ADSelfService Plus ナレッジベース

パスワードポリシーの強化について


ADSelfService PlusではADのパスワードポリシーとは別で15個のパスワードポリシーをご用意しています。

 

設定項目 解説
1. 最少パスワード[](デフォルトでは8) パスワードの最少文字数を指定する
2. 最大パスワード[](デフォルトでは15) パスワードの最大文字数を指定する
3. 含まなければならない特殊文字の数 パスワードに使用する特殊文字の数を指定する
4. 大文字と小文字の両方を使用する 大文字と小文字の両方を使用する
5. パスワードに数字を使用する パスワードに使用する数字の数を指定する
6. パスワードの先頭を文字にする パスワードの先頭を文字にする
7. 少なくとも1つUnicodeの文字を含まなければならない Unicodeを1つ以上含まなければならない
8. 回文をパスワードとして使用するのを禁止する 上から読んでも下から読んでも同じになる文字列の使用を禁止する
9. 同じ文字を2回以上繰り返すことを禁止する 「aa」などの同じ文字を2回以上繰り返すことを禁止する
10. ユーザー名に含まれる3連続した文字の使用を禁止する ユーザー名に含まれる3連続した文字の使用を禁止する
11. 古いパスワードから5文字連続で使用することを禁止する 前回使用していたパスワードから5文字連続で使用することを禁止する
12. 単語リストにある文字の使用を禁止する 単語リストに含まれる文字の使用を禁止する
13. これらの文字の組み合わせを禁止する 特定の文字や、文字列の使用を禁止する
14. 指定した回数の過去のパスワードの使用を制限する 指定した回数の過去のパスワードの使用を制限する
15. 以下の最短パスワード長を満たす場合、パスワードの複雑さの条件を無効にする 指定した文字数以上のパスワード入力した場合、他のポリシー要件を無効とする

 

ADSelfService Plusを使用して、パスワードポリシーの強化をする際の注意事項は以下になります。

 

質問

AD側で設定しているパスワードポリシーが認識されない場合、どのように解決するのでしょうか。

回答

ADの仕様としてGPOのパスワードポリシーはDefault Domain Policyのパスワードポリシーがすべてのユーザーに反映されます。OU別に適用しているGPOのパスワードポリシーは反映されません。

ADSelfService Plusからパスワードを変更する際もDefault Domain Policyに適用しているGPOのパスワードポリシーが適用されます。そのためDefault Domain Policyのパスワードポリシーを変更することでパスワードポリシーが認識されるようになります。OUごとにパスワードポリシーを管理される場合はPSO(パスワードセキュリティオブジェクト)をご利用いただけましたらと存じます。

Active Directoryのパスワードポリシーにつきましては
以下のMicrosoftサイトもご参照いただけましたら幸いです。
[パスワード ポリシー]
質問
パスワードポリシーを変更した場合、どのタイミングで強化されるのでしょうか。
回答

パスワードポリシーを変更した場合、次回パスワード変更時にチェックされます。現行のパスワードへの影響はございません。

パスワードの要件を満たすと以下の添付画像の要件横のボックスが緑のチェックボックスに変更します。


 
表示手順

「パスワードポリシーの強化」設定ページ下部にある「パスワードのリセット・変更ページでこのポリシーが適用されていることを表示する」にチェックを入れることで可視化可能です。

質問

特殊文字の種類等の情報。

回答
パスワードリセット・変更機能で使用できる特殊文字は以下になります。

~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/

質問

条件を満たしているにもかかわらずパスワード変更に失敗する。(GPOと製品パスワードポリシーの関係性について)

回答
GPOおよびADSelfservice Plusのパスワードポリシーを同じレベルにする必要があります。

 

例)パスワードポリシーを下記のように設定した場合
●GPO
パスワードの長さ:10
●ADSelfservice Plus
パスワードの最小文字数:8

 

上記の場合、製品上では条件を満たしているように見えますが、ADSelfservice Plusで設定したパスワードの長さはGPOで設定したパスワードの長さに対して2文字不足しているため、パスワードの変更に失敗する場合があります。
したがって、GPOおよびADSelfservice Plusのパスワードポリシーが同一レベルであるかご確認ください。
質問

「指定した回数の過去のパスワードの使用を制限する」をパスワード変更画面に表示したいが、方法はありますでしょうか。

回答
セキュリティの観点から、仕様上当該オプションをパスワード変更画面に表示することはできません。
また、当該オプションを有効にしても[パスワードポリシーの強化] → [パスワードのリセット・変更ページでこのポリシーが適用されていることを表示する]の[ビューのカスタマイズ]には当該オプションは反映されません。