La guida completa alle password di AD di Azure

Uno dei vantaggi nell'utilizzare Azure Active Directory (Azure AD) è la flessibilità che ti dà quando si tratta di gestione delle password.
La maggior parte delle aziende scelgono di distribuire AD Azure come un'estensione della loro Active Directory locale già esistente di Active Directory. Questo viene fatto in modo che si possa aggiungere il single sign on e funzionalità di federazione per le applicazioni online come Salesforce e DocuSign. AD Azure inoltre consente agli utenti di impostare e resettare le password attraverso un portale self-service senza contattare l'help desk.

What are the basics of Azure password policy, and how do you get this all set up? That’s what I’ll tackle in this piece.

Quali sono le politiche base delle password Azure, e come si ottiene tutto questo set up? Questo è quello che affronteremo in questo pezzo.

Restrizioni base per le Password Policy
Il livello più base delle politiche di password per Microsoft Azure AD comprendono semplici limitazioni di complessità e di storia.
È possibile utilizzare caratteri alfabetici semplici (da A a Z), tra cui le lettere sia maiuscole che minuscole; i numeri da 0 a 9; e simboli della tastiera standard (@ # $% ^ & * - _ + = [] {} | \: ', / `~" ();!.?).
Non è consentito utilizzare i caratteri Unicode o spazi nella password. La lunghezza minima della password è impostata a 8 caratteri e 16 caratteri massimi. Per essere considerata forte, la password non deve avere un punto (.) Che precede immediatamente il simbolo della chiocciola (@) e deve anche contenere almeno tre caratteri minuscoli, caratteri maiuscoli, numeri, e dei simboli consentiti consentiti.
Per impostazione predefinita, le password scadono ogni 90 giorni, e agli utenti viene notificato di modificare la password almeno 14 giorni prima della scadenza.
Da un punto di vista cronologico delle password, il sistema limita l'ultima password che è stata usata così un utente deve inserirne una nuova, piuttosto che riproporre la solita password più e più volte ciclicamente.
La durata di scadenza e di notifica possono essere configurate tramite PowerShell utilizzando il cmdlet Set-MsolPasswordPolicy, che potete trovare all'interno del modulo AD di Azure.

Se gli utenti immettono la loro password in modo errato per 10 volte di fila, Azure AD blocca l'account per un minuto. Se i tentativi di password errate continuano, il sistema bloccherà di nuovo l'utente fuori e quindi aumenterà la durata di ciascun periodo di blocco come metodo per deviare e mitigare attacchi di brute force.

Integrazione con le features di Azure Password Management
Uno dei maggiori vantaggi di usare Azure AD è la possibilità per gli utenti di gestire le proprie password.
Questo significa che gli utenti possono impostare e resettare le password attraverso un portale self-service piuttosto che l'apertura di un ticket all' help desk in attesa di un amministratore delegato per soddisfare la propria richiesta. Gli strumenti di gestione delle password di Azure AD funzionano se siete un'organizzazione esclusivamente basata su cloud (che non è probabilmente la situazione della maggior parte delle organizzazioni, soprattutto se siete interessati al single sign on) o se avete sincronizzato la vostra istanza di Azure AD con un Active Directory locale, il che la rende una soluzione particolarmente attraente.

Ci sono alcuni passi per l'implementazione delle policy necessarie ad attivare queste funzioni di gestione password self-service. Per iniziare:

Aprire il portale classico di Azure, accedendo tramite questo link https://manage.windowsazure.com, e quindi fare clic su Active Directory sul lato sinistro dello schermo
Fare clic sulla cartella che si desidera configurare e quindi nella schermata successiva, fare clic sulla scheda CONFIGURA
Scorrere verso il basso e fare clic su Sì per l'opzione "utenti abilitati per la reimpostazione della password" e quindi personalizzare i: controlli aggiuntivi delle policy che appaiono per le restrizioni di accesso, il gruppo che esegue la reimpostazione delle password, e i metodi di autenticazione aggiuntivi disponibili per gli utenti che vogliono reimpostare le password
Successivamente, sarà necessario specificare le informazioni di contatto per tutti gli utenti in modo che possa essere utilizzato per la reimpostazione delle password. Se avete abilitato la sincronizzazione delle directory con Azure AD Connect, e le proprietà degli utenti sulla vostra Active Directory on-premise distribuita e configurata correttamente, allora quei recapiti scriveranno automaticamente la corrispondenza corretta in AD Azure. In caso contrario, sarà necessario modificare gli utenti sia sul portale Azure, sia all'interno di Office 365, oppure tramite PowerShell per modificare le proprietà degli utenti. Si vuole aggiungere indirizzi di posta elettronica alternativi e numeri di cellulare per poter ricevere messaggi di testo che contengono i codici di accesso one-time per l'autenticazione a più fattori.

È inoltre impostabile in modo che gli utenti possono fornire i propri dati, inviandoli autonomamente tramite http://aka.ms/ssprsetupand~~V quando accedono al pannello http://myapps.microsoft.com (se questo è parte del flusso di lavoro dei vostri utenti). Possono anche essere obbligati a fornire dei dettagli, se si sceglie Sì all'opzione "Richiedi agli utenti di registrarsi al momento dell'accesso al portale"

Un tassello importante nel fare questo lavoro risiede nel fatto di avere Azure AD Connect configurato correttamente così come il firewall, che affronteremo in un altro pezzo.

Netwrix Auditor per Azure AD

Scarica la trial