Azure Active Directory のパスワード ポリシーと制限Password policies and restrictions in Azure Active Directory

この記事では、Azure Active Directory (Azure AD) テナントに格納されているユーザー アカウントと関連付けられたパスワード ポリシーと複雑さの要件について説明します。This article describes the password policies and complexity requirements associated with user accounts stored in your Azure Active Directory (Azure AD) tenant.

管理者リセット ポリシーの相違点Administrator reset policy differences

Microsoft は、既定の強力な "2 ゲート" パスワード リセット ポリシーをすべての Azure 管理者ロールに適用します。このポリシーは、ユーザーに対して定義したポリシーと異なる可能性があり、変更することはできません。Microsoft enforces a strong default two-gate password reset policy for any Azure administrator role this policy may be different from the one you have defined for your users and cannot be changed. パスワードのリセット機能は、必ず Azure 管理者ロールが割り当てられていないユーザーとしてテストする必要があります。You should always test password reset functionality as a user without any Azure administrator roles assigned.

2 ゲート ポリシーでは、管理者にはセキュリティの質問を使用する機能がありませんWith a two-gate policy, administrators don't have the ability to use security questions.

2 ゲート ポリシーには、 2 つの認証データが必要です。電子メール アドレスおよび電話番号、などです。A two-gate policy requires two pieces of authentication data, such as an email address and a phone number. 2 ゲート ポリシーは次のような状況で適用されます。A two-gate policy applies in the following circumstances:

  • 次のすべての Azure 管理者ロールが影響を受けます。All the following Azure administrator roles are affected:

    • ヘルプデスク管理者Helpdesk administrator
    • サービス サポート管理者Service support administrator
    • 課金管理者Billing administrator
    • パートナー レベル 1 のサポートPartner Tier1 Support
    • パートナー レベル 2 のサポートPartner Tier2 Support
    • Exchange サービス管理者Exchange service administrator
    • Lync サービス管理者Lync service administrator
    • ユーザー アカウント管理者User account administrator
    • ディレクトリ ライターDirectory writers
    • グローバル管理者または会社の管理者Global administrator or company administrator
    • SharePoint サービス管理者SharePoint service administrator
    • コンプライアンス管理者Compliance administrator
    • アプリケーション管理者Application administrator
    • セキュリティ管理者Security administrator
    • 特権ロール管理者Privileged role administrator
    • Microsoft Intune サービス管理者Microsoft Intune service administrator
    • アプリケーション プロキシ サービス管理者Application proxy service administrator
    • CRM サービス管理者CRM service administrator
    • Power BI サービス管理者Power BI service administrator
  • 評価版サブスクリプションで 30 日間が経過したIf 30 days have elapsed in a trial subscription

    oror

  • バニティ ドメインが存在する (contoso.com など)A vanity domain is present, such as contoso.com

    oror

  • Azure AD Connect がオンプレミスのディレクトリからの ID を同期しているAzure AD Connect is synchronizing identities from your on-premises directory

例外Exceptions

1 ゲート ポリシーには、1 つの認証データが必要です。電子メール アドレスまたは電話番号などです。A one-gate policy requires one piece of authentication data, such as an email address or phone number. 1 ゲート ポリシーは次のような状況で適用されます。A one-gate policy applies in the following circumstances:

  • 試用版サブスクリプションの最初の 30 日以内であるIt's within the first 30 days of a trial subscription

    oror

  • バニティ ドメインが存在しない (*.onmicrosoft.com)A vanity domain isn't present (*.onmicrosoft.com)

    andand

    Azure AD Connect が ID と同期していないAzure AD Connect isn't synchronizing identities

すべてのユーザー アカウントに適用される UserPrincipalName ポリシーUserPrincipalName policies that apply to all user accounts

Azure AD にサインインする必要があるすべてのユーザー アカウントは、一意のユーザー プリンシパル名 (UPN) 属性値がそのアカウントに関連付けられている必要があります。Every user account that needs to sign in to Azure AD must have a unique user principal name (UPN) attribute value associated with their account. 次の表は、クラウドに同期されているオンプレミスの Active Directory ユーザー アカウントとクラウドのみのユーザー アカウントの両方に適用されるポリシーの概要です。The following table outlines the policies that apply to both on-premises Active Directory user accounts that are synchronized to the cloud and to cloud-only user accounts:

プロパティProperty UserPrincipalName の要件UserPrincipalName requirements
使用できる文字Characters allowed
  • A - ZA – Z
  • a - za - z
  • 0 – 90 – 9
  • .. - _ ! - _ ! # ^ ~# ^ ~
使用できない文字Characters not allowed
  • ユーザー名とドメインの間以外にある "@" 文字。Any "@" character that's not separating the username from the domain.
  • ピリオド文字 "." を "@" 記号の直前に含めることはできませんCan't contain a period character "." immediately preceding the "@" symbol
長さの制限Length constraints
  • 全体の長さは 113 文字以内にする必要がありますThe total length must not exceed 113 characters
  • "@" 記号の前に最大 64 文字まで可能There can be up to 64 characters before the "@" symbol
  • "@" 記号の後に最大 48 文字まで可能There can be up to 48 characters after the "@" symbol

クラウド ユーザー アカウントにのみ適用されるパスワード ポリシーPassword policies that only apply to cloud user accounts

次の表は、Azure AD で作成および管理されているユーザー アカウントに適用できるパスワード ポリシー設定の説明です。The following table describes the available password policy settings that can be applied to user accounts that are created and managed in Azure AD:

プロパティProperty 必要条件Requirements
使用できる文字Characters allowed
  • A - ZA – Z
  • a - za - z
  • 0 – 90 – 9
  • @ # $ % ^ & * - _ !@ # $ % ^ & * - _ ! + = [ ] { } | \ : ‘ , .+ = [ ] { } | \ : ‘ , . ?? / ` ~ “ ( ) ;/ ` ~ “ ( ) ;
使用できない文字Characters not allowed
  • Unicode 文字。Unicode characters.
  • スペース。Spaces.
  • 強力なパスワードのみStrong passwords only
パスワードの制限Password restrictions
  • 8 文字以上 16 文字以下。A minimum of 8 characters and a maximum of 16 characters.
  • 強力なパスワードのみ: 次の 4 つのうち、3 つが必要です。Strong passwords only: Requires three out of four of the following:
    • 小文字。Lowercase characters.
    • 大文字。Uppercase characters.
    • 数字 (0-9)。Numbers (0-9).
    • 記号 (上述のパスワード制限を参照してください)。Symbols (see the previous password restrictions).
パスワードの有効期間Password expiry duration
  • 規定値: 90 日。Default value: 90 days.
  • 値を構成するには、Windows PowerShell 用 Azure Active Directory モジュールから Set-MsolPasswordPolicy コマンドレットを使用します。The value is configurable by using the Set-MsolPasswordPolicy cmdlet from the Azure Active Directory Module for Windows PowerShell.
パスワードの期限切れの通知Password expiry notification
  • 既定値: 14 日 (パスワードの有効期限が切れる前)。Default value: 14 days (before password expires).
  • 値を構成するには、Set-MsolPasswordPolicy コマンドレットを使用します。The value is configurable by using the Set-MsolPasswordPolicy cmdlet.
パスワードの期限切れPassword expiry
  • 既定値: false 日 (パスワードの有効期限が有効になっていることを示します)。Default value: false days (indicates that password expiry is enabled).
  • 各ユーザー アカウントの値を構成するには、Set-MsolUser コマンドレットを使用します。The value can be configured for individual user accounts by using the Set-MsolUser cmdlet.
パスワード変更履歴Password change history ユーザーがパスワードを変更する場合、前回のパスワードを再度使用することはできませんThe last password can't be used again when the user changes a password.
パスワード リセット履歴Password reset history ユーザーが忘れたパスワードをリセットする場合、前回のパスワードを再度使用することはできますThe last password can be used again when the user resets a forgotten password.
アカウントのロックアウトAccount lockout 正しくないパスワードでサインイン試行に 10 回失敗すると、ユーザーを 1 分間ロックアウトします。After 10 unsuccessful sign-in attempts with the wrong password, the user is locked out for one minute. 不適切なサインイン試行をさらに行った場合は、ロックアウトの期間が延長されます。Further incorrect sign-in attempts lock out the user for increasing durations of time.

Azure AD でパスワード有効期限ポリシーを設定するSet password expiration policies in Azure AD

Microsoft クラウド サービスのグローバル管理者は、Windows PowerShell 用 Microsoft Azure AD モジュールを使用して、ユーザーのパスワード有効期限が切れないように設定できます。A global administrator for a Microsoft cloud service can use the Microsoft Azure AD Module for Windows PowerShell to set user passwords not to expire. また、Windows PowerShell コマンドレットを使用すると、期限が切れない構成を削除したり、期限が切れないように設定されているユーザー パスワードを確認したりすることもできます。You can also use Windows PowerShell cmdlets to remove the never-expires configuration or to see which user passwords are set to never expire.

このガイダンスは、Intune や Office 365 などの他のプロバイダーに適用され、これらは ID およびディレクトリ サービスについては Azure AD にも依存します。This guidance applies to other providers, such as Intune and Office 365, which also rely on Azure AD for identity and directory services. パスワード有効期限が、ポリシーの変更できる唯一の部分です。Password expiration is the only part of the policy that can be changed.

注意

有効期限が切れないように構成できるのは、ディレクトリ同期によって同期されていないユーザー アカウントのパスワードだけです。Only passwords for user accounts that are not synchronized through directory synchronization can be configured to not expire. ディレクトリ同期の詳細については、AD と Azure AD の接続に関するページをご覧ください。For more information about directory synchronization, see Connect AD with Azure AD.

PowerShell を使用したパスワード ポリシーの設定または確認Set or check the password policies by using PowerShell

操作を開始するには、Azure AD PowerShell モジュールをダウンロードしてインストールする必要があります。To get started, you need to download and install the Azure AD PowerShell module. インストールした後、次の手順に従って各フィールドを構成できます。After you have it installed, you can use the following steps to configure each field.

パスワードの有効期限ポリシーを確認するCheck the expiration policy for a password

  1. 会社の管理者の資格情報を使用して Windows PowerShell に接続します。Connect to Windows PowerShell by using your company administrator credentials.
  2. 次のいずれかのコマンドを実行します。Execute one of the following commands:

    • 特定のユーザーについてパスワードの有効期限が切れないかどうか確認するには、確認するユーザーの UPN (例: aprilr@contoso.onmicrosoft.com) またはユーザー ID を使用して、次のコマンドレットを実行します。Get-MSOLUser -UserPrincipalName <user ID> | Select PasswordNeverExpiresTo see if a single user’s password is set to never expire, run the following cmdlet by using the UPN (for example, aprilr@contoso.onmicrosoft.com) or the user ID of the user you want to check: Get-MSOLUser -UserPrincipalName <user ID> | Select PasswordNeverExpires
    • すべてのユーザーについてパスワードを無期限にする設定を表示するには、次のコマンドレットを実行します。Get-MSOLUser | Select UserPrincipalName, PasswordNeverExpiresTo see the Password never expires setting for all users, run the following cmdlet: Get-MSOLUser | Select UserPrincipalName, PasswordNeverExpires

パスワードを期限付きに設定するSet a password to expire

  1. 会社の管理者の資格情報を使用して Windows PowerShell に接続します。Connect to Windows PowerShell by using your company administrator credentials.
  2. 次のいずれかのコマンドを実行します。Execute one of the following commands:

    • 特定のユーザーのパスワードを期限付きに設定するには、そのユーザーの UPN またはユーザー ID を使用して、次のコマンドレットを実行します。Set-MsolUser -UserPrincipalName <user ID> -PasswordNeverExpires $falseTo set the password of one user so that the password expires, run the following cmdlet by using the UPN or the user ID of the user: Set-MsolUser -UserPrincipalName <user ID> -PasswordNeverExpires $false
    • 組織内のすべてのユーザーのパスワードを期限付きに設定するには、次のコマンドレットを使用します。 Get-MSOLUser | Set-MsolUser -PasswordNeverExpires $falseTo set the passwords of all users in the organization so that they expire, use the following cmdlet: Get-MSOLUser | Set-MsolUser -PasswordNeverExpires $false

パスワードを無期限に設定するSet a password to never expire

  1. 会社の管理者の資格情報を使用して Windows PowerShell に接続します。Connect to Windows PowerShell by using your company administrator credentials.
  2. 次のいずれかのコマンドを実行します。Execute one of the following commands:

    • 特定のユーザーのパスワードを無期限に設定するには、そのユーザーの UPN またはユーザー ID を使用して、次のコマンドレットを実行します。Set-MsolUser -UserPrincipalName <user ID> -PasswordNeverExpires $trueTo set the password of one user to never expire, run the following cmdlet by using the UPN or the user ID of the user: Set-MsolUser -UserPrincipalName <user ID> -PasswordNeverExpires $true
    • 組織内のすべてのユーザーのパスワードを無期限に設定するには、次のコマンドレットを実行します。 Get-MSOLUser | Set-MsolUser -PasswordNeverExpires $trueTo set the passwords of all the users in an organization to never expire, run the following cmdlet: Get-MSOLUser | Set-MsolUser -PasswordNeverExpires $true

    警告

    -PasswordNeverExpires $true を設定したパスワードは、引き続き pwdLastSet 属性に基づいて使用時間が計測されます。Passwords set to -PasswordNeverExpires $true still age based on the pwdLastSet attribute. ユーザーのパスワードを無期限に設定し、90 日以上たつと、パスワードは期限切れになります。If you set the user passwords to never expire and then 90+ days go by, the passwords expire. pwdLastSet 属性に基づいて、有効期限を -PasswordNeverExpires $false に変更すると、90 日より古い pwdLastSet を持つすべてのパスワードは、ユーザーが次回サインインで変更する必要があります。Based on the pwdLastSet attribute, if you change the expiration to -PasswordNeverExpires $false, all passwords that have a pwdLastSet older than 90 days require the user to change them the next time they sign in. この変更は多数のユーザーに影響を与える可能性があります。This change can affect a large number of users.

次の手順Next steps

次の記事では、Azure AD によるパスワードのリセットに関する追加情報が得られます。The following articles provide additional information about password reset through Azure AD: