サポートされているポリシー設定
AWS Managed Microsoft AD には、編集できない優先順位値が与えられた 5 つのきめ細かいポリシーが含まれています。このポリシーでは複数のプロパティの設定が可能で、パスワードの強度を指定したり、ログインが失敗した場合のアカウントロックアウトのアクションを適用したりできます。ポリシーは、ゼロ個以上の Active Directory グループに割り当てることができます。エンドユーザーが複数のグループのメンバーであり、複数のパスワードポリシーが適用されている場合には、Active Directory が優先順位値の最も小さいポリシーを適用します。
AWS の事前定義済みのパスワードポリシー
以下の表に、AWS Managed Microsoft AD ディレクトリに含まれる 5 つのポリシーと、それら割り当てられた優先順位値を示します。詳細については、「優先順位」を参照してください。
| ポリシー名 | 優先順位 |
|---|---|
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
パスワードポリシーのプロパティ
パスワードポリシーにおいて以下のプロパティを編集することで、ビジネスからのニーズに応じたコンプライアンス標準に準拠させられます。
これらのポリシーの優先順位値は、変更することはできません。これらの設定がパスワードの適用に及ぼす影響の詳細については、Microsoft TechNet ウェブサイトの「AD DS: Fine-grained password policies
アカウントロックアウトのポリシー
パスワードポリシーでは以下のプロパティを変更することもでき、Active Directory がログインの失敗後にアカウントをロックアウトするかどうかと、その方法を指定できます。
-
ログオン試行の失敗の許容回数
-
アカウントをロックアウトする期間
-
失敗したログオン試行の特定期間後のリセット
これらのポリシーの一般的な情報については、Microsoft TechNet ウェブサイトの「Account lockout policy
優先順位
優先順位値が低いポリシーほど、その優先順位が高くなります。ユーザーは、パスワードポリシーを Active Directory セキュリティグループに割り当てます。パスワードポリシーは各セキュリティグループに通常 1 つ適用するものですが、単一のユーザーに複数のポリシーを適用することはできます。例えば、jsmith は HR グループのメンバーであり、さらに MANAGERS グループのメンバーでもあるとします。CustomerPSO-05 (優先順位値は 50) を HR グループに割り当て、CustomerPSO-04 (優先順位値は 40) を MANAGERS に割り当てると、優先順位は CustomerPSO-04 の方が高いため、Active Directory ではこのポリシーを jsmith に適用します。
ユーザーまたはグループに複数のポリシーを割り当てた場合、Active Directory は適用するポリシーを、次のように決定します。
-
ユーザーオブジェクトに直接割り当てたポリシーが適用されます。
-
ユーザーオブジェクトに直接割り当てられたポリシーがない場合には、グループのメンバーに参加することでユーザーが受け取ったすべてのポリシーの中で、優先順位値が最も小さいポリシーが適用されます。
詳細については、Microsoft TechNet ウェブサイトの「AD DS: Fine-grained password policies
