翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Managed Microsoft AD パスワードポリシーについて
AWS Managed Microsoft AD を使用すると、 Managed Microsoft AD ドメインで管理するユーザーのグループに対して、異なるパスワードおよびアカウントロックアウトポリシー ([きめ細かなパスワードポリシー](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt)とも呼ばれます) AWS を定義して割り当てることができます。 AWS Managed Microsoft AD ディレクトリを作成すると、デフォルトのドメインポリシーが作成され、Active Directory に適用されます。このポリシーには、以下の設定が含まれます。
****
| ポリシー | 設定 |
| --- | --- |
| 適用されるパスワード履歴 | 24 個のパスワードを記憶 |
| パスワードの最長有効期間 | 42 日間 \$1 |
| パスワードの最短有効期間 | 1 日 |
| パスワードの最小長 | 7 文字 |
| パスワードに一定の複雑さを要求 | 有効 |
| 可逆的暗号化を使用したパスワードの保存 | Disabled |
**注記**
\$1 パスワードにおける 42 日間の最大有効期間は、管理者パスワードにも適用されます。
例えば、機密レベルが低い情報にのみアクセスする従業員には、厳格度の低いポリシー設定を割り当てることができます。機密情報に定期的にアクセスする上級管理者には、より厳格な設定を適用します。
以下のリソースでは、Microsoft Active Directory のきめ細かなパスワードポリシーとセキュリティポリシーに関する詳細情報を提供します。
+ [セキュリティポリシー設定を構成する](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [パスワードの複雑さに関する要件](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [パスワードの複雑さに関するセキュリティ上の考慮事項](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS には、 AWS Managed Microsoft AD で設定してグループに割り当てることができる詳細なパスワードポリシーのセットが用意されています。これらのポリシーは、標準の Microsoft ポリシーツール ([Active Directory 管理センター (ADAC)](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center) など) を使用して設定できます。Microsoft ポリシーツールの使用を開始するには、[AWS Managed Microsoft AD 用の Active Directory 管理ツールのインストール](ms_ad_install_ad_tools.md) を参照してください。
## パスワードポリシーの適用方法
きめ細かなパスワードポリシーの適用方法は、パスワードがリセットされたか変更されたかによって異なります。ドメインユーザーも自分のパスワードを変更できます。必要なアクセス許可を持つ Active Directory 管理者またはユーザーは、[ユーザーのパスワードをリセット](ms_ad_manage_users_groups_reset_password.md)できます。詳細については、以下の図表を参照してください。
****
| ポリシー | パスワードのリセット | パスワードの変更 |
| --- | --- | --- |
| 適用されるパスワード履歴 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい |
| パスワードの最長有効期間 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい |
| パスワードの最短有効期間 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい |
| パスワードの最小長 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい |
| パスワードに一定の複雑さを要求 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい |
これらの違いにはセキュリティ上の影響があります。例えば、ユーザーのパスワードがリセットされるたびに、パスワードの実施履歴とパスワードの最小有効期間ポリシーは実施されません。詳細については、「[パスワード履歴を強制適用](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations)」と「[パスワードの最小有効期間](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations)」ポリシーと関わるセキュリティ上の考慮事項に関する Microsoft ドキュメントを参照してください。
## サポートされているポリシー設定
AWS Managed Microsoft AD には、編集不可能な優先順位値を持つ 5 つのきめ細かなポリシーが含まれています。このポリシーでは複数のプロパティの設定が可能で、パスワードの強度を指定したり、ログインが失敗した場合のアカウントロックアウトのアクションを適用したりできます。ポリシーは、ゼロ個以上の Active Directory グループに割り当てることができます。エンドユーザーが複数のグループのメンバーであり、複数のパスワードポリシーが適用されている場合には、Active Directory が優先順位値の最も小さいポリシーを適用します。
### AWS 事前定義されたパスワードポリシー
次の表に、 AWS Managed Microsoft AD ディレクトリに含まれる 5 つのポリシーと、割り当てられた優先順位の値を示します。詳細については、「[優先順位](#precedence)」を参照してください。
****
| ポリシー名 | 優先順位 |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### パスワードポリシーのプロパティ
パスワードポリシーにおいて以下のプロパティを編集することで、ビジネスからのニーズに応じたコンプライアンス標準に準拠させられます。
+ ポリシー名
+ [適用されるパスワード履歴](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [パスワードの最小長](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [パスワードの最短有効期間](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [パスワードの最長有効期間](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [可逆的暗号化を使用したパスワードの保存](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [パスワードに一定の複雑さを要求](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
これらのポリシーの優先順位値は、変更することはできません。これらの設定がパスワードの適用に及ぼす影響の詳細については、*Microsoft TechNet* ウェブサイトの「[AD DS: Fine-grained password policies](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx)」(AD DS: きめ細かなパスワードポリシー) を参照してください。これらのポリシーの一般的な情報については、[Microsoft TechNet](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) ウェブサイトの「*Password policy*」(パスワードポリシー) を参照してください。
### アカウントロックアウトのポリシー
パスワードポリシーでは以下のプロパティを変更することもでき、Active Directory がログインの失敗後にアカウントをロックアウトするかどうかと、その方法を指定できます。
+ ログオン試行の失敗の許容回数
+ アカウントをロックアウトする期間
+ 失敗したログオン試行の特定期間後のリセット
これらのポリシーの一般的な情報については、*Microsoft TechNet* ウェブサイトの「[Account lockout policy](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx)」(アカウントロックアウトのポリシー) を参照してください。
### 優先順位
優先順位値が低いポリシーほど、その優先順位が高くなります。ユーザーは、パスワードポリシーを Active Directory セキュリティグループに割り当てます。パスワードポリシーは各セキュリティグループに通常 1 つ適用するものですが、単一のユーザーに複数のポリシーを適用することはできます。例えば、`jsmith` は HR グループのメンバーであり、さらに MANAGERS グループのメンバーでもあるとします。**CustomerPSO-05** (優先順位値は 50) を HR グループに割り当て、**CustomerPSO-04** (優先順位値は 40) を MANAGERS に割り当てると、優先順位は **CustomerPSO-04** の方が高いため、Active Directory ではこのポリシーを `jsmith` に適用します。
ユーザーまたはグループに複数のポリシーを割り当てた場合、Active Directory は適用するポリシーを、次のように決定します。
1. ユーザーオブジェクトに直接割り当てたポリシーが適用されます。
1. ユーザーオブジェクトに直接割り当てられたポリシーがない場合には、グループのメンバーに参加することでユーザーが受け取ったすべてのポリシーの中で、優先順位値が最も小さいポリシーが適用されます。
詳細については、*Microsoft TechNet* ウェブサイトの「[AD DS: Fine-grained password policies](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx)」(AD DS: きめ細かなパスワードポリシー) を参照してください。
**Topics**
+ [パスワードポリシーの適用方法](#how_password_policies_applied)
+ [サポートされているポリシー設定](#supportedpolicysettings)
+ [AWS Managed Microsoft AD ユーザーへのパスワードポリシーの割り当て](assignpasswordpolicies.md)
+ [AWS Managed Microsoft AD パスワードポリシーを管理できるユーザーを委任する](delegatepasswordpolicies.md)
**関連する AWS セキュリティブログ記事**
+ [Directory Service for AWS Managed Microsoft AD を使用して、セキュリティ基準を満たすためにさらに強力なパスワードポリシーを設定する方法](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# AWS Managed Microsoft AD ユーザーへのパスワードポリシーの割り当て
[**AWS が委任したきめ細かいパスワードポリシーの管理者**] セキュリティグループのメンバーであるユーザーアカウントは、次の手順に従ってユーザーとセキュリティグループにポリシーを割り当てることができます。
**パスワードポリシーをユーザーに割り当てるには**
1. Managed Microsoft AD ドメインに結合したマネージド EC2 インスタンスから [Active Directory 管理センター (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) を起動します。 AWS
1. **[Tree View]** (ツリービュー) に切り替え、**System\$1Password Settings Container** に移動します。
1. 編集対象の、きめ細かなポリシーをダブルクリックします。**[Add]** (追加) をクリックして、ポリシーのプロパティを編集し、ユーザーまたはセキュリティグループをそのポリシーに追加します。 AWS Managed Microsoft AD にデフォルトで用意された、きめ細かなポリシーの詳細については、「[AWS 事前定義されたパスワードポリシー](ms_ad_password_policies.md#supportedpwdpolicies)」を参照してください。
1. パスワードポリシーが適用されていることを確認するには、次の PowerShell コマンドを実行します。
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**注記**
結果が不正確になる可能性があるため、`net user` コマンドは使用しないでください。
AWS Managed Microsoft AD ディレクトリで 5 つのパスワードポリシーのいずれかを設定しない場合、Active Directory はデフォルトのドメイングループポリシーを使用します。**Password Settings Container (パスワード設定コンテナ)** の詳細な使用方法については、こちらの [Microsoft ブログ記事](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/)を参照してください。
# AWS Managed Microsoft AD パスワードポリシーを管理できるユーザーを委任する
Managed AWS Microsoft AD で作成した特定のユーザーアカウントにパスワードポリシーを管理するアクセス許可を委任するには、そのアカウントを**AWS 委任されたきめ細かなパスワードポリシー管理者**セキュリティグループに追加します。このグループのメンバーに参加したアカウントには、[上記で](ms_ad_password_policies.md#supportedpwdpolicies)示したパスワードポリシーのすべてを、編集および設定する権限が与えられます。
**パスワードポリシーの管理権限を委任するには**
1. Managed Microsoft AD ドメインに結合したマネージド EC2 インスタンスから [Active Directory 管理センター (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) を起動します。 AWS
1. [**ツリービュー**] に切り替え、[**AWS の委任グループ**] OU に移動します。この OU の詳細については、「[AWS Managed Microsoft AD で作成される内容](ms_ad_getting_started_what_gets_created.md)」を参照してください。
1. [**AWS が委任したきめ細かいパスワードポリシーの管理者**] ユーザーグループを検索します。使用しているドメインからこのグループに、任意のユーザーまたはグループを追加します。