Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Informazioni sui criteri di AWS gestione delle password di Microsoft AD
AWS Managed Microsoft AD consente di definire e assegnare diversi criteri di blocco delle password e degli account (denominati anche criteri [granulari per le password](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt)) per i gruppi di utenti gestiti nel dominio Microsoft AD gestito AWS . Quando si crea una directory Microsoft AD AWS gestita, viene creata e applicata una politica di dominio predefinita ad Active Directory. Questa policy include le seguenti impostazioni:
****
| Policy | Impostazione |
| --- | --- |
| Applica la cronologia delle password | 24 password ricordate |
| Durata massima delle password | 42 giorni \$1 |
| Durata minima delle password | 1 giorno |
| Lunghezza minima delle password | 7 caratteri |
| Le password devono soddisfare i requisiti di complessità | Abilitato |
| Archivia le password utilizzando una crittografia reversibile | Disabilitato |
**Nota**
\$1 La durata massima della password di 42 giorni include la password di amministratore.
Ad esempio, puoi assegnare un'impostazione di policy meno rigida per i dipendenti che hanno accesso solo a informazioni a bassa sensibilità. Per i responsabili senior che accedono regolarmente a informazioni riservate puoi applicare impostazioni più rigide.
Le seguenti risorse forniscono ulteriori informazioni sulle politiche granulari in materia di password e sulle politiche di sicurezza di Microsoft Active Directory:
+ [Configurare le impostazioni dei criteri di sicurezza](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [Requisiti di complessità delle password](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [Complessità delle password: considerazioni sulla sicurezza](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS fornisce una serie di criteri granulari per le password in Managed AWS Microsoft AD che puoi configurare e assegnare ai tuoi gruppi. Per configurare le politiche, è possibile utilizzare strumenti di Microsoft policy standard come il Centro di amministrazione di [Active](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center) Directory. Per iniziare a utilizzare gli strumenti relativi alle Microsoft policy, consulta[Installazione degli strumenti di amministrazione di Active Directory per AWS Managed Microsoft AD](ms_ad_install_ad_tools.md).
## Come vengono applicate le politiche relative alle password
Esistono differenze nel modo in cui vengono applicate le politiche granulari in materia di password a seconda che la password sia stata reimpostata o modificata. Gli utenti del dominio possono modificare la propria password. Un amministratore o un utente di Active Directory con le autorizzazioni necessarie può [reimpostare le password degli utenti](ms_ad_manage_users_groups_reset_password.md). Per ulteriori informazioni, consulta la tabella seguente.
****
| Policy | Reimpostazione della password | Modifica della password |
| --- | --- | --- |
| Applica la cronologia delle password | ![\[No\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì |
| Durata massima delle password | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì |
| Durata minima delle password | ![\[No\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì |
| Lunghezza minima delle password | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì |
| Le password devono soddisfare i requisiti di complessità | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/icon-yes.png) Sì |
Queste differenze hanno implicazioni in termini di sicurezza. Ad esempio, ogni volta che la password di un utente viene reimpostata, le politiche relative all'applicazione della cronologia delle password e all'età minima della password non vengono applicate. Per ulteriori informazioni, consulta la documentazione Microsoft sulle considerazioni di sicurezza relative all'[applicazione della cronologia delle password](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations) e dei criteri relativi [all'età minima delle password](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations).
## Impostazioni delle policy supportate
AWS Microsoft AD gestito include cinque policy dettagliate con un valore di precedenza non modificabile. Le policy dispongono di una serie di proprietà che puoi configurare per applicare la forza della password e delle operazioni di blocco account in caso di errori di login. Puoi assegnare le policy per zero o più gruppi di Active Directory. Se un utente finale è un membro di più gruppi e riceve più di una policy di password, Active Directory applica la policy con il valore di priorità più basso.
### AWS politiche predefinite in materia di password
Nella tabella seguente sono elencate le cinque politiche incluse nella directory AWS Managed Microsoft AD e il valore di precedenza assegnato. Per ulteriori informazioni, consulta [Priorità](#precedence).
****
| Nome policy | Priorità |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### Proprietà delle policy sulle password
Puoi modificare le seguenti proprietà nelle tue policy sulle password per conformarti allo standard di conformità che meglio soddisfa le tue esigenze aziendali.
+ Nome policy
+ [Applica la cronologia delle password](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [Lunghezza minima delle password](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [Durata minima delle password](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [Durata massima delle password](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [Archivia le password utilizzando una crittografia reversibile](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [Le password devono soddisfare i requisiti di complessità](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
Non puoi modificare i valori di priorità di queste policy. *Per ulteriori dettagli su come queste impostazioni influiscono sull'applicazione delle password, consulta [AD DS: criteri granulari per le password sul sito](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) Web Microsoft. TechNet* Per informazioni generali su questi criteri, vedere [Criteri relativi alle password](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) sul TechNet sito Web di *Microsoft*.
### Policy sul blocco degli account
Puoi anche modificare le seguenti proprietà delle tue policy sulle password per specificare se e come Active Directory debba bloccare un account dopo errori di accesso:
+ Numero di tentativi di accesso non riusciti permesso
+ Durata del blocco di un account
+ Reimposta tentativi di accesso non riusciti dopo un certo periodo di tempo
Per informazioni generali su questi criteri, vedere [Criteri di blocco degli account](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) sul TechNet sito Web di *Microsoft*.
### Priorità
Le policy con un valore di priorità inferiore hanno maggiore priorità. Assegna le policy sulle password ai gruppi di sicurezza di Active Directory. Mentre è necessario applicare una singola policy a un gruppo di sicurezza, un singolo utente può ricevere più di una policy sulle password. Ad esempio, supponiamo che `jsmith` sia un membro del gruppo HR e anche membro del gruppo MANAGER. Se assegni **CustomerPSO-05** (che ha una priorità di 50) al gruppo HR e **CustomerPSO-04** (che ha una priorità di 40) ai MANAGER, **CustomerPSO-04** ha la priorità più alta e Active Directory applica tale policy a `jsmith`.
Se assegni più policy a un utente o gruppo, Active Directory determina la policy risultante come segue:
1. Si applica una policy che assegni direttamente all'oggetto utente.
1. Se nessuna policy viene assegnata direttamente all'oggetto utente, viene applicata la policy con la priorità più bassa di tutte le policy ricevute dall'utente in virtù dell'appartenenza al gruppo.
*Per ulteriori dettagli, consulta [AD DS: politiche granulari per le password sul sito Web](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) di Microsoft. TechNet*
**Topics**
+ [
## Come vengono applicate le politiche relative alle password
](#how_password_policies_applied)
+ [
## Impostazioni delle policy supportate
](#supportedpolicysettings)
+ [
# Assegnazione di criteri di password agli utenti di Microsoft AD AWS gestiti
](assignpasswordpolicies.md)
+ [
# Delegare chi può gestire le policy relative alle password di AWS Managed Microsoft AD
](delegatepasswordpolicies.md)
**Articolo correlato AWS del blog sulla sicurezza**
+ [Come configurare politiche di password ancora più rigorose per soddisfare gli standard di sicurezza utilizzando Directory ServiceAWS Managed Microsoft AD](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# Assegnazione di criteri di password agli utenti di Microsoft AD AWS gestiti
Gli account utente che sono membri del gruppo di sicurezza degli **Amministratori delegati AWS per le policy granulari sulle password ** possono utilizzare la procedura seguente per assegnare le policy agli utenti e ai gruppi di sicurezza.
**Assegnazione delle policy sulle password ai tuoi utenti**
1. Avvia il [centro amministrativo di Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) da qualsiasi istanza EC2 gestita a cui hai aggiunto il tuo dominio AWS Microsoft AD gestito.
1. Passa alla **Visualizzazione ad albero** e vai a **System\$1Password Settings Container** (Sistema\$1Contenitore delle impostazioni delle password).
1. Fai doppio clic sulla policy fine-grained che desideri modificare. Fai clic su **Add** (Aggiungi) per modificare le proprietà della policy e aggiungi gli utenti o i gruppi di sicurezza alla policy. Per ulteriori informazioni sulle policy granulari predefinite fornite da Microsoft AD gestito da AWS , consulta [AWS politiche predefinite in materia di password](ms_ad_password_policies.md#supportedpwdpolicies).
1. Per verificare che la politica in materia di password sia stata applicata, esegui il seguente PowerShell comando:
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**Nota**
Evita di utilizzare il comando `net user` poiché i risultati potrebbero essere imprecisi.
Se non si configura nessuna delle cinque politiche relative alle password nella directory AWS gestita di Microsoft AD, Active Directory utilizza la politica di gruppo di domini predefinita. Per ulteriori informazioni sull'utilizzo del **Password Settings Container** (Contenitore delle impostazioni delle password), consulta questo [post del blog Microsoft](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/).
# Delegare chi può gestire le policy relative alle password di AWS Managed Microsoft AD
È possibile delegare le autorizzazioni per la gestione delle policy relative alle password a specifici account utente creati in Managed AWS Microsoft AD aggiungendo gli account al gruppo di sicurezza **AWS Delegated Fine Grained Password Policy** Administrators. Quando un account diventa un membro di questo gruppo, l'account dispone di autorizzazioni per modificare e configurare una qualsiasi delle policy sulle password elencate [in precedenza](ms_ad_password_policies.md#supportedpwdpolicies).
**Delega di chi può gestire le tue policy sulle password**
1. Avvia il [centro amministrativo di Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) da qualsiasi istanza EC2 gestita a cui hai aggiunto il tuo dominio AWS Microsoft AD gestito.
1. Passa alla **Visualizzazione ad albero** e naviga fino all'UO di **Gruppi delegati AWS **. Per ulteriori informazioni sull'UO, consulta [Cosa viene creato con AWS Managed Microsoft AD](ms_ad_getting_started_what_gets_created.md).
1. Cerca il gruppo utenti di **Amministratori delegati AWS per le policy granulari sulle password**. Aggiungi utenti o gruppi dal tuo dominio a questo gruppo.