AWS Managed Microsoft AD パスワードポリシーについて - AWS Directory Service
パスワードポリシーの適用方法サポートされているポリシー設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Managed Microsoft AD パスワードポリシーについて

AWS Managed Microsoft AD では、AWS Managed Microsoft AD ドメインで管理するユーザーのパスワードとアカウントロックアウトのポリシー (「きめ細かなパスワードポリシー」とも呼ばれる) を定義して割り当てることができます。AWS Managed Microsoft AD ディレクトリを作成する際は、デフォルトのドメインポリシーが作成され、対象の Active Directory に適用されます。このポリシーには、以下の設定が含まれます。

ポリシー 設定
適用されるパスワード履歴 24 個のパスワードを記憶
パスワードの最長有効期間 42 日間 *
パスワードの最短有効期間 1 日
パスワードの最小長 7 文字
パスワードに一定の複雑さを要求 有効
可逆的暗号化を使用したパスワードの保存 無効
注記

* パスワードにおける 42 日間の最大有効期間は、管理者パスワードにも適用されます。

例えば、機密レベルが低い情報にのみアクセスする従業員には、厳格度の低いポリシー設定を割り当てることができます。機密情報に定期的にアクセスする上級管理者には、より厳格な設定を適用します。

以下のリソースでは、Microsoft Active Directory きめ細かなパスワードポリシーとセキュリティポリシーに関する詳細情報を提供します。

AWS では、AWS Managed Microsoft AD で一連のきめ細かいパスワードポリシーを設定し、各グループに割り当てることができます。ポリシーを構成するには、標準の Microsoft ポリシーツール、例えば「Active Directory 管理センター」を使用できます。Microsoft ポリシーツールの使用を開始するには、AWS Managed Microsoft AD 用の Active Directory 管理ツールのインストール を参照してください。

パスワードポリシーの適用方法

きめ細かなパスワードポリシーの適用方法は、パスワードがリセットされたか変更されたかによって異なります。ドメインユーザーも自分のパスワードを変更できます。必要なアクセス許可を持つ Active Directory 管理者またはユーザーは、ユーザーのパスワードをリセットできます。詳細については、以下の図表を参照してください。

ポリシー パスワードのリセット パスワードの変更
適用されるパスワード履歴 いいえ はい
パスワードの最長有効期間 はい はい
パスワードの最短有効期間 いいえ はい
パスワードの最小長 はい はい
パスワードに一定の複雑さを要求 はい はい

これらの違いにはセキュリティ上の影響があります。例えば、ユーザーのパスワードがリセットされるたびに、パスワードの実施履歴とパスワードの最小有効期間ポリシーは実施されません。詳細については、「パスワード履歴を強制適用」と「パスワードの最小有効期間」ポリシーと関わるセキュリティ上の考慮事項に関する Microsoft ドキュメントを参照してください。

サポートされているポリシー設定

AWS Managed Microsoft AD には、編集できない優先順位値が与えられた 5 つのきめ細かいポリシーが含まれています。このポリシーでは複数のプロパティの設定が可能で、パスワードの強度を指定したり、ログインが失敗した場合のアカウントロックアウトのアクションを適用したりできます。ポリシーは、ゼロ個以上の Active Directory グループに割り当てることができます。エンドユーザーが複数のグループのメンバーであり、複数のパスワードポリシーが適用されている場合には、Active Directory が優先順位値の最も小さいポリシーを適用します。

AWS の事前定義済みのパスワードポリシー

以下の表に、AWS Managed Microsoft AD ディレクトリに含まれる 5 つのポリシーと、それら割り当てられた優先順位値を示します。詳細については、「優先順位」を参照してください。

ポリシー名 優先順位
CustomerPSO-01 10
CustomerPSO-02 20
CustomerPSO-03 30
CustomerPSO-04 40
CustomerPSO-05 50

パスワードポリシーのプロパティ

パスワードポリシーにおいて以下のプロパティを編集することで、ビジネスからのニーズに応じたコンプライアンス標準に準拠させられます。

これらのポリシーの優先順位値は、変更することはできません。これらの設定がパスワードの適用に及ぼす影響の詳細については、Microsoft TechNet ウェブサイトの「AD DS: Fine-grained password policies」(AD DS: きめ細かなパスワードポリシー) を参照してください。これらのポリシーの一般的な情報については、Microsoft TechNet ウェブサイトの「Password policy」(パスワードポリシー) を参照してください。

アカウントロックアウトのポリシー

パスワードポリシーでは以下のプロパティを変更することもでき、Active Directory がログインの失敗後にアカウントをロックアウトするかどうかと、その方法を指定できます。

  • ログオン試行の失敗の許容回数

  • アカウントをロックアウトする期間

  • 失敗したログオン試行の特定期間後のリセット

これらのポリシーの一般的な情報については、Microsoft TechNet ウェブサイトの「Account lockout policy」(アカウントロックアウトのポリシー) を参照してください。

優先順位

優先順位値が低いポリシーほど、その優先順位が高くなります。ユーザーは、パスワードポリシーを Active Directory セキュリティグループに割り当てます。パスワードポリシーは各セキュリティグループに通常 1 つ適用するものですが、単一のユーザーに複数のポリシーを適用することはできます。例えば、jsmith は HR グループのメンバーであり、さらに MANAGERS グループのメンバーでもあるとします。CustomerPSO-05 (優先順位値は 50) を HR グループに割り当て、CustomerPSO-04 (優先順位値は 40) を MANAGERS に割り当てると、優先順位は CustomerPSO-04 の方が高いため、Active Directory ではこのポリシーを jsmith に適用します。

ユーザーまたはグループに複数のポリシーを割り当てた場合、Active Directory は適用するポリシーを、次のように決定します。

  1. ユーザーオブジェクトに直接割り当てたポリシーが適用されます。

  2. ユーザーオブジェクトに直接割り当てられたポリシーがない場合には、グループのメンバーに参加することでユーザーが受け取ったすべてのポリシーの中で、優先順位値が最も小さいポリシーが適用されます。

詳細については、Microsoft TechNet ウェブサイトの「AD DS: Fine-grained password policies」(AD DS: きめ細かなパスワードポリシー) を参照してください。

トピック

関連する AWS セキュリティブログの記事