Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Comprendre les politiques de AWS gestion des mots de passe Microsoft AD
AWS Managed Microsoft AD vous permet de définir et d'attribuer différentes politiques de verrouillage des mots de passe et des comptes (également appelées politiques de [mot de passe détaillées) pour les](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt) groupes d'utilisateurs que vous gérez dans votre domaine AWS Microsoft AD géré. Lorsque vous créez un annuaire Microsoft AD AWS géré, une politique de domaine par défaut est créée et appliquée à Active Directory. Cette stratégie contient les paramètres suivants :
****
| Politique | Paramètre |
| --- | --- |
| Appliquer l'historique des mots de passe | 24 mots de passe mémorisés |
| Durée de vie maximale du mot de passe | 42 jours \$1 |
| Durée de vie minimale du mot de passe | 1 jour |
| Longueur minimum du mot de passe | 7 caractères |
| Le mot de passe doit respecter des exigences de complexité | Activé |
| Enregistrer les mots de passe en utilisant un chiffrement réversible | Désactivé |
**Note**
\$1 L'âge maximum du mot de passe de 42 jours inclut le mot de passe administrateur.
Par exemple, vous pouvez attribuer un paramètre de stratégie moins strict pour les employés qui n'ont accès qu'à des informations de faible importance. Pour les cadres supérieurs qui accèdent régulièrement à des informations confidentielles, vous pouvez appliquer des paramètres plus stricts.
Les ressources suivantes fournissent des informations supplémentaires sur les politiques de mot de passe et les politiques de sécurité affinées d'MicrosoftActive Directory :
+ [Configuration des paramètres de politique de sécurité](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [Exigences de complexité des mots de passe](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [Complexité des mots de passe et considérations](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS fournit un ensemble de politiques de mot de passe détaillées dans AWS Managed Microsoft AD que vous pouvez configurer et attribuer à vos groupes. Pour configurer les politiques, vous pouvez utiliser des outils de Microsoft stratégie standard tels que le [centre d'administration Active Directory](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center). Pour commencer à utiliser les outils Microsoft de politique, voir[Installation des outils d'administration Active Directory pour Microsoft AD AWS géré](ms_ad_install_ad_tools.md).
## Comment les politiques relatives aux mots de passe sont appliquées
Il existe des différences dans la façon dont les politiques de mot de passe affinées sont appliquées selon que le mot de passe a été réinitialisé ou modifié. Les utilisateurs du domaine peuvent modifier leur propre mot de passe. Un administrateur ou un utilisateur Active Directory disposant des autorisations nécessaires peut [réinitialiser les mots de passe des utilisateurs](ms_ad_manage_users_groups_reset_password.md). Consultez le tableau suivant pour plus d'informations.
****
| Politique | Réinitialisation du mot | Changement de mot de passe |
| --- | --- | --- |
| Appliquer l'historique des mots de passe | ![\[No\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui |
| Durée de vie maximale du mot de passe | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui |
| Durée de vie minimale du mot de passe | ![\[No\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui |
| Longueur minimum du mot de passe | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui |
| Le mot de passe doit respecter des exigences de complexité | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui |
Ces différences ont des implications en termes de sécurité. Par exemple, chaque fois que le mot de passe d'un utilisateur est réinitialisé, les politiques relatives à l'historique des mots de passe et à l'âge minimum des mots de passe ne sont pas appliquées. Pour plus d'informations, consultez la documentation Microsoft sur les considérations de sécurité liées à l'application de l'[historique des mots de passe](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations) et des politiques relatives à l'[âge minimum des mots de passe](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations).
## Paramètres de stratégie pris en charge
AWS Managed Microsoft AD inclut cinq politiques détaillées avec une valeur de priorité non modifiable. Les stratégies possèdent un certain nombre de propriétés que vous pouvez configurer pour mettre en œuvre vos mots de passe et actions de verrouillage de compte en cas d'échecs de connexion. Vous pouvez attribuer des stratégies à zéro ou plusieurs groupes Active Directory. Si un utilisateur final est membre de plusieurs groupes et reçoit plus d'une stratégie de mot de passe, Active Directory applique la stratégie avec la valeur de priorité la plus faible.
### AWS politiques de mots de passe prédéfinies
Le tableau suivant répertorie les cinq politiques incluses dans votre répertoire Microsoft AD AWS géré et la valeur de priorité qui leur est attribuée. Pour de plus amples informations, veuillez consulter [Priorité](#precedence).
****
| Nom de la politique | Priorité |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### Propriétés de stratégie de mot de passe
Vous pouvez modifier les propriétés suivantes dans vos stratégies de mot de passe pour respecter les normes de conformité qui répondent à vos besoins métier.
+ Nom de la politique
+ [Appliquer l'historique des mots de passe](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [Longueur minimum du mot de passe](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [Durée de vie minimale du mot de passe](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [Durée de vie maximale du mot de passe](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [Enregistrer les mots de passe en utilisant un chiffrement réversible](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [Le mot de passe doit respecter des exigences de complexité](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
Vous ne pouvez pas modifier les valeurs de priorité pour ces stratégies. Pour plus de détails sur la manière dont ces paramètres affectent l'application des mots de passe, voir [AD DS : politiques de mot de passe précises sur le site](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) Web de *Microsoft TechNet*. Pour obtenir des informations générales sur ces politiques, consultez la section [Politique en matière de mots de passe](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) sur le TechNet site Web de *Microsoft*.
### Stratégies de verrouillage de compte
Vous pouvez également modifier les propriétés suivantes de vos stratégies de mot de passe pour indiquer si et comment Active Directory doit verrouiller un compte en cas d'échecs de connexion :
+ Nombre d'échecs de connexion autorisés
+ Durée de verrouillage du compte
+ Réinitialiser les tentatives de connexion échouées après une période donnée
Pour obtenir des informations générales sur ces politiques, consultez la section [Politique de verrouillage des comptes](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) sur le TechNet site Web de *Microsoft*.
### Priorité
Les stratégies avec une valeur de priorité inférieure ont une priorité plus élevée. Vous pouvez attribuer des stratégies de mot de passe à des groupes de sécurité Active Directory. Même si vous devez appliquer une seule stratégie à un groupe de sécurité, un même utilisateur peut recevoir plus d'une stratégie de mot de passe. Par exemple, si `jsmith` est membre du groupe RESSOURCES HUMAINES et également membre du groupe RESPONSABLES. Si vous attribuez **CustomerPSO-05** (avec une priorité de 50) au groupe RESSOURCES HUMAINES, et **CustomerPSO-04** (avec une priorité de 40) au groupe RESPONSABLES, **CustomerPSO-04** a la priorité la plus élevée et Active Directory applique cette stratégie à `jsmith`.
Si vous attribuez plusieurs stratégies à un utilisateur ou un groupe, Active Directory détermine la stratégie résultante comme suit :
1. Une stratégie que vous attribuez directement à l'objet utilisateur s'applique.
1. Si aucune stratégie n'est attribuée directement à l'objet utilisateur, la stratégie avec la valeur de priorité la plus faible reçue par l'utilisateur suite à son adhésion à un groupe s'applique.
Pour plus de détails, voir [AD DS : politiques de mot de passe détaillées sur le site](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) Web de *Microsoft TechNet*.
**Topics**
+ [Comment les politiques relatives aux mots de passe sont appliquées](#how_password_policies_applied)
+ [Paramètres de stratégie pris en charge](#supportedpolicysettings)
+ [Affectation de politiques de mot de passe à vos AWS utilisateurs Microsoft AD gérés](assignpasswordpolicies.md)
+ [Délégation des personnes habilitées à gérer vos politiques de mot de passe Microsoft AD AWS gérées](delegatepasswordpolicies.md)
**Article AWS de blog sur la sécurité connexe**
+ [Comment configurer des politiques de mot de passe encore plus strictes pour répondre à vos normes de sécurité à l'aide Directory Service de AWS Managed Microsoft AD](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# Affectation de politiques de mot de passe à vos AWS utilisateurs Microsoft AD gérés
Les comptes utilisateurs membres du groupe de sécurité **AWS Delegated Fine Grained Password Policy Administrators** (Administrateurs délégués de stratégies de mot de passe affinées) peuvent recourir à la procédure suivante pour attribuer des stratégies à des utilisateurs et des groupes de sécurité.
**Pour attribuer des stratégies de mot de passe à vos utilisateurs**
1. Lancez le [centre d'administration Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) à partir de n'importe quelle instance EC2 gérée que vous avez jointe à votre domaine AWS Microsoft AD géré.
1. Passez à l'**arborescence** et accédez à **System\$1Password Settings Container**.
1. Double-cliquez sur la stratégie affinée que vous souhaitez modifier. Cliquez sur **Ajouter** pour modifier les propriétés de la stratégie et ajouter des utilisateurs ou des groupes de sécurité à la stratégie. Pour plus d'informations sur les stratégies affinées fournies par défaut avec AWS Managed Microsoft AD, veuillez consulter [AWS politiques de mots de passe prédéfinies](ms_ad_password_policies.md#supportedpwdpolicies).
1. Pour vérifier que la politique de mot de passe a été appliquée, exécutez la PowerShell commande suivante :
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**Note**
Évitez d'utiliser la commande `net user`, car ses résultats peuvent être inexacts.
Si vous ne configurez aucune des cinq politiques de mot de passe de votre annuaire Microsoft AD AWS géré, Active Directory utilise la stratégie de groupe de domaines par défaut. Pour plus d'informations sur l'utilisation du **Conteneur de paramètres de mots de passe**, veuillez consulter ce [billet de blog Microsoft](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/).
# Délégation des personnes habilitées à gérer vos politiques de mot de passe Microsoft AD AWS gérées
Vous pouvez déléguer les autorisations de gestion des politiques de mot de passe à des comptes utilisateur spécifiques que vous avez créés dans votre AWS Managed Microsoft AD en ajoutant les comptes au groupe de sécurité **AWS Delegated Fine Grained Password Policy Administrators**. Lorsqu'un compte devient membre de ce groupe, il dispose des autorisations nécessaires pour modifier et configurer les stratégies de mot de passe [précédemment](ms_ad_password_policies.md#supportedpwdpolicies) mentionnées.
**Pour déléguer des autorisations de gestion de vos stratégies de mot de passe**
1. Lancez le [centre d'administration Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) à partir de n'importe quelle instance EC2 gérée que vous avez jointe à votre domaine AWS Microsoft AD géré.
1. Basculez vers l'**arborescence** et accédez à l'unité d'organisation **AWS Delegated Groups** (Groupes délégués). Pour plus d'informations sur cette unité d'organisation, veuillez consulter [Qu'est-ce qui est créé avec votre Microsoft AD AWS géré](ms_ad_getting_started_what_gets_created.md).
1. Recherchez le groupe d'utilisateurs **AWS Delegated Fine Grained Password Policy Administrators** (Administrateurs délégués de stratégies de mot de passe affinées). Ajoutez des utilisateurs ou des groupes de votre domaine à ce groupe.