ADSelfService Plus ナレッジベース

ManageEngine > サポート > ADSelfService Plus ナレッジベース > FAQ > パスワードポリシーの強化について
戻る

パスワードポリシーの強化について

  • 作成日:2018年8月13日 | 更新日:2023年5月12日

ADSelfService PlusではADのパスワードポリシーとは別で15個以上のパスワードポリシーをご用意しています。
・対象ビルド:6206以上

文字を制限する
設定項目 解説
含まなければならない特殊文字の数 パスワードに使用する特殊文字の数を指定する
含める数字の数 パスワードに使用する数字の数を指定する
ユニコード(Unicode)文字数 パスワードに使用するUnicodeの数を指定する
大文字を(n)文字以上含める必要があります。 パスワードに使用する大文字の数を指定する
大文字を(n)文字以上含める必要があります。 パスワードに使用する小文字の数を指定する
パスワードは[大文字のアルファベット、小文字のアルファベット、特殊文字、数字] ドロップダウンにて選択した「文字」からパスワードを開始する
数字を最終文字として使用することを禁止 パスワードの最後に数字を使用することを禁止する
繰り返しを制限する
(n)回以上の文字の連続使用を禁止する 指定回数の文字の使用を禁止する
ユーザー名から(n)文字連続して同じ文字列を使用することを禁止する ユーザー名に含まれる文字を指定文字数連続で使用することを禁止する
古いパスワードから(n)文字連続して同じ文字列を使用することを禁止する 過去に使用したパスワードに含まれる文字を指定文字数連続で使用することを禁止する
指定した回数の過去のパスワードの使用を制限する 指定した回数の過去のパスワードの使用を制限する
パターンを制限
回文をパスワードとして使用するのを禁止する 回文の使用を禁止する
単語リストにある文字の使用を禁止する 「単語リストを選択する」にアップロードしたファイルに記載した文字を使用を禁止する
これらの文字の組み合わせを禁止する 指定した文字の組み合わせを禁止する
長さを制限
パスワードの最小文字数 パスワードの最少文字数を指定する
パスワードの最大文字数 パスワードの最大文字数を指定する
詳細な設定
        

  • パスワードの長さが少なくとも次の場合、すべての複雑さルールを上書き__
    本オプションで指定した指定したパスワード長を満たす場合、有効化した他のパスワードポリシーより本オプションで指定したパスワード長を上書きする

    •     

  • パスワードは上記の必要事項のうち少なくとも、__個を満たす必要がある
    有効化しているパスワードポリシーのうち、必ず満たすポリシーの数を指定する

    •     

  • パスワードのリセット・変更ページでこのポリシーが適用されていることを表示する [ビューのカスタマイズ]
    パスワードポリシーのメッセージ文を編集する

    •     

  • パスワードシンクロナイザーエージェントを使用して、ログオン画面上とADユーザー、コンピューターからのパスワードのリセットに対しても、このポリシーを適用する
    ADUCコンソール(Active Directoryユーザーとコンピューター)およびパスワード変更画面からのパスワードリセット中に、設定したパスワードポリシーを適用する

ADSelfService Plusを使用して、パスワードポリシーの強化をする際の注意事項は以下になります。

 

質問

AD側で設定しているパスワードポリシーが認識されない場合、どのように解決するのでしょうか。

回答

ADの仕様としてGPOのパスワードポリシーはDefault Domain Policyのパスワードポリシーがすべてのユーザーに反映されます。OU別に適用しているGPOのパスワードポリシーは反映されません。

ADSelfService Plusからパスワードを変更する際もDefault Domain Policyに適用しているGPOのパスワードポリシーが適用されます。そのためDefault Domain Policyのパスワードポリシーを変更することでパスワードポリシーが認識されるようになります。OUごとにパスワードポリシーを管理される場合はPSO(パスワードセキュリティオブジェクト)をご利用いただけましたらと存じます。

Active Directoryのパスワードポリシーにつきましては
以下のMicrosoftサイトもご参照いただけましたら幸いです。
[パスワード ポリシー]
質問
パスワードポリシーを変更した場合、どのタイミングで強化されるのでしょうか。
回答

パスワードポリシーを変更した場合、次回パスワード変更時にチェックされます。現行のパスワードへの影響はございません。

パスワードの要件を満たすと以下の添付画像の要件横のボックスが緑のチェックボックスに変更します。

表示手順

「パスワードポリシーの強化」設定ページ下部にある「パスワードのリセット・変更ページでこのポリシーが適用されていることを表示する」にチェックを入れることで可視化可能です。

質問

特殊文字の種類等の情報。

回答
パスワードリセット・変更機能で使用できる特殊文字は以下になります。

~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/

質問

条件を満たしているにもかかわらずパスワード変更に失敗する。(GPOと製品パスワードポリシーの関係性について)

回答
GPOおよびADSelfservice Plusのパスワードポリシーを同じレベルにする必要があります。

 

例)パスワードポリシーを下記のように設定した場合
●GPO
パスワードの長さ:10
●ADSelfservice Plus
パスワードの最小文字数:8

 

上記の場合、製品上では条件を満たしているように見えますが、ADSelfservice Plusで設定したパスワードの長さはGPOで設定したパスワードの長さに対して2文字不足しているため、パスワードの変更に失敗する場合があります。
したがって、GPOおよびADSelfservice Plusのパスワードポリシーが同一レベルであるかご確認ください。
質問

「指定した回数の過去のパスワードの使用を制限する」をパスワード変更画面に表示したいが、方法はありますでしょうか。

回答
セキュリティの観点から、仕様上当該オプションをパスワード変更画面に表示することはできません。
また、当該オプションを有効にしても[パスワードポリシーの強化] → [パスワードのリセット・変更ページでこのポリシーが適用されていることを表示する]の[ビューのカスタマイズ]には当該オプションは反映されません。

 

このナレッジの総閲覧回数: 3,403

関連ナレッジ:

  1. パスワードポリシーのメッセージを編集する方法
  2. 自動生成パスワードについて
  3. パスワードポリシーメッセージのカスタマイズ方法
  4. パスワードポリシーの強化における単語リストと文字の組み合わせについて

タグ: