Condividi tramite

Risolvere i problemi di blocco dell'account con un dominio gestito di Microsoft Entra Domain Services

  • Articolo

Per evitare tentativi di accesso dannosi ripetuti, un dominio gestito di Microsoft Entra Domain Services blocca gli account dopo una soglia definita. Questo blocco dell'account può verificarsi anche per errore senza un incidente di attacco di accesso. Ad esempio, se un utente immette ripetutamente la password errata o un servizio tenta di usare una vecchia password, l'account viene bloccato.

Questo articolo sulla risoluzione dei problemi illustra il motivo per cui si verificano i blocchi degli account e come configurare il comportamento e come esaminare i controlli di sicurezza per risolvere i problemi relativi agli eventi di blocco.

Che cos'è un blocco dell'account?

Un account utente in un dominio gestito di Servizi di dominio viene bloccato quando viene raggiunta una soglia definita per i tentativi di accesso non riusciti. Questo comportamento di blocco dell'account è progettato per proteggere l'utente da tentativi di accesso di forza bruta ripetuti che possono indicare un attacco digitale automatizzato.

Per impostazione predefinita, se sono presenti 5 tentativi di password non valida entro 2 minuti, l'account verrà bloccato. Si sbloccherà automaticamente dopo 30 minuti.

Le soglie di blocco dell'account predefinite vengono configurate usando criteri password con granularità fine. Se si dispone di un set specifico di requisiti, è possibile ignorare queste soglie di blocco dell'account predefinite. Tuttavia, non è consigliabile aumentare i limiti di soglia per tentare di ridurre il numero di blocchi dell'account. Risolvere prima di tutto l'origine del comportamento di blocco dell'account.

Criteri per le password con granularità fine

I criteri delle password con granularità fine consentono di applicare restrizioni specifiche per i criteri di blocco delle password e degli account a utenti diversi in un dominio. FGPP interessa solo gli utenti all'interno di un dominio gestito. Gli utenti cloud e gli utenti di dominio sincronizzati nel dominio gestito da Microsoft Entra ID sono interessati solo dai criteri password all'interno del dominio gestito. Gli account in Microsoft Entra ID o in una directory locale non subiscono effetti.

I criteri vengono distribuiti tramite l'associazione di gruppi nel dominio gestito e le eventuali modifiche apportate vengono applicate al successivo accesso utente. La modifica del criterio non sblocca un account utente già bloccato.

Per ulteriori informazioni sui criteri di password con granularità fine e sulle differenze tra gli utenti creati direttamente nei Servizi di Dominio e quelli sincronizzati da Microsoft Entra ID, consultare Configurare i criteri di blocco delle password e degli account.

Motivi comuni di blocco degli account

I motivi più comuni per cui un account deve essere bloccato, senza finalità o fattori dannosi, includono gli scenari seguenti:

  • L'utente si è bloccato fuori.
    • Dopo una modifica recente della password, l'utente ha continuato a usare una password precedente? Il criterio di blocco dell'account predefinito di cinque tentativi non riusciti in 2 minuti può essere causato dall'utente che ritenta inavvertitamente una vecchia password.
  • Esiste un'applicazione o un servizio con una vecchia password.
    • Se un account viene usato da applicazioni o servizi, tali risorse possono tentare ripetutamente di accedere usando una vecchia password. Questo comportamento causa il blocco dell'account.
    • Provare a ridurre al minimo l'uso degli account in più applicazioni o servizi diversi e registrare dove vengono usate le credenziali. Se viene modificata una password dell'account, aggiornare di conseguenza le applicazioni o i servizi associati.
  • Password è stata modificata in un ambiente diverso e la nuova password non è ancora sincronizzata.
    • Se una password dell'account viene modificata all'esterno del dominio gestito, ad esempio in un ambiente Active Directory Domain Services locale, la modifica della password può richiedere alcuni minuti per la sincronizzazione tramite Microsoft Entra ID e nel dominio gestito.
    • Un utente che tenta di accedere a una risorsa nel dominio gestito prima del completamento del processo di sincronizzazione delle password causa il blocco dell'account.

Risolvere i problemi relativi ai blocchi degli account con i controlli di sicurezza

Per risolvere i problemi relativi agli eventi di blocco dell'account e alla loro provenienza, abilitare i controlli di sicurezza per Domain Services. Gli eventi di controllo vengono acquisiti solo dal momento in cui si abilita la funzionalità. Idealmente, è consigliabile abilitare i controlli di sicurezza prima di si è verificato un problema di blocco dell'account per risolvere i problemi. Se un account utente presenta ripetutamente problemi di blocco, è possibile abilitare i controlli di sicurezza pronti per il successivo verificarsi della situazione.

Dopo aver abilitato i controlli di sicurezza, le query di esempio seguenti illustrano come esaminare gli eventi di blocco dell'account , il codice 4740.

Visualizzare tutti gli eventi di blocco dell'account per gli ultimi sette giorni:

AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"

Visualizzare tutti gli eventi di blocco dell'account per gli ultimi sette giorni per l'account denominato driley.

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
| where "driley" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

Visualizzare tutti gli eventi di blocco dell'account tra il 26 giugno 2020 alle 9 e il 1° luglio 2020, ordinati in ordine crescente in base alla data e all'ora:

AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-26 09:00) and TimeGenerated <= datetime(2020-07-01)
| where OperationName has "4740"
| sort by TimeGenerated asc

Potresti trovare i dettagli degli eventi 4776 e 4740 con "Workstation di origine: " vuoto. Ciò è dovuto al fatto che la password non valida è avvenuta tramite l'accesso alla rete tramite altri dispositivi.

Ad esempio, un server RADIUS può inoltrare l'autenticazione a Servizi di dominio.

03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: Accesso alla rete transitiva di contoso\Takappan.Veerappan da (tramite LOB11-RADIUS) immesso

03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: Accesso transitorio alla rete di contoso\Nagappan.Veerappan da (tramite LOB11-RADIUS) Restituisce 0xC000006A

03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: Accesso alla rete transitiva di contoso\Nagappan.Veerappan da (tramite LOB11-RADIUS) Eseguito

03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: Accesso di rete transitorio di contoso\Nagappan.Veerappan da (tramite LOB11-RADIUS) Restituisce 0xC000006A

Abilita RDP nei controller di dominio nel gruppo di sicurezza di rete per il back-end allo scopo di configurare la cattura diagnostica (netlogon). Per altre informazioni sui requisiti, vedere regole di sicurezza in ingresso.

Se hai già modificato il NSG predefinito, segui Porta 3389 - gestione con Desktop remoto.

Per abilitare l'accesso Netlogon su qualsiasi server, seguire Abilitazione della registrazione di debug per il servizio Netlogon.

Passaggi successivi

Per altre informazioni sui criteri delle password con granularità fine per modificare le soglie di blocco dell'account, vedere Configurare i criteri di blocco delle password e degli account.

Se hai ancora problemi con la connessione della macchina virtuale al dominio gestito, richiedi assistenza e apri un ticket di supporto per Microsoft Entra ID.