en Microsoft Entra ID.
Todos los usuarios, independientemente de cómo se crean, tienen aplicadas las siguientes directivas de bloqueo de cuenta por medio de la directiva de contraseñas predeterminada en Domain Services:
- Duración del bloqueo de cuenta: 30
- Número de intentos de inicio de sesión con error permitidos: 5
- Restablecer el número de intentos de inicio de sesión con error después de: 2 minutos
- Antigüedad máxima de contraseña (duración): 90 días
Con esta configuración predeterminada, las cuentas de usuario se bloquean durante 30 minutos si se usan cinco contraseñas no válidas en dos minutos. Las cuentas se desbloquean automáticamente pasados 30 minutos.
Los bloqueos de cuenta solo se producen en el dominio administrado. Las cuentas de usuario solo se bloquean en Domain Services, y solo debido a intentos de inicio de sesión con error contra el dominio administrado. Las cuentas de usuario que se sincronizaron desde Microsoft Entra ID o el entorno local no se bloquean en sus directorios de origen, solo en Domain Services.
Si tiene una directiva de contraseñas de Microsoft Entra que especifica una antigüedad de contraseña máxima mayor que 90 días, dicha antigüedad de contraseña se aplica a la directiva predeterminada en Domain Services. Puede configurar una directiva de contraseñas personalizada para definir una antigüedad de contraseña máxima diferente en Domain Services. Tenga cuidado si tiene una menor antigüedad de contraseña máxima configurada en una directiva de contraseñas de Domain Services que en Microsoft Entra ID o un entorno de AD DS local. En ese escenario, la contraseña de un usuario puede expirar en Domain Services antes de que se le pida que la cambie en Microsoft Entra ID o en un entorno de AD DS local.
Para las cuentas de usuario creadas manualmente en un dominio administrado, también se aplica la siguiente configuración de contraseña adicional de la directiva predeterminada. Estas opciones de configuración no se aplican a cuentas de usuario sincronizadas desde Microsoft Entra ID, ya que un usuario no puede actualizar su contraseña directamente en Domain Services.
- Longitud mínima de contraseña (caracteres): 7
- Las contraseñas deben satisfacer los requisitos de complejidad
No puede modificar la configuración de la contraseña ni de bloqueo de cuenta en la directiva de contraseñas predeterminada. En su lugar, los miembros del grupo Administradores de controladores de dominio de AAD pueden crear directivas de contraseñas personalizadas y configurarlas para invalidar (tener preferencia sobre) la directiva integrada predeterminada, como se indica en la siguiente sección.
Creación de una directiva de contraseñas personalizada
Cuando compile y ejecute aplicaciones en Azure, puede que desee configurar una directiva de contraseñas personalizada. Por ejemplo, podría crear una directiva para establecer otras opciones de configuración de bloqueo de cuenta.
Las directivas de contraseñas personalizadas se aplican a los grupos de un dominio administrado. Esta configuración invalida eficazmente la directiva predeterminada.
Para crear una directiva de contraseñas personalizada, use las herramientas administrativas de Active Directory desde una máquina virtual unida a un dominio. El Centro de administración de Active Directory le permite ver, editar y crear recursos en un dominio administrado, incluidas las unidades organizativas.
Nota:
Para crear una directiva de contraseñas personalizada en un dominio administrado, debe haber iniciado sesión en una cuenta de usuario que sea miembro del grupo Administradores AAD DC.
En la pantalla Inicio, seleccione Herramientas administrativas. Se muestra una lista de las herramientas de administración disponibles que se instalaron en el tutorial para crear una máquina virtual de administración.
Para crear y administrar unidades organizativas, seleccione Centro de administración de Active Directory de la lista de herramientas administrativas.
En el panel izquierdo, elija el dominio administrado, como aaddscontoso.com.
Abra el contenedor Sistema y el contenedor Configuración de contraseña.
Aparecerá una directiva de contraseñas integrada para el dominio administrado. No se puede modificar esta directiva integrada. En su lugar, cree una directiva de contraseñas personalizada para reemplazar la directiva predeterminada.
En el panel Tareas de la derecha, seleccione Nueva > Configuración de contraseña.
En el cuadro de diálogo Crear configuración de contraseña, escriba un nombre para la directiva como MyCustomFGPP.
Cuando existen varias directivas de contraseñas, la directiva con la precedencia o prioridad más alta se aplica a un usuario. Cuanto menor sea el número, mayor será la prioridad. La directiva de contraseñas predeterminada tiene una prioridad de 200.
Establezca la precedencia para que su directiva de contraseñas personalizada reemplace la predeterminada, como 1.
Edite otras opciones de configuración de directiva de contraseña como desee. La configuración de bloqueo de cuenta se aplica a todos los usuarios, pero solo surte efecto en el dominio administrado y no en el mismo Microsoft Entra.
Desactive Proteger contra eliminación accidental. Si esta opción está seleccionada, la directiva FGPP no se podrá guardar.
En la sección Se aplica directamente a, seleccione el botón Agregar. En el cuadro de diálogo Seleccionar usuarios o grupos, seleccione el botón Ubicaciones.
En el cuadro de diálogo Ubicaciones, expanda el nombre de dominio, por ejemplo, aaddscontoso.com y, a continuación, seleccione una unidad organizativa como Usuarios del controlador de dominio de AAD. Si tiene una unidad organizativa personalizada que contiene un grupo de usuarios al que desea aplicar la directiva, seleccione esa unidad organizativa.
Escribe el nombre del usuario o grupo al que deseas aplicar la directiva. Para validar la cuenta, selecciona Comprobar nombres.
Haz clic en Aceptar para guardar la política de contraseña personalizada.
Pasos siguientes
Para más información acerca de las directivas de contraseñas y el uso del centro de administración de Active Directory, consulte los siguientes artículos: