Criteri di blocco delle password e degli account nei domini gestiti di Microsoft Entra Domain Services

Per gestire la sicurezza degli utenti in Microsoft Entra Domain Services, è possibile definire criteri password granulari che controllano le impostazioni di blocco dell'account o la lunghezza minima delle password e la complessità. Vengono creati criteri password granulari predefiniti e vengono applicati a tutti gli utenti in un dominio gestito di Domain Services. Per fornire un controllo granulare e soddisfare specifiche esigenze aziendali o di conformità, è possibile creare e applicare criteri aggiuntivi a utenti o gruppi specifici.

Questo articolo illustra come creare e configurare criteri password granulari in Domain Services usando il Centro di amministrazione di Active Directory.

Nota

I criteri password sono disponibili solo per i domini gestiti creati usando il modello di distribuzione Resource Manager.

Operazioni preliminari

Per completare le procedure descritte in questo articolo, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non si ha una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale o con una directory solo cloud.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure al proprio account.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, completa l'esercitazione per creare e configurare un dominio gestito di Microsoft Entra Domain Services.
  • Il dominio gestito deve essere stato creato usando il modello di distribuzione Resource Manager.
• Una macchina virtuale con gestione Windows Server aggiunta al dominio gestito.
  • Se necessario, completare l'esercitazione per creare una macchina virtuale di gestione.
• Un account utente membro del gruppo di amministratori controller di dominio di Microsoft Entra nel tenant di Microsoft Entra.

Impostazioni criteri password predefiniti

I criteri password granulari consentono di applicare restrizioni specifiche per i criteri di blocco delle password e degli account a utenti diversi in un dominio. Ad esempio per proteggere gli account con privilegi, è possibile applicare impostazioni di blocco degli account più restrittive rispetto quanto previsto per i normali account senza privilegi. È possibile creare più criteri password granulari all'interno di un dominio gestito e specificare l'ordine di priorità da applicare agli utenti.

Per altre informazioni sui criteri password e sull'uso del Centro amministrativo di Active Directory, vedere gli articoli seguenti:

• Informazioni sui criteri granulari delle password
• Configurare i criteri granulari per le password usando il centro di amministrazione di AD

I criteri vengono distribuiti tramite l'associazione di gruppi in un dominio gestito e tutte le modifiche apportate vengono applicate all'accesso utente successivo. La modifica del criterio non sblocca un account utente già bloccato.

I criteri password si comportano in modo leggermente diverso a seconda della modalità di creazione dell'account utente a cui vengono applicati. È possibile creare un account utente in Domain Services in due modi:

• L'account utente può essere sincronizzato da Microsoft Entra ID. Sono compresi gli account utente solo cloud creati direttamente in Azure e gli account utente ibridi sincronizzati da un ambiente di Active Directory Domain Services locale usando Microsoft Entra Connect.
  • La maggior parte degli account utente in Domain Services viene creata tramite il processo di sincronizzazione da Microsoft Entra ID.
• L'account utente può essere creato manualmente in un dominio gestito e non esiste in Microsoft Entra ID.

A tutti gli utenti, indipendentemente dalla modalità di creazione, vengono applicati i seguenti criteri di blocco dell'account da parte dei criteri di password predefiniti in Domain Services:

• Durata del blocco account: 30
• Numero di tentativi di accesso non riusciti consentiti: 5
• Reimpostare il numero di tentativi di accesso non riusciti dopo: 2 minuti
• Validità massima password (durata): 90 giorni

Con queste impostazioni predefinite gli account degli utenti vengono bloccati per 30 minuti se vengono inserite 5 password non valide in 2 minuti. Gli account vengono sbloccati automaticamente dopo 30 minuti.

I blocchi dell'account si verificano solo all'interno del dominio gestito. Gli account utente vengono bloccati solo in Domain Services e solo a causa di tentativi di accesso non riusciti nel dominio gestito. Gli account utente sincronizzati da Microsoft Entra ID o in locale non vengono bloccati nelle directory di origine, solo in Domain Services.

Se si dispone di criteri password di Microsoft Entra che specificano una validità massima della password superiore a 90 giorni, tale validità della password viene applicata ai criteri predefiniti in Domain Services. È possibile configurare criteri password personalizzati per definire un'età massima della password diversa in Domain Services. Controllare se nei criteri password di Domain Services è stata configurata una validità massima della password più breve rispetto a quanto previsto in Microsoft Entra ID o in un ambiente di Active Directory Domain Services locale. In questo scenario la password di un utente può scadere in Domain Services prima che venga richiesto di modificarla in Microsoft Entra ID o in un ambiente Active Directory Domain Services locale.

Per gli account utente creati manualmente in un dominio gestito, vengono applicate anche le seguenti impostazioni aggiuntive della password in base ai criteri predefiniti. Queste impostazioni non si applicano agli account utente sincronizzati da Microsoft Entra ID, perché un utente non può aggiornare la password direttamente in Domain Services.

• Lunghezza minima password (caratteri): 7
• Le password devono soddisfare i requisiti di complessità

Non è possibile modificare le impostazioni di blocco dell'account o password nei criteri password predefiniti. I membri del gruppo di AAD DC Administrators possono invece creare criteri password personalizzati e configurarli per eseguire l'override (avere la precedenza) dei criteri predefiniti, come illustrato nella sezione successiva.

Creare criteri password personalizzati

Durante la compilazione e l'esecuzione di applicazioni in Azure, è possibile configurare criteri password personalizzati. Ad esempio è possibile creare un criterio per impostare delle impostazioni dei criteri di blocco dell'account diverse.

I criteri password personalizzati vengono applicati ai gruppi in un dominio gestito. Questa configurazione esegue in modo efficace l'override dei criteri predefiniti.

Per creare criteri password personalizzati, usare gli strumenti di amministrazione di Active Directory da una macchina virtuale aggiunta a un dominio. Il Centro di amministrazione di Active Directory consente di visualizzare, modificare e creare risorse in un dominio gestito, incluse le unità organizzative.

Nota

Per creare criteri password personalizzati in un dominio gestito, è necessario accedere a un account utente membro del gruppo AAD DC Administrators.

1. Dalla schermata Start selezionare Strumenti di amministrazione. Viene visualizzato un elenco degli strumenti di gestione disponibili installati nell'esercitazione per creare una macchina virtuale di gestione.

2. Per creare e gestire unità organizzative, selezionare Centro di amministrazione di Active Directory dall'elenco degli strumenti di amministrazione.

3. Dal riquadro sinistro scegliere il dominio gestito, ad esempio aaddscontoso.com.

4. Aprire il contenitore System, quindi il Contenitore Impostazioni password.

   Viene visualizzato un criterio password predefinito per il dominio gestito. Non è possibile modificare questi criteri predefiniti. Creare invece un criterio password personalizzato per eseguire l'override dei criteri predefiniti.

   

5. Nel pannello a destra Attività selezionare Nuovo > Impostazioni password.

6. Nella finestra di dialogo Crea impostazioni password immettere un nome per i criteri, ad esempio MyCustomFGPP.

7. Quando esistono più criteri password, i criteri con la precedenza più alta o la priorità vengono applicati a un utente. Più è basso il numero, maggiore sarà la priorità. I criteri password predefiniti hanno una priorità pari a 200.

   Impostare la precedenza per i criteri password personalizzati per eseguire l'override dei criteri predefiniti, ad esempio 1.

8. Modificare le altre impostazioni dei criteri password nel modo desiderato. Le impostazioni di blocco dell'account si applicano a tutti gli utenti, ma diventano effettive solo all'interno del dominio gestito e non in Microsoft Entra stesso.

   

9. Deselezionare Proteggi da eliminazioni accidentali. Se questa opzione è selezionata, non è possibile salvare i criteri password granulari.

10. Nella sezione Si applica direttamente a selezionare il pulsante Aggiungi. Nella finestra di dialogo Seleziona utenti o gruppi selezionare il pulsante Località.

    

11. Nella finestra di dialogo Percorsi espandere il nome di dominio, ad esempio aaddscontoso.com, quindi selezionare un'unità organizzativa, ad esempio AADDC Users. Se si dispone di un'unità organizzativa personalizzata che contiene un gruppo di utenti cui si intende applicare i criteri, selezionare tale unità organizzativa.

    

12. Digitare il nome dell'utente o del gruppo a cui applicare i criteri. Selezionare Controlla nomi per convalidare l'account.

    

13. Fare clic su OK per salvare i criteri password personalizzati.

Passaggi successivi

Per altre informazioni sui criteri password e sull'uso del Centro amministrativo di Active Directory, vedere gli articoli seguenti:

• Informazioni sui criteri granulari delle password
• Configurare i criteri granulari per le password usando il centro di amministrazione di AD