Microsoft Entra Domain Services 受控網域的密碼和帳戶鎖定原則

若要管理 Microsoft Entra Domain Services 中的使用者安全性，您可以定義可控制帳戶鎖定設定或密碼長度下限和複雜性的精細密碼原則。 系統會建立預設精細的密碼原則，並套用至 Domain Services 受控網域中的所有使用者。 若要提供細微的控制並符合特定商務或合規性需求，可以建立並套用至特定使用者或群組的其他原則。

本文說明如何使用 Active Directory 管理員istrative Center，在網域服務中建立和設定更細緻的密碼原則。

注意

密碼原則僅適用于使用 Resource Manager 部署模型建立的受控網域。

開始之前

若要完成本文，您需要下列資源和許可權：

• 啟用中的 Azure 訂用帳戶。
  • 如果您沒有 Azure 訂用帳戶， 請建立帳戶 。
• 與您的訂用帳戶相關聯的 Microsoft Entra 租使用者，會與內部部署目錄或僅限雲端目錄同步。
  • 如有需要， 請建立 Microsoft Entra 租使用者 ，或 建立 Azure 訂用帳戶與您的帳戶 的關聯。
• 在您的 Microsoft Entra 租使用者中啟用和設定 Microsoft Entra Domain Services 受控網域。
  • 如有需要，請完成建立 及設定 Microsoft Entra Domain Services 受控網域 的教學課程。
  • 受控網域必須使用 Resource Manager 部署模型來建立。
• 已加入受控網域的 Windows Server 管理 VM。
  • 如有需要，請完成教學課程以 建立管理 VM 。
• 使用者帳戶，是 Microsoft Entra 租使用者中 Microsoft Entra DC 系統管理員 群組的成員 。

預設密碼原則設定

更細緻的密碼原則 （FGP） 可讓您將密碼和帳戶鎖定原則的特定限制套用至網域中的不同使用者。 例如，若要保護特殊許可權帳戶，您可以套用比一般非特殊許可權帳戶更嚴格的帳戶鎖定設定。 您可以在受控網域內建立多個 FGP，並指定優先順序以將其套用至使用者。

如需密碼原則和使用 Active Directory 管理員istration Center 的詳細資訊，請參閱下列文章：

• 瞭解更細緻的密碼原則
• 使用 AD 管理員istration Center 設定更細緻的密碼原則

原則會透過受控網域中的群組關聯散發，而您所做的任何變更會在下一個使用者登入時套用。 變更原則並不會解除鎖定已鎖定的使用者帳戶。

密碼原則的行為稍有不同，取決於其套用至 的使用者帳戶的建立方式。 您可以在 Domain Services 中建立使用者帳戶的方式有兩種：

• 使用者帳戶可以從 Microsoft Entra ID 同步處理。 這包括直接在 Azure 中建立的僅限雲端使用者帳戶，以及使用 Microsoft Entra 連線從內部部署 AD DS 環境同步處理的混合式使用者帳戶。
  • 網域服務中的大部分使用者帳戶都是透過 Microsoft Entra ID 的同步處理常式來建立。
• 使用者帳戶可以在受控網域中手動建立，而且不存在於 Microsoft Entra ID 中。

不論其建立方式為何，所有使用者都會在 Domain Services 中套用預設密碼原則的下列帳戶鎖定原則：

• 帳戶鎖定持續時間： 30
• 允許的失敗登入嘗試次數： 5
• 重設失敗的登入嘗試次數如下： 2 分鐘
• 密碼存留期上限（存留期）： 90 天

使用這些預設設定時，如果 2 分鐘內使用五個不正確密碼，使用者帳戶就會鎖定 30 分鐘。 帳戶會在 30 分鐘後自動解除鎖定。

帳戶鎖定只會發生在受控網域內。 使用者帳戶只會在網域服務中遭到鎖定，而且只會因為對受控網域的登入嘗試失敗。 從 Microsoft Entra ID 或內部部署同步處理的使用者帳戶不會鎖定在其來原始目錄中，而僅限於 Domain Services。

如果您有一個 Microsoft Entra 密碼原則，指定大於 90 天的密碼存留期上限，該密碼存留期會套用至 Domain Services 中的預設原則。 您可以設定自訂密碼原則，以在網域服務中定義不同的密碼最長存留期。 請小心，如果您在 Domain Services 密碼原則中設定的密碼期限比 Microsoft Entra ID 或內部部署 AD DS 環境還短。 在該案例中，使用者在系統提示您變更 Microsoft Entra ID 或內部部署 AD DS 環境之前，可能會在網域服務中過期。

針對在受控網域中手動建立的使用者帳戶，也會從預設原則套用下列額外的密碼設定。 這些設定不適用於從 Microsoft Entra ID 同步處理的使用者帳戶，因為使用者無法直接在 Domain Services 中更新其密碼。

• 密碼長度下限（字元）： 7
• 密碼必須符合複雜性需求

您無法在預設密碼原則中修改帳戶鎖定或密碼設定。 相反地，AAD DC 管理員istrators 群組的成員 可以建立自訂密碼原則，並將其設定為覆寫預設內建原則（優先于），如下一節所示。

建立自訂密碼原則

當您在 Azure 中建置和執行應用程式時，您可能想要設定自訂密碼原則。 例如，您可以建立原則來設定不同的帳戶鎖定原則設定。

自訂密碼原則會套用至受控網域中的群組。 此設定會有效地覆寫預設原則。

若要建立自訂密碼原則，您可以使用已加入網域的 VM 中的 Active Directory 管理員istrative Tools。 Active Directory 管理員istrative 中心可讓您在受控網域中檢視、編輯和建立資源，包括 OU。

注意

若要在受控網域中建立自訂密碼原則，您必須登入屬於 AAD DC 管理員istrators 群組成員的 使用者帳戶。

1. 從 [開始] 畫面中，選取 [管理員工具 ]。 本教學課程中已安裝 可用來建立管理 VM 的可用管理工具清單。

2. 若要建立和管理 OU，請從系統管理工具清單中選取 [Active Directory 管理員istrative Center ]。

3. 在左窗格中，選擇您的受控網域，例如 aaddscontoso.com 。

4. 開啟 [系統 ] 容器，然後開啟 [ 密碼] 設定 [容器 ]。

   顯示受控網域的內建密碼原則。 您無法修改此內建原則。 相反地，請建立自訂密碼原則來覆寫預設原則。

   

5. 在右側的 [ 工作 ] 面板中，選取 [ 新增 > 密碼] 設定 。

6. 在 [ 建立密碼設定 ] 對話方塊中，輸入原則的名稱，例如 MyCustomFGPP 。

7. 當有多個密碼原則存在時，具有最高優先順序或優先順序的原則會套用至使用者。 數位越低，優先順序越高。 預設密碼原則的優先順序為 200 。

   設定自訂密碼原則的優先順序以覆寫預設值，例如 1 。

8. 視需要編輯其他密碼原則設定。 帳戶鎖定設定會套用至所有使用者，但只會在受控網域內生效，而不會在 Microsoft Entra 本身生效。

   

9. 取消核取 [防止意外刪除 ]。 如果選取此選項，則無法儲存 FGPP。

10. 在 [ 直接套用至] 區段中，選取 [ 新增 ] 按鈕。 在 [ 選取使用者或群組 ] 對話方塊中，選取 [ 位置] 按鈕。

    

11. 在 [ 位置] 對話方塊中，展開功能變數名稱，例如 aaddscontoso.com ，然後選取 OU，例如 AADDC Users 。 如果您有包含您想要套用之使用者群組的自訂 OU，請選取該 OU。

    

12. 輸入您想要套用原則的使用者或組名。 選取 [ 檢查名稱 ] 以驗證帳戶。

    

13. 按一下 [ 確定 ] 以儲存您的自訂密碼原則。

下一步

如需密碼原則和使用 Active Directory 管理員istration Center 的詳細資訊，請參閱下列文章：

• 瞭解更細緻的密碼原則
• 使用 AD 管理員istration Center 設定更細緻的密碼原則