Criteri password e restrizioni per gli account in Microsoft Entra ID
In Microsoft Entra ID è presente un criterio password che definisce impostazioni come la complessità, la lunghezza o l'età delle password. Sono disponibili anche criteri che definiscono caratteri e lunghezza accettabili per i nomi utente.
Quando la reimpostazione della password self-service viene usata per modificare o reimpostare una password in Microsoft Entra ID, i criteri password vengono controllati. Se la password non soddisfa i requisiti dei criteri, all'utente viene richiesto di riprovare. Gli amministratori di Azure hanno alcune restrizioni sull'uso della reimpostazione della password self-service che sono diversi dagli account utente normali e esistono eccezioni minime per la versione di valutazione e le versioni gratuite di Microsoft Entra ID.
Questo articolo descrive le impostazioni dei criteri password e i requisiti di complessità associati agli account utente. Illustra anche come usare PowerShell per controllare o impostare le impostazioni di scadenza delle password.
Criteri nome utente
Ogni account che accede a ID di Microsoft Entra deve avere un valore di attributo UPN (User Principal Name) univoco associato al proprio account. Negli ambienti ibridi con un ambiente Active Directory locale Domain Services (AD DS) sincronizzato con Microsoft Entra ID usando Microsoft Entra Connessione, per impostazione predefinita, l'UPN di Microsoft Entra è impostato sull'UPN locale.
La tabella seguente illustra i criteri relativi al nome utente applicabili sia agli account active directory locali sincronizzati con Microsoft Entra ID che per gli account utente solo cloud creati direttamente in Microsoft Entra ID:
| Proprietà | Requisiti di UserPrincipalName |
|---|---|
| Caratteri consentiti | A-Z a - z 0 – 9 ' . - _ ! #^~ |
| Caratteri non consentiti | Qualsiasi carattere "@" che non separa il nome utente dal dominio. Non può contenere un punto "." subito prima del simbolo "@" |
| Vincoli di lunghezza | La lunghezza totale non deve superare i 113 caratteri Prima del simbolo "@" possono esserci al massimo 64 caratteri Dopo il simbolo "@" possono esserci al massimo 48 caratteri |
Criteri password di Microsoft Entra
I criteri password vengono applicati a tutti gli account utente creati e gestiti direttamente in Microsoft Entra ID. Alcune di queste impostazioni dei criteri password non possono essere modificate, anche se è possibile configurare password personalizzate escluse per i parametri di protezione password o di blocco dell'account Microsoft Entra.
Per impostazione predefinita, un account viene bloccato dopo 10 tentativi di accesso non riusciti con la password errata. L'utente viene bloccato per un minuto. Altri tentativi di accesso non riusciti bloccano l'utente per periodi sempre più lunghi. Il blocco intelligente tiene traccia degli ultimi tre hash delle password non validi per evitare l'incremento del contatore dei blocchi per la stessa password. Se qualcuno immette la stessa password errata più volte, non verrà bloccato. È possibile definire la soglia e la durata del blocco intelligente.
I criteri password di Microsoft Entra non si applicano agli account utente sincronizzati da un ambiente di Active Directory Domain Services locale tramite Microsoft Entra Connessione, a meno che non si abiliti EnforceCloudPasswordPolicyForPasswordSyncedUsers.
Vengono definite le opzioni seguenti per i criteri password di Microsoft Entra. Se non specificato, non è possibile modificare queste impostazioni:
| Proprietà | Requisiti |
|---|---|
| Caratteri consentiti | A-Z a - z 0 – 9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <> Spazio vuoto |
| Caratteri non consentiti | Caratteri Unicode |
| Restrizioni per le password | Un minimo di 8 caratteri e un massimo di 256 caratteri. Richiede tre dei quattro tipi di caratteri seguenti: - Caratteri minuscoli - Caratteri maiuscoli - Numeri (0-9) - Simboli (vedere le restrizioni relative alle password precedenti) |
| Durata scadenza password (validità massima password) | Valore predefinito: 90 giorni. Se il tenant è stato creato dopo il 2021, non ha alcun valore di scadenza predefinito. È possibile controllare i criteri correnti con Get-MgDomain. Il valore è configurabile usando il cmdlet Update-MgDomain del modulo Microsoft Graph per PowerShell. |
| Scadenza password (consenti la scadenza delle password) | Valore predefinito: false (indica che le password hanno una data di scadenza). Il valore può essere configurato per singoli account utente usando il cmdlet Update-MgUser . |
| Cronologia delle modifiche della password | Al cambio della password, l'utente non può usare di nuovo la password più recente. |
| Cronologia delle reimpostazioni della password | Alla reimpostazione di una password dimenticata, l'utente può usare di nuovo la password più recente. |
Differenze dei criteri di reimpostazione degli amministratori
Per impostazione predefinita, gli account amministratore sono abilitati per la reimpostazione della password self-service e viene applicato un criterio di reimpostazione della password a due gate sicuro. Questo criterio può essere diverso da quello definito per gli utenti e questo criterio non può essere modificato. È necessario verificare sempre la funzionalità di reimpostazione della password come utente senza ruoli di amministratore di Azure assegnati.
Il criterio a due gate richiede due parti di dati di autenticazione, ad esempio un indirizzo di posta elettronica, un'app di autenticazione o un numero di telefono e impedisce domande di sicurezza. Anche le chiamate vocali di Office e per dispositivi mobili sono vietate per le versioni di valutazione o gratuite di Microsoft Entra ID.
Un criterio a due gate si applica nelle circostanze seguenti:
Sono interessati tutti i ruoli di amministratore di Azure seguenti:
- Amministratore dell'applicazione
- Amministratore del servizio proxy di applicazione
- Amministratore dell'autenticazione
- Amministratore fatturazione
- Amministratore di conformità
- Amministratori dispositivo
- Account di sincronizzazione della directory
- Writer di directory
- Amministratore di Dynamics 365
- Amministratore di Exchange
- Amministratore globale o amministratore aziendale
- Amministratore del supporto tecnico
- Amministratore di Intune
- Amministratore della cassetta postale
- Microsoft Entra Join Device Local Amministrazione istrator
- Supporto partner - Livello 1
- Supporto partner - Livello 2
- Amministratore password
- Amministratore del servizio Power BI
- Amministratore dell'autenticazione con privilegi
- Amministratore con ruolo con privilegi
- Amministratore della sicurezza
- Amministratore del supporto per il servizio
- Amministratore di SharePoint
- Amministratore di Skype for Business
- Amministratore utenti
Se sono trascorsi 30 giorni per una sottoscrizione di valutazione o
Un dominio personalizzato è stato configurato per il tenant di Microsoft Entra, ad esempio contoso.com; o
Microsoft Entra Connessione sincronizza le identità dalla directory locale
È possibile disabilitare l'uso della reimpostazione della password self-service per gli account amministratore usando il cmdlet Update-MgPolicyAuthorizationPolicy di PowerShell. Il -AllowedToUseSspr:$true|$false parametro abilita/disabilita la reimpostazione della password self-service per gli amministratori. Le modifiche ai criteri per abilitare o disabilitare la reimpostazione della password self-service per gli account amministratore possono richiedere fino a 60 minuti.
Eccezioni
Un criterio a un gate richiede un tipo di dati di autenticazione, ad esempio un indirizzo di posta elettronica o un numero di telefono. Un criterio a un gate si applica nelle circostanze seguenti:
Non sono ancora trascorsi i primi 30 giorni per una sottoscrizione di valutazione
Oppure
Un dominio personalizzato non è configurato (il tenant usa il valore predefinito *.onmicrosoft.com, che non è consigliato per l'uso in produzione) e Microsoft Entra Connessione non sincronizza le identità.
Criteri di scadenza delle password
Un Amministrazione istrator globale o utente Amministrazione istrator può usare Microsoft Graph per impostare le password utente che non scadono.
È anche possibile usare i cmdlet di PowerShell per rimuovere la configurazione senza scadenza o per vedere quali password utente sono impostate per non scadere mai.
Queste linee guida si applicano ad altri provider, ad esempio Intune e Microsoft 365, che si basano anche su Microsoft Entra ID per i servizi di identità e directory. La scadenza della password è l'unica parte dei criteri a poter essere modificata.
Nota
Per impostazione predefinita, solo le password per gli account utente non sincronizzati tramite Microsoft Entra Connessione possono essere configurate per non scadere. Per altre informazioni sulla sincronizzazione delle directory, vedere Connettere AD con Microsoft Entra ID.
Impostare o verificare i criteri password con PowerShell
Per iniziare, scaricare e installare il modulo Microsoft Graph PowerShell e connetterlo al tenant di Microsoft Entra.
Dopo aver installato il modulo, seguire questa procedura per completare ogni attività in base alle esigenze.
Controllare i criteri di scadenza per una password
Aprire un prompt di PowerShell e connettersi al tenant di Microsoft Entra usando un account Amministrazione istrator globale o utente Amministrazione istrator.
Eseguire uno dei comandi seguenti per un singolo utente o per tutti gli utenti:
Per verificare se la password di un singolo utente è impostata su non scadere mai, eseguire il cmdlet seguente. Sostituire
<user ID>con l'ID utente dell'utente che si vuole controllare:Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}Per visualizzare l'impostazione Password non scade mai per tutti gli utenti, eseguire il cmdlet seguente:
Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Impostare una scadenza della password
Aprire un prompt di PowerShell e connettersi al tenant di Microsoft Entra usando un account Amministrazione istrator globale o utente Amministrazione istrator.
Eseguire uno dei comandi seguenti per un singolo utente o per tutti gli utenti:
Per impostare la password di un utente in modo che la password scada, eseguire il cmdlet seguente. Sostituire
<user ID>con l'ID utente dell'utente che si vuole controllare:Update-MgUser -UserId <user ID> -PasswordPolicies NonePer impostare le password di tutti gli utenti dell'organizzazione in modo che scadano, usare il comando seguente:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
Impostare una password senza scadenza
Aprire un prompt di PowerShell e connettersi al tenant di Microsoft Entra usando un account Amministrazione istrator globale o utente Amministrazione istrator.
Eseguire uno dei comandi seguenti per un singolo utente o per tutti gli utenti:
Per impostare la password di un utente senza scadenza, eseguire il cmdlet seguente. Sostituire
<user ID>con l'ID utente dell'utente che si vuole controllare:Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpirationPer impostare le password di tutti gli utenti di un'organizzazione in modo che non scadano mai, eseguire il cmdlet seguente:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Avviso
Le password impostate su
-PasswordPolicies DisablePasswordExpirationdiventano comunque obsolete in base all'attributoLastPasswordChangeDateTime. In base all'attributoLastPasswordChangeDateTime, se si modifica la scadenza in-PasswordPolicies None, all'accesso successivo l'utente sarà tenuto a cambiare tutte le password che hanno un attributoLastPasswordChangeDateTimeche risale a più di 90 giorni prima. Questa modifica può riguardare un numero elevato di utenti.
Passaggi successivi
Per iniziare a usare la reimpostazione della password self-service, vedere Esercitazione: Abilitare gli utenti a sbloccare l'account o reimpostare le password usando la reimpostazione della password self-service di Microsoft Entra.
Se si verificano problemi con la reimpostazione della password self-service, vedere Risolvere i problemi di reimpostazione della password self-service