Kennwort- und Kontosperrungsrichtlinien für verwaltete Azure Active Directory Domain Services-DomänenPassword and account lockout policies on Azure Active Directory Domain Services managed domains

Um die Benutzersicherheit in Azure Active Directory Domain Services (Azure AD DS) zu verwalten, können Sie differenzierte Kennwortrichtlinien definieren, die die Einstellungen für die Kontosperre oder die minimale Kennwortlänge und -komplexität steuern.To manage user security in Azure Active Directory Domain Services (Azure AD DS), you can define fine-grained password policies that control account lockout settings or minimum password length and complexity. Eine differenzierte Standardkennwortrichtlinie wird erstellt und auf alle Benutzer in einer verwalteten Azure AD DS-Domäne angewendet.A default fine grained password policy is created and applied to all users in an Azure AD DS managed domain. Um eine differenzierte Steuerung zu gewährleisten und bestimmte Geschäfts- oder Complianceanforderungen zu erfüllen, können zusätzliche Richtlinien erstellt und auf bestimmte Gruppen von Benutzern angewendet werden.To provide granular control and meet specific business or compliance needs, additional policies can be created and applied to specific groups of users.

In diesem Artikel wird das Erstellen und Konfigurieren einer differenzierten Kennwortrichtlinie in Azure AD DS mithilfe des Active Directory-Verwaltungscenters erläutert.This article shows you how to create and configure a fine-grained password policy in Azure AD DS using the Active Directory Administrative Center.

Hinweis

Kennwortrichtlinien sind nur für verwaltete Domänen verfügbar, die mit dem Azure Resource Manager-Bereitstellungsmodell erstellt wurden.Password policies are only available for managed domains created using the Resource Manager deployment model. Bei älteren verwalteten Domänen, die auf klassische Weise erstellt wurden, sollten Sie eine Migration vom klassischen virtuellen Netzwerkmodell zu Resource Manager ausführen.For older managed domains created using Classic, migrate from the Classic virtual network model to Resource Manager.

VoraussetzungenBefore you begin

Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:To complete this article, you need the following resources and privileges:

Standardeinstellungen von KennwortrichtlinienDefault password policy settings

Mit differenzierten Kennwortrichtlinien (FGPP) können Sie bestimmte Einschränkungen für Kennwort- und Kontosperrungsrichtlinien auf verschiedene Benutzer in einer Domäne anwenden.Fine-grained password policies (FGPPs) let you apply specific restrictions for password and account lockout policies to different users in a domain. Zum Sichern privilegierter Konten können Sie beispielsweise strengere Einstellungen für Kontosperren anwenden als für reguläre Konten, die nicht privilegiert sind.For example, to secure privileged accounts you can apply stricter account lockout settings than regular non-privileged accounts. Sie können mehrere FGPPs innerhalb einer verwalteten Domäne erstellen und die Reihenfolge der Priorität festlegen, in der sie auf die Benutzer angewendet werden sollen.You can create multiple FGPPs within a managed domain and specify the order of priority to apply them to users.

Weitere Informationen zu Kennwortrichtlinien und zum Verwenden des Active Directory-Verwaltungscenters finden Sie in den folgenden Artikeln:For more information about password policies and using the Active Directory Administration Center, see the following articles:

Richtlinien werden über die Gruppenzuordnung in einer verwalteten Domäne verteilt. Von Ihnen vorgenommene Änderungen werden bei der nächsten Benutzeranmeldung angewendet.Policies are distributed through group association in a managed domain, and any changes you make are applied at the next user sign-in. Wenn Sie die Richtlinie ändern, wird ein bereits gesperrtes Benutzerkonto nicht entsperrt.Changing the policy doesn't unlock a user account that's already locked out.

Kennwortrichtlinien verhalten sich je nachdem, wie das Benutzerkonto erstellt wurde, auf das sie angewendet werden, etwas anders.Password policies behave a little differently depending on how the user account they're applied to was created. Es gibt zwei Möglichkeiten, wie ein Benutzerkonto in Azure AD DS erstellt werden kann:There are two ways a user account can be created in Azure AD DS:

  • Das Benutzerkonto kann aus Azure AD synchronisiert werden.The user account can be synchronized in from Azure AD. Dazu gehören reine Cloudbenutzerkonten, die direkt in Azure erstellt wurden, sowie hybride Benutzerkonten, die aus einer lokalen AD DS-Umgebung mit Azure AD Connect synchronisiert werden.This includes cloud-only user accounts created directly in Azure, and hybrid user accounts synchronized from an on-premises AD DS environment using Azure AD Connect.
    • Der Großteil der Benutzerkonten in Azure AD DS wird durch den Synchronisierungsprozess aus Azure AD erstellt.The majority of user accounts in Azure AD DS are created through the synchronization process from Azure AD.
  • Das Benutzerkonto kann in einer verwalteten Domäne manuell erstellt werden und ist dann in Azure AD nicht vorhanden.The user account can be manually created in a managed domain, and doesn't exist in Azure AD.

Für alle Benutzer (unabhängig davon, wie sie erstellt werden) gelten die folgenden Kontosperrrichtlinien, die von der Standardkennwortrichtlinie in Azure AD DS angewendet werden:All users, regardless of how they're created, have the following account lockout policies applied by the default password policy in Azure AD DS:

  • Kontosperrungsdauer: 30Account lockout duration: 30
  • Zulässige Anzahl fehlerhafter Anmeldeversuche: 5Number of failed logon attempts allowed: 5
  • Anzahl fehlerhafter Anmeldeversuche zurücksetzen nach: 30 MinutenReset failed logon attempts count after: 30 minutes
  • Maximales Kennwortalter (Gültigkeitsdauer): 90 TageMaximum password age (lifetime): 90 days

Bei diesen Standardeinstellungen werden Benutzerkonten für 30 Minuten gesperrt, wenn innerhalb von zwei Minuten fünf ungültige Kennwörter verwendet werden.With these default settings, user accounts are locked out for 30 minutes if five invalid passwords are used within 2 minutes. Nach 30 Minuten werden die Konten automatisch wieder entsperrt.Accounts are automatically unlocked after 30 minutes.

Kontosperrungen erfolgen nur innerhalb der verwalteten Domäne.Account lockouts only occur within the managed domain. Benutzerkonten werden nur in Azure AD DS gesperrt, und zwar nur aufgrund fehlerhafter Anmeldeversuche bei der verwalteten Domäne.User accounts are only locked out in Azure AD DS, and only due to failed sign-in attempts against the managed domain. Benutzerkonten, die aus Azure AD oder lokal synchronisiert wurden, werden in ihren Quellverzeichnissen nicht gesperrt, sondern nur in Azure AD DS.User accounts that were synchronized in from Azure AD or on-premises aren't locked out in their source directories, only in Azure AD DS.

Wenn Sie eine Azure AD-Kennwortrichtlinie verwenden, die ein maximales Kennwortalter von mehr als 90 Tagen angibt, wird dieses Kennwortalter auf die Standardrichtlinie in Azure AD DS angewendet.If you have an Azure AD password policy that specifies a maximum password age greater than 90 days, that password age is applied to the default policy in Azure AD DS. Sie können eine benutzerdefinierte Kennwortrichtlinie konfigurieren, um ein anderes maximales Kennwortalter in Azure AD DS zu definieren.You can configure a custom password policy to define a different maximum password age in Azure AD DS. Seien Sie vorsichtig, wenn Sie ein kürzeres maximales Kennwortalter in einer Azure AD DS-Kennwortrichtlinie konfiguriert haben als in Azure AD oder einer lokalen AD DS-Umgebung.Take care if you have a shorter maximum password age configured in an Azure AD DS password policy than in Azure AD or an on-premises AD DS environment. In diesem Szenario kann das Kennwort eines Benutzers in Azure AD DS ablaufen, bevor er in Azure AD oder einer lokalen AD DS-Umgebung aufgefordert wird, das Kennwort zu ändern.In that scenario, a user's password may expire in Azure AD DS before they're prompted to change in Azure AD or an on-premises AD DS environment.

Auf in einer verwalteten Domäne manuell erstellte Benutzerkonten werden auch die folgenden zusätzlichen Kennworteinstellungen aus der Standardrichtlinie angewendet.For user accounts created manually in a managed domain, the following additional password settings are also applied from the default policy. Diese Einstellungen gelten nicht für Benutzerkonten, die aus Azure AD synchronisiert werden, da ein Benutzer sein Kennwort in Azure AD DS nicht direkt aktualisieren kann.These settings don't apply to user accounts synchronized in from Azure AD, as a user can't update their password directly in Azure AD DS.

  • Minimale Kennwortlänge (Zeichen): 7Minimum password length (characters): 7
  • Kennwörter müssen den Anforderungen an die Komplexität entsprechenPasswords must meet complexity requirements

Sie können die Einstellungen für Kontosperrung oder Kennwort nicht in der Standardkennwortrichtlinie ändern.You can't modify the account lockout or password settings in the default password policy. Mitglieder der Gruppe AAD DC-Administratoren können stattdessen benutzerdefinierte Kennwortrichtlinien erstellen und so konfigurieren, dass sie die integrierte Standardrichtlinie außer Kraft setzen, wie im nächsten Abschnitt gezeigt wird.Instead, members of the AAD DC Administrators group can create custom password policies and configure it to override (take precedence over) the default built-in policy, as shown in the next section.

Erstellen einer benutzerdefinierten KennwortrichtlinieCreate a custom password policy

Wenn Sie Anwendungen in Azure erstellen und ausführen, sollten Sie eine benutzerdefinierte Kennwortrichtlinie konfigurieren.As you build and run applications in Azure, you may want to configure a custom password policy. Beispielsweise können Sie eine Richtlinie erstellen, um unterschiedliche Einstellungen für eine Kontosperrungsrichtlinie festzulegen.For example, you could create a policy to set different account lockout policy settings.

Benutzerdefinierte Kennwortrichtlinien werden auf Gruppen in einer verwalteten Domäne angewendet.Custom password policies are applied to groups in a managed domain. Diese Konfiguration überschreibt effektiv die Standardrichtlinie.This configuration effectively overrides the default policy.

Um eine benutzerdefinierte Kennwortrichtlinie zu erstellen, verwenden Sie die Active Directory-Verwaltungstools auf einer in die Domäne eingebundenen VM.To create a custom password policy, you use the Active Directory Administrative Tools from a domain-joined VM. Im Active Directory-Verwaltungscenter können Sie Ressourcen in einer verwalteten Domäne (einschließlich Organisationseinheiten) anzeigen, bearbeiten und erstellen.The Active Directory Administrative Center lets you view, edit, and create resources in a managed domain, including OUs.

Hinweis

Um eine benutzerdefinierte Kennwortrichtlinie in einer verwalteten Domäne erstellen zu können, müssen Sie bei einem Benutzerkonto angemeldet sein, das Mitglied der Gruppe AAD DC-Administratoren ist.To create a custom password policy in a managed domain, you must be signed in to a user account that's a member of the AAD DC Administrators group.

  1. Klicken Sie auf dem Startbildschirm auf Verwaltung.From the Start screen, select Administrative Tools. Es wird eine Liste der verfügbaren Verwaltungstools angezeigt, die im Tutorial zum Erstellen eines virtuellen Verwaltungscomputers installiert wurden.A list of available management tools is shown that were installed in the tutorial to create a management VM.

  2. Wählen Sie zum Erstellen und Verwalten von Organisationseinheiten Active Directory-Verwaltungscenter aus der Liste der Verwaltungstools aus.To create and manage OUs, select Active Directory Administrative Center from the list of administrative tools.

  3. Wählen Sie im linken Bereich Ihre verwaltete Domäne (z. B. aaddscontoso.com) aus.In the left pane, choose your managed domain, such as aaddscontoso.com.

  4. Öffnen Sie den Container System und dann den Container Kennworteinstellungen.Open the System container, then the Password Settings Container.

    Es wird eine integrierte Kennwortrichtlinie für die verwaltete Domäne angezeigt.A built-in password policy for the managed domain is shown. Sie können diese integrierte Richtlinie nicht ändern.You can't modify this built-in policy. Erstellen Sie stattdessen eine benutzerdefinierte Kennwortrichtlinie, um die Standardrichtlinie außer Kraft zu setzen.Instead, create a custom password policy to override the default policy.

    Erstellen einer benutzerdefinierten Kennwortrichtlinie im Active Directory-Verwaltungscenter

  5. Klicken Sie im Bereich Tasks auf der rechten Seite auf Neu > Kennworteinstellungen.In the Tasks panel on the right, select New > Password Settings.

  6. Geben Sie im Dialogfeld Kennworteinstellungen erstellen einen Namen für die Richtlinie ein, z. B. MyCustomFGPP.In the Create Password Settings dialog, enter a name for the policy, such as MyCustomFGPP.

  7. Wenn mehrere Kennwortrichtlinien vorhanden sind, wird die Richtlinie mit der höchsten Rangfolge oder Priorität auf einen Benutzer angewendet.When multiple password policies exist, the policy with the highest precedence, or priority, is applied to a user. Je niedriger die Zahl, desto höher die Priorität.The lower the number, the higher the priority. Die Standardkennwortrichtlinie weist die Priorität 200 auf.The default password policy has a priority of 200.

    Legen Sie die Rangfolge für Ihre benutzerdefinierte Kennwortrichtlinie so fest, dass die Standardeinstellung überschrieben wird, z.B. als 1.Set the precedence for your custom password policy to override the default, such as 1.

  8. Bearbeiten Sie andere Einstellungen für Kennwortrichtlinien wie gewünscht.Edit other password policy settings as desired. Beachten Sie die folgenden wichtigen Punkte:Remember the following key points:

    • Einstellungen wie Kennwortkomplexität, Alter oder Ablaufzeit gelten nur für Benutzer, die in einer verwalteten Domäne manuell erstellt werden.Settings like password complexity, age, or expiration time only to users manually created in a managed domain.
    • Kontosperreinstellungen gelten für alle Benutzer, werden jedoch nur in der verwalteten Domäne und nicht in Azure AD wirksam.Account lockout settings apply to all users, but only take effect within the managed domain and not in Azure AD itself.

    Erstellen einer benutzerdefinierten differenzierten Kennwortrichtlinie

  9. Deaktivieren Sie Vor versehentlichem Löschen schützen.Uncheck Protect from accidental deletion. Wenn diese Option aktiviert ist, kann die FGPP nicht gespeichert werden.If this option is selected, you can't save the FGPP.

  10. Wählen Sie im Abschnitt Direkt anwendbar auf die Schaltfläche Hinzufügen aus.In the Directly Applies To section, select the Add button. Wählen Sie im Dialogfeld Benutzer oder Gruppen auswählen die Schaltfläche Speicherorte aus.In the Select Users or Groups dialog, select the Locations button.

    Auswählen von Benutzern und Gruppen, auf die die Kennwortrichtlinie angewendet werden soll

  11. Kennwortrichtlinien können nur auf Gruppen angewendet werden.Password policies can only be applied to groups. Erweitern Sie im Dialogfeld Speicherorte den Domänennamen (z. B. aaddscontoso.com) und wählen Sie dann eine Organisationseinheit (z. B. AADDC-Benutzer) aus.In the Locations dialog, expand the domain name, such as aaddscontoso.com, then select an OU, such as AADDC Users. Wenn Sie über eine benutzerdefinierte Organisationseinheit verfügen, die eine Gruppe von Benutzern enthält, die Sie anwenden möchten, wählen Sie diese Organisationseinheit aus.If you have a custom OU that contains a group of users you wish to apply, select that OU.

    Auswählen der Organisationseinheit, zu der die Gruppe gehört

  12. Geben Sie den Namen der Gruppe ein, auf die die Richtlinie angewendet werden soll, und klicken Sie dann auf Namen überprüfen, um sicherzustellen, dass die Gruppe vorhanden ist.Type the name of the group you wish to apply the policy to, then select Check Names to validate that the group exists.

    Suchen und Auswählen der Gruppe zum Anwenden der FGPP

  13. Der Name der ausgewählten Gruppe wird jetzt im Abschnitt Direkt anwendbar auf angezeigt. Wählen Sie OK aus, um die benutzerdefinierte Kennwortrichtlinie zu speichern.With the name of the group you selected now displayed in Directly Applies To section, select OK to save your custom password policy.

Nächste SchritteNext steps

Weitere Informationen zu Kennwortrichtlinien und zum Verwenden des Active Directory-Verwaltungscenters finden Sie in den folgenden Artikeln:For more information about password policies and using the Active Directory Administration Center, see the following articles: