Microsoft Entra Domain Services 受控網域上的密碼和帳戶鎖定原則

如需管理 Microsoft Entra Domain Services 中的使用者安全性，您可以定義細部密碼原則，以控制帳戶鎖定設定或最小密碼長度和複雜性。 已建立預設細部密碼原則，並將其套用於 Domain Services 受控網域中的所有使用者。 為了提供細微控制並滿足特定的業務或合規性需求，可以建立額外原則並將其套用於特定的使用者或群組。

本文介紹如何使用 Active Directory 系統管理中心在 Domain Services 中建立和設定細部密碼原則。

開始之前

若要完成本文章，您需要下列資源和權限：

• 有效的 Azure 訂閱。
  • 如果您沒有 Azure 訂用帳戶，請先建立帳戶。
• 與訂用帳戶相關聯的 Microsoft Entra 租用戶，且其已與內部部署目錄或純雲端目錄同步。
  • 如有需要，請建立 Microsoft Entra 租用戶或建立 Azure 訂用帳戶與您帳戶的關聯。
• 在 Microsoft Entra 租用戶中已啟用和設定的 Microsoft Entra Domain Services 受控網域。
  • 如有需要，請完成教學課程，以建立和設定 Microsoft Entra Domain Services 受控網域。
  • 受控網域必須使用 Resource Manager 部署模型建立。
• 已加入受控網域的 Windows Server 管理 VM。
  • 如有需要，請完成建立管理 VM 的教學課程。
• 為 Microsoft Entra 租用戶中「Microsoft Entra DC 系統管理員」群組成員的使用者帳戶。

預設密碼原則設定

細部密碼原則 (FGPP) 可讓您將密碼和帳戶鎖定原則的特定限制套用於網域中的不同使用者。 例如，為了保護權限帳戶，您可以套用比一般非權限帳戶更嚴格的帳戶鎖定設定。 您可以在受控網域內建立多個 FGPP，並指定優先順序以將其套用至使用者。

如需密碼原則和使用 Active Directory 系統管理中心的詳細資訊，請參閱以下文章：

• 了解細部密碼原則
• 使用 AD 系統管理中心來設定細部密碼原則

原則會透過受控網域中的群組關聯進行散發，您所做的任何變更都將在下次使用者登入時套用。 變更原則不會解除鎖定已鎖定的使用者帳戶。

密碼原則的行為略有不同，視其套用至的使用者帳戶建立方式而定。 有兩種方法可以在 Domain Services 中建立使用者帳戶：

• 使用者帳戶可以從 Microsoft Entra ID 中進行同步。 這包含直接在 Azure 中建立的僅限雲端使用者帳戶，以及使用 Microsoft Entra Connect 從內部部署 AD DS 環境同步的混合使用者帳戶。
  • Domain Services 中的使用者帳戶大多是透過 Microsoft Entra ID 的同步程序建立。
• 使用者帳戶可以在受控網域中手動建立，且在 Microsoft Entra ID 中不存在。

無論其建立方式為何，所有使用者都會在 Domain Services 中套用預設密碼原則的下列帳戶鎖定原則：

• 帳戶鎖定期間：30
• 允許的失敗登入嘗試次數：5
• 經過下列時間後重設失敗的登入嘗試計數： 2 分鐘
• 密碼最長使用期限 (存留期)：90 天

透過這些預設設定，如果在 2 分鐘內使用 5 個無效的密碼，使用者帳戶就會被鎖定 30 分鐘。 30 分鐘後，帳戶會自動解除鎖定。

帳戶鎖定僅發生在受控網域內。 使用者帳戶僅在 Domain Services 中予以鎖定，並且僅由於針對受控網域的登入嘗試失敗。 從 Microsoft Entra ID 或內部部署同步的使用者帳戶不會鎖定在其來源目錄中，僅在 Domain Services 中鎖定。

如果您的 Microsoft Entra 密碼原則指定的最大密碼期限大於 90 天，則該密碼期限將套用於 Domain Services 中的預設原則。 您可以設定自訂密碼原則，以在 Domain Services 中定義不同的最大密碼期限。 如果在 Domain Services 密碼原則中設定的最大密碼期限比在 Microsoft Entra ID 或內部部署 AD DS 環境中設定的密碼期限更短，請多加注意。 在這種案例中，使用者的密碼可能會在 Domain Services 中過期，然後才會提示他們在 Microsoft Entra ID 或內部部署 AD DS 環境中進行變更。

針對在受控網域中手動建立的使用者帳戶，以下額外密碼設定也適用於預設原則。 這些設定不適用於從 Microsoft Entra ID 同步的使用者帳戶，因為使用者無法直接在 Domain Services 中更新密碼。

• 最小密碼長度 (字元)：7
• 密碼必須符合複雜性需求

您無法在預設密碼原則中修改帳戶鎖定或密碼設定。 相反，AAD DC 系統管理員群組的成員可以建立自訂密碼原則，並將其設定為覆寫 (優先順序高於) 預設內建原則，如下一節所示。

建立自訂密碼原則

在 Azure 中組建和執行應用程式時，可能需要設定自訂密碼原則。 例如，您可以建立原則來設定不同的帳戶鎖定原則設定。

自訂密碼原則套用於受控網域中的群組。 此設定有效地覆寫預設原則。

若要建立自訂密碼原則，請從已加入網域的 VM 使用 Active Directory 系統管理工具。 您可以在 Active Directory 管理中心檢視、編輯和建立受控網域中的資源，包括 OU。

1. 從 [開始] 畫面中，選取 [系統管理工具]。 已顯示教學課程中已安裝建立管理 VM 的可用管理工具清單。

2. 若要建立和管理 OU，請從系統管理工具清單中選取 [Active Directory 管理中心]。

3. 在左側窗格中，選擇您的受控網域，例如 aaddscontoso.com。

4. 開啟 [系統] 容器，然後再開啟 [密碼設定容器]。

   已顯示受控網域的內建密碼原則。 您無法修改此內建原則。 相反，請建立自訂密碼原則以覆寫預設原則。

   

5. 在右側的 [工作] 面板中，選取 [新 > 密碼設定]。

6. 在 [建立密碼設定] 對話方塊中，輸入原則名稱，例如 MyCustomFGPP。

7. 當存在多個密碼原則時，具有最高優先順序或優先順序的原則將適用於使用者。 編號愈低，優先順序愈高。 預設密碼原則的優先順序為 200。

   設定自訂密碼原則的優先順序以覆寫預設值，例如 1。

8. 根據需要編輯其他密碼原則設定。 帳戶鎖定設定適用於所有使用者，但僅在受控網域內生效，而不在 Microsoft Entra 本身中生效。

   

9. 取消選取 [保護以防止被意外刪除]。 如果選取此選項，則無法儲存 FGPP。

10. 在 [直接套用到] 區段中，請選取 [新增] 按鈕。 在 [選取使用者或群組] 對話方塊中，請選取 [位置] 按鈕。

    

11. 在 [位置] 對話方塊中，展開網域名稱，如 aaddscontoso.com，然後選取 OU，如 AADDC 使用者。 如果您有自訂 OU，其中包含一組要套用的使用者，請選取該 OU。

    

12. 輸入您想要套用原則的使用者或群組名稱。 選取 [檢查名稱]，驗證帳戶。

    

13. 按一下 [確定] 以儲存您的自訂密碼原則。

下一步

如需密碼原則和使用 Active Directory 系統管理中心的詳細資訊，請參閱以下文章：

• 了解細部密碼原則
• 使用 AD 系統管理中心來設定細部密碼原則