Questa pagina mostra come utilizzare i criteri di password granulari (FGPP) in Managed Service for Microsoft Active Directory.
Per configurare e gestire i gruppi di protezione dei dati in Microsoft AD gestito, puoi utilizzare gli strumenti standard di Active Directory. Per informazioni su come utilizzare gli strumenti Active Directory standard in Managed Microsoft AD, vedi Gestire gli oggetti Active Directory.
Delegare le autorizzazioni per gestire le norme
Per impostazione predefinita, l'account amministratore delegato ha la possibilità di gestire i criteri in Managed Microsoft AD.
Per delegare la possibilità di gestire i criteri, puoi aggiungere utenti al gruppo Cloud
Service Fine Grained Password Policy Administrators. Per aggiungere utenti a questo gruppo, esegui il seguente comando in PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Sostituisci USER_1,USER_2 con il nome degli utenti o dei gruppi per i quali vuoi delegare le autorizzazioni per gestire i criteri delle password. Ad esempio,
myuser.
Scopri di più su Add-ADGroupMember.
Rimuovere le autorizzazioni per gestire le norme
Per rimuovere la possibilità di gestire i criteri, puoi rimuovere l'utente dal gruppo Cloud
Service Fine Grained Password Policy Administrators. Per rimuovere gli utenti da questo gruppo, esegui il seguente comando in PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Sostituisci USER_1,USER_2 con il nome degli utenti o dei gruppi per i quali
vuoi rimuovere le autorizzazioni fornite per gestire i criteri delle password. Ad esempio, myuser.
Scopri di più su Remove-ADGroupMember.
Modificare un criterio relativo alle password predefinito
Puoi modificare le impostazioni del criterio di un gruppo di criteri per i partner di Google. Puoi decidere quali impostazioni dei criteri modificare e utilizzare solo le proprietà obbligatorie nel seguente comando.
Per modificare un criterio di password predefinito, esegui il seguente comando in PowerShell.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Sostituisci quanto segue:
PSO: il nome del PSO per cui vuoi modificare le impostazioni. Ad esempio,
PSO-10.THRESHOLD: specifica il numero di tentativi di accesso non riusciti dopo i quali un utente deve essere bloccato.
DURATION_TIME: specifica il periodo di tempo per il quale un utente deve essere bloccato dopo il numero specificato di tentativi di accesso non riusciti.
OBSERVATION_TIME: specifica il periodo di tempo durante il quale un utente deve raggiungere la soglia di tentativi di accesso non riusciti per essere bloccato.
COMPLEXITY_BOOLEAN: specifica se la complessità della password deve essere attivata per il criterio della password.
ENCRYPTION_BOOLEAN: specifica se le password devono essere memorizzate utilizzando la crittografia reversibile.
LENGTH: specifica il numero minimo di caratteri che devono avere le password.
PASSWORD_AGE: specifica il periodo di tempo per cui un utente può avere la stessa password. Un utente deve cambiare la password dopo questo periodo di tempo.
PASSWORD_COUNT: specifica il numero di password precedenti da salvare nella cronologia delle password di un utente. Un utente non può riutilizzare una password salvata nella sua cronologia delle password.
Scopri di più su Set-ADFineGrainedPasswordPolicy.
Aggiungere un utente o un gruppo a un criterio per le password
Aggiungi un utente o un gruppo a un criterio per le password per applicare il criterio FGPP.
Per applicare un criterio per le password a un utente o a un gruppo, esegui il seguente comando in PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Sostituisci quanto segue:
PSO: nome dell'oggetto impostazione password (PSO) a cui vuoi aggiungere l'utente o il gruppo. Ad esempio,
PSO-10.USER_1,USER_2: nome degli utenti o dei gruppi per i quali vuoi applicare il RPP. Ad esempio,
myuser.
Scopri di più su Add-ADFineGrainedPasswordPolicySubject.
Controllare quale criterio delle password si applica a un utente
Puoi applicare più criteri per le password a un utente o a un gruppo. Il criterio con l'impostazione di precedenza più bassa è il criterio efficace. Per informazioni sulle impostazioni di precedenza degli oggetti PSO, consulta Oggetti Impostazioni password.
Per visualizzare il criterio effettivo per un utente, esegui il seguente comando in PowerShell.
Get-ADUserResultantPasswordPolicy -Identity USER
Sostituisci USER con il nome dell'utente per cui vuoi controllare i criteri delle password applicati. Ad esempio, myuser.
Scopri di più su Get-ADUserResultantPasswordPolicy.
Rimuovere un utente o un gruppo da un criterio per le password
Rimuovi un utente o un gruppo da un criterio per le password per interrompere l'applicazione del criterio FGPP.
Per rimuovere un utente o un gruppo da un criterio per le password, esegui il seguente comando in PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Sostituisci quanto segue:
PSO: il nome del PSO da cui vuoi rimuovere l'utente o il gruppo. Ad esempio,
PSO-10.USER_1,USER_2: il nome degli utenti o dei gruppi per i quali vuoi interrompere l'applicazione del criterio FGPP. Ad esempio,
myuser.
Scopri di più su Remove-ADFineGrainedPasswordPolicySubject.
Sbloccare un utente
Active Directory sospende o blocca l'accesso di un utente quando il numero di inserimenti di password errate supera il numero massimo consentito dal criterio della password.
Per sbloccare un utente, esegui il seguente comando PowerShell. Tieni presente che devi essere un
membro del gruppo Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Sostituisci USER con il nome dell'utente che vuoi sbloccare. Ad esempio, myuser.
Scopri di più su Unlock-ADAccount.
L'utente viene sbloccato automaticamente al termine della durata del blocco configurata nel criterio della password.