Restrizioni e criteri password in Azure Active Directory

Questo articolo descrive i criteri password e i requisiti di complessità associati agli account utente archiviati nel tenant di Azure AD.

Differenze tra i criteri password degli amministratori

Microsoft consente di applicare criteri avanzati di reimpostazione della password con doppio controllo predefiniti per tutti i ruoli di amministratore di Azure, ad esempio amministratore globale, amministratore del supporto tecnico, amministratore password e così via.

In questo modo gli amministratori sono esentati dall'uso di domande di sicurezza e viene richiesta l'applicazione di quanto segue.

I criteri a doppio controllo, che richiedono due elementi di dati di autenticazione (indirizzo e-mail e numero di telefono), si applicano nelle situazioni seguenti

  • Tutti i ruoli di amministratore di Azure

    • Amministratore del supporto tecnico
    • Amministratore del supporto servizio
    • Amministratore fatturazione
    • Supporto partner - Livello 1
    • Supporto partner - Livello 2
    • Amministratore del servizio Exchange
    • Amministratore del servizio Lync
    • Amministratore account utente
    • Writer di directory
    • Amministratore globale/amministratore aziendale
    • Amministratore del servizio SharePoint
    • Amministratore di conformità
    • Amministratore di applicazioni
    • Amministratore della sicurezza
    • Amministratore dei ruoli con privilegi
    • Amministratore del servizio Intune
    • Amministratore del servizio proxy di applicazione
    • Amministratore del servizio CRM
    • Amministratore del servizio Power BI
  • 30 giorni trascorsi per una versione di valutazione OPPURE

  • Presenza di un dominio personalizzato (contoso.com) OPPURE
  • Identità sincronizzate da Azure AD Connect nella directory locale

Eccezioni

I criteri a un controllo, che richiedono un elemento di dati di autenticazione (indirizzo e-mail o numero di telefono), si applicano nelle situazioni seguenti

  • Primi 30 giorni di una versione di valutazione OPPURE
  • Dominio personalizzato non presente (.onmicrosoft.com) **E* identità non sincronizzate da Azure AD

Criteri UserPrincipalName che si applicano a tutti gli account utente

A ogni account utente che deve eseguire l'accesso ad Azure AD è necessario che sia associato un valore di attributo UPN. La tabella seguente illustra i criteri che si applicano sia agli account utente di Active Directory presenti in locale sincronizzati nel cloud sia agli account utente presenti solo nel cloud.

Proprietà Requisiti di UserPrincipalName
Caratteri consentiti
  • A-Z
  • a - z
  • 0 – 9
  • . - _ ! # ^ ~
Caratteri non consentiti
  • Qualsiasi carattere "@" che non separa il nome utente dal dominio.</li> <li>Non può contenere un punto "." subito prima del simbolo "@"
Vincoli di lunghezza
  • La lunghezza totale non deve superare i 113 caratteri
  • 64 caratteri prima del simbolo "@"</li><li>48 caratteri dopo il simbolo "@"

Criteri password che si applicano solo agli account utente del cloud

La tabella seguente descrive le impostazioni di criteri password disponibili che possono essere applicate agli account utente creati e gestiti in Azure AD.

Proprietà Requisiti
Caratteri consentiti
  • A-Z
  • a - z
  • 0 – 9
  • @ # $ % ^ & * - _ ! + = [ ] { } | \ : ‘ , . ? / ` ~ “ ( ) ;
Caratteri non consentiti
  • Caratteri Unicode
  • Spazi
  • Solo password complesse: non possono contenere un punto "." subito prima del simbolo "@".
Restrizioni per le password
  • minimo 8 caratteri e massimo 16 caratteri
  • Solo le password complesse: è necessario rispettare 3 su 4 delle istruzioni seguenti:
    • Caratteri minuscoli
    • Caratteri maiuscoli
    • Numeri (0-9)
    • Simboli (vedere le restrizioni per le password sopra citate)
Durata di validità della password
  • Valore predefinito: 90 giorni
  • Il valore è configurabile mediante il cmdlet Set-MsolPasswordPolicy del modulo di Azure Active Directory per Windows PowerShell.
Notifica della scadenza della password
  • Valore predefinito: 14 giorni (prima della scadenza della password)
  • Il valore è configurabile tramite il cmdlet Set-MsolPasswordPolicy.
Scadenza della password
  • Valore predefinito: false giorni (indica che la scadenza password è abilitata)
  • Il valore può essere configurato per singoli account utente mediante il cmdlet Set-MsolUser.
Cronologia di modifica della password L'ultima password non può essere riusata alla modifica della password.
Cronologia di reimpostazione della password L'ultima password può essere riusata alla reimpostazione della password dimenticata.
Blocco account Dopo 10 tentativi di accesso non riusciti (password errata), l'utente verrà bloccato per un minuto. Altri tentativi di accesso non riusciti bloccano l'utente per periodi sempre più lunghi.

Impostare i criteri di scadenza della password in Azure Active Directory

In qualità di amministratore globale per un servizio cloud Microsoft, è possibile usare il Modulo di Microsoft Azure Active Directory per Windows PowerShell per impostare password utente che non scadono. È inoltre possibile utilizzare cmdlet Windows PowerShell per rimuovere la configurazione senza scadenza, o per vedere quali password utente vengono impostate senza scadenza. Queste indicazioni si applicano ad altri provider, ad esempio Microsoft Intune e Office 365, che si basano sempre su Microsoft Azure Active Directory per i servizi di identità e directory.

Nota

Solo le password degli account utente per cui non è usata la sincronizzazione della directory possono essere configurate per non scadere. Per altre informazioni sulla sincronizzazione delle directory, vedere Integrare le directory locali con Azure Active Directory.

Impostare o verificare i criteri password tramite PowerShell

Per iniziare, è necessario scaricare e installare il modulo di Azure AD PowerShell. Al termine dell'installazione è possibile eseguire la procedura seguente per configurare ogni campo.

Come controllare i criteri di scadenza per una password

  1. Connettersi a Windows PowerShell utilizzando le credenziali aziendali di amministratore.
  2. Eseguire uno di questi comandi:

    • Per vedere se la password di un singolo utente è impostata per non scadere mai, eseguire il cmdlet seguente usando il nome principale utente (UPN) (ad esempio, aprilr@contoso.onmicrosoft.com) o l'ID utente dell'utente che si desidera controllare: Get-MSOLUser -UserPrincipalName <user ID> | Select PasswordNeverExpires
    • Per visualizzare l'impostazione "Nessuna scadenza per la Password" per tutti gli utenti, eseguire il cmdlet seguente: Get-MSOLUser | Select UserPrincipalName, PasswordNeverExpires

Impostare una scadenza della password

  1. Connettersi a Windows PowerShell utilizzando le credenziali aziendali di amministratore.
  2. Eseguire uno di questi comandi:

    • Per impostare la password di un utente in modo che scada, eseguire questo cmdlet usando il nome dell'entità utente (UPN) o l'ID dell'utente: Set-MsolUser -UserPrincipalName <user ID> -PasswordNeverExpires $false
    • Per impostare le password di tutti gli utenti dell'organizzazione in modo che scadano, usare il cmdlet seguente: Get-MSOLUser | Set-MsolUser -PasswordNeverExpires $false

Impostare una password senza scadenza

  1. Connettersi a Windows PowerShell utilizzando le credenziali aziendali di amministratore.
  2. Eseguire uno di questi comandi:

    • Per impostare la password di un utente senza scadenza, eseguire il cmdlet seguente usando il nome principale utente (UPN) o l'ID utente dell'utente: Set-MsolUser -UserPrincipalName <user ID> -PasswordNeverExpires $true
    • Per impostare le password degli utenti in un'organizzazione in modo che non scadano mai, eseguire il cmdlet seguente: Get-MSOLUser | Set-MsolUser -PasswordNeverExpires $true

Passaggi successivi

I collegamenti seguenti forniscono altre informazioni sull'uso della reimpostazione della password con Azure AD

  • Guida introduttiva - Iniziare a usare la gestione self-service delle password di Azure AD
  • Licenze: configurare le licenze di Azure AD
  • Dati : informazioni sui dati necessari e su come vengono usati per la gestione delle password
  • Implementazione: pianificare e distribuire agli utenti la reimpostazione password self-service usando le istruzioni disponibili in questo articolo
  • Personalizzazione: personalizzare l'aspetto dell'esperienza della reimpostazione password self-service per l'azienda.
  • Reporting : verificare se, quando e dove gli utenti accedono alla reimpostazione password self-service
  • Approfondimento tecnico: approfondimento sul funzionamento
  • Domande frequenti - Come Perché? Cosa? Dove? Chi? Quando? - Risposte alle domande di maggiore interesse
  • Risoluzione dei problemi: informazioni su come risolvere i problemi comuni con la reimpostazione password self-service