Restrizioni e criteri password in Azure Active DirectoryPassword policies and restrictions in Azure Active Directory

Questo articolo descrive i criteri password e i requisiti di complessità associati agli account utente nel tenant di Azure Active Directory (Azure AD).This article describes the password policies and complexity requirements associated with user accounts in your Azure Active Directory (Azure AD) tenant.

Differenze dei criteri di reimpostazione degli amministratoriAdministrator reset policy differences

Microsoft applica criteri predefiniti di reimpostazione della password basati su una password complessa e a doppio controllo per ogni ruolo di amministratore di Azure; questi criteri possono essere diversi da quelli definiti per gli utenti e non possono essere modificati.Microsoft enforces a strong default two-gate password reset policy for any Azure administrator role this policy may be different from the one you have defined for your users and cannot be changed. È necessario verificare sempre la funzionalità di reimpostazione della password come utente senza ruoli di amministratore di Azure assegnati.You should always test password reset functionality as a user without any Azure administrator roles assigned.

Con il criterio a doppio controllo, gli amministratori non hanno la possibilità di usare le domande di sicurezza.With a two-gate policy, administrators don't have the ability to use security questions.

Il criterio a due gate richiede tre tipi di dati di autenticazione, ad esempio un indirizzo di posta elettronica, un'app di autenticazione o un numero di telefono.The two-gate policy requires two pieces of authentication data, such as an email address, authenticator app, or a phone number. Un criterio a due gate si applica nelle circostanze seguenti:A two-gate policy applies in the following circumstances:

  • Sono interessati tutti i ruoli di amministratore di Azure seguenti:All the following Azure administrator roles are affected:

    • Amministratore dell'help deskHelpdesk administrator
    • Amministratore del supporto per il servizioService support administrator
    • Amministratore fatturazioneBilling administrator
    • Supporto partner - Livello 1Partner Tier1 Support
    • Supporto partner - Livello 2Partner Tier2 Support
    • Amministratore di ExchangeExchange administrator
    • Amministratore di Skype for BusinessSkype for Business administrator
    • Amministratore utentiUser administrator
    • Writer di directoryDirectory writers
    • Amministratore globale o amministratore aziendaleGlobal administrator or company administrator
    • Amministratore di SharePointSharePoint administrator
    • Amministratore di conformitàCompliance administrator
    • Amministratore di applicazioniApplication administrator
    • Amministratore della sicurezzaSecurity administrator
    • Amministratore dei ruoli con privilegiPrivileged role administrator
    • Amministratore di IntuneIntune administrator
    • Amministratore del servizio proxy di applicazioneApplication proxy service administrator
    • Amministratore di Dynamics 365Dynamics 365 administrator
    • Amministratore del servizio Power BIPower BI service administrator
    • Amministratore autenticazioneAuthentication administrator
    • Amministratore di autenticazione con privilegiPrivileged Authentication administrator
  • Se sono trascorsi 30 giorni per una sottoscrizione di valutazione oIf 30 days have elapsed in a trial subscription; or

  • Un dominio personalizzato è stato configurato per il tenant di Azure AD, ad esempio contoso.com; oA custom domain has been configured for your Azure AD tenant, such as contoso.com; or

  • Identità sincronizzate da Azure AD Connect nella directory localeAzure AD Connect is synchronizing identities from your on-premises directory

EccezioniExceptions

Un criterio a un gate richiede un tipo di dati di autenticazione, ad esempio un indirizzo di posta elettronica o un numero di telefono.A one-gate policy requires one piece of authentication data, such as an email address or phone number. Un criterio a un gate si applica nelle circostanze seguenti:A one-gate policy applies in the following circumstances:

  • Non sono ancora trascorsi i primi 30 giorni per una sottoscrizione di valutazione oIt's within the first 30 days of a trial subscription; or
  • Un dominio personalizzato non è stato configurato per il tenant di Azure AD, quindi usa il valore predefinito * . onmicrosoft.com.A custom domain hasn't been configured for your Azure AD tenant so is using the default *.onmicrosoft.com. Si noti che il dominio predefinito * . onmicrosoft.com non è consigliato per l'uso in ambiente di produzione; eNote that the default *.onmicrosoft.com domain isn't recommended for production use; and
  • Azure AD Connect non sincronizza le identitàAzure AD Connect isn't synchronizing identities

Criteri UserPrincipalName che si applicano a tutti gli account utenteUserPrincipalName policies that apply to all user accounts

A ogni account utente che deve eseguire l'accesso ad Azure AD è necessario che sia associato un valore di attributo UPN.Every user account that needs to sign in to Azure AD must have a unique user principal name (UPN) attribute value associated with their account. La tabella seguente descrive i criteri che si applicano sia agli account utente Active Directory locali sincronizzati con il cloud sia agli account utente di reti solo cloud:The following table outlines the policies that apply to both on-premises Active Directory user accounts that are synchronized to the cloud and to cloud-only user accounts:

ProprietàProperty Requisiti di UserPrincipalNameUserPrincipalName requirements
Caratteri consentitiCharacters allowed
  • A-ZA – Z
  • a - za - z
  • 0 – 90 – 9
  • ' .' . - _ ! - _ ! # ^ ~# ^ ~
Caratteri non consentitiCharacters not allowed
  • Qualsiasi carattere "@" che non separa il nome utente dal dominio.Any "@" character that's not separating the username from the domain.
  • Non può contenere un punto "." subito prima del simbolo "@"Can't contain a period character "." immediately preceding the "@" symbol
Vincoli di lunghezzaLength constraints
  • La lunghezza totale non deve superare i 113 caratteriThe total length must not exceed 113 characters
  • Prima del simbolo "@" possono essere presenti al massimo 64 caratteriThere can be up to 64 characters before the "@" symbol
  • Dopo il simbolo "@" possono essere presenti al massimo 48 caratteriThere can be up to 48 characters after the "@" symbol

Criteri password che si applicano solo agli account utente del cloudPassword policies that only apply to cloud user accounts

La tabella seguente descrive le impostazioni dei criteri password applicate agli account utente creati e gestiti in Azure AD:The following table describes the password policy settings applied to user accounts that are created and managed in Azure AD:

ProprietàProperty RequisitiRequirements
Caratteri consentitiCharacters allowed
  • A-ZA – Z
  • a - za - z
  • 0 – 90 – 9
  • @ # $ % ^ & * - _ !@ # $ % ^ & * - _ ! + = [ ] { } | \ : ‘ , .+ = [ ] { } | \ : ‘ , . ?? / ` ~ " ( ) ; / ` ~ " ( ) ;
  • spazio vuotoblank space
Caratteri non consentitiCharacters not allowed Caratteri Unicode.Unicode characters.
Restrizioni per le passwordPassword restrictions
  • Un minimo di 8 caratteri e un massimo di 256 caratteri.A minimum of 8 characters and a maximum of 256 characters.
  • è necessario soddisfare tre dei quattro requisiti seguenti:Requires three out of four of the following:
    • Caratteri minuscoli.Lowercase characters.
    • Caratteri maiuscoli.Uppercase characters.
    • Numeri (da 0 a 9).Numbers (0-9).
    • Simboli (vedere le restrizioni per le password elencate sopra).Symbols (see the previous password restrictions).
Durata scadenza password (validità massima password)Password expiry duration (Maximum password age)
  • Valore predefinito: 90 giorni.Default value: 90 days.
  • Il valore può essere configurato con il cmdlet Set-MsolPasswordPolicy del modulo di Azure Active Directory per Windows PowerShell.The value is configurable by using the Set-MsolPasswordPolicy cmdlet from the Azure Active Directory Module for Windows PowerShell.
Notifica della scadenza della password (quando gli utenti ricevono una notifica della scadenza della password)Password expiry notification (When are users notified of password expiration)
  • Valore predefinito: 14 giorni (prima della scadenza della password).Default value: 14 days (before password expires).
  • Il valore può essere configurato con il cmdlet Set-MsolPasswordPolicy.The value is configurable by using the Set-MsolPasswordPolicy cmdlet.
Scadenza password (le password scadono mai)Password expiry (Do passwords ever expire)
  • Valore predefinito: false giorni (indica che la scadenza password è abilitata).Default value: false days (indicates that password expiry is enabled).
  • Il valore può essere configurato per singoli account utente con il cmdlet Set-MsolUser.The value can be configured for individual user accounts by using the Set-MsolUser cmdlet.
Cronologia delle modifiche della passwordPassword change history Al cambio della password, l'utente non può usare di nuovo la password più recente.The last password can't be used again when the user changes a password.
Cronologia delle reimpostazioni della passwordPassword reset history Alla reimpostazione di una password dimenticata, l'utente può usare di nuovo la password più recente.The last password can be used again when the user resets a forgotten password.
Blocco dell'accountAccount lockout Dopo 10 tentativi di accesso non riusciti a causa della password errata, l'utente viene bloccato per un minuto.After 10 unsuccessful sign-in attempts with the wrong password, the user is locked out for one minute. Altri tentativi di accesso non riusciti bloccano l'utente per periodi sempre più lunghi.Further incorrect sign-in attempts lock out the user for increasing durations of time. Il blocco intelligente tiene traccia degli ultimi tre hash delle password non validi per evitare l'incremento del contatore dei blocchi per la stessa password.Smart lockout tracks the last three bad password hashes to avoid incrementing the lockout counter for the same password. Se un utente immette la stessa password errata più volte, questo comportamento non comporterà il blocco dell'account.If someone enters the same bad password multiple times, this behavior will not cause the account to lockout.

Impostare i criteri di scadenza della password in Azure ADSet password expiration policies in Azure AD

Un amministratore globale o un amministratore utente per un servizio cloud Microsoft può utilizzare il Modulo di Microsoft Azure AD per Windows PowerShell per impostare le password utente in modo che non scadano.A global administrator or user administrator for a Microsoft cloud service can use the Microsoft Azure AD Module for Windows PowerShell to set user passwords not to expire. È inoltre possibile usare cmdlet Windows PowerShell per rimuovere la configurazione senza scadenza, o per vedere quali password utente vengono impostate in modo da non scadere mai.You can also use Windows PowerShell cmdlets to remove the never-expires configuration or to see which user passwords are set to never expire.

Queste indicazioni si applicano ad altri provider, ad esempio Intune e Office 365, che si basano sempre su Azure AD per i servizi di identità e directory.This guidance applies to other providers, such as Intune and Office 365, which also rely on Azure AD for identity and directory services. La scadenza della password è l'unica parte dei criteri a poter essere modificata.Password expiration is the only part of the policy that can be changed.

Nota

Solo le password degli account utente per cui non è usata la sincronizzazione della directory possono essere configurate per non scadere.Only passwords for user accounts that are not synchronized through directory synchronization can be configured to not expire. Per altre informazioni sulla sincronizzazione delle directory, vedere Connettere AD con Azure AD.For more information about directory synchronization, see Connect AD with Azure AD.

Impostare o verificare i criteri password con PowerShellSet or check the password policies by using PowerShell

Per iniziare, è necessario scaricare e installare il modulo di Azure AD PowerShell.To get started, you need to download and install the Azure AD PowerShell module. Al termine dell'installazione è possibile eseguire la procedura seguente per configurare ogni campo.After you have it installed, you can use the following steps to configure each field.

Controllare i criteri di scadenza per una passwordCheck the expiration policy for a password

  1. Connettersi a Windows PowerShell utilizzando le credenziali dell'amministratore dell'utente o dell'amministratore della società.Connect to Windows PowerShell by using your user administrator or company administrator credentials.

  2. Eseguire uno di questi comandi:Execute one of the following commands:

    • Per verificare se la password di un singolo utente è impostata in modo da non scadere mai, eseguire il cmdlet seguente usando l'UPN (ad esempio, aprilr@contoso.onmicrosoft.com) o l'ID utente dell'utente che si vuole controllare:To see if a single user’s password is set to never expire, run the following cmdlet by using the UPN (for example, aprilr@contoso.onmicrosoft.com) or the user ID of the user you want to check:
    Get-AzureADUser -ObjectId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
    
    • Per visualizzare l'impostazione Nessuna scadenza password per tutti gli utenti, eseguire il cmdlet seguente:To see the Password never expires setting for all users, run the following cmdlet:
    Get-AzureADUser -All $true | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
    

Impostare una scadenza della passwordSet a password to expire

  1. Connettersi a Windows PowerShell utilizzando le credenziali dell'amministratore dell'utente o dell'amministratore della società.Connect to Windows PowerShell by using your user administrator or company administrator credentials.

  2. Eseguire uno di questi comandi:Execute one of the following commands:

    • Per impostare la password di un utente in modo che scada la password, eseguire il cmdlet seguente usando l'UPN o l'ID utente dell'utente:To set the password of one user so that the password expires, run the following cmdlet by using the UPN or the user ID of the user:
    Set-AzureADUser -ObjectId <user ID> -PasswordPolicies None
    
    • Per impostare le password di tutti gli utenti dell'organizzazione in modo che scadano, usare il cmdlet seguente:To set the passwords of all users in the organization so that they expire, use the following cmdlet:
    Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies None
    

Impostare una password senza scadenzaSet a password to never expire

  1. Connettersi a Windows PowerShell utilizzando le credenziali dell'amministratore dell'utente o dell'amministratore della società.Connect to Windows PowerShell by using your user administrator or company administrator credentials.

  2. Eseguire uno di questi comandi:Execute one of the following commands:

    • Per impostare la password di un utente in modo che non scada mai, eseguire il cmdlet seguente usando l'UPN o l'ID utente dell'utente:To set the password of one user to never expire, run the following cmdlet by using the UPN or the user ID of the user:
    Set-AzureADUser -ObjectId <user ID> -PasswordPolicies DisablePasswordExpiration
    
    • Per impostare le password di tutti gli utenti di un'organizzazione in modo che non scadano mai, eseguire il seguente cmdlet:To set the passwords of all the users in an organization to never expire, run the following cmdlet:
    Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies DisablePasswordExpiration
    

    Avviso

    Le password impostate su -PasswordPolicies DisablePasswordExpiration diventano comunque obsolete in base all'attributo pwdLastSet.Passwords set to -PasswordPolicies DisablePasswordExpiration still age based on the pwdLastSet attribute. Dopo che sono trascorsi più di 90 giorni, le password scadono anche se sono state impostate in modo da non scadere mai.If you set the user passwords to never expire and then 90+ days go by, the passwords expire. In base all'attributo pwdLastSet, se si modifica la scadenza in -PasswordPolicies None, all'accesso successivo l'utente sarà tenuto a cambiare tutte le password che hanno un attributo pwdLastSet che risale a più di 90 giorni prima.Based on the pwdLastSet attribute, if you change the expiration to -PasswordPolicies None, all passwords that have a pwdLastSet older than 90 days require the user to change them the next time they sign in. Questa modifica può riguardare un numero elevato di utenti.This change can affect a large number of users.

Passaggi successiviNext steps

Gli articoli seguenti offrono altre informazioni sull'uso della reimpostazione della password con Azure AD:The following articles provide additional information about password reset through Azure AD: