Esta página mostra como usar políticas de palavras-passe detalhadas (FGPP) no serviço gerido para o Microsoft Active Directory.
Para configurar e gerir a FGPP no Microsoft AD gerido, pode usar as ferramentas padrão do Active Directory. Para obter informações sobre como usar as ferramentas padrão do Active Directory no Microsoft AD gerido, consulte o artigo Faça a gestão de objetos do Active Directory.
Delegue autorizações para gerir políticas
Por predefinição, a conta de administrador delegado tem a capacidade de gerir políticas no Microsoft AD gerido.
Para delegar a capacidade de gerir políticas, pode adicionar utilizadores ao grupo Cloud
Service Fine Grained Password Policy Administrators. Para adicionar utilizadores a este grupo, execute o seguinte comando no PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Substitua USER_1,USER_2 pelo nome dos utilizadores ou grupos aos quais quer delegar autorizações para gerir as políticas de palavras-passe. Por exemplo,
myuser.
Saiba mais sobre Add-ADGroupMember.
Remova autorizações para gerir políticas
Para remover a capacidade de gerir políticas, pode remover o utilizador do grupo Cloud
Service Fine Grained Password Policy Administrators. Para remover utilizadores deste grupo, execute o seguinte comando no PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Substitua USER_1,USER_2 pelo nome dos utilizadores ou grupos para os quais
quer remover as autorizações fornecidas para gerir as políticas de palavras-passe. Por
exemplo, myuser.
Saiba mais sobre Remove-ADGroupMember.
Modifique uma política de palavras-passe pré-criada
Pode modificar as definições da política de um FGPP. Pode decidir que definições de políticas quer modificar e usar apenas as propriedades necessárias no comando seguinte.
Para modificar uma política de palavra-passe pré-criada, execute o seguinte comando no PowerShell.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Substitua o seguinte:
PSO: Nome do PSO para o qual quer modificar as definições da política. Por exemplo,
PSO-10.THRESHOLD: especifique o número de tentativas de início de sessão falhadas após as quais um utilizador tem de ser bloqueado.
DURATION_TIME: especifique o período de tempo durante o qual um utilizador tem de ser bloqueado após o número especificado de tentativas de início de sessão falhadas.
OBSERVATION_TIME: especifique o período durante o qual um utilizador tem de atingir o limite de tentativas de início de sessão falhadas para que o utilizador seja bloqueado.
COMPLEXITY_BOOLEAN: especifique se a complexidade da palavra-passe tem de estar ativada para a política de palavras-passe.
ENCRYPTION_BOOLEAN: especifique se as palavras-passe têm de ser armazenadas através da encriptação reversível.
LENGTH: especifique o número mínimo de carateres que as palavras-passe têm de ter.
PASSWORD_AGE: especifique o período durante o qual um utilizador pode ter a mesma palavra-passe. Um utilizador tem de alterar a palavra-passe após este período.
PASSWORD_COUNT: especifique o número de palavras-passe anteriores a guardar no histórico de palavras-passe de um utilizador. Um utilizador não pode reutilizar uma palavra-passe guardada no respetivo histórico de palavras-passe.
Saiba mais sobre Set-ADFineGrainedPasswordPolicy.
Adicione um utilizador ou um grupo a uma política de palavras-passe
Adicione um utilizador ou um grupo a uma política de palavras-passe para aplicar a FGPP.
Para aplicar uma política de palavra-passe a um utilizador ou um grupo, execute o seguinte comando no PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Substitua o seguinte:
PSO: Nome do objeto de definição de palavra-passe (PSO) ao qual quer adicionar o utilizador ou o grupo. Por exemplo,
PSO-10.USER_1,USER_2: Nome dos utilizadores ou grupos para os quais quer aplicar a FGPP. Por exemplo,
myuser.
Saiba mais sobre Add-ADFineGrainedPasswordPolicySubject.
Verifique que política de palavras-passe se aplica a um utilizador
Pode aplicar várias políticas de palavras-passe a um utilizador ou a um grupo. A política com a definição de precedência mais baixa é a política eficaz. Para obter informações sobre as definições de precedência dos PSOs, consulte os objetos de definições de palavras-passe.
Para ver a política em vigor num utilizador, execute o seguinte comando no PowerShell.
Get-ADUserResultantPasswordPolicy -Identity USER
Substitua USER pelo nome do utilizador para o qual quer verificar
as políticas de palavras-passe aplicadas. Por exemplo, myuser.
Saiba mais sobre Get-ADUserResultantPasswordPolicy.
Remova um utilizador ou um grupo de uma política de palavras-passe
Remova um utilizador ou um grupo de uma política de palavras-passe para parar de aplicar a FGPP.
Para remover um utilizador ou um grupo de uma política de palavras-passe, execute o seguinte comando no PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Substitua o seguinte:
PSO: nome do PSO do qual quer remover o utilizador ou o grupo. Por exemplo,
PSO-10.USER_1,USER_2: nome dos utilizadores ou grupos para os quais quer deixar de aplicar a FGPP. Por exemplo,
myuser.
Saiba mais sobre Remove-ADFineGrainedPasswordPolicySubject.
Desbloqueie um utilizador
O Active Directory suspende ou bloqueia o acesso de um utilizador quando o número de entradas de palavras-passe incorretas excede o número máximo permitido pela política de palavras-passe.
Para desbloquear um utilizador, execute o seguinte comando do PowerShell. Tenha em atenção que tem de ser membro do grupo Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Substitua USER pelo nome do utilizador que quer desbloquear. Por
exemplo, myuser.
Saiba mais sobre Unlock-ADAccount.
O utilizador é desbloqueado automaticamente após a duração do bloqueio configurada na política de palavras-passe.