Microsoft Entra Domain Services 관리형 도메인의 암호 및 계정 잠금 정책

아티클
10/19/2023

Microsoft Entra Domain Services에서 사용자 보안을 관리하려면 계정 잠금 설정 또는 최소 암호 길이 및 복잡성을 제어하는 세분화된 암호 정책을 정의할 수 있습니다. 기본 세분화된 암호 정책이 만들어지고 Domain Services 관리형 도메인의 모든 사용자에게 적용됩니다. 세부적인 제어를 제공하고 특정 비즈니스 또는 규정 준수 요구 사항을 충족하기 위해 추가 정책을 만들고 특정 사용자 또는 그룹에 적용할 수 있습니다.

이 문서에서는 Active Directory 관리 센터를 사용하여 Domain Services에서 세분화된 암호 정책을 만들고 구성하는 방법을 보여줍니다.

참고 항목

암호 정책은 Resource Manager 배포 모델을 사용하여 만든 관리되는 do기본에만 사용할 수 있습니다.

시작하기 전에

이 문서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.

활성화된 Azure 구독.
- Azure 구독이 없는 경우 계정을 만듭니다.
온-프레미스 디렉터리 또는 클라우드 전용 디렉터리와 동기화되어 구독과 연결된 Microsoft Entra 테넌트.
- 필요한 경우 Microsoft Entra 테넌트를 만들거나 Azure 구독을 계정에 연결합니다.
Microsoft Entra 테넌트에서 사용하도록 설정되고 구성된 Microsoft Entra Domain Services 관리되는 도메인입니다.
- 필요한 경우 자습서를 완료하여 Microsoft Entra Domain Services 관리되는 도메인을 만들고 구성합니다.
- 관리되는 도메인은 Resource Manager 배포 모델을 사용하여 만들어야 합니다.
관리되는 도메인에 조인된 Windows Server 관리 VM입니다.
- 필요한 경우 자습서를 완료하여 관리 VM을 만듭니다.
Microsoft Entra 테넌트의 Microsoft Entra DC 관리자 그룹의 멤버인 사용자 계정.

기본 암호 정책 설정

FGP(세분화된 암호 정책)를 사용하면 할 일기본 다른 사용자에게 암호 및 계정 잠금 정책에 대한 특정 제한을 적용할 수 있습니다. 예를 들어 권한 있는 계정을 보호하려면 일반 권한 없는 계정보다 더 엄격한 계정 잠금 설정을 적용할 수 있습니다. 관리되는 도메인 내에서 여러 FGPP를 만들고 사용자에게 적용할 우선 순위를 지정할 수 있습니다.

암호 정책 및 Active Directory 관리 센터 사용에 대한 자세한 내용은 다음 문서를 참조하세요.

정책은 관리되는 도메인의 그룹 연결을 통해 배포되며 변경 사항은 다음 사용자 로그인 시 적용됩니다. 정책을 변경해도 이미 잠긴 사용자 계정의 잠금이 해제되지는 않습니다.

암호 정책은 적용된 사용자 계정을 만든 방법에 따라 약간 다르게 동작합니다. Domain Services에서 사용자 계정을 만드는 방법에는 다음과 같이 두 가지가 있습니다.

사용자 계정은 Microsoft Entra ID에서 동기화할 수 있습니다. 여기에는 Azure에서 직접 만든 클라우드 전용 사용자 계정과 Microsoft Entra Connect를 사용하여 온-프레미스 AD DS 환경에서 동기화된 하이브리드 사용자 계정이 포함됩니다.
- Domain Services에 있는 대부분의 사용자 계정은 Microsoft Entra ID에서 동기화되는 프로세스를 통해 생성됩니다.
사용자 계정은 관리되는 도메인에서 수동으로 만들 수 있으며 Microsoft Entra ID에 존재하지 않습니다.

만든 방법에 관계없이 Domain Services의 기본 암호 정책에 따라 모든 사용자에게 다음과 같은 계정 잠금 정책이 적용됩니다.

계정 잠금 기간: 30
허용되는 실패한 로그온 시도 횟수: 5
다시 설정 실패 로그온 시도 횟수: 2분
최대 암호 사용 기간(수명): 90일

이러한 기본 설정을 사용하면 2분 내에 잘못된 암호 5개가 사용되는 경우 사용자 계정이 30분 동안 잠깁니다. 계정은 30분 후에 자동으로 잠금 해제됩니다.

계정 잠금은 관리되는 do기본 내에서만 발생합니다. 사용자 계정은 Domain Services에서만 잠기며 관리되는 도메인에 대한 로그인 시도 실패로 인해서만 잠깁니다. Microsoft Entra ID 또는 온-프레미스에서 동기화된 사용자 계정은 해당 원본 디렉터리에서 잠기지 않으며 Domain Services에만 해당됩니다.

최대 암호 사용 기간을 90일 보다 크게 지정하는 Microsoft Entra 암호 정책이 있는 경우 해당 암호 사용 기간은 Domain Services의 기본 정책에 적용됩니다. Domain Services에서 각기 다른 최대 암호 사용 기간을 정의하려면 사용자 지정 암호 정책을 구성할 수 있습니다. Microsoft Entra ID 또는 온-프레미스 AD DS 환경보다 Domain Services 암호 정책에 구성된 최대 암호 사용 기간이 더 짧은 경우 주의해야 합니다. 해당 시나리오의 경우 사용자 암호는 Microsoft Entra ID 또는 온-프레미스 AD DS 환경에서 변경하라는 메시지가 표시되기 전에 Domain Services에서 만료될 수 있습니다.

관리되는 do기본 수동으로 만든 사용자 계정의 경우 기본 정책에서도 다음과 같은 추가 암호 설정이 적용됩니다. 이러한 설정은 사용자가 Domain Services에서 해당 암호를 직업 업데이트할 수 없기 때문에 Microsoft Entra ID로부터 동기화된 사용자 계정에 적용되지 않습니다.

최소 암호 길이(문자): 7
암호는 복잡성 요구 사항을 충족해야 합니다.

기본 암호 정책에서는 계정 잠금 또는 암호 설정을 수정할 수 없습니다. 대신 AAD DC 관리istrators 그룹의 멤버는 다음 섹션에 표시된 대로 사용자 지정 암호 정책을 만들고 기본 기본 제공 정책을 재정의(우선)하도록 구성할 수 있습니다.

사용자 지정 암호 정책 만들기

Azure에서 애플리케이션을 빌드하고 실행할 때 사용자 지정 암호 정책을 구성할 수 있습니다. 예를 들어, 각기 다른 계정 잠금 정책 설정을 설정하는 정책을 만들 수 있습니다.

사용자 지정 암호 정책은 관리되는 do기본 그룹에 적용됩니다. 이 구성은 기본 정책을 효과적으로 재정의합니다.

사용자 지정 암호 정책을 만들려면 도메인 조인 VM에서 Active Directory 관리 도구를 사용합니다. Active Directory 관리istrative Center를 사용하면 OU를 포함하여 관리되는 작업기본 리소스를 보고 편집하고 만들 수 있습니다.