Políticas de bloqueio de senha e conta nos domínios gerenciados dos Serviços de Domínio Microsoft Entra
Para gerenciar a segurança do usuário nos Serviços de Domínio Microsoft Entra, você pode definir políticas de senha refinadas que controlam as configurações de bloqueio de conta ou o comprimento e a complexidade mínimos da senha. Uma política de senha refinada padrão é criada e aplicada a todos os usuários em um domínio gerenciado pelos Serviços de Domínio. Para fornecer controle granular e atender a necessidades específicas de negócios ou conformidade, políticas adicionais podem ser criadas e aplicadas a usuários ou grupos específicos.
Este artigo mostra como criar e configurar uma política de senha refinada nos Serviços de Domínio usando o Centro Administrativo do Ative Directory.
Nota
As políticas de senha só estão disponíveis para domínios gerenciados criados usando o modelo de implantação do Resource Manager.
Antes de começar
Para concluir este artigo, você precisa dos seguintes recursos e privilégios:
- Uma subscrição ativa do Azure.
- Se você não tiver uma assinatura do Azure, crie uma conta.
- Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
- Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
- Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.
- Se necessário, conclua o tutorial para criar e configurar um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
- O domínio gerenciado deve ter sido criado usando o modelo de implantação do Resource Manager.
- Uma VM de gerenciamento do Windows Server que ingressou no domínio gerenciado.
- Se necessário, conclua o tutorial para criar uma VM de gerenciamento.
- Uma conta de usuário que seja membro do grupo de administradores do Microsoft Entra DC em seu locatário do Microsoft Entra.
Configurações de política de senha padrão
As políticas de senha refinadas (FGPPs) permitem aplicar restrições específicas para políticas de bloqueio de senha e conta a diferentes usuários em um domínio. Por exemplo, para proteger contas privilegiadas, você pode aplicar configurações de bloqueio de conta mais rígidas do que contas não privilegiadas comuns. Você pode criar vários FGPPs dentro de um domínio gerenciado e especificar a ordem de prioridade para aplicá-los aos usuários.
Para obter mais informações sobre diretivas de senha e como usar o Centro de Administração do Ative Directory, consulte os seguintes artigos:
- Saiba mais sobre políticas de senha refinadas
- Configurar políticas de senha refinadas usando o Centro de Administração do AD
As políticas são distribuídas por meio da associação de grupo em um domínio gerenciado e todas as alterações feitas são aplicadas na próxima entrada do usuário. Alterar a política não desbloqueia uma conta de usuário que já está bloqueada.
As políticas de senha se comportam de forma um pouco diferente, dependendo de como a conta de usuário à qual elas são aplicadas foi criada. Há duas maneiras de criar uma conta de usuário nos Serviços de Domínio:
- A conta de usuário pode ser sincronizada a partir do Microsoft Entra ID. Isso inclui contas de usuário somente na nuvem criadas diretamente no Azure e contas de usuário híbridas sincronizadas a partir de um ambiente AD DS local usando o Microsoft Entra Connect.
- A maioria das contas de utilizador nos Serviços de Domínio é criada através do processo de sincronização a partir do Microsoft Entra ID.
- A conta de usuário pode ser criada manualmente em um domínio gerenciado e não existe no Microsoft Entra ID.
Todos os usuários, independentemente de como são criados, têm as seguintes políticas de bloqueio de conta aplicadas pela política de senha padrão nos Serviços de Domínio:
- Duração do bloqueio da conta: 30
- Número de tentativas de logon com falha permitidas: 5
- Redefinir a contagem de tentativas de logon com falha após: 2 minutos
- Idade máxima da palavra-passe (vitalícia): 90 dias
Com essas configurações padrão, as contas de usuário são bloqueadas por 30 minutos se cinco senhas inválidas forem usadas em 2 minutos. As contas são desbloqueadas automaticamente após 30 minutos.
Os bloqueios de conta só ocorrem dentro do domínio gerenciado. As contas de utilizador só são bloqueadas nos Serviços de Domínio e apenas devido a tentativas de início de sessão falhadas no domínio gerido. As contas de usuário que foram sincronizadas a partir da ID do Microsoft Entra ou no local não são bloqueadas em seus diretórios de origem, apenas nos Serviços de Domínio.
Se você tiver uma política de senha do Microsoft Entra que especifique uma idade máxima da senha superior a 90 dias, essa idade da senha será aplicada à política padrão nos Serviços de Domínio. Você pode configurar uma política de senha personalizada para definir uma idade máxima de senha diferente nos Serviços de Domínio. Tenha cuidado se tiver uma idade máxima de palavra-passe mais curta configurada numa política de palavra-passe dos Serviços de Domínio do que no ID do Microsoft Entra ou num ambiente AD DS local. Nesse cenário, a senha de um usuário pode expirar nos Serviços de Domínio antes que eles sejam solicitados a alterar na ID do Microsoft Entra ou em um ambiente AD DS local.
Para contas de usuário criadas manualmente em um domínio gerenciado, as seguintes configurações de senha adicionais também são aplicadas a partir da política padrão. Essas configurações não se aplicam a contas de usuário sincronizadas a partir do ID do Microsoft Entra, pois um usuário não pode atualizar sua senha diretamente nos Serviços de Domínio.
- Comprimento mínimo da palavra-passe (caracteres): 7
- As senhas devem atender aos requisitos de complexidade
Não é possível modificar as configurações de bloqueio de conta ou senha na política de senha padrão. Em vez disso, os membros do grupo Administradores de DC do AAD podem criar políticas de senha personalizadas e configurá-las para substituir (ter precedência sobre) a política interna padrão, conforme mostrado na próxima seção.
Criar uma política de senha personalizada
À medida que cria e executa aplicações no Azure, poderá querer configurar uma política de palavra-passe personalizada. Por exemplo, você pode criar uma política para definir diferentes configurações de política de bloqueio de conta.
As políticas de senha personalizadas são aplicadas a grupos em um domínio gerenciado. Essa configuração substitui efetivamente a política padrão.
Para criar uma política de senha personalizada, use as Ferramentas Administrativas do Ative Directory de uma VM associada a um domínio. A Central Administrativa do Ative Directory permite exibir, editar e criar recursos em um domínio gerenciado, incluindo UOs.
Nota
Para criar uma política de senha personalizada em um domínio gerenciado, você deve estar conectado a uma conta de usuário que seja membro do grupo Administradores de DC do AAD.
Na tela Iniciar, selecione Ferramentas Administrativas. É mostrada uma lista de ferramentas de gerenciamento disponíveis que foram instaladas no tutorial para criar uma VM de gerenciamento.
Para criar e gerenciar UOs, selecione Centro Administrativo do Ative Directory na lista de ferramentas administrativas.
No painel esquerdo, escolha seu domínio gerenciado, como aaddscontoso.com.
Abra o contêiner Sistema e, em seguida, o contêiner Configurações de senha.
É apresentada uma política de palavra-passe incorporada para o domínio gerido. Não é possível modificar esta política interna. Em vez disso, crie uma política de senha personalizada para substituir a política padrão.
No painel Tarefas à direita, selecione Novas > configurações de senha.
Na caixa de diálogo Criar configurações de senha, insira um nome para a política, como MyCustomFGPP.
Quando existem várias políticas de senha, a política com a maior precedência, ou prioridade, é aplicada a um usuário. Quanto menor o número, maior a prioridade. A política de senha padrão tem uma prioridade de 200.
Defina a precedência da sua política de senha personalizada para substituir o padrão, como 1.
Edite outras configurações de política de senha conforme desejado. As configurações de bloqueio de conta se aplicam a todos os usuários, mas só entram em vigor dentro do domínio gerenciado e não no próprio Microsoft Entra.
Desmarque Proteger contra exclusão acidental. Se essa opção estiver selecionada, não será possível salvar o FGPP.
Na seção Aplica-se diretamente a, selecione o botão Adicionar. Na caixa de diálogo Selecionar Usuários ou Grupos, selecione o botão Locais.
Na caixa de diálogo Locais, expanda o nome de domínio, como aaddscontoso.com, e selecione uma UO, como Usuários AADDC. Se você tiver uma UO personalizada que contenha um grupo de usuários que deseja aplicar, selecione essa UO.
Digite o nome do usuário ou grupo ao qual você deseja aplicar a política. Selecione Verificar nomes para validar a conta.
Clique em OK para salvar sua política de senha personalizada.
Próximos passos
Para obter mais informações sobre diretivas de senha e como usar o Centro de Administração do Ative Directory, consulte os seguintes artigos: