パスワードポリシーの強化について
ADSelfService PlusではADのパスワードポリシーとは別で15個以上のパスワードポリシーをご用意しています。
・対象ビルド:6206以上
文字を制限する
設定項目 | 解説 |
---|---|
含まなければならない特殊文字の数 | パスワードに使用する特殊文字の数を指定する |
含める数字の数 | パスワードに使用する数字の数を指定する |
ユニコード(Unicode)文字数 | パスワードに使用するUnicodeの数を指定する |
大文字を(n)文字以上含める必要があります。 | パスワードに使用する大文字の数を指定する |
大文字を(n)文字以上含める必要があります。 | パスワードに使用する小文字の数を指定する |
パスワードは[大文字のアルファベット、小文字のアルファベット、特殊文字、数字] | ドロップダウンにて選択した「文字」からパスワードを開始する |
数字を最終文字として使用することを禁止 | パスワードの最後に数字を使用することを禁止する |
繰り返しを制限する
(n)回以上の文字の連続使用を禁止する | 指定回数の文字の使用を禁止する |
ユーザー名から(n)文字連続して同じ文字列を使用することを禁止する | ユーザー名に含まれる文字を指定文字数連続で使用することを禁止する |
古いパスワードから(n)文字連続して同じ文字列を使用することを禁止する | 過去に使用したパスワードに含まれる文字を指定文字数連続で使用することを禁止する |
指定した回数の過去のパスワードの使用を制限する | 指定した回数の過去のパスワードの使用を制限する |
パターンを制限
回文をパスワードとして使用するのを禁止する | 回文の使用を禁止する |
単語リストにある文字の使用を禁止する | 「単語リストを選択する」にアップロードしたファイルに記載した文字を使用を禁止する |
これらの文字の組み合わせを禁止する | 指定した文字の組み合わせを禁止する |
長さを制限
パスワードの最小文字数 | パスワードの最少文字数を指定する |
パスワードの最大文字数 | パスワードの最大文字数を指定する |
詳細な設定
- パスワードの長さが少なくとも次の場合、すべての複雑さルールを上書き__:
本オプションで指定した指定したパスワード長を満たす場合、有効化した他のパスワードポリシーより本オプションで指定したパスワード長を上書きする - パスワードは上記の必要事項のうち少なくとも、__個を満たす必要がある:
有効化しているパスワードポリシーのうち、必ず満たすポリシーの数を指定する - パスワードのリセット・変更ページでこのポリシーが適用されていることを表示する [ビューのカスタマイズ]:
パスワードポリシーのメッセージ文を編集する - パスワードシンクロナイザーエージェントを使用して、ログオン画面上とADユーザー、コンピューターからのパスワードのリセットに対しても、このポリシーを適用する:
ADUCコンソール(Active Directoryユーザーとコンピューター)およびパスワード変更画面からのパスワードリセット中に、設定したパスワードポリシーを適用する
ADSelfService Plusを使用して、パスワードポリシーの強化をする際の注意事項は以下になります。
質問
AD側で設定しているパスワードポリシーが認識されない場合、どのように解決するのでしょうか。
回答
ADの仕様としてGPOのパスワードポリシーはDefault Domain Policyのパスワードポリシーがすべてのユーザーに反映されます。OU別に適用しているGPOのパスワードポリシーは反映されません。
ADSelfService Plusからパスワードを変更する際もDefault Domain Policyに適用しているGPOのパスワードポリシーが適用されます。そのためDefault Domain Policyのパスワードポリシーを変更することでパスワードポリシーが認識されるようになります。OUごとにパスワードポリシーを管理される場合はPSO(パスワードセキュリティオブジェクト)をご利用いただけましたらと存じます。
Active Directoryのパスワードポリシーにつきましては
以下のMicrosoftサイトもご参照いただけましたら幸いです。
[パスワード ポリシー]
質問
パスワードポリシーを変更した場合、どのタイミングで強化されるのでしょうか。
回答
パスワードポリシーを変更した場合、次回パスワード変更時にチェックされます。現行のパスワードへの影響はございません。
質問
特殊文字の種類等の情報。
回答
パスワードリセット・変更機能で使用できる特殊文字は以下になります。
~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/
質問
条件を満たしているにもかかわらずパスワード変更に失敗する。(GPOと製品パスワードポリシーの関係性について)
回答
GPOおよびADSelfservice Plusのパスワードポリシーを同じレベルにする必要があります。
例)パスワードポリシーを下記のように設定した場合
●GPO
パスワードの長さ:10
●ADSelfservice Plus
パスワードの最小文字数:8
●GPO
パスワードの長さ:10
●ADSelfservice Plus
パスワードの最小文字数:8
上記の場合、製品上では条件を満たしているように見えますが、ADSelfservice Plusで設定したパスワードの長さはGPOで設定したパスワードの長さに対して2文字不足しているため、パスワードの変更に失敗する場合があります。
したがって、GPOおよびADSelfservice Plusのパスワードポリシーが同一レベルであるかご確認ください。
したがって、GPOおよびADSelfservice Plusのパスワードポリシーが同一レベルであるかご確認ください。
質問
「指定した回数の過去のパスワードの使用を制限する」をパスワード変更画面に表示したいが、方法はありますでしょうか。
回答
セキュリティの観点から、仕様上当該オプションをパスワード変更画面に表示することはできません。
また、当該オプションを有効にしても[パスワードポリシーの強化] → [パスワードのリセット・変更ページでこのポリシーが適用されていることを表示する]の[ビューのカスタマイズ]には当該オプションは反映されません。
また、当該オプションを有効にしても[パスワードポリシーの強化] → [パスワードのリセット・変更ページでこのポリシーが適用されていることを表示する]の[ビューのカスタマイズ]には当該オプションは反映されません。