Jelszószabályzatok és fiókkorlátozások a Microsoft Entra ID-ban
A Microsoft Entra ID-ban van egy jelszóházirend, amely olyan beállításokat határoz meg, mint a jelszó összetettsége, hossza vagy kora. Létezik egy szabályzat is, amely a felhasználónevek elfogadható karaktereit és hosszát határozza meg.
Ha az önkiszolgáló jelszó-visszaállítás (SSPR) használatával módosít vagy alaphelyzetbe állít egy jelszót a Microsoft Entra-azonosítóban, a jelszóházirend be van jelölve. Ha a jelszó nem felel meg a szabályzat követelményeinek, a rendszer kérni fogja a felhasználót, hogy próbálkozzon újra. Az Azure-rendszergazdák bizonyos korlátozásokkal rendelkeznek az SSPR használatára vonatkozóan, amelyek eltérnek a normál felhasználói fiókoktól, és a Microsoft Entra ID próbaverziójára és ingyenes verzióira vonatkozóan vannak kisebb kivételek.
Ez a cikk a felhasználói fiókokhoz tartozó jelszóházirend-beállításokat és összetettségi követelményeket ismerteti. Azt is ismerteti, hogyan használhatja a PowerShellt a jelszó lejárati beállításainak ellenőrzésére vagy beállítására.
Felhasználónév-szabályzatok
A Microsoft Entra ID-ba bejelentkező összes fióknak egyedi egyszerű felhasználónév (UPN) attribútumértékkel kell rendelkeznie. A Microsoft Entra Csatlakozás használatával szinkronizált helyi Active Directory Domain Services (AD DS) környezettel rendelkező hibrid környezetekben alapértelmezés szerint a Microsoft Entra UPN a helyszíni UPN-ra van állítva.
Az alábbi táblázat a Microsoft Entra-azonosítóval szinkronizált helyszíni AD DS-fiókokra és a közvetlenül a Microsoft Entra-azonosítóban létrehozott, csak felhőalapú felhasználói fiókokra vonatkozó felhasználónév-szabályzatokat ismerteti:
Tulajdonság | A UserPrincipalName követelményei |
---|---|
Karakterek engedélyezettek | A – Z a - z 0 – 9 ' . - _ ! #^~ |
A karakterek nem engedélyezettek | Bármely "@" karakter, amely nem választja el a felhasználónevet a tartománytól. Nem tartalmazhat "." pont karaktert közvetlenül a "@" szimbólum előtt |
Hosszkorlátozások | A teljes hossz nem haladhatja meg a 113 karaktert A "@" szimbólum előtt legfeljebb 64 karakter lehet A "@" szimbólum után legfeljebb 48 karakter lehet |
Microsoft Entra jelszószabályzatok
A rendszer jelszóházirendet alkalmaz az összes olyan felhasználói fiókra, amelyet közvetlenül a Microsoft Entra ID-ban hoznak létre és kezelnek. Ezen jelszóházirend-beállítások némelyike nem módosítható, de egyéni tiltott jelszavakat konfigurálhat a Microsoft Entra jelszóvédelmi vagy fiókzárolási paramétereihez.
Alapértelmezés szerint egy fiók zárolása 10 sikertelen bejelentkezési kísérlet után, helytelen jelszóval történik. A felhasználó egy percre ki van zárva. A további helytelen bejelentkezési kísérletek hosszabb időre zárolják a felhasználót. Az intelligens zárolás nyomon követi az utolsó három rossz jelszókivonatot, hogy elkerülje a zárolási számláló növelését ugyanazon jelszó esetében. Ha valaki többször is ugyanazt a rossz jelszót adja meg, nem lesz kizárva. Megadhatja az intelligens zárolási küszöbértéket és időtartamot.
A Microsoft Entra jelszóházirendje nem vonatkozik a helyszíni AD DS-környezetből a Microsoft Entra Csatlakozás használatával szinkronizált felhasználói fiókokra, kivéve, ha engedélyezi az EnforceCloudPasswordPolicyForPasswordSyncedUsers szolgáltatást.
A következő Microsoft Entra jelszóházirend-beállítások vannak definiálva. Kivéve, ha feljegyezte, nem módosíthatja ezeket a beállításokat:
Tulajdonság | Követelmények |
---|---|
Karakterek engedélyezettek | A – Z a - z 0 – 9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <> Üres terület |
A karakterek nem engedélyezettek | Unicode-karakterek |
Jelszókorlátozások | Legalább 8 karakterből és legfeljebb 256 karakterből állhat. A következő karaktertípusok közül négyből hármat igényel: - Kisbetűk - Nagybetűk - Számok (0-9) - Szimbólumok (lásd az előző jelszókorlátozásokat) |
Jelszó lejárati időtartama (A jelszó maximális életkora) | Alapértelmezett érték: 90 nap. Ha a bérlő 2021 után lett létrehozva, nincs alapértelmezett lejárati értéke. Az aktuális szabályzatot a Get-MgDomain használatával ellenőrizheti. Az érték a PowerShellHez készült Microsoft Graph modul Update-MgDomain parancsmagjának használatával konfigurálható. |
Jelszó lejárata (A jelszavak soha nem járnak le) | Alapértelmezett érték: hamis (azt jelzi, hogy a jelszavak lejárati dátummal rendelkeznek). Az érték az Update-MgUser parancsmaggal konfigurálható egyéni felhasználói fiókokhoz. |
Jelszómódosítási előzmények | Az utolsó jelszó nem használható újra, amikor a felhasználó módosít egy jelszót. |
Jelszó-visszaállítási előzmények | Az utolsó jelszó akkor használható újra, ha a felhasználó visszaállít egy elfelejtett jelszót. |
A rendszergazdai visszaállítási szabályzat eltérései
Alapértelmezés szerint a rendszergazdai fiókok engedélyezve vannak az önkiszolgáló jelszó-visszaállításhoz, és erős, alapértelmezett kétkapus jelszó-visszaállítási szabályzat van érvényben. Ez a szabályzat eltérhet a felhasználók által definiált szabályzattól, és ez a szabályzat nem módosítható. Mindig tesztelje a jelszó-visszaállítási funkciót felhasználóként anélkül, hogy azure-rendszergazdai szerepkörök lettek volna hozzárendelve.
A kétkapus szabályzathoz két hitelesítési adatra van szükség, például egy e-mail-címre, egy hitelesítő alkalmazásra vagy egy telefonszámra, és tiltja a biztonsági kérdéseket. A Microsoft Entra ID próbaverziója vagy ingyenes verziója esetében az irodai és mobil hanghívások szintén tilosak.
A kétkapus szabályzat a következő esetekben érvényes:
A rendszer az alábbi Azure-rendszergazdai szerepköröket érinti:
- Alkalmazás-rendszergazda
- Alkalmazásproxy szolgáltatásadminisztrátor
- Hitelesítési rendszergazda
- Számlázási rendszergazda
- Szabályozási ügyintéző
- Eszközgazdák
- Címtár-szinkronizálási fiókok
- Címtárírók
- Dynamics 365-rendszergazda
- Exchange-rendszergazda
- Globális rendszergazda vagy vállalati rendszergazda
- Ügyfélszolgálati rendszergazda
- Intune-rendszergazda
- Postaláda Rendszergazda istrator
- Microsoft Entra csatlakoztatott eszköz helyi Rendszergazda istrator
- 1. szintű partnertámogatás
- 2. partnerszint támogatása
- Jelszórendszergazda
- Power BI szolgáltatás rendszergazda
- Emelt szintű hitelesítés rendszergazdája
- Kiemelt szerepkörű rendszergazda
- Biztonsági rendszergazda
- Szolgáltatástámogatási rendszergazda
- SharePoint-rendszergazda
- Skype Vállalati verzió rendszergazda
- Teams Rendszergazda istrator
- Teams Communications Rendszergazda istrator
- Teams-eszközök Rendszergazda istrator
- Felhasználói rendszergazda
Ha 30 nap telt el egy próbaverziós előfizetésben; Vagy
Egyéni tartomány lett konfigurálva a Microsoft Entra-bérlőhöz, például contoso.com; vagy
A Microsoft Entra Csatlakozás szinkronizálja a helyszíni címtár identitásait
Az Update-MgPolicyAuthorizationPolicy PowerShell parancsmaggal letilthatja az SSPR használatát rendszergazdai fiókokhoz. A -AllowedToUseSspr:$true|$false
paraméter engedélyezi/letiltja az SSPR-t a rendszergazdák számára. A rendszergazdai fiókok SSPR-jének engedélyezésére vagy letiltására vonatkozó szabályzatmódosítások érvénybe lépése akár 60 percet is igénybe vehet.
Kivételek
Az egykapus szabályzathoz egy hitelesítési adatra van szükség, például egy e-mail-címre vagy telefonszámra. Az egykapus szabályzat a következő esetekben érvényes:
Ez a próba-előfizetés első 30 napjában van
-Vagy-
Az egyéni tartomány nincs konfigurálva (a bérlő az alapértelmezett *.onmicrosoft.com használja, amely éles használatra nem ajánlott), és a Microsoft Entra Csatlakozás nem szinkronizálja az identitásokat.
Jelszó lejárati szabályzatai
Egy globális Rendszergazda istrator vagy felhasználói Rendszergazda istrator a Microsoft Graph használatával beállíthatja, hogy a felhasználói jelszavak ne járjanak le.
A PowerShell-parancsmagokkal eltávolíthatja a soha le nem járandó konfigurációt, vagy megtekintheti, hogy mely felhasználói jelszavak legyenek beállítva soha nem járnak le.
Ez az útmutató más szolgáltatókra is vonatkozik, például az Intune-ra és a Microsoft 365-re, amelyek szintén a Microsoft Entra azonosítójára támaszkodnak identitás- és címtárszolgáltatásokhoz. A jelszó lejárata a szabályzat egyetlen módosítható része.
Feljegyzés
Alapértelmezés szerint csak a Microsoft Entra Csatlakozás által nem szinkronizált felhasználói fiókok jelszavai konfigurálhatók úgy, hogy ne járjanak le. A címtárszinkronizálással kapcsolatos további információkért lásd: Connect AD with Microsoft Entra ID.
Jelszószabályzatok beállítása vagy ellenőrzése a PowerShell-lel
Első lépésként töltse le és telepítse a Microsoft Graph PowerShell-modult, és csatlakoztassa a Microsoft Entra-bérlőhöz.
A modul telepítése után az alábbi lépésekkel végezze el az egyes feladatokat.
Jelszó lejárati szabályzatának ellenőrzése
Nyisson meg egy PowerShell-kérést, és csatlakozzon a Microsoft Entra-bérlőhöz globális Rendszergazda istrator- vagy felhasználói Rendszergazda istrator-fiókkal.
Futtassa az alábbi parancsok egyikét egy adott felhasználóhoz vagy az összes felhasználóhoz:
Annak megtekintéséhez, hogy egyetlen felhasználó jelszava soha nem jár-e le, futtassa a következő parancsmagot. Cserélje le
<user ID>
az ellenőrizni kívánt felhasználó felhasználói azonosítójára:Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Ha azt szeretné, hogy a Jelszó soha ne járjon le az összes felhasználónál, futtassa a következő parancsmagot:
Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Jelszó beállítása a lejárathoz
Nyisson meg egy PowerShell-kérést, és csatlakozzon a Microsoft Entra-bérlőhöz globális Rendszergazda istrator- vagy felhasználói Rendszergazda istrator-fiókkal.
Futtassa az alábbi parancsok egyikét egy adott felhasználóhoz vagy az összes felhasználóhoz:
Ha egy felhasználó jelszavát úgy szeretné beállítani, hogy a jelszó lejárjon, futtassa a következő parancsmagot. Cserélje le
<user ID>
az ellenőrizni kívánt felhasználó felhasználói azonosítójára:Update-MgUser -UserId <user ID> -PasswordPolicies None
Ha a szervezet összes felhasználójának jelszavát úgy szeretné beállítani, hogy lejárjanak, használja a következő parancsot:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
Jelszó beállítása soha nem jár le
Nyisson meg egy PowerShell-kérést, és csatlakozzon a Microsoft Entra-bérlőhöz globális Rendszergazda istrator- vagy felhasználói Rendszergazda istrator-fiókkal.
Futtassa az alábbi parancsok egyikét egy adott felhasználóhoz vagy az összes felhasználóhoz:
Ha egy felhasználó jelszavát úgy szeretné beállítani, hogy soha ne járjon le, futtassa a következő parancsmagot. Cserélje le
<user ID>
az ellenőrizni kívánt felhasználó felhasználói azonosítójára:Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
Ha azt szeretné, hogy a szervezet összes felhasználójának jelszava soha ne járjon le, futtassa a következő parancsmagot:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Figyelmeztetés
Az attribútum alapján
LastPasswordChangeDateTime
a-PasswordPolicies DisablePasswordExpiration
jelszavak még mindig öregednek. Az attribútum alapjánLastPasswordChangeDateTime
, ha a lejáratot-PasswordPolicies None
módosítja, a 90 napnál régebbi jelszavakhozLastPasswordChangeDateTime
a felhasználónak módosítania kell őket a következő bejelentkezéskor. Ez a módosítás sok felhasználót érinthet.
Következő lépések
Az SSPR használatának megkezdéséhez tekintse meg az oktatóanyagot: Engedélyezze a felhasználók számára a fiók zárolásának feloldását vagy a jelszavak alaphelyzetbe állítását a Microsoft Entra önkiszolgáló jelszó-visszaállítással.
Ha Ön vagy a felhasználók problémái vannak az SSPR-vel, tekintse meg az önkiszolgáló jelszó-visszaállítás hibaelhárítását