Zasady haseł i ograniczenia konta w usłudze Microsoft Entra ID
W usłudze Microsoft Entra ID istnieją zasady haseł, które definiują ustawienia, takie jak złożoność hasła, długość lub wiek. Istnieją również zasady definiujące dopuszczalne znaki i długość nazw użytkowników.
Gdy samoobsługowe resetowanie hasła (SSPR) jest używane do zmiany lub zresetowania hasła w identyfikatorze Entra firmy Microsoft, zasady haseł są sprawdzane. Jeśli hasło nie spełnia wymagań zasad, użytkownik zostanie poproszony o ponowną próbę. Administratorzy platformy Azure mają pewne ograniczenia dotyczące używania samoobsługowego resetowania hasła, które różnią się od zwykłych kont użytkowników, i istnieją drobne wyjątki dla wersji próbnej i bezpłatnych wersji identyfikatora Entra firmy Microsoft.
W tym artykule opisano ustawienia zasad haseł i wymagania dotyczące złożoności skojarzone z kontami użytkowników. W tym artykule opisano również sposób sprawdzania lub ustawiania ustawień wygasania haseł przy użyciu programu PowerShell.
Zasady nazwy użytkownika
Każde konto logujące się do usługi Microsoft Entra ID musi mieć skojarzoną unikatową wartość atrybutu głównej nazwy użytkownika (UPN). W środowiskach hybrydowych ze środowiskiem usługi lokalna usługa Active Directory Domain Services (AD DS) zsynchronizowanym z identyfikatorem Entra firmy Microsoft przy użyciu Połączenie firmy Microsoft domyślnie nazwa UPN firmy Microsoft entra jest ustawiona na lokalną nazwę UPN.
W poniższej tabeli przedstawiono zasady nazwy użytkownika, które mają zastosowanie zarówno do lokalnych kont usług AD DS, które są synchronizowane z identyfikatorem Entra firmy Microsoft, jak i dla kont użytkowników tylko w chmurze utworzonych bezpośrednio w usłudze Microsoft Entra ID:
| Właściwości | Wymagania userPrincipalName |
|---|---|
| Dozwolone znaki | A – Z a – z 0 – 9 ' . - _ ! # ^ ~ |
| Niedozwolone znaki | Każdy znak "@", który nie oddziela nazwy użytkownika od domeny. Nie można zawierać znaku kropki "." bezpośrednio poprzedzającego symbol "@" |
| Ograniczenia długości | Całkowita długość nie może przekraczać 113 znaków Symbol "@" może mieć maksymalnie 64 znaki Symbol "@" może mieć maksymalnie 48 znaków |
Zasady haseł w usłudze Microsoft Entra
Zasady haseł są stosowane do wszystkich kont użytkowników utworzonych i zarządzanych bezpośrednio w usłudze Microsoft Entra ID. Niektórych z tych ustawień zasad haseł nie można modyfikować, ale można skonfigurować niestandardowe hasła zakazane dla ochrony haseł firmy Microsoft lub parametrów blokady konta.
Domyślnie konto jest zablokowane po 10 nieudanych próbach logowania przy użyciu nieprawidłowego hasła. Użytkownik jest zablokowany przez jedną minutę. Dalsze nieprawidłowe próby logowania blokują użytkownika przez dłuższy czas. Blokada inteligentna śledzi ostatnie trzy nieprawidłowe skróty haseł, aby uniknąć przyrostu licznika blokady dla tego samego hasła. Jeśli ktoś wprowadzi te same nieprawidłowe hasło wielokrotnie, nie zostanie zablokowany. Można zdefiniować próg i czas trwania inteligentnej blokady.
Zasady haseł firmy Microsoft Entra nie mają zastosowania do kont użytkowników synchronizowanych z lokalnego środowiska usług AD DS przy użyciu usługi Microsoft Entra Połączenie, chyba że włączono opcję EnforceCloudPasswordPolicyForPasswordSyncedUsers.
Zdefiniowane są następujące opcje zasad haseł firmy Microsoft Entra. O ile nie wspomniano, nie można zmienić tych ustawień:
| Właściwości | Wymagania |
|---|---|
| Dozwolone znaki | A – Z a – z 0 – 9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <> Puste miejsce |
| Niedozwolone znaki | Znaki Unicode |
| Ograniczenia haseł | Co najmniej 8 znaków i maksymalnie 256 znaków. Wymaga trzech na czterech z następujących typów znaków: - Małe litery - Wielkie litery - Liczby (0–9) - Symbole (zobacz poprzednie ograniczenia haseł) |
| Czas trwania wygaśnięcia hasła (maksymalny wiek hasła) | Wartość domyślna: 90 dni. Jeśli dzierżawa została utworzona po 2021 r., nie ma domyślnej wartości wygaśnięcia. Bieżące zasady można sprawdzić za pomocą polecenia Get-MgDomain. Wartość można skonfigurować przy użyciu polecenia cmdlet Update-MgDomain z modułu Microsoft Graph dla programu PowerShell. |
| Wygaśnięcie hasła (niech hasła nigdy nie wygasają) | Wartość domyślna: false (wskazuje, że hasła mają datę wygaśnięcia). Wartość można skonfigurować dla poszczególnych kont użytkowników przy użyciu polecenia cmdlet Update-MgUser . |
| Historia zmian haseł | Ostatnie hasło nie może być ponownie użyte, gdy użytkownik zmieni hasło. |
| Historia resetowania hasła | Ostatnie hasło można użyć ponownie, gdy użytkownik resetuje zapomniane hasło. |
Administrator reset policy differences (Różnice zasad resetowania administratora)
Domyślnie konta administratora są włączone na potrzeby samoobsługowego resetowania hasła, a wymuszane są silne domyślne zasady resetowania hasła z dwoma bramami . Te zasady mogą być inne niż te, które zdefiniowano dla użytkowników, i nie można zmienić tych zasad. Zawsze należy testować funkcje resetowania haseł jako użytkownik bez przypisanych ról administratora platformy Azure.
Zasady dwóch bram wymagają dwóch elementów danych uwierzytelniania, takich jak adres e-mail, aplikacja wystawcy uwierzytelniania lub numer telefonu, i zakazuje pytań zabezpieczających. Połączenia głosowe pakietu Office i telefonu komórkowego nie są dozwolone również w przypadku wersji próbnej lub bezpłatnych wersji usługi Microsoft Entra ID.
Zasady dwóch bram mają zastosowanie w następujących okolicznościach:
Dotyczy to wszystkich następujących ról administratora platformy Azure:
- Administrator aplikacji
- Administrator usługi serwera proxy aplikacji
- Administrator uwierzytelniania
- Administrator rozliczeń
- Administrator do spraw zgodności
- Administratorzy urządzeń
- Konta synchronizacji katalogów
- Autorzy katalogów
- Administrator usługi Dynamics 365
- Administrator programu Exchange
- Administrator globalny lub administrator firmy
- Administrator pomocy technicznej
- Administrator usługi Intune
- Administracja istrator skrzynki pocztowej
- Lokalny Administracja istrator urządzenia dołączonego do firmy Microsoft
- Pomoc techniczna dla partnerów w warstwie 1
- Pomoc techniczna dla partnerów w warstwie 2
- Administrator haseł
- administrator usługa Power BI
- Administrator uwierzytelniania uprzywilejowanego
- Administrator ról uprzywilejowanych
- Administrator zabezpieczeń
- Administrator pomocy technicznej usługi
- Administrator programu SharePoint
- administrator Skype dla firm
- Administracja istrator usługi Teams
- Administracja istrator komunikacji usługi Teams
- Usługa Teams Devices Administracja istrator
- Administrator użytkowników
Jeśli upłynął 30 dni w subskrypcji próbnej; Lub
Domena niestandardowa została skonfigurowana dla dzierżawy firmy Microsoft Entra, takiej jak contoso.com; lub
Firma Microsoft Entra Połączenie synchronizuje tożsamości z katalogu lokalnego
Możesz wyłączyć używanie samoobsługowego resetowania hasła dla kont administratorów przy użyciu polecenia cmdlet Update-MgPolicyAuthorizationPolicy Programu PowerShell. Parametr -AllowedToUseSspr:$true|$false włącza/wyłącza samoobsługowe resetowanie hasła dla administratorów. Wprowadzenie zmian zasad w celu włączenia lub wyłączenia samoobsługowego resetowania hasła dla kont administratorów może potrwać do 60 minut.
Wyjątki
Zasady jednej bramy wymagają jednego elementu danych uwierzytelniania, takich jak adres e-mail lub numer telefonu. Zasady o jednej bramie mają zastosowanie w następujących okolicznościach:
To w ciągu pierwszych 30 dni od subskrypcji próbnej
-Lub-
Domena niestandardowa nie jest skonfigurowana (dzierżawa używa domyślnej wartości *.onmicrosoft.com, która nie jest zalecana do użytku produkcyjnego) i firma Microsoft Entra Połączenie nie synchronizuje tożsamości.
Zasady wygasania haseł
Globalny Administracja istrator lub Administracja istrator użytkowników może używać programu Microsoft Graph do ustawiania haseł użytkowników, których nie wygasa.
Możesz również użyć poleceń cmdlet programu PowerShell, aby usunąć konfigurację nigdy nie wygasa lub sprawdzić, które hasła użytkownika nigdy nie wygasają.
Te wskazówki dotyczą innych dostawców, takich jak Intune i Microsoft 365, które również korzystają z identyfikatora Entra firmy Microsoft dla tożsamości i usług katalogowych. Wygaśnięcie hasła to jedyna część zasad, którą można zmienić.
Uwaga
Domyślnie można skonfigurować tylko hasła dla kont użytkowników, które nie są synchronizowane za pośrednictwem usługi Microsoft Entra Połączenie, aby nie wygasały. Aby uzyskać więcej informacji na temat synchronizacji katalogów, zobacz sekcję Łączenie AD z usługą Microsoft Entra ID.
Set or check the password policies by using PowerShell (Ustawianie i sprawdzanie zasad haseł za pomocą programu PowerShell)
Aby rozpocząć, pobierz i zainstaluj moduł Programu PowerShell programu Microsoft Graph i połącz go z dzierżawą firmy Microsoft Entra.
Po zainstalowaniu modułu wykonaj następujące kroki, aby wykonać każde zadanie zgodnie z potrzebami.
Sprawdzanie zasad wygasania hasła
Otwórz wiersz polecenia programu PowerShell i połącz się z dzierżawą usługi Microsoft Entra przy użyciu konta globalnego Administracja istratora lub Administracja istratora użytkownika.
Uruchom jedno z następujących poleceń dla pojedynczego użytkownika lub dla wszystkich użytkowników:
Aby sprawdzić, czy hasło pojedynczego użytkownika nigdy nie wygasa, uruchom następujące polecenie cmdlet. Zastąp
<user ID>element identyfikatorem użytkownika, który chcesz sprawdzić:Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}Aby wyświetlić ustawienie Hasło nigdy nie wygasa dla wszystkich użytkowników, uruchom następujące polecenie cmdlet:
Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Ustawianie hasła do wygaśnięcia
Otwórz wiersz polecenia programu PowerShell i połącz się z dzierżawą usługi Microsoft Entra przy użyciu konta globalnego Administracja istratora lub Administracja istratora użytkownika.
Uruchom jedno z następujących poleceń dla pojedynczego użytkownika lub dla wszystkich użytkowników:
Aby ustawić hasło jednego użytkownika tak, aby hasło wygasło, uruchom następujące polecenie cmdlet. Zastąp
<user ID>element identyfikatorem użytkownika, który chcesz sprawdzić:Update-MgUser -UserId <user ID> -PasswordPolicies NoneAby ustawić hasła wszystkich użytkowników w organizacji tak, aby wygasały, użyj następującego polecenia:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
Ustawianie hasła, które nigdy nie wygasa
Otwórz wiersz polecenia programu PowerShell i połącz się z dzierżawą usługi Microsoft Entra przy użyciu konta globalnego Administracja istratora lub Administracja istratora użytkownika.
Uruchom jedno z następujących poleceń dla pojedynczego użytkownika lub dla wszystkich użytkowników:
Aby ustawić hasło jednego użytkownika, aby nigdy nie wygasało, uruchom następujące polecenie cmdlet. Zastąp
<user ID>element identyfikatorem użytkownika, który chcesz sprawdzić:Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpirationAby ustawić hasła wszystkich użytkowników w organizacji, aby nigdy nie wygasały, uruchom następujące polecenie cmdlet:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Ostrzeżenie
Hasła ustawione na
-PasswordPolicies DisablePasswordExpirationnadal wiek na podstawie atrybutuLastPasswordChangeDateTime. Na podstawie atrybutuLastPasswordChangeDateTime, jeśli zmienisz wygaśnięcie na-PasswordPolicies None, wszystkie hasła, które mająLastPasswordChangeDateTimewięcej niż 90 dni, wymagają od użytkownika zmiany ich przy następnym logowaniu. Ta zmiana może mieć wpływ na dużą liczbę użytkowników.
Następne kroki
Aby rozpocząć pracę z samoobsługowym resetowaniem hasła, zobacz Samouczek: umożliwianie użytkownikom odblokowania konta lub resetowania haseł przy użyciu samoobsługowego resetowania haseł przez firmę Microsoft Entra.
Jeśli masz problemy z samoobsługowym resetowaniem hasła, zobacz Rozwiązywanie problemów z samoobsługowym resetowaniem hasła