Kennwortrichtlinien und Kontoeinschränkungen in Azure Active DirectoryPassword policies and account restrictions in Azure Active Directory

In Azure Active Directory (Azure AD) definiert eine Kennwortrichtlinie Einstellungen wie die Kennwortkomplexität, die Länge oder das Alter.In Azure Active Directory (Azure AD), there's a password policy that defines settings like the password complexity, length, or age. Außerdem definiert eine Richtlinie zulässige Zeichen und die Länge für Benutzernamen.There's also a policy that defines acceptable characters and length for usernames.

Wenn ein Kennwort in Azure AD mithilfe der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) geändert oder zurückgesetzt wird, erfolgt eine Überprüfung anhand der Kennwortrichtlinie.When self-service password reset (SSPR) is used to change or reset a password in Azure AD, the password policy is checked. Wenn das Kennwort nicht die Richtlinienanforderungen erfüllt, wird der Benutzer aufgefordert, es erneut zu versuchen.If the password doesn't meet the policy requirements, the user is prompted to try again. Für Azure-Administratoren gelten einige Einschränkungen bei der Verwendung der SSPR, die für reguläre Benutzerkonten nicht gelten.Azure administrators have some restrictions on using SSPR that are different to regular user accounts.

In diesem Artikel werden die Einstellungen und Komplexitätsanforderungen für Kennwortrichtlinien im Zusammenhang mit Benutzerkonten in Ihrem Azure AD-Mandanten sowie die Verwendung von PowerShell zum Überprüfen oder Festlegen von Kennwortablaufeinstellungen beschrieben.This article describes the password policy settings and complexity requirements associated with user accounts in your Azure AD tenant, and how you can use PowerShell to check or set password expiration settings.

Richtlinien für BenutzernamenUsername policies

Jedes Konto, das sich bei Azure AD anmeldet, muss über ein eindeutiges, diesem Konto zugeordnetes Benutzerprinzipalnamen-Attribut (UPN, User Principal Name) verfügen.Every account that signs in to Azure AD must have a unique user principal name (UPN) attribute value associated with their account. In Hybridumgebungen mit einer lokalen Active Directory Domain Services-Umgebung (AD DS), die über Azure AD Connect mit Azure AD synchronisiert wird, ist der Azure AD-UPN standardmäßig auf den lokalen UPN festgelegt.In hybrid environments with an on-premises Active Directory Domain Services (AD DS) environment synchronized to Azure AD using Azure AD Connect, by default the Azure AD UPN is set to the on-prem UPN.

In der folgenden Tabelle sind die Richtlinien für Benutzernamen aufgeführt, die sowohl für lokale AD DS-Konten, die mit Azure AD synchronisiert werden, als auch für Benutzerkonten gelten, die ausschließlich in der Cloud verwendet und direkt in Azure AD erstellt werden:The following table outlines the username policies that apply to both on-premises AD DS accounts that are synchronized to Azure AD, and for cloud-only user accounts created directly in Azure AD:

EigenschaftProperty UserPrincipalName-RichtlinienUserPrincipalName requirements
Zulässige ZeichenCharacters allowed
  • A – ZA – Z
  • a – za - z
  • 0 – 90 – 9
  • ' .' . - _ ! - _ ! # ^ ~# ^ ~
Unzulässige ZeichenCharacters not allowed
  • Jedes@"-Zeichen, das nicht den Benutzernamen und die Domäne trennt.Any "@" character that's not separating the username from the domain.
  • Darf keinen Punkt (.) unmittelbar vor dem @"-Symbol enthalten.Can't contain a period character "." immediately preceding the "@" symbol
LängenbeschränkungenLength constraints
  • Die Gesamtlänge darf 113 Zeichen nicht überschreiten.The total length must not exceed 113 characters
  • Vor dem @"-Symbol sind bis zu 64 Zeichen zulässig.There can be up to 64 characters before the "@" symbol
  • Nach dem @"-Symbol sind bis zu 48 Zeichen zulässig.There can be up to 48 characters after the "@" symbol

Azure AD-KennwortrichtlinienAzure AD password policies

Eine Kennwortrichtlinie wird auf alle Benutzerkonten angewandt, die direkt in Azure AD erstellt und verwaltet werden.A password policy is applied to all user accounts that are created and managed directly in Azure AD. Einige dieser Kennwortrichtlinien können zwar nicht geändert werden, aber Sie können benutzerdefinierte gesperrte Kennwörter für den Azure AD-Kennwortschutz oder Parameter für Kontosperrungen konfigurieren.Some of these password policy settings can't be modified, though you can configure custom banned passwords for Azure AD password protection or account lockout parameters.

Nach 10 nicht erfolgreichen Anmeldeversuchen mit einem falschen Kennwort wird das Konto standardmäßig gesperrt.By default, an account is locked out after 10 unsuccessful sign-in attempts with the wrong password. Der Benutzer wird dann für eine Minute gesperrt.The user is locked out for one minute. Mit jeder weiteren fehlerhaften Anmeldeversuch verlängert sich die Dauer, die der Benutzer gesperrt ist.Further incorrect sign-in attempts lock out the user for increasing durations of time. Smart Lockout verfolgt die letzten drei fehlerhaften Kennworthashes, um zu vermeiden, dass der Sperrungszähler für dasselbe Kennwort erhöht wird.Smart lockout tracks the last three bad password hashes to avoid incrementing the lockout counter for the same password. Wenn eine Person mehrmals das falsche Kennwort eingibt, wird dadurch keine Kontosperre verursacht. Sie können den Grenzwert und die Dauer von Smart Lockout-Maßnahmen festlegen.If someone enters the same bad password multiple times, this behavior will not cause the account to lock out. You can define the smart lockout threshold and duration.

Die Azure AD-Kennwortrichtlinie gilt nicht für Benutzerkonten, die über Azure AD Connect aus einer lokalen AD DS-Umgebung synchronisiert werden, sofern Sie nicht EnforceCloudPasswordPolicyForPasswordSyncedUsers aktivieren.The Azure AD password policy doesn't apply to user accounts synchronized from an on-premises AD DS environment using Azure AD Connect, unless you enable EnforceCloudPasswordPolicyForPasswordSyncedUsers.

Die folgenden Optionen für Azure AD-Kennwortrichtlinien sind definiert:The following Azure AD password policy options are defined. Sofern nichts anderes angegeben ist, können Sie die folgenden Einstellungen nicht ändern:Unless noted, you can't change these settings:

EigenschaftProperty Requirements (Anforderungen)Requirements
Zulässige ZeichenCharacters allowed
  • A – ZA – Z
  • a – za - z
  • 0 – 90 – 9
  • @ # $ % ^ & * - _ !@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , .+ = [ ] { } | \ : ' , . ?? / ` ~ " ( ) ; / ` ~ " ( ) ;
  • Leerraumblank space
Unzulässige ZeichenCharacters not allowed Unicode-ZeichenUnicode characters.
KennworteinschränkungenPassword restrictions
  • Mindestens 8 Zeichen und höchstens 256 Zeichen.A minimum of 8 characters and a maximum of 256 characters.
  • Muss drei der folgenden vier Elemente enthalten:Requires three out of four of the following:
    • KleinbuchstabenLowercase characters.
    • GroßbuchstabenUppercase characters.
    • Zahlen (0 bis 9)Numbers (0-9).
    • Symbole (siehe die vorherigen Kennworteinschränkungen)Symbols (see the previous password restrictions).
Zeitraum bis zum Ablauf des Kennworts (maximales Kennwortalter)Password expiry duration (Maximum password age)
  • Standardwert: 90 TageDefault value: 90 days.
  • Der Wert kann im Azure Active Directory-Modul für Windows PowerShell mit dem Cmdlet Set-MsolPasswordPolicy konfiguriert werden.The value is configurable by using the Set-MsolPasswordPolicy cmdlet from the Azure Active Directory Module for Windows PowerShell.
Benachrichtigung bei Ablauf des Kennworts (wenn Benutzer über den Ablauf des Kennworts benachrichtigt werden)Password expiry notification (When users are notified of password expiration)
  • Standardwert: 14 Tage (bevor das Kennwort abläuft)Default value: 14 days (before password expires).
  • Der Wert kann mit dem Cmdlet Set-MsolPasswordPolicy konfiguriert werden.The value is configurable by using the Set-MsolPasswordPolicy cmdlet.
Kennwortablauf (Kennwort läuft nie ab)Password expiry (Let passwords never expire)
  • Standardwert: false (gibt an, dass Kennwörter ein Ablaufdatum aufweisen).Default value: false (indicates that password's have an expiration date).
  • Der Wert kann mit dem Cmdlet Set-MsolUser für einzelne Benutzerkonten konfiguriert werden.The value can be configured for individual user accounts by using the Set-MsolUser cmdlet.
Verlauf der KennwortänderungenPassword change history Das letzte Kennwort kann nicht erneut verwendet werden, wenn der Benutzer ein Kennwort ändert.The last password can't be used again when the user changes a password.
Verlauf der KennwortzurücksetzungenPassword reset history Das letzte Kennwort kann erneut verwendet werden, wenn der Benutzer ein vergessenes Kennwort zurücksetzt.The last password can be used again when the user resets a forgotten password.

Unterschiede zu Richtlinien zum Zurücksetzen von AdministratorkennwörternAdministrator reset policy differences

Standardmäßig ist die Self-Service-Kennwortzurücksetzung für Administratorkonten aktiviert, und es wird eine strenge Standardrichtlinie für die zweistufige Kennwortzurücksetzung erzwungen.By default, administrator accounts are enabled for self-service password reset, and a strong default two-gate password reset policy is enforced. Diese Richtlinie kann sich von der Richtlinie unterscheiden, die Sie für Ihre Benutzer definiert haben, und diese Richtlinie kann nicht geändert werden.This policy may be different from the one you have defined for your users, and this policy can't be changed. Sie sollten die Funktion zum Zurücksetzen des Kennworts immer als Benutzer ohne zugewiesene Azure-Administratorrollen testen.You should always test password reset functionality as a user without any Azure administrator roles assigned.

Mit einer Zwei-Gate-Richtlinie haben Administratoren nicht die Möglichkeit, Sicherheitsfragen zu verwenden.With a two-gate policy, administrators don't have the ability to use security questions.

Eine Zwei-Gate-Richtlinie erfordert Authentifizierungsdaten, die aus zwei Elementen bestehen, z. B. E-Mail-Adresse, Authentifikator-App oder Telefonnummer.The two-gate policy requires two pieces of authentication data, such as an email address, authenticator app, or a phone number. Eine Zwei-Gate-Richtlinie gilt in folgenden Situationen:A two-gate policy applies in the following circumstances:

  • Alle folgenden Administratorrollen sind betroffen:All the following Azure administrator roles are affected:

    • Helpdesk-AdministratorHelpdesk administrator
    • DienstunterstützungsadministratorService support administrator
    • RechnungsadministratorBilling administrator
    • Partnersupport der Ebene 1Partner Tier1 Support
    • Partnersupport der Ebene 2Partner Tier2 Support
    • Exchange-AdministratorExchange administrator
    • Skype for Business-AdministratorSkype for Business administrator
    • BenutzeradministratorUser administrator
    • Verzeichnis schreibenDirectory writers
    • Globaler Administrator oder UnternehmensadministratorGlobal administrator or company administrator
    • SharePoint-AdministratorSharePoint administrator
    • ComplianceadministratorCompliance administrator
    • AnwendungsadministratorApplication administrator
    • SicherheitsadministratorSecurity administrator
    • Administrator für privilegierte RollenPrivileged role administrator
    • Intune-AdministratorIntune administrator
    • Anwendungsproxy-DienstadministratorApplication proxy service administrator
    • Dynamics 365-AdministratorDynamics 365 administrator
    • Power BI-DienstadministratorPower BI service administrator
    • AuthentifizierungsadministratorAuthentication administrator
    • Privilegierter AuthentifizierungsadministratorPrivileged Authentication administrator
  • Wenn 30 Tage in einem Testabonnement abgelaufen sind, oderIf 30 days have elapsed in a trial subscription; or

  • eine benutzerdefinierte Domäne für Ihren Azure AD-Mandanten konfiguriert wurde, z. B. contoso.com, oderA custom domain has been configured for your Azure AD tenant, such as contoso.com; or

  • Azure AD Connect synchronisiert Identitäten aus Ihrem lokalen Verzeichnis.Azure AD Connect is synchronizing identities from your on-premises directory

Sie können die Verwendung der Self-Service-Kennwortzurücksetzung für Administratorkonten über das PowerShell-CmdletSet-MsolCompanySettings deaktivieren.You can disable the use of SSPR for administrator accounts using the Set-MsolCompanySettings PowerShell cmdlet. Mithilfe des Parameters -SelfServePasswordResetEnabled $False wird die Self-Service-Kennwortzurücksetzung für Administratoren deaktiviert.The -SelfServePasswordResetEnabled $False parameter disables SSPR for administrators.

AusnahmenExceptions

Eine Ein-Gate-Richtlinie erfordert Authentifizierungsdaten, die aus einem Element bestehen, z. B. eine E-Mail-Adresse oder eine Telefonnummer.A one-gate policy requires one piece of authentication data, such as an email address or phone number. Eine Ein-Gate-Richtlinie gilt in folgenden Situationen:A one-gate policy applies in the following circumstances:

  • Für ein Testabonnement sind noch keine 30 Tage vergangen, oderIt's within the first 30 days of a trial subscription; or
  • für Ihren Azure AD-Mandanten wurde keine benutzerdefinierte Domäne konfiguriert, weshalb die Standarddomäne * .onmicrosoft.com verwendet wird.A custom domain hasn't been configured for your Azure AD tenant so is using the default *.onmicrosoft.com. Die Standarddomäne * .onmicrosoft.com wird nicht für die Verwendung in der Produktion empfohlen.The default *.onmicrosoft.com domain isn't recommended for production use; and
  • Azure AD Connect synchronisiert keine Identitäten.Azure AD Connect isn't synchronizing identities

Richtlinien zum KennwortablaufPassword expiration policies

Ein globaler Administrator oder Benutzeradministrator kann mit dem Microsoft Azure AD-Modul für Windows PowerShell festlegen, dass Benutzerkennwörter nicht ablaufen.A global administrator or user administrator can use the Microsoft Azure AD Module for Windows PowerShell to set user passwords not to expire.

Sie können auch PowerShell-Cmdlets verwenden, um die Konfiguration für niemals ablaufende Kennwörter zu entfernen oder um anzuzeigen, für welche Benutzerkennwörter festgelegt ist, dass sie nie ablaufen.You can also use PowerShell cmdlets to remove the never-expires configuration or to see which user passwords are set to never expire.

Diese Anleitung gilt für andere Anbieter wie Intune und Microsoft 365, die ebenfalls auf Azure AD als Identitäts- und Verzeichnisdienste zurückgreifen.This guidance applies to other providers, such as Intune and Microsoft 365, which also rely on Azure AD for identity and directory services. Kennwortablauf ist der einzige Teil der Richtlinie, der geändert werden kann.Password expiration is the only part of the policy that can be changed.

Hinweis

Nur Kennwörter für Benutzerkonten, die nicht über Azure AD Connect synchronisiert werden, können so konfiguriert werden, dass sie nicht ablaufen.Only passwords for user accounts that aren't synchronized through Azure AD Connect can be configured to not expire. Weitere Informationen zur Verzeichnissynchronisierung finden Sie unter Integrieren Ihrer lokalen Verzeichnisse in Azure Active Directory.For more information about directory synchronization, see Connect AD with Azure AD.

Festlegen oder Überprüfen der Kennwortrichtlinien mithilfe von PowerShellSet or check the password policies by using PowerShell

Um zu beginnen, laden Sie das Azure AD PowerShell-Modul herunter und installieren es. Verbinden Sie es anschließend mit Ihrem Azure AD-Mandanten.To get started, download and install the Azure AD PowerShell module and connect it to your Azure AD tenant.

Nachdem das Modul installiert wurde, können Sie jede Aufgabe nach Bedarf mit den folgenden Schritten abschließen.After the module is installed, use the following steps to complete each task as needed.

Überprüfen der Ablaufrichtlinie für ein KennwortCheck the expiration policy for a password

  1. Öffnen Sie eine PowerShell-Eingabeaufforderung, und stellen Sie mithilfe des Kontos eines globalen Administrators oder Benutzeradministrators eine Verbindung mit Ihrem Azure AD-Mandanten her.Open a PowerShell prompt and connect to your Azure AD tenant using a global administrator or user administrator account.

  2. Führen Sie einen der folgenden Befehle für einen einzelnen Benutzer oder für alle Benutzer aus:Run one of the following commands for either an individual user or for all users:

    • Führen Sie das folgende Cmdlet aus, um zu ermitteln, ob für das Kennwort eines einzelnen Benutzers festgelegt ist, dass es nie abläuft.To see if a single user's password is set to never expire, run the following cmdlet. Ersetzen Sie <user ID> durch die Benutzer-ID des Benutzers, den Sie überprüfen möchten, z. B. driley@contoso.onmicrosoft.com:Replace <user ID> with the user ID of the user you want to check, such as driley@contoso.onmicrosoft.com:

      Get-AzureADUser -ObjectId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • Um die Einstellung Kennwort läuft nie ab für alle Benutzer anzuzeigen, führen Sie das folgende Cmdlet aus:To see the Password never expires setting for all users, run the following cmdlet:

      Get-AzureADUser -All $true | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

Festlegen, dass ein Kennwort abläuftSet a password to expire

  1. Öffnen Sie eine PowerShell-Eingabeaufforderung, und stellen Sie mithilfe des Kontos eines globalen Administrators oder Benutzeradministrators eine Verbindung mit Ihrem Azure AD-Mandanten her.Open a PowerShell prompt and connect to your Azure AD tenant using a global administrator or user administrator account.

  2. Führen Sie einen der folgenden Befehle für einen einzelnen Benutzer oder für alle Benutzer aus:Run one of the following commands for either an individual user or for all users:

    • Um für das Kennwort eines Benutzers festzulegen, dass es abläuft, führen Sie das folgende Cmdlet aus.To set the password of one user so that the password expires, run the following cmdlet. Ersetzen Sie <user ID> durch die Benutzer-ID des Benutzers, den Sie überprüfen möchten, z. B. driley@contoso.onmicrosoft.com.Replace <user ID> with the user ID of the user you want to check, such as driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies None
      
    • Um für die Kennwörter aller Benutzer in der Organisation festzulegen, dass sie ablaufen, verwenden Sie das folgende Cmdlet:To set the passwords of all users in the organization so that they expire, use the following cmdlet:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies None
      

Festlegen, dass ein Kennwort nicht abläuftSet a password to never expire

  1. Öffnen Sie eine PowerShell-Eingabeaufforderung, und stellen Sie mithilfe des Kontos eines globalen Administrators oder Benutzeradministrators eine Verbindung mit Ihrem Azure AD-Mandanten her.Open a PowerShell prompt and connect to your Azure AD tenant using a global administrator or user administrator account.

  2. Führen Sie einen der folgenden Befehle für einen einzelnen Benutzer oder für alle Benutzer aus:Run one of the following commands for either an individual user or for all users:

    • Um für das Kennwort eines Benutzers festzulegen, dass es nie abläuft, führen Sie das folgende Cmdlet aus.To set the password of one user to never expire, run the following cmdlet. Ersetzen Sie <user ID> durch die Benutzer-ID des Benutzers, den Sie überprüfen möchten, z. B. driley@contoso.onmicrosoft.com.Replace <user ID> with the user ID of the user you want to check, such as driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • Um für die Kennwörter aller Benutzer in der Organisation festzulegen, dass sie nie ablaufen, verwenden Sie das folgende Cmdlet:To set the passwords of all the users in an organization to never expire, run the following cmdlet:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies DisablePasswordExpiration
      

    Warnung

    Kennwörter, die auf -PasswordPolicies DisablePasswordExpiration festgelegt sind, altern trotzdem entsprechend dem pwdLastSet-Attribut.Passwords set to -PasswordPolicies DisablePasswordExpiration still age based on the pwdLastSet attribute. Entsprechend dem pwdLastSet-Attribut ergibt sich, wenn Sie das Ablaufen in -PasswordPolicies None ändern, dass jedes Kennwort, dessen pwdLastSet älter als 90 Tage ist, vom Benutzer bei seiner nächster Anmeldung geändert werden muss.Based on the pwdLastSet attribute, if you change the expiration to -PasswordPolicies None, all passwords that have a pwdLastSet older than 90 days require the user to change them the next time they sign in. Diese Änderung kann eine große Anzahl von Benutzern betreffen.This change can affect a large number of users.

Nächste SchritteNext steps

Informationen zu den ersten Schritten mit SSPR finden Sie im Tutorial: Ermöglichen der Kontoentsperrung oder Kennwortzurücksetzung für Benutzer mit der Self-Service-Kennwortzurücksetzung von Azure Active Directory.To get started with SSPR, see Tutorial: Enable users to unlock their account or reset passwords using Azure Active Directory self-service password reset.

Wenn Sie oder Ihre Benutzer Probleme mit SSPR haben, finden Sie weitere Informationen unter Behandeln von Problemen mit der Self-Service-Kennwortzurücksetzung.If you or users have problems with SSPR, see Troubleshoot self-service password reset