Políticas de bloqueio de contas e senhas em domínios gerenciados do Microsoft Entra Domain Services
Para gerenciar a segurança de usuário no Microsoft Entra Domain Services, você pode definir políticas de senha refinadas que controlam as configurações de bloqueio de conta ou a complexidade e o comprimento mínimo da senha. Uma política de senha refinada padrão é criada e aplicada a todos os usuários em um domínio gerenciado do Domain Services. Para fornecer controle granular e atender às necessidades específicas dos negócios ou de conformidade, podem ser criadas e aplicadas políticas adicionais a grupos ou usuários específicos.
Este artigo mostra como criar e configurar uma política de senha refinada no Domain Services usando o Centro Administrativo do Active Directory.
Observação
As políticas de senha só estão disponíveis para domínios gerenciados criados usando o modelo de implantação do Resource Manager.
Antes de começar
Para concluir este artigo, você precisará dos seguintes recursos e privilégios:
- Uma assinatura ativa do Azure.
- Caso não tenha uma assinatura do Azure, crie uma conta.
- Um locatário do Microsoft Entra associado com a assinatura, sincronizado com um diretório local ou somente em nuvem.
- Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
- Um domínio gerenciado do Microsoft Entra Domain Services habilitado e configurado em seu locatário do Microsoft Entra.
- Se necessário, conclua o tutorial Criar e configurar um domínio gerenciado do Microsoft Entra Domain Services.
- O domínio gerenciado deve ter sido criado usando o modelo de implantação do Resource Manager.
- Uma VM de gerenciamento do Windows Server que está unida ao domínio gerenciado.
- Se necessário, conclua o tutorial para criar uma VM de gerenciamento.
- Uma conta de usuário que é membro do grupo de administradores de DC do Microsoft Entra em seu locatário do Microsoft Entra.
Configurações da política de senha padrão
As FGPPs (políticas de senha refinadas) permitem que você aplique restrições específicas para políticas de bloqueio de senha e de conta a diferentes usuários em um domínio. Por exemplo, para proteger contas com privilégios, você pode aplicar configurações de bloqueio de conta mais rigorosas do que as contas regulares sem privilégios. Você pode criar vários FGPPs em um domínio gerenciado e especificar a ordem de prioridade para aplicá-las aos usuários.
Para saber mais sobre políticas de senha e uso do Centro Administrativo do Active Directory, confira os seguintes artigos:
- Saiba mais sobre políticas de senha refinadas
- Configurar políticas de senha refinadas usando o Centro Administrativo do AD
As políticas são distribuídas por meio de associação de grupo em um domínio gerenciado, e todas as alterações feitas são aplicadas na próxima entrada do usuário. A alteração da política não desbloqueia uma conta de usuário que já está bloqueada.
As políticas de senha se comportam de maneira um pouco diferente dependendo de como foi criada a conta de usuário à qual elas são aplicadas. Há duas maneiras pelas quais uma conta de usuário pode ser criada no Domain Services:
- A conta de usuário pode ser sincronizada a partir do Microsoft Entra ID. Isso inclui contas de usuário somente em nuvem criadas diretamente no Azure e contas de usuário híbridas sincronizadas de um ambiente de AD DS local usando o Microsoft Entra Connect.
- A maioria das contas de usuário no Domain Services é criada por meio do processo de sincronização do Microsoft Entra ID.
- A conta de usuário pode ser criada manualmente em um domínio gerenciado – ela não existe no Microsoft Entra ID.
Todos os usuários, independentemente de como forem criados, têm as seguintes políticas de bloqueio de conta aplicadas pela política de senha padrão no Domain Services:
- Duração do bloqueio de conta: 30
- Número permitido de tentativas de logon com falha: 5
- Redefinir a contagem de tentativas de logon com falha após: 2 minutos
- Duração máxima da senha (vida útil): 90 dias
Com essas configurações padrão, as contas de usuários são bloqueadas por 30 minutos quando 5 senhas inválidas são usadas em um período de 2 minutos. As contas são desbloqueadas automaticamente depois de 30 minutos.
Os bloqueios de conta só ocorrem no domínio gerenciado. As contas de usuário são bloqueadas somente no Domain Services e apenas devido às falhas nas tentativas de entrada no domínio gerenciado. As contas de usuário que foram sincronizadas do Microsoft Entra ID ou do local não são bloqueadas em seus diretórios de origem, apenas no Domain Services.
Se você tiver uma política de senha do Microsoft Entra que especifique uma duração máxima de senha superior a 90 dias, essa duração de senha será aplicada à política padrão no Domain Services. Você pode configurar uma política de senha personalizada para definir uma duração de senha máxima diferente no Domain Services. Tome cuidado se a sua senha máxima, configurada na política de senha do Domain Services, tiver uma duração menor do que no Microsoft Entra ID ou no ambiente de AD DS local. Nesse cenário, a senha de usuário pode expirar no Domain Services antes que seja solicitada a alteração no Microsoft Entra ID ou em um ambiente do AD DS local.
Para contas de usuário criadas manualmente em um domínio gerenciado, as configurações de senha adicionais a seguir também são aplicadas a partir da política padrão. Essas configurações não se aplicam a contas de usuário sincronizadas no Microsoft Entra ID, pois um usuário não pode atualizar sua senha diretamente no Domain Services.
- Tamanho mínimo da senha (caracteres): 7
- As senhas devem atender a requisitos de complexidade
Você não pode modificar as configurações de bloqueio de conta ou senha na política de senha padrão. Em vez disso, os membros do grupo de Administradores do AAD DC podem criar políticas de senha personalizadas e configurá-las para substituir (tem precedência sobre) a política interna padrão, como mostrado na próxima seção.
Criar uma política de senha personalizada
À medida que você cria e executa aplicativos no Azure, talvez queira configurar uma política de senha personalizada. Por exemplo, você pode criar uma política para definir configurações de política de bloqueio de conta diferentes.
As políticas de senha personalizadas são aplicadas a grupos em um domínio gerenciado. Essa configuração substitui efetivamente a política padrão.
Para criar uma política de senha personalizada, use as Ferramentas Administrativas do Active Directory de uma VM ingressada no domínio. O Centro Administrativo do Active Directory permite exibir, editar e criar recursos em um domínio gerenciado, incluindo UOs.
Observação
Para criar uma política de senha personalizada em um domínio gerenciado, você deve estar conectado a uma conta de usuário que seja membro do grupo de Administradores do AAD DC.
Na tela Iniciar, selecione Ferramentas Administrativas. É apresentada uma lista de ferramentas de gerenciamento disponíveis que foram instaladas no tutorial para criar uma VM de gerenciamento.
Para criar e gerenciar UOs, selecione Centro Administrativo do Active Directory na lista de ferramentas administrativas.
No painel esquerdo, escolha o domínio gerenciado, como aaddscontoso.com.
Abra o contêiner do Sistema e o Contêiner de Configuração de Senha.
É apresentada uma política de senha interna para o domínio gerenciado. Não é possível modificar essa política interna. Em vez disso, crie uma política de senha personalizada para substituir a política padrão.
No painel Tarefas à direita, selecione Novo > Configurações de Senha.
No diálogo Criar Configurações de Senha, insira um nome para a política, como MyCustomFGPP.
Quando existem várias políticas de senha, a política com a maior precedência, ou prioridade, é aplicada a um usuário. Quanto menor o número, maior a prioridade. A política de senha padrão tem uma prioridade de 200.
Defina a precedência para sua política de senha personalizada para substituir o padrão, como 1.
Edite outras configurações da política de senha, como desejado. As configurações de bloqueio de conta se aplicam a todos os usuários, mas só entram em vigor dentro do domínio gerenciado e não no próprio Microsoft Entra.
Desmarque Proteger contra exclusão acidental. Se essa opção estiver selecionada, você não poderá salvar o FGPP.
Na seção Aplica-se Diretamente a, selecione o botão Adicionar. Na caixa de diálogo Selecionar Usuários ou Grupos, selecione o botão Locais.
Na caixa de diálogo Locais, expanda o nome de domínio, como aaddscontoso.com, e selecione uma UO, como Usuários do AADDC. Se você tiver uma UO personalizada que contém um grupo de usuários que deseja aplicar, selecione essa UO.
Digite o nome do usuário ou do grupo ao qual você deseja aplicar a política. Selecione Verificar Nomes para validar a conta.
Clique em OK para salvar a política de senha personalizada.
Próximas etapas
Para saber mais sobre políticas de senha e uso do Centro Administrativo do Active Directory, confira os seguintes artigos: