Planifier le changement automatique de mot de passe dans SharePoint

  • Article

S’APPLIQUE À :oui-img-132013 oui-img-162016 oui-img-192019 oui-img-seÉdition d’abonnement no-img-sopSharePoint dans Microsoft 365

Pour simplifier la gestion des mots de passe, la fonctionnalité de modification automatique de mot de passe vous permet de les mettre à jour et de les déployer sans avoir à effectuer des tâches de mise à jour manuelle sur plusieurs comptes, services et applications web. Vous pouvez configurer la fonctionnalité de modification automatique de mot de passe pour déterminer l’imminence de la date d’expiration ou pour réinitialiser le mot de passe à l’aide d’une longue chaîne aléatoire au chiffrement complexe. Pour implémenter la fonctionnalité de modification automatique de mot de passe, vous devez configurer les comptes gérés.

Configurer les comptes gérés

SharePoint Server prend en charge la création de comptes gérés afin d'améliorer la sécurité et de garantir l'isolation des applications. Grâce aux comptes gérés, vous pouvez configurer la fonctionnalité de modification automatique de mot de passe afin que les mots de passe soient déployés dans l'ensemble des services de la batterie de serveurs. Vous pouvez configurez des services et des applications web SharePoint, exécutés sur des serveurs d'applications dans une batterie SharePoint, pour utiliser différents comptes de domaine. Vous pouvez créer plusieurs comptes dans les services de domaine Active Directory, puis les enregistrer dans SharePoint Server. Vous pouvez mapper des comptes gérés avec divers services et applications web de la batterie de serveurs.

Réinitialisation automatique des mots de passe selon un calendrier

Avant l'implémentation de la fonctionnalité de modification automatique de mot de passe, il fallait réinitialiser le mot de passe de chaque compte dans AD DS, puis mettre à jour manuellement les mots de passe de compte sur tous les services exécutés sur l'ensemble des ordinateurs de la batterie de serveurs. Pour cela, il fallait exécuter l'outil de ligne de commande Stsadm ou utiliser l'application web Administration centrale SharePoint. Grâce à la fonctionnalité de modification automatique de mot de passe, vous pouvez désormais enregistrer des comptes gérés et activer SharePoint Server pour le contrôle des mots de passe. Les utilisateurs doivent être avertis des modifications planifiées de mot de passe et des interruptions de service liées. Toutefois, les comptes utilisés par une batterie de serveurs SharePoint, les applications web et les divers services peuvent être automatiquement réinitialisés et déployés dans la batterie si nécessaire, en fonction de calendriers individuels de réinitialisation de mot de passe.

Détection de la date d’expiration des mots de passe

Les services informatiques imposent généralement une stratégie qui nécessite la réinitialisation régulière de tous les mots de passe de compte de domaine (par exemple, tous les 60 jours). SharePoint Server peut être configuré pour détecter l'imminence de l'expiration des mots de passe et envoyer une notification par courrier électronique à l'administrateur désigné. Même sans intervention de l'administrateur, il est possible de configurer SharePoint Server pour générer et réinitialiser des mots de passe automatiquement. Le calendrier de réinitialisation automatique de mot de passe est également configurable, pour garantir un impact minimal lors des éventuelles interruptions de service dues à la réinitialisation de mot de passe.

Réinitialisation immédiate du mot de passe d’un compte

Vous pouvez toujours passer outre un calendrier et forcer une réinitialisation immédiate de mot de passe du compte de service à l’aide d’une valeur spécifique. Dans ce scénario, le mot de passe du compte de service peut également être modifié dans AD DS par SharePoint Server. Le nouveau mot de passe est ensuite immédiatement propagé aux autres serveurs de la batterie.

Synchronisation des mots de passe de compte SharePoint Foundation avec les services de domaine Active Directory

Si les mots de passe de compte AD DS et SharePoint Server ne sont pas synchronisés, les services de la batterie de serveurs SharePoint ne démarrent pas. Si un administrateur Active Directory modifie le mot de passe d’un compte Active Directory sans coordonner le changement de mot de passe avec un administrateur SharePoint, il existe un risque d’interruptions de service. Dans ce scénario, un administrateur SharePoint peut immédiatement réinitialiser le mot de passe à partir de la page Gestion des comptes à l’aide de la valeur de mot de passe qui a été modifiée dans AD DS. Le mot de passe est mis à jour et immédiatement propagé vers les autres serveurs de la batterie SharePoint.

Réinitialisation immédiate de tous les mots de passe

Si un administrateur quitte soudainement votre organisation, ou si les mots de passe de compte de service doivent immédiatement être réinitialisés pour toute autre raison, vous pouvez rapidement créer un script Microsoft PowerShell qui appelle les applets de commande de modification de mot de passe. Ce script permet de générer de nouveaux mots de passe aléatoires et de les déployer immédiatement.

Processus de modification des informations d’identification

Lorsque que SharePoint Server modifie les informations d'identification d'un compte géré, ce processus de modification s'exécute sur un serveur de la batterie. Tous les autres serveurs recevront une notification indiquant que les informations d'identification sont sur le point de changer et que les serveurs peuvent effectuer des actions critiques préalables, si nécessaire. Si le mot de passe du compte n'a pas encore été modifié, SharePoint Server essaiera de le modifier par saisie manuelle ou à l'aide d'une chaîne aléatoire au chiffrement complexe. Les paramètres de complexité seront récupérés à partir de la stratégie appropriée (réseau ou locale), et le mot de passe généré respectera les paramètres détectés. SharePoint Server essaiera de valider une modification de mot de passe. Si la validation échoue, il essaiera à nouveau à l'aide d'une nouvelle séquence, et ce autant de fois que défini. Si le processus de mise à jour de mot de passe de compte réussit, il passera au prochain service dépendant, où il essaiera à nouveau de valider une modification de mot de passe. Si, finalement, cette opération échoue, chaque service dépendant recevra une notification lui indiquant qu’il peut reprendre une activité normale. La réussite ou l’échec de cette validation entraînera la génération d’une notification automatisée d’état de modification de mot de passe qui sera envoyée par courrier électronique aux administrateurs de la batterie de serveurs.

Impact de la modification des mots de passe sur le service

Lorsqu’un administrateur modifie le mot de passe pour les serveurs dans la topologie de recherche SharePoint, il existe un temps mort de requête implicite lors du redémarrage des services. Généralement, le temps mort de requête dure entre 3 et 5 minutes.

Voir aussi

Concepts

Configurer la modification automatique de mot de passe dans SharePoint Server