Cette page explique comment utiliser des règles de mot de passe ultraprécises (FGPP) dans le service géré pour Microsoft Active Directory.
Pour configurer et gérer FGPP dans Microsoft AD géré, vous pouvez utiliser les outils Active Directory standards. Pour savoir comment utiliser les outils Active Directory standards dans AD géré Microsoft, consultez Gérer des objets Active Directory.
Déléguer les autorisations pour gérer les règles
Par défaut, le compte administrateur délégué peut gérer les stratégies dans le service Microsoft AD géré.
Pour déléguer la gestion des règles, vous pouvez ajouter des utilisateurs au groupe Cloud
Service Fine Grained Password Policy Administrators. Pour ajouter des utilisateurs à ce groupe, exécutez la commande suivante dans PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Remplacez USER_1,USER_2 par le nom des utilisateurs ou des groupes pour lesquels vous souhaitez déléguer des autorisations de gestion des stratégies de mots de passe. Exemple : myuser.
En savoir plus sur Add-ADGroupMember.
Supprimer les autorisations permettant de gérer les règles
Pour supprimer la possibilité de gérer les règles, vous pouvez supprimer l'utilisateur du groupe Cloud
Service Fine Grained Password Policy Administrators. Pour supprimer des utilisateurs de ce groupe, exécutez la commande suivante dans PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Remplacez USER_1,USER_2 par le nom des utilisateurs ou des groupes pour lesquels vous souhaitez supprimer les autorisations fournies pour gérer les stratégies de mots de passe. Exemple : myuser.
En savoir plus sur Remove-ADGroupMember.
Modifier une règle de mot de passe préconfigurée
Vous pouvez modifier les paramètres de stratégie d'un FGPP. Vous pouvez choisir les paramètres de stratégie que vous souhaitez modifier et n'utiliser que les propriétés requises dans la commande suivante.
Pour modifier une règle de mot de passe préconfigurée, exécutez la commande suivante dans PowerShell.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Remplacez les éléments suivants :
PSO: nom de la PSO pour laquelle vous souhaitez modifier les paramètres de stratégie. Exemple :
PSO-10THRESHOLD: spécifiez le nombre de tentatives de connexion infructueuses après lesquelles un utilisateur doit être verrouillé.
DURATION_TIME: spécifiez la durée pendant laquelle un utilisateur doit être verrouillé après le nombre spécifié de tentatives de connexion infructueuses.
OBSERVATION_TIME: spécifie la durée pendant laquelle un utilisateur doit atteindre le seuil de tentatives de connexion infructueuses pour que son compte soit verrouillé.
COMPLEXITY_BOOLEAN: indique si la complexité des mots de passe doit être activée pour la règle de mot de passe.
ENCRYPTION_BOOLEAN: indique si les mots de passe doivent être stockés à l'aide d'un chiffrement réversible.
LENGTH: spécifiez le nombre minimal de caractères que les mots de passe doivent contenir.
PASSWORD_AGE: spécifie la durée pendant laquelle un utilisateur peut utiliser le même mot de passe. Passé ce délai, l'utilisateur doit modifier son mot de passe.
PASSWORD_COUNT: spécifie le nombre de mots de passe précédents à enregistrer dans l'historique des mots de passe d'un utilisateur. Un utilisateur ne peut pas réutiliser un mot de passe enregistré dans son historique des mots de passe.
En savoir plus sur Set-ADFineGrainedPasswordPolicy.
Ajouter un utilisateur ou un groupe à une règle de mots de passe
Ajoutez un utilisateur ou un groupe à une règle de mot de passe pour appliquer la règle de force obligatoire de mots de passe.
Pour appliquer une règle de mot de passe à un utilisateur ou à un groupe, exécutez la commande suivante dans PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Remplacez les éléments suivants :
PSO: nom de l'objet de paramètres de mot de passe (PSO) auquel vous souhaitez ajouter l'utilisateur ou le groupe. Exemple :
PSO-10USER_1,USER_2: nom des utilisateurs ou des groupes pour lesquels vous souhaitez appliquer le FGPP. Exemple :
myuser
En savoir plus sur Add-ADFineGrainedPasswordPolicySubject.
Vérifier les règles de mot de passe appliquées à un utilisateur
Vous pouvez appliquer plusieurs règles de mots de passe à un utilisateur ou à un groupe. La règle avec le paramètre de priorité le plus faible est la règle en vigueur. Pour en savoir plus sur les paramètres de priorité des PSO, consultez la section Objets de paramètres de mot de passe.
Pour afficher la règle en vigueur sur un utilisateur, exécutez la commande suivante dans PowerShell.
Get-ADUserResultantPasswordPolicy -Identity USER
Remplacez USER par le nom de l'utilisateur pour lequel vous souhaitez vérifier les règles de mot de passe appliquées. Exemple :myuser
En savoir plus sur Get-ADUserResultantPasswordPolicy.
Supprimer un utilisateur ou un groupe d'une règle de mot de passe
Supprimez un utilisateur ou un groupe d'une règle de mot de passe pour arrêter l'application de la règle de mot de passe de groupe.
Pour supprimer un utilisateur ou un groupe d'une règle de mot de passe, exécutez la commande suivante dans PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Remplacez les éléments suivants :
PSO: nom de la PSO à partir de laquelle vous souhaitez supprimer l'utilisateur ou le groupe. Exemple :
PSO-10USER_1,USER_2: nom des utilisateurs ou des groupes pour lesquels vous souhaitez arrêter d'appliquer la stratégie de contrôle des applications tierces. Exemple :
myuser
En savoir plus sur Remove-ADFineGrainedPasswordPolicySubject.
Déverrouiller un utilisateur
Active Directory suspend ou verrouille l'accès d'un utilisateur lorsque le nombre de mots de passe incorrects saisis dépasse le nombre maximal autorisé par la stratégie de mot de passe.
Pour déverrouiller un utilisateur, exécutez la commande PowerShell suivante. Notez que vous devez être membre du groupe Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Remplacez USER par le nom de l'utilisateur que vous souhaitez déverrouiller. Exemple : myuser.
En savoir plus sur Unlock-ADAccount.
L'utilisateur est automatiquement déverrouillé après la durée de verrouillage configurée dans la règle de mot de passe.