Share via

Criteri di blocco delle password e degli account nei domini gestiti di Microsoft Entra Domain Services

  • Articolo

Per gestire la sicurezza degli utenti in Microsoft Entra Domain Services, è possibile definire criteri password con granularità fine che controllano le impostazioni di blocco dell'account o la lunghezza minima delle password e la complessità. Viene creato un criterio password con granularità fine predefinito e applicato a tutti gli utenti in un dominio gestito di Servizi di dominio. Per fornire un controllo granulare e soddisfare specifiche esigenze aziendali o di conformità, è possibile creare e applicare criteri aggiuntivi a utenti o gruppi specifici.

Questo articolo illustra come creare e configurare criteri password con granularità fine in Servizi di dominio usando Active Directory Amministrazione istrative Center.

Nota

I criteri password sono disponibili solo per i domini gestiti creati usando il modello di distribuzione Resource Manager.

Operazioni preliminari

Per completare le procedure descritte in questo articolo, sono necessari i privilegi e le risorse seguenti:

  • Una sottoscrizione di Azure attiva.
  • Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale o una directory solo cloud.
  • Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
    • Se necessario, completare l'esercitazione per creare e configurare un dominio gestito di Microsoft Entra Domain Services.
    • Il dominio gestito deve essere stato creato usando il modello di distribuzione Resource Manager.
  • Macchina virtuale di gestione di Windows Server aggiunta al dominio gestito.
    • Se necessario, completare l'esercitazione per creare una macchina virtuale di gestione.
  • Un account utente membro del gruppo di amministratori di Microsoft Entra DC nel tenant di Microsoft Entra.

Impostazioni predefinite dei criteri password

I criteri delle password con granularità fine consentono di applicare restrizioni specifiche per i criteri di blocco delle password e degli account a utenti diversi in un dominio. Ad esempio, per proteggere gli account con privilegi, è possibile applicare impostazioni di blocco degli account più restrittive rispetto ai normali account senza privilegi. È possibile creare più FGPP all'interno di un dominio gestito e specificare l'ordine di priorità da applicare agli utenti.

Per altre informazioni sui criteri password e sull'uso di Active Directory Amministrazione istration Center, vedere gli articoli seguenti:

I criteri vengono distribuiti tramite l'associazione di gruppi in un dominio gestito e tutte le modifiche apportate vengono applicate all'accesso utente successivo. La modifica del criterio non sblocca un account utente già bloccato.

I criteri password si comportano in modo leggermente diverso a seconda della modalità di creazione dell'account utente a cui vengono applicati. È possibile creare un account utente in Servizi di dominio in due modi:

  • L'account utente può essere sincronizzato da Microsoft Entra ID. Sono inclusi gli account utente solo cloud creati direttamente in Azure e gli account utente ibridi sincronizzati da un ambiente di Active Directory Domain Services locale usando Microsoft Entra Connessione.
    • La maggior parte degli account utente in Servizi di dominio viene creata tramite il processo di sincronizzazione da Microsoft Entra ID.
  • L'account utente può essere creato manualmente in un dominio gestito e non esiste in Microsoft Entra ID.

Tutti gli utenti, indipendentemente dalla modalità di creazione, hanno i criteri di blocco dell'account seguenti applicati dai criteri di password predefiniti in Servizi di dominio:

  • Durata blocco account: 30
  • Numero di tentativi di accesso non riusciti consentiti: 5
  • Reimpostare il numero di tentativi di accesso non riusciti dopo: 2 minuti
  • Validità massima password (durata): 90 giorni

Con queste impostazioni predefinite, gli account utente vengono bloccati per 30 minuti se vengono usate cinque password non valide entro 2 minuti. Gli account vengono sbloccati automaticamente dopo 30 minuti.

I blocchi dell'account si verificano solo all'interno del dominio gestito. Gli account utente vengono bloccati solo in Servizi di dominio e solo a causa di tentativi di accesso non riusciti nel dominio gestito. Gli account utente sincronizzati da Microsoft Entra ID o in locale non vengono bloccati nelle directory di origine, solo in Servizi di dominio.

Se si dispone di un criterio password di Microsoft Entra che specifica una validità massima della password superiore a 90 giorni, tale validità della password viene applicata ai criteri predefiniti in Servizi di dominio. È possibile configurare criteri password personalizzati per definire un'età massima della password diversa in Servizi di dominio. Prestare attenzione se è configurata una validità massima più breve della password in un criterio password di Servizi di dominio rispetto a Microsoft Entra ID o a un ambiente di Active Directory Domain Services locale. In questo scenario, la password di un utente può scadere in Servizi di dominio prima che venga richiesto di modificare l'ID di Microsoft Entra o un ambiente Active Directory Domain Services locale.

Per gli account utente creati manualmente in un dominio gestito, vengono applicate anche le impostazioni aggiuntive della password seguenti dai criteri predefiniti. Queste impostazioni non si applicano agli account utente sincronizzati da Microsoft Entra ID, perché un utente non può aggiornare la password direttamente in Servizi di dominio.

  • Lunghezza minima password (caratteri): 7
  • Le password devono soddisfare i requisiti di complessità

Non è possibile modificare le impostazioni di blocco dell'account o password nei criteri password predefiniti. I membri del gruppo AAD DC Amministrazione istrators possono invece creare criteri password personalizzati e configurarlo per eseguire l'override (avere la precedenza) dei criteri predefiniti predefiniti, come illustrato nella sezione successiva.

Creare criteri password personalizzati

Durante la compilazione e l'esecuzione di applicazioni in Azure, è possibile configurare criteri password personalizzati. Ad esempio, è possibile creare un criterio per impostare impostazioni dei criteri di blocco dell'account diverse.

I criteri password personalizzati vengono applicati ai gruppi in un dominio gestito. Questa configurazione esegue in modo efficace l'override dei criteri predefiniti.

Per creare un criterio password personalizzato, usare Active Directory Amministrazione istrative Tools da una macchina virtuale aggiunta a un dominio. Active Directory Amministrazione istrative Center consente di visualizzare, modificare e creare risorse in un dominio gestito, incluse le unità organizzative.

Nota

Per creare criteri password personalizzati in un dominio gestito, è necessario accedere a un account utente membro del gruppo AAD DC Amministrazione istrators.

  1. Nella schermata Start selezionare strumenti Amministrazione istrative. Viene visualizzato un elenco degli strumenti di gestione disponibili installati nell'esercitazione per creare una macchina virtuale di gestione.

  2. Per creare e gestire unità organizzative, selezionare Active Directory Amministrazione istrative Center dall'elenco degli strumenti di amministrazione.

  3. Nel riquadro sinistro scegliere il dominio gestito, ad esempio aaddscontoso.com.

  4. Aprire il contenitore System e quindi password Impostazioni contenitore.

    Viene visualizzato un criterio password predefinito per il dominio gestito. Non è possibile modificare questo criterio predefinito. Creare invece un criterio password personalizzato per eseguire l'override dei criteri predefiniti.

    Create a password policy in the Active Directory Administrative Center

  5. Nel pannello Attività a destra selezionare Nuova > password Impostazioni.

  6. Nella finestra di dialogo Crea password Impostazioni immettere un nome per il criterio, ad esempio MyCustomFGPP.

  7. Quando esistono più criteri password, i criteri con la precedenza più alta o la priorità vengono applicati a un utente. Più è basso il numero, maggiore sarà la priorità. Il criterio password predefinito ha una priorità pari a 200.

    Impostare la precedenza per i criteri password personalizzati per eseguire l'override dell'impostazione predefinita, ad esempio 1.

  8. Modificare le altre impostazioni dei criteri password in modo desiderato. Le impostazioni di blocco dell'account si applicano a tutti gli utenti, ma diventano effettive solo all'interno del dominio gestito e non in Microsoft Entra stesso.

    Create a custom fine-grained password policy

  9. Deselezionare Proteggi dall'eliminazione accidentale. Se questa opzione è selezionata, non è possibile salvare il file FGPP.

  10. Nella sezione Direttamente si applica a selezionare il pulsante Aggiungi. Nella finestra di dialogo Seleziona utenti o gruppi selezionare il pulsante Posizioni.

    Select the users and groups to apply the password policy to

  11. Nella finestra di dialogo Percorsi espandere il nome di dominio, ad esempio aaddscontoso.com, quindi selezionare un'unità organizzativa, ad esempio AADDC Users. Se si dispone di un'unità organizzativa personalizzata che contiene un gruppo di utenti da applicare, selezionare tale unità organizzativa.

    Select the OU that the group belongs to

  12. Digitare il nome dell'utente o del gruppo a cui applicare il criterio. Selezionare Controlla nomi per convalidare l'account.

    Search for and select the group to apply FGPP

  13. Fare clic su OK per salvare i criteri password personalizzati.

Passaggi successivi

Per altre informazioni sui criteri password e sull'uso di Active Directory Amministrazione istration Center, vedere gli articoli seguenti: