翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サポートされているポリシー設定
AWS 管理対象の Microsoft AD には、編集不可の優先順位値を持つ 5 つのきめ細かなポリシーが含まれています。このポリシーでは複数のプロパティの設定が可能で、パスワードの強度を指定したり、ログインが失敗した場合のアカウントロックアウトのアクションを適用したりできます。ポリシーは、ゼロ個以上の Active Directory グループに割り当てることができます。エンドユーザーが複数のグループのメンバーであり、複数のパスワードポリシーが適用されている場合には、Active Directory が優先順位値の最も小さいポリシーを適用します。
AWS 定義済みのパスワードポリシー
次の表は、 AWS 管理対象の Microsoft AD ディレクトリに含まれている 5 つのポリシーと、それらに割り当てられている優先順位値を示しています。詳細については、「優先順位」を参照してください。
| ポリシー名 | 優先順位 |
|---|---|
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
パスワードポリシーのプロパティ
パスワードポリシーにおいて以下のプロパティを編集することで、ビジネスからのニーズに応じたコンプライアンス標準に準拠させられます。
これらのポリシーの優先順位値は、変更することはできません。これらの設定がパスワードの強制に与える影響について詳しくは、Microsoft Web サイトの「AD DS: きめ細かい設定が可能なパスワードポリシー
アカウントロックアウトのポリシー
パスワードポリシーでは以下のプロパティを変更することもでき、Active Directory がログインの失敗後にアカウントをロックアウトするかどうかと、その方法を指定できます。
-
ログオン試行の失敗の許容回数
-
アカウントをロックアウトする期間
-
失敗したログオン試行の特定期間後のリセット
これらのポリシーに関する一般的な情報については、Microsoft TechNet Web サイトの「アカウントロックアウトポリシー
優先順位
優先順位値が低いポリシーほど、その優先順位が高くなります。ユーザーは、パスワードポリシーを Active Directory セキュリティグループに割り当てます。パスワードポリシーは各セキュリティグループに通常 1 つ適用するものですが、単一のユーザーに複数のポリシーを適用することはできます。例えば、jsmith は HR グループのメンバーであり、さらに MANAGERS グループのメンバーでもあるとします。CustomerPSO-05 (優先順位値は 50) を HR グループに割り当て、CustomerPSO-04 (優先順位値は 40) を MANAGERS に割り当てると、優先順位は CustomerPSO-04 の方が高いため、Active Directory ではこのポリシーを jsmith に適用します。
ユーザーまたはグループに複数のポリシーを割り当てた場合、Active Directory は適用するポリシーを、次のように決定します。
-
ユーザーオブジェクトに直接割り当てたポリシーが適用されます。
-
ユーザーオブジェクトに直接割り当てられたポリシーがない場合には、グループのメンバーに参加することでユーザーが受け取ったすべてのポリシーの中で、優先順位値が最も小さいポリシーが適用されます。
詳細については、Microsoft の Web サイトの「AD DS: きめ細かいパスワードポリシー
