Megosztás a következőn keresztül:


Jelszó- és fiókzárolási szabályzatok felügyelt Microsoft Entra Domain Services-tartományokon

A Microsoft Entra Domain Services felhasználói biztonságának kezeléséhez részletes jelszóházirendeket határozhat meg, amelyek szabályozzák a fiókzárolási beállításokat, illetve a jelszó minimális hosszát és összetettségét. A rendszer létrehoz és alkalmaz egy alapértelmezett, részletes jelszóházirendet a Domain Services által felügyelt tartomány összes felhasználója számára. A részletes ellenőrzés és az adott üzleti vagy megfelelőségi igények kielégítése érdekében további szabályzatok hozhatók létre és alkalmazhatók adott felhasználókra vagy csoportokra.

Ez a cikk bemutatja, hogyan hozhat létre és konfigurálhat részletes jelszóházirendet a Domain Servicesben az Active Directory Rendszergazda istrative Center használatával.

Megjegyzés:

A jelszószabályzatok csak a Resource Manager-alapú üzemi modellel létrehozott felügyelt tartományokhoz érhetők el.

Előkészületek

A cikk elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

  • Aktív Azure-előfizetés.
  • Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
  • A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
  • A felügyelt tartományhoz csatlakoztatott Windows Server felügyeleti virtuális gép.
  • Egy felhasználói fiók, amely a Microsoft Entra DC rendszergazdák csoportjának tagja a Microsoft Entra-bérlőben.

Alapértelmezett jelszóházirend-beállítások

A részletes jelszószabályzatok (FGPP-k) lehetővé teszik a jelszó- és fiókzárolási szabályzatok meghatározott korlátozásait a tartomány különböző felhasználóira. A kiemelt fiókok védelméhez például szigorúbb fiókzárolási beállításokat alkalmazhat, mint a hagyományos, nem emelt szintű fiókok. Egy felügyelt tartományon belül több FGPP-t is létrehozhat, és megadhatja a prioritás sorrendjét a felhasználókra való alkalmazásukhoz.

A jelszóházirendekről és az Active Directory Rendszergazda istration Center használatáról az alábbi cikkekben talál további információt:

A szabályzatok egy felügyelt tartományban lévő csoporttársításon keresztül vannak elosztva, és a módosítások a következő felhasználói bejelentkezéskor lesznek alkalmazva. A szabályzat módosítása nem oldja fel a már zárolt felhasználói fiók zárolását.

A jelszószabályzatok kissé eltérően viselkednek attól függően, hogy az alkalmazott felhasználói fiók hogyan lett létrehozva. A tartományi szolgáltatásokban kétféleképpen hozható létre felhasználói fiók:

  • A felhasználói fiók szinkronizálható a Microsoft Entra-azonosítóból. Ide tartoznak a közvetlenül az Azure-ban létrehozott felhőalapú felhasználói fiókok, valamint a helyszíni AD DS-környezetből szinkronizált hibrid felhasználói fiókok a Microsoft Entra Csatlakozás használatával.
    • A Tartományi szolgáltatásokban a felhasználói fiókok többsége a Microsoft Entra ID szinkronizálási folyamatán keresztül jön létre.
  • A felhasználói fiók manuálisan hozható létre egy felügyelt tartományban, és nem létezik a Microsoft Entra-azonosítóban.

A tartományi szolgáltatások alapértelmezett jelszóházirendje a következő fiókzárolási szabályzatokkal rendelkezik, függetlenül a létrehozásuk módjától:

  • Fiókzárolás időtartama: 30
  • A sikertelen bejelentkezési kísérletek száma: 5
  • Sikertelen bejelentkezési kísérletek száma a következő után: 2 perc
  • Jelszó maximális életkora (élettartama): 90 nap

Ezekkel az alapértelmezett beállításokkal a felhasználói fiókok 30 percre zárolva lesznek, ha öt érvénytelen jelszót használnak 2 percen belül. A fiókok 30 perc elteltével automatikusan feloldódnak.

A fiókzárolások csak a felügyelt tartományban fordulnak elő. A felhasználói fiókok csak a Tartományi szolgáltatásokban vannak zárolva, és csak a felügyelt tartományra irányuló sikertelen bejelentkezési kísérletek miatt. A Microsoft Entra-azonosítóból vagy a helyszínen szinkronizált felhasználói fiókok nem zárolva vannak a forráskönyvtáraikban, csak a Domain Servicesben.

Ha olyan Microsoft Entra jelszóházirenddel rendelkezik, amely 90 napnál hosszabb maximális jelszó-életkort határoz meg, a rendszer a tartományi szolgáltatások alapértelmezett szabályzatára alkalmazza a jelszó életkorát. Egyéni jelszóházirendet úgy konfigurálhat, hogy a Tartományi szolgáltatásokban eltérő maximális jelszó-életkort határozzon meg. Ügyeljen arra, hogy a tartományi szolgáltatások jelszóházirendjében rövidebb maximális jelszó-életkor legyen konfigurálva, mint a Microsoft Entra-azonosítóban vagy a helyszíni AD DS-környezetben. Ebben az esetben a felhasználó jelszava lejárhat a Domain Servicesben, mielőtt a rendszer a Microsoft Entra-azonosító vagy egy helyszíni AD DS-környezet módosítására kéri őket.

A felügyelt tartományban manuálisan létrehozott felhasználói fiókok esetében a következő további jelszóbeállításokat is alkalmazza a rendszer az alapértelmezett szabályzatból. Ezek a beállítások nem vonatkoznak a Microsoft Entra-azonosítóból szinkronizált felhasználói fiókokra, mivel a felhasználó nem tudja közvetlenül frissíteni a jelszavát a Domain Servicesben.

  • Jelszó minimális hossza (karakter): 7
  • A jelszavaknak meg kell felelniük az összetettségi követelményeknek

Az alapértelmezett jelszóházirendben nem módosíthatja a fiókzárolást vagy a jelszóbeállításokat. Ehelyett az AAD DC Rendszergazda istrators csoport tagjai egyéni jelszóházirendeket hozhatnak létre, és úgy konfigurálhatják, hogy felülbírálják (elsőbbséget élveznek) az alapértelmezett beépített szabályzattal szemben, ahogyan az a következő szakaszban látható.

Egyéni jelszóházirend létrehozása

Amikor alkalmazásokat hoz létre és futtat az Azure-ban, érdemes lehet egyéni jelszóházirendet konfigurálni. Létrehozhat például egy szabályzatot, amely különböző fiókzárolási házirend-beállításokat állít be.

A rendszer egyéni jelszószabályzatokat alkalmaz egy felügyelt tartomány csoportjaira. Ez a konfiguráció hatékonyan felülbírálja az alapértelmezett szabályzatot.

Egyéni jelszóházirend létrehozásához használja az Active Directory Rendszergazda istrative Toolst egy tartományhoz csatlakoztatott virtuális gépről. Az Active Directory Rendszergazda istrative Center lehetővé teszi az erőforrások megtekintését, szerkesztését és létrehozását egy felügyelt tartományban, beleértve a szervezeti egységeket is.

Megjegyzés:

Ha egyéni jelszóházirendet szeretne létrehozni egy felügyelt tartományban, be kell jelentkeznie egy olyan felhasználói fiókba, amely az AAD DC Rendszergazda istrators csoport tagja.

  1. A kezdőképernyőn válassza a Rendszergazda istrative Tools elemet. Megjelenik a felügyeleti virtuális gép létrehozásához az oktatóanyagban telepített elérhető felügyeleti eszközök listája.

  2. Szervezeti egységek létrehozásához és kezeléséhez válassza az Active Directory Rendszergazda istrative Centert a felügyeleti eszközök listájából.

  3. A bal oldali panelen válassza ki a felügyelt tartományt, például aaddscontoso.com.

  4. Nyissa meg a rendszertárolót, majd a jelszó Gépház tárolót.

    Megjelenik egy beépített jelszóházirend a felügyelt tartományhoz. Ezt a beépített szabályzatot nem módosíthatja. Ehelyett hozzon létre egy egyéni jelszóházirendet az alapértelmezett házirend felülbírálásához.

    Create a password policy in the Active Directory Administrative Center

  5. A jobb oldali Feladatok panelen válassza az Új > jelszó Gépház lehetőséget.

  6. A Jelszó létrehozása Gépház párbeszédpanelen adja meg a szabályzat nevét, például a MyCustomFGPP-t.

  7. Ha több jelszóházirend létezik, a rendszer a legmagasabb prioritású vagy prioritású szabályzatot alkalmazza a felhasználóra. Minél alacsonyabb a szám, annál magasabb a prioritás. Az alapértelmezett jelszóházirend prioritása 200.

    Állítsa be az egyéni jelszóházirend elsőbbséget az alapértelmezett( például 1) felülbírálásához.

  8. Igény szerint szerkessze az egyéb jelszóházirend-beállításokat. A fiókzárolási beállítások az összes felhasználóra vonatkoznak, de csak a felügyelt tartományon belül lépnek érvénybe, magát a Microsoft Entrát nem.

    Create a custom fine-grained password policy

  9. Törölje a jelölést a véletlen törlés elleni védelem jelölőnégyzetből. Ha ez a beállítás be van jelölve, az FGPP nem menthető.

  10. A Közvetlen alkalmazás szakaszban válassza a Hozzáadás gombot. A Felhasználók vagy csoportok kiválasztása párbeszédpanelen válassza a Helyek gombot.

    Select the users and groups to apply the password policy to

  11. A Helyek párbeszédpanelen bontsa ki a tartománynevet (például aaddscontoso.com), majd válasszon ki egy szervezeti egységet, például az AADDC-felhasználókat. Ha olyan egyéni szervezeti egysége van, amely a alkalmazni kívánt felhasználók egy csoportját tartalmazza, válassza ki ezt a szervezeti egységet.

    Select the OU that the group belongs to

  12. Írja be annak a felhasználónak vagy csoportnak a nevét, akire alkalmazni szeretné a szabályzatot. A fiók ellenőrzéséhez válassza a Nevek ellenőrzése lehetőséget.

    Search for and select the group to apply FGPP

  13. Kattintson az OK gombra az egyéni jelszóházirend mentéséhez.

További lépések

A jelszóházirendekről és az Active Directory Rendszergazda istration Center használatáról az alábbi cikkekben talál további információt: