パスワードポリシーの強化について
ADSelfService Plusでは、ドメインのパスワードポリシーより強力なパスワードポリシーをドメインユーザーに課すことが可能です。
本ページでは、設定方法と設定可能な項目および、よくある質問を解説します。
目次
設定方法
- ADSelfService Plusに管理者としてログインします。
- [設定]→[セルフサービス]→[パスワードポリシー強化]に移動します。
- 「ポリシー」のドロップダウンメニューから、パスワードポリシーをより強力なものとしたいセルフサービスポリシーを選択します。
- 「パスワードポリシー強化を有効にする」のチェックボックスを有効化します。
- 下記パスワードポリシーオプションから任意の設定項目を選択、有効化します。
- [保存]をクリックします。
パスワードポリシーオプション
使用文字の制限
| 設定項目 | 解説 |
|---|---|
| 含める特殊文字の数 | パスワードに使用する必要がある特殊文字の数を指定します |
| 含める数字の数 | パスワードに使用する必要がある数字の数を指定します |
| 含めるUnicode文字の数 | パスワードに使用する必要があるUnicodeの数を指定します |
| 英大文字を(n)文字以上含める | パスワードに使用する必要がある半角大文字の数を指定します |
| 英小文字を(n)文字以上含める必要があります。 | パスワードに使用する必要がある半角小文字の数を指定します |
| パスワードの最初の文字の指定 | パスワードの先頭の文字が、ドロップダウンにて選択された「文字」となる必要があります |
| 最後の文字として数字の使用を禁止する | パスワードの末尾が数字となることを禁止します |
繰り返しの制限
| 同じ文字の(n)文字以上連続した使用を禁止する | 文字が指定した数以上連続することを禁止します |
| ユーザー名に含まれる(n)文字以上連続した文字列の使用を禁止する | ユーザー名に含まれる文字を指定した数以上連続で使用することを禁止します |
| 古いパスワードに含まれる(n)文字以上連続した文字列の使用を禁止する | 過去に使用したパスワードに含まれる文字を指定した数以上連続で使用することを禁止します ※このオプションは「パスワード変更」にのみ適用されます |
| パスワードリセット時の過去パスワードの利用制限回数 | 指定した回数までの過去のパスワードの使用を制限する |
パターンの制限
| 回文の使用を禁止する | 回文をパスワードとして使用するのを禁止します |
| 辞書に記載の単語の使用を禁止する | 「辞書(単語リストを選択する)」としてアップロードしたファイルに記載された文字の使用を禁止します |
| 指定したパターンの使用を禁止する | 指定した文字の組み合わせを禁止します |
| 指定した正規表現パターンに一致するパスワードを許可する | 指定した正規表現緒の組み合わせのみ使用を許可します ※詳細は正規表現を活用して、パスワードポリシーを強化する方法を参照してください |
文字数の制限
| パスワードの最小文字数 | パスワードとして許可する最少文字数を指定します |
| パスワードの最大文字数 | パスワードとして許可する最大文字数を指定します |
その他の詳細な設定
- パスワードの長さが指定した文字数以上の場合、すべての複雑さの要件の適用を除外する:
→本オプションで指定したパスワードの文字数を満たす場合、その他のパスワードポリシーオプションの適用を除外することができます。 - 複雑さの要件を(n)個以上満たす必要がある:
有効化しているパスワードポリシーのうち、必ず満たす必要があるポリシーの数を指定します。「辞書に記載の単語の使用を禁止する」「指定したパターンの使用を禁止する」「パスワードの長さが指定した文字数以上の場合、すべての複雑さの要件の適用を除外する:」「パスワードリセット時の過去パスワードの利用制限回」は本オプションのカウントに入りません。 - パスワードリセットとパスワード変更のページにポリシーの要件を表示する カスタマイズ:
本オプションにより、「パスワード変更」画面および「パスワードリセット」画面にパスワードポリシーの内容を編集して表示できます。 - パスワード同期エージェントを経由して、「Active Directoryユーザーとコンピューター」コンソールでのパスワードリセットと「パスワードの変更(Ctrl+Alt+Del)」でのパスワード変更でポリシーを適用す:
ADUCコンソール(Active Directoryユーザーとコンピューター)およびパスワード変更画面からのパスワードリセット中に、設定したパスワードポリシーを適用するドメインコントローラーに「パスワード同期エージェント」をインストールする必要があります。詳細は、パスワード同期エージェントとはを参照してください。
よくある質問
- AD側で設定しているパスワードポリシーが認識されない場合、どのように解決するのでしょうか。
- パスワードポリシーを変更した場合、どのタイミングで強化されるのでしょうか。
- 特殊文字の種類は何ですか。
- 条件を満たしているにもかかわらずパスワード変更に失敗する。(GPOと製品パスワードポリシーの関係性について)
- 「指定した回数の過去のパスワードの使用を制限する」をパスワード変更画面に表示したいが、方法はありますでしょうか。
質問
AD側で設定しているパスワードポリシーが認識されない場合、どのように解決するのでしょうか。
回答
ADの仕様としてGPOのパスワードポリシーはDefault Domain Policyのパスワードポリシーがすべてのユーザーに反映されます。OU別に適用しているGPOのパスワードポリシーは反映されません。
ADSelfService Plusからパスワードを変更する際もDefault Domain Policyに適用しているGPOのパスワードポリシーが適用されます。そのためDefault Domain Policyのパスワードポリシーを変更することでパスワードポリシーが認識されるようになります。OUごとにパスワードポリシーを管理される場合はPSO(パスワードセキュリティオブジェクト)をご利用いただけましたらと存じます。
https://technet.microsoft.com/ja-jp/library/mt634223(v=vs.85).aspx
質問
パスワードポリシーを変更した場合、どのタイミングで強化されるのでしょうか。
回答
パスワードポリシーを変更した場合、次回パスワード変更時にチェックされます。現行のパスワードへの影響はありません。
〇表示手順
「パスワードポリシーの強化」設定ページ下部にある「パスワードのリセット・変更ページでこのポリシーが適用されていることを表示する」にチェックを入れることで可視化可能です。
質問
特殊文字の種類は何ですか。
回答
~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/
質問
条件を満たしているにもかかわらずパスワード変更に失敗する。(GPOと製品パスワードポリシーの関係性について)
回答
GPOおよびADSelfservice Plusのパスワードポリシーを同じレベルにする必要があります。
例)パスワードポリシーを下記のように設定した場合
●GPO
パスワードの長さ:10
●ADSelfservice Plus
パスワードの最小文字数:8
上記の場合、製品上では条件を満たしているように見えますが、ADSelfservice Plusで設定したパスワードの長さはGPOで設定したパスワードの長さに対して2文字不足しているため、パスワードの変更に失敗する場合があります。
したがって、GPOおよびADSelfservice Plusのパスワードポリシーが同一レベルであるかご確認ください。
質問
「指定した回数の過去のパスワードの使用を制限する」をパスワード変更画面に表示したいが、方法はありますでしょうか。
回答
セキュリティの観点から、仕様上当該オプションをパスワード変更画面に表示することはできません。
また、当該オプションを有効にしても[パスワードポリシーの強化] → [パスワードのリセット・変更ページでこのポリシーが適用されていることを表示する]の[ビューのカスタマイズ]には当該オプションは反映されません。
以上。