Restrizioni e criteri password in Azure Active DirectoryPassword policies and restrictions in Azure Active Directory

Questo articolo descrive i criteri password e i requisiti di complessità associati agli account utente archiviati nel tenant di Azure Active Directory (Azure AD).This article describes the password policies and complexity requirements associated with user accounts stored in your Azure Active Directory (Azure AD) tenant.

Differenze tra i criteri password degli amministratoriAdministrator password policy differences

Microsoft applica un criterio per la reimpostazione della password predefinita complessa a due gate per i ruoli di amministratore di Azure.Microsoft enforces a strong default two-gate password reset policy for any Azure administrator role.

Con il criterio a due gate, gli amministratori non hanno la possibilità di usare le domande di sicurezza.With a two-gate policy, administrators don't have the ability to use security questions.

Un criterio a due gate richiede due tipi di dati di autenticazione, ad esempio un indirizzo di posta elettronica e un numero di telefono.A two-gate policy requires two pieces of authentication data, such as an email address and a phone number. Un criterio a due gate si applica nelle circostanze seguenti:A two-gate policy applies in the following circumstances:

  • Sono interessati tutti i ruoli di amministratore di Azure seguenti:All the following Azure administrator roles are affected:

    • Amministratore dell'help deskHelpdesk administrator
    • Amministratore del supporto per il servizioService support administrator
    • Amministratore fatturazioneBilling administrator
    • Supporto partner - Livello 1Partner Tier1 Support
    • Supporto partner - Livello 2Partner Tier2 Support
    • Amministratore del servizio ExchangeExchange service administrator
    • Amministratore del servizio LyncLync service administrator
    • Amministratore account utenteUser account administrator
    • Writer di directoryDirectory writers
    • Amministratore globale o amministratore aziendaleGlobal administrator or company administrator
    • Amministratore del servizio SharePointSharePoint service administrator
    • Amministratore di conformitàCompliance administrator
    • Amministratore di applicazioniApplication administrator
    • Amministratore della sicurezzaSecurity administrator
    • Amministratore dei ruoli con privilegiPrivileged role administrator
    • Amministratore del servizio Microsoft IntuneMicrosoft Intune service administrator
    • Amministratore del servizio proxy di applicazioneApplication proxy service administrator
    • Amministratore del servizio CRMCRM service administrator
    • Amministratore del servizio Power BIPower BI service administrator
  • Se sono trascorsi 30 giorni per una sottoscrizione di valutazioneIf 30 days have elapsed in a trial subscription

    oppureor

  • È presente un dominio personale, ad esempio contoso.comA vanity domain is present, such as contoso.com

    oppureor

  • Identità sincronizzate da Azure AD Connect nella directory localeAzure AD Connect is synchronizing identities from your on-premises directory

EccezioniExceptions

Un criterio a un gate richiede un tipo di dati di autenticazione, ad esempio un indirizzo di posta elettronica o un numero di telefono.A one-gate policy requires one piece of authentication data, such as an email address or phone number. Un criterio a un gate si applica nelle circostanze seguenti:A one-gate policy applies in the following circumstances:

  • Non sono ancora trascorsi i primi 30 giorni per una sottoscrizione di valutazioneIt's within the first 30 days of a trial subscription

    oppureor

  • Non è presente un dominio personale (.onmicrosoft.com)A vanity domain isn't present (.onmicrosoft.com)

    eand

    Azure AD Connect non sincronizza le identitàAzure AD Connect isn't synchronizing identities

Criteri UserPrincipalName che si applicano a tutti gli account utenteUserPrincipalName policies that apply to all user accounts

A ogni account utente che deve eseguire l'accesso ad Azure AD è necessario che sia associato un valore di attributo UPN.Every user account that needs to sign in to Azure AD must have a unique user principal name (UPN) attribute value associated with their account. La tabella seguente descrive i criteri che si applicano sia agli account utente Active Directory locali sincronizzati con il cloud sia agli account utente di reti solo cloud:The following table outlines the polices that apply to both on-premises Active Directory user accounts that are synchronized to the cloud and to cloud-only user accounts:

ProprietàProperty Requisiti di UserPrincipalNameUserPrincipalName requirements
Caratteri consentitiCharacters allowed
  • A-ZA – Z
  • a - za - z
  • 0 – 90 – 9
  • .. - _ ! - _ ! # ^ ~# ^ ~
Caratteri non consentitiCharacters not allowed
  • Qualsiasi carattere "@" che non separa il nome utente dal dominio.</span><span class="sxs-lookup">Any "@" character that's not separating the username from the domain.</span></span></li> <li><span data-ttu-id="42c1c-158">Non può contenere un punto "." subito prima del simbolo "@"</span><span class="sxs-lookup">Can't contain a period character "." immediately preceding the "@" symbol
Vincoli di lunghezzaLength constraints
  • La lunghezza totale non deve superare i 113 caratteriThe total length must not exceed 113 characters
  • Prima del simbolo "@" possono esserci al massimo 64 caratteri</span><span class="sxs-lookup">There can be up to 64 characters before the "@" symbol</span></span></li><li><span data-ttu-id="42c1c-162">Dopo il simbolo "@" possono esserci al massimo 48 caratteri</span><span class="sxs-lookup">There can be up to 48 characters after the "@" symbol

Criteri password che si applicano solo agli account utente del cloudPassword policies that only apply to cloud user accounts

La tabella seguente descrive le impostazioni disponibili per i criteri password che possono essere applicate agli account utente creati e gestiti in Azure AD:The following table describes the available password policy settings that can be applied to user accounts that are created and managed in Azure AD:

ProprietàProperty RequisitiRequirements
Caratteri consentitiCharacters allowed
  • A-ZA – Z
  • a - za - z
  • 0 – 90 – 9
  • @ # $ % ^ & * - !@ # $ % ^ & * - ! + = [ ] { } | \ : ‘ , .+ = [ ] { } | \ : ‘ , . ?? / ` ~ “ ( ) ;/ ` ~ “ ( ) ;
Caratteri non consentitiCharacters not allowed
  • Caratteri Unicode.Unicode characters.
  • Spazi.Spaces.
  • Solo password complesse: non possono contenere un punto "." subito prima del simbolo "@".</span><span class="sxs-lookup">Strong passwords only: Can't contain a dot character "." immediately preceding the "@" symbol.
Restrizioni per le passwordPassword restrictions
  • Devono avere un numero di caratteri compreso tra 8 e 16.A minimum of 8 characters and a maximum of 16 characters.
  • Solo password complesse: è necessario soddisfare tre dei quattro requisiti seguenti:Strong passwords only: Requires three out of four of the following:
    • Caratteri minuscoli.Lowercase character.s
    • Caratteri maiuscoli.Uppercase characters.
    • Numeri (da 0 a 9).Numbers (0-9).
    • Simboli (vedere le restrizioni per le password elencate sopra).Symbols (see the previous password restrictions).
Durata di validità della passwordPassword expiry duration
  • Valore predefinito: 90 giorni.Default value: 90 days.
  • Il valore può essere configurato con il cmdlet Set-MsolPasswordPolicy del modulo di Azure Active Directory per Windows PowerShell.The value is configurable by using the Set-MsolPasswordPolicy cmdlet from the Azure Active Directory Module for Windows PowerShell.
Notifica della scadenza della passwordPassword expiry notification
  • Valore predefinito: 14 giorni (prima della scadenza della password).Default value: 14 days (before password expires).
  • Il valore può essere configurato con il cmdlet Set-MsolPasswordPolicy.The value is configurable by using the Set-MsolPasswordPolicy cmdlet.
Scadenza della passwordPassword expiry
  • Valore predefinito: false giorni (indica che la scadenza password è abilitata).Default value: false days (indicates that password expiry is enabled).
  • Il valore può essere configurato per singoli account utente con il cmdlet Set-MsolUser.The value can be configured for individual user accounts by using the Set-MsolUser cmdlet.
Cronologia delle modifiche della passwordPassword change history Al cambio della password, l'utente non può usare di nuovo la password più recente.The last password can't be used again when the user changes a password.
Cronologia delle reimpostazioni della passwordPassword reset history Alla reimpostazione di una password dimenticata, l'utente può usare di nuovo la password più recente.The last password can be used again when the user resets a forgotten password.
Blocco dell'accountAccount lockout Dopo 10 tentativi di accesso non riusciti a causa della password errata, l'utente viene bloccato per un minuto.After 10 unsuccessful sign-in attempts with the wrong password, the user is locked out for one minute. Altri tentativi di accesso non riusciti bloccano l'utente per periodi sempre più lunghi.Further incorrect sign-in attempts lock out the user for increasing durations of time.

Impostare i criteri di scadenza della password in Azure ADSet password expiration policies in Azure AD

In qualità di amministratore globale per un servizio cloud Microsoft, è possibile usare il Modulo di Microsoft Azure AD per Windows PowerShell per impostare password utente che non scadono.A global administrator for a Microsoft cloud service can use the Microsoft Azure AD Module for Windows PowerShell to set user passwords not to expire. È inoltre possibile usare cmdlet Windows PowerShell per rimuovere la configurazione senza scadenza, o per vedere quali password utente vengono impostate in modo da non scadere mai.You can also use Windows PowerShell cmdlets to remove the never-expires configuration or to see which user passwords are set to never expire.

Queste indicazioni si applicano ad altri provider, ad esempio Intune e Office 365, che si basano sempre su Azure AD per i servizi di identità e directory.This guidance applies to other providers, such as Intune and Office 365, which also rely on Azure AD for identity and directory services. La scadenza della password è l'unica parte dei criteri a poter essere modificata.Password expiration is the only part of the policy that can be changed.

Nota

Solo le password degli account utente per cui non è usata la sincronizzazione della directory possono essere configurate per non scadere.Only passwords for user accounts that are not synchronized through directory synchronization can be configured to not expire. Per altre informazioni sulla sincronizzazione delle directory, vedere Connettere AD con Azure AD.For more information about directory synchronization, see Connect AD with Azure AD.

Impostare o verificare i criteri password con PowerShellSet or check the password policies by using PowerShell

Per iniziare, è necessario scaricare e installare il modulo di Azure AD PowerShell.To get started, you need to download and install the Azure AD PowerShell module. Al termine dell'installazione è possibile eseguire la procedura seguente per configurare ogni campo.After you have it installed, you can use the following steps to configure each field.

Come controllare i criteri di scadenza per una passwordHow to check the expiration policy for a password

  1. Connettersi a Windows PowerShell usando le credenziali aziendali di amministratore.Connect to Windows PowerShell by using your company administrator credentials.
  2. Eseguire uno di questi comandi:Execute one of the following commands:

    • Per vedere se la password di un singolo utente è impostata in modo da non scadere mai, eseguire il cmdlet seguente usando l'UPN (ad esempio, aprilr@contoso.onmicrosoft.com) o l'ID dell'utente che si desidera controllare: Get-MSOLUser -UserPrincipalName <user ID> | Select PasswordNeverExpiresTo see if a single user’s password is set to never expire, run the following cmdlet by using the UPN (for example, aprilr@contoso.onmicrosoft.com) or the user ID of the user you want to check: Get-MSOLUser -UserPrincipalName <user ID> | Select PasswordNeverExpires
    • Per visualizzare l'impostazione La password non scade mai per tutti gli utenti, eseguire il cmdlet seguente: Get-MSOLUser | Select UserPrincipalName, PasswordNeverExpiresTo see the Password never expires setting for all users, run the following cmdlet: Get-MSOLUser | Select UserPrincipalName, PasswordNeverExpires

Impostare una scadenza della passwordSet a password to expire

  1. Connettersi a Windows PowerShell usando le credenziali aziendali di amministratore.Connect to Windows PowerShell by using your company administrator credentials.
  2. Eseguire uno di questi comandi:Execute one of the following commands:

    • Per impostare la password di un utente in modo che scada, eseguire il cmdlet seguente usando l'UPN o l'ID dell'utente: Set-MsolUser -UserPrincipalName <user ID> -PasswordNeverExpires $falseTo set the password of one user so that the password expires, run the following cmdlet by using the UPN or the user ID of the user: Set-MsolUser -UserPrincipalName <user ID> -PasswordNeverExpires $false
    • Per impostare le password di tutti gli utenti dell'organizzazione in modo che scadano, usare il cmdlet seguente: Get-MSOLUser | Set-MsolUser -PasswordNeverExpires $falseTo set the passwords of all users in the organization so that they expire, use the following cmdlet: Get-MSOLUser | Set-MsolUser -PasswordNeverExpires $false

Impostare una password senza scadenzaSet a password to never expire

  1. Connettersi a Windows PowerShell usando le credenziali aziendali di amministratore.Connect to Windows PowerShell by using your company administrator credentials.
  2. Eseguire uno di questi comandi:Execute one of the following commands:

    • Per impostare la password di un utente in modo che non scada mai, eseguire il cmdlet seguente usando l'UPN o l'ID dell'utente: Set-MsolUser -UserPrincipalName <user ID> -PasswordNeverExpires $trueTo set the password of one user to never expire, run the following cmdlet by using the UPN or the user ID of the user: Set-MsolUser -UserPrincipalName <user ID> -PasswordNeverExpires $true
    • Per impostare le password degli utenti in un'organizzazione in modo che non scadano mai, eseguire il cmdlet seguente: Get-MSOLUser | Set-MsolUser -PasswordNeverExpires $trueTo set the passwords of all the users in an organization to never expire, run the following cmdlet: Get-MSOLUser | Set-MsolUser -PasswordNeverExpires $true

    Avviso

    Le password impostate su -PasswordNeverExpires $true diventano comunque obsolete in base all'attributo pwdLastSet.Passwords set to -PasswordNeverExpires $true still age based on the pwdLastSet attribute. Dopo che sono trascorsi più di 90 giorni, le password scadono anche se sono state impostate in modo da non scadere mai.If you set the user passwords to never expire and then 90+ days go by, the passwords expire. In base all'attributo pwdLastSet, se si modifica la scadenza in -PasswordNeverExpires $false, all'accesso successivo l'utente sarà tenuto a cambiare tutte le password che hanno un attributo pwdLastSet che risale a più di 90 giorni prima.Based on the pwdLastSet attribute, if you change the expiration to -PasswordNeverExpires $false, all passwords that have a pwdLastSet older than 90 days require the user to change them the next time they sign in. Questa modifica può riguardare un numero elevato di utenti.This change can affect a large number of users.

Passaggi successiviNext steps

Gli articoli seguenti offrono altre informazioni sull'uso della reimpostazione della password con Azure AD:The following articles provide additional information about password reset through Azure AD: