Políticas de palavra-passe e restrições de conta no Azure Ative DirectoryPassword policies and account restrictions in Azure Active Directory

No Azure Ative Directory (Azure AD), existe uma política de palavra-passe que define configurações como a complexidade, comprimento ou idade da palavra-passe.In Azure Active Directory (Azure AD), there's a password policy that defines settings like the password complexity, length, or age. Há também uma política que define caracteres e comprimentos aceitáveis para nomes de utilizadores.There's also a policy that defines acceptable characters and length for usernames.

Quando a palavra-passe de autosserviço é utilizada para alterar ou redefinir uma palavra-passe em AD Azure, a política de palavra-passe é verificada.When self-service password reset (SSPR) is used to change or reset a password in Azure AD, the password policy is checked. Se a palavra-passe não cumprir os requisitos da apólice, o utilizador é solicitado a tentar novamente.If the password doesn't meet the policy requirements, the user is prompted to try again. Os administradores da Azure têm algumas restrições na utilização de SSPR que são diferentes das contas regulares do utilizador.Azure administrators have some restrictions on using SSPR that are different to regular user accounts.

Este artigo descreve as definições de política de palavra-passe e os requisitos de complexidade associados às contas de utilizador no seu inquilino AD Azure e como pode utilizar o PowerShell para verificar ou definir definições de validade da palavra-passe.This article describes the password policy settings and complexity requirements associated with user accounts in your Azure AD tenant, and how you can use PowerShell to check or set password expiration settings.

Políticas de nome de utilizadorUsername policies

Todas as contas que se inscrevem no Azure AD devem ter um valor único de atributo de utilizador principal (UPN) associado à sua conta.Every account that signs in to Azure AD must have a unique user principal name (UPN) attribute value associated with their account. Em ambientes híbridos com um ambiente de serviços de domínio de diretório ativo (AD DS) sincronizado com Azure AD usando Azure AD Connect, por padrão, o Azure AD UPN é definido para o UPN on-prem.In hybrid environments with an on-premises Active Directory Domain Services (AD DS) environment synchronized to Azure AD using Azure AD Connect, by default the Azure AD UPN is set to the on-prem UPN.

O quadro que se segue descreve as políticas de nome de utilizador que se aplicam tanto às contas AD DS no local que são sincronizadas com a AZure AD, como para contas de utilizadores criadas diretamente em AD Azure:The following table outlines the username policies that apply to both on-premises AD DS accounts that are synchronized to Azure AD, and for cloud-only user accounts created directly in Azure AD:

PropriedadeProperty Requisitos do Nome UserPrincipalUserPrincipalName requirements
Caracteres permitidosCharacters allowed
  • A – ZA – Z
  • a - za - z
  • 0 – 90 – 9
  • ' .' . - _ ! - _ ! # ^ ~# ^ ~
Caracteres não são permitidosCharacters not allowed
  • Qualquer " @ " personagem que não está separando o nome de utilizador do domínio.Any "@" character that's not separating the username from the domain.
  • Não pode conter um caráter de época "." imediatamente antes do @ " " símboloCan't contain a period character "." immediately preceding the "@" symbol
Restrições de comprimentoLength constraints
  • O comprimento total não deve exceder 113 caracteresThe total length must not exceed 113 characters
  • Pode haver até 64 caracteres antes do " @ " símboloThere can be up to 64 characters before the "@" symbol
  • Pode haver até 48 caracteres após o " @ " símboloThere can be up to 48 characters after the "@" symbol

Políticas de senha AD AZureAzure AD password policies

Uma política de palavra-passe é aplicada a todas as contas de utilizador que são criadas e geridas diretamente no AZure AD.A password policy is applied to all user accounts that are created and managed directly in Azure AD. Algumas destas definições de política de palavra-passe não podem ser modificadas, embora possa configurar senhas proibidas personalizadas para proteção de password AD AD ou parâmetros de bloqueio de conta.Some of these password policy settings can't be modified, though you can configure custom banned passwords for Azure AD password protection or account lockout parameters.

Por predefinição, uma conta é bloqueada após 10 tentativas de inscrição falhadas com a senha errada.By default, an account is locked out after 10 unsuccessful sign-in attempts with the wrong password. O utilizador está bloqueado por um minuto.The user is locked out for one minute. Outras tentativas de entrada incorretas bloqueiam o utilizador durante o período de tempo.Further incorrect sign-in attempts lock out the user for increasing durations of time. O bloqueio inteligente rastreia os últimos três haques de palavra-passe estragados para evitar o incremento do contador de bloqueio para a mesma palavra-passe.Smart lockout tracks the last three bad password hashes to avoid incrementing the lockout counter for the same password. Se alguém introduzir a mesma palavra-passe errada várias vezes, este comportamento não fará com que a conta bloqueie. Pode definir o limiar de bloqueio inteligente e a duração.If someone enters the same bad password multiple times, this behavior will not cause the account to lock out. You can define the smart lockout threshold and duration.

A política de palavra-passe AD AD não se aplica às contas de utilizador sincronizadas a partir de um ambiente AD DS no local utilizando o Azure AD Connect, a menos que ative EnforceCloudPasswordPolicyForPasswordSyncedUsers.The Azure AD password policy doesn't apply to user accounts synchronized from an on-premises AD DS environment using Azure AD Connect, unless you enable EnforceCloudPasswordPolicyForPasswordSyncedUsers.

São definidas as seguintes opções de política de palavra-passe AZure AD.The following Azure AD password policy options are defined. A menos que seja notado, não pode alterar estas definições:Unless noted, you can't change these settings:

PropriedadeProperty RequisitosRequirements
Caracteres permitidosCharacters allowed
  • A – ZA – Z
  • a - za - z
  • 0 – 90 – 9
  • # $ % ^ & * - _ !@ # $ % ^ & * - _ ! + = { { } | \ : '' .+ = [ ] { } | \ : ' , . ?? / ` ~ " ( ) ; / ` ~ " ( ) ;
  • espaço em brancoblank space
Caracteres não são permitidosCharacters not allowed Caracteres unicódigo.Unicode characters.
Restrições de senhaPassword restrictions
  • Um mínimo de 8 caracteres e um máximo de 256 caracteres.A minimum of 8 characters and a maximum of 256 characters.
  • Requer três de quatro dos seguintes:Requires three out of four of the following:
    • Personagens minúsculos.Lowercase characters.
    • Personagens maiúsculas.Uppercase characters.
    • Números (0-9).Numbers (0-9).
    • Símbolos (ver as restrições de senha anteriores).Symbols (see the previous password restrictions).
Duração da expiração da palavra-passe (idade máxima da senha)Password expiry duration (Maximum password age)
  • Valor predefinido: 90 dias.Default value: 90 days.
  • O valor é configurável utilizando o Set-MsolPasswordPolicy cmdlet do Módulo de Diretório Ativo Azure para o Windows PowerShell.The value is configurable by using the Set-MsolPasswordPolicy cmdlet from the Azure Active Directory Module for Windows PowerShell.
Notificação de expiração da palavra-passe (Quando os utilizadores são notificados da expiração da palavra-passe)Password expiry notification (When users are notified of password expiration)
  • Valor predefinido: 14 dias (antes da palavra-passe expirar).Default value: 14 days (before password expires).
  • O valor é configurável utilizando o Set-MsolPasswordPolicy cmdlet.The value is configurable by using the Set-MsolPasswordPolicy cmdlet.
Prazo de validade (Deixe que as palavras-passe nunca expirem)Password expiry (Let passwords never expire)
  • Valor predefinido: falso (indica que a palavra-passe tem uma data de validade).Default value: false (indicates that password's have an expiration date).
  • O valor pode ser configurado para contas individuais de utilizador utilizando o Set-MsolUser cmdlet.The value can be configured for individual user accounts by using the Set-MsolUser cmdlet.
Histórico de mudança de palavra-passePassword change history A última palavra-passe não pode ser usada novamente quando o utilizador muda uma palavra-passe.The last password can't be used again when the user changes a password.
Histórico de reset de palavra-passePassword reset history A última palavra-passe pode ser novamente utilizada quando o utilizador reinicia uma palavra-passe esquecida.The last password can be used again when the user resets a forgotten password.

Administrator reset policy differences (Diferenças da política de reposição de administrador)Administrator reset policy differences

Por padrão, as contas do administrador são ativadas para o reset da palavra-passe de autosserviço e uma forte política de reset de senha de dois prazos por defeito é aplicada.By default, administrator accounts are enabled for self-service password reset, and a strong default two-gate password reset policy is enforced. Esta política pode ser diferente da que definiu para os seus utilizadores, e esta política não pode ser alterada.This policy may be different from the one you have defined for your users, and this policy can't be changed. Deve sempre testar a funcionalidade de reset da palavra-passe como utilizador sem quaisquer funções de administrador Azure atribuídas.You should always test password reset functionality as a user without any Azure administrator roles assigned.

Com uma política de dois portões, os administradores não têm a capacidade de usar questões de segurança.With a two-gate policy, administrators don't have the ability to use security questions.

A política de dois portões requer duas peças de dados de autenticação, como um endereço de e-mail, aplicação autenticadora ou um número de telefone.The two-gate policy requires two pieces of authentication data, such as an email address, authenticator app, or a phone number. Nas seguintes circunstâncias, aplica-se uma política de dois prazos:A two-gate policy applies in the following circumstances:

  • Todas as seguintes funções de administrador da Azure são afetadas:All the following Azure administrator roles are affected:

    • Administrador da HelpdeskHelpdesk administrator
    • Administrador de suporte de serviçosService support administrator
    • Administrador de faturaçãoBilling administrator
    • Suporte parceiro Tier1Partner Tier1 Support
    • Suporte parceiro Tier2Partner Tier2 Support
    • Administrador do ExchangeExchange administrator
    • Administrador da caixa de correioMailbox Administrator
    • Administrador do Skype para EmpresasSkype for Business administrator
    • Administrador de utilizadoresUser administrator
    • Escritores de diretóriosDirectory writers
    • Administrador global ou administrador da empresaGlobal administrator or company administrator
    • Administrador do SharePointSharePoint administrator
    • Administrador de conformidadeCompliance administrator
    • Administrador de aplicaçãoApplication administrator
    • Administrador de segurançaSecurity administrator
    • Administrador privilegiadoPrivileged role administrator
    • Administrador do IntuneIntune administrator
    • Azure Ad ad ad dispositivo local administradorAzure AD Joined Device Local Administrator
    • Administrador de serviço de procuração de aplicaçãoApplication proxy service administrator
    • Administrador dinâmico 365Dynamics 365 administrator
    • Administrador do serviço Power BIPower BI service administrator
    • Administrador de autenticaçãoAuthentication administrator
    • Administrador de palavras-passePassword administrator
    • Administrador de Autenticação PrivilegiadaPrivileged Authentication administrator
  • Se tiverem decorrido 30 dias de subscrição experimental; ouIf 30 days have elapsed in a trial subscription; or

  • Um domínio personalizado foi configurado para o seu inquilino AD Azure, como contoso.com; ouA custom domain has been configured for your Azure AD tenant, such as contoso.com; or

  • Azure AD Connect está sincronizando identidades do seu diretório no localAzure AD Connect is synchronizing identities from your on-premises directory

Pode desativar a utilização de SSPR para contas de administrador utilizando o cmdlet PowerShell set-MsolCompanySettings.You can disable the use of SSPR for administrator accounts using the Set-MsolCompanySettings PowerShell cmdlet. O -SelfServePasswordResetEnabled $False parâmetro desativa a SSPR para administradores.The -SelfServePasswordResetEnabled $False parameter disables SSPR for administrators.

ExceçõesExceptions

Uma política de um portão requer uma peça de dados de autenticação, como um endereço de e-mail ou número de telefone.A one-gate policy requires one piece of authentication data, such as an email address or phone number. Nas seguintes circunstâncias, aplica-se uma política de um portão único:A one-gate policy applies in the following circumstances:

  • É dentro dos primeiros 30 dias de uma assinatura experimental; ouIt's within the first 30 days of a trial subscription; or
  • Um domínio personalizado não foi configurado para o seu inquilino AD Azure, pelo que está a usar o padrão *.onmicrosoft.com.A custom domain hasn't been configured for your Azure AD tenant so is using the default *.onmicrosoft.com. O domínio predefinido *.onmicrosoft.com não é recomendado para uso de produção; eThe default *.onmicrosoft.com domain isn't recommended for production use; and
  • Azure AD Connect não sincroniza identidadesAzure AD Connect isn't synchronizing identities

Políticas de expiração de palavra-passePassword expiration policies

Um administrador ou administrador de utilizador global pode utilizar o Módulo AD AZure do Microsoft para o Windows PowerShell para definir as palavras-passe do utilizador para não expirar.A global administrator or user administrator can use the Microsoft Azure AD Module for Windows PowerShell to set user passwords not to expire.

Também pode utilizar cmdlets PowerShell para remover a configuração de nunca expirar ou para ver quais as palavras-passe do utilizador definidas para nunca expirar.You can also use PowerShell cmdlets to remove the never-expires configuration or to see which user passwords are set to never expire.

Esta orientação aplica-se a outros fornecedores, como o Intune e o Microsoft 365, que também contam com a Azure AD para serviços de identidade e diretório.This guidance applies to other providers, such as Intune and Microsoft 365, which also rely on Azure AD for identity and directory services. A expiração da palavra-passe é a única parte da política que pode ser alterada.Password expiration is the only part of the policy that can be changed.

Nota

Apenas as palavras-passe para contas de utilizador que não sejam sincronizadas através do Azure AD Connect podem ser configuradas para não expirarem.Only passwords for user accounts that aren't synchronized through Azure AD Connect can be configured to not expire. Para obter mais informações sobre a sincronização do diretório, consulte Connect AD com Azure AD.For more information about directory synchronization, see Connect AD with Azure AD.

Set or check the password policies by using PowerShell (Utilizar o PowerShell para definir ou verificar as políticas de palavras-passe)Set or check the password policies by using PowerShell

Para começar, faça o download e instale o módulo Azure AD PowerShell e conecte-o ao seu inquilino AD Azure.To get started, download and install the Azure AD PowerShell module and connect it to your Azure AD tenant.

Depois de instalar o módulo, utilize os seguintes passos para completar cada tarefa conforme necessário.After the module is installed, use the following steps to complete each task as needed.

Verifique a política de expiração para obter uma senhaCheck the expiration policy for a password

  1. Abra uma pressão PowerShell e ligue-se ao seu inquilino Azure AD utilizando um administrador global ou conta de administrador de utilizador.Open a PowerShell prompt and connect to your Azure AD tenant using a global administrator or user administrator account.

  2. Executar um dos seguintes comandos para um utilizador individual ou para todos os utilizadores:Run one of the following commands for either an individual user or for all users:

    • Para ver se a palavra-passe de um único utilizador está definida para nunca expirar, execute o cmdlet seguinte.To see if a single user's password is set to never expire, run the following cmdlet. <user ID>Substitua-o pelo ID do utilizador do utilizador que pretende verificar, como o driley @ contoso.onmicrosoft.com:Replace <user ID> with the user ID of the user you want to check, such as driley@contoso.onmicrosoft.com:

      Get-AzureADUser -ObjectId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • Para ver a Palavra-Passe nunca expira a definição para todos os utilizadores, execute o seguinte cmdlet:To see the Password never expires setting for all users, run the following cmdlet:

      Get-AzureADUser -All $true | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

Definir uma senha para expirarSet a password to expire

  1. Abra uma pressão PowerShell e ligue-se ao seu inquilino Azure AD utilizando um administrador global ou conta de administrador de utilizador.Open a PowerShell prompt and connect to your Azure AD tenant using a global administrator or user administrator account.

  2. Executar um dos seguintes comandos para um utilizador individual ou para todos os utilizadores:Run one of the following commands for either an individual user or for all users:

    • Para definir a palavra-passe de um utilizador de modo a que a palavra-passe expire, execute o cmdlet seguinte.To set the password of one user so that the password expires, run the following cmdlet. <user ID>Substitua-o pelo ID do utilizador do utilizador que pretende verificar, como o driley @ contoso.onmicrosoft.comReplace <user ID> with the user ID of the user you want to check, such as driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies None
      
    • Para definir as palavras-passe de todos os utilizadores da organização para que expirem, utilize o seguinte cmdlet:To set the passwords of all users in the organization so that they expire, use the following cmdlet:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies None
      

Desafine uma senha para nunca expirarSet a password to never expire

  1. Abra uma pressão PowerShell e ligue-se ao seu inquilino Azure AD utilizando um administrador global ou conta de administrador de utilizador.Open a PowerShell prompt and connect to your Azure AD tenant using a global administrator or user administrator account.

  2. Executar um dos seguintes comandos para um utilizador individual ou para todos os utilizadores:Run one of the following commands for either an individual user or for all users:

    • Para definir a palavra-passe de um utilizador para nunca expirar, executar o cmdlet seguinte.To set the password of one user to never expire, run the following cmdlet. <user ID>Substitua-o pelo ID do utilizador do utilizador que pretende verificar, como o driley @ contoso.onmicrosoft.comReplace <user ID> with the user ID of the user you want to check, such as driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • Para definir as palavras-passe de todos os utilizadores de uma organização para nunca expirar, executar o seguinte cmdlet:To set the passwords of all the users in an organization to never expire, run the following cmdlet:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies DisablePasswordExpiration
      

    Aviso

    As palavras-passe definidas -PasswordPolicies DisablePasswordExpiration para a idade ainda com base no pwdLastSet atributo.Passwords set to -PasswordPolicies DisablePasswordExpiration still age based on the pwdLastSet attribute. Com base no pwdLastSet atributo, se alterar a expiração para -PasswordPolicies None , todas as palavras-passe com pwdLastSet mais de 90 dias exigem que o utilizador as altere da próxima vez que iniciar sôs.Based on the pwdLastSet attribute, if you change the expiration to -PasswordPolicies None, all passwords that have a pwdLastSet older than 90 days require the user to change them the next time they sign in. Esta alteração pode afetar um grande número de utilizadores.This change can affect a large number of users.

Passos seguintesNext steps

Para começar com o SSPR, consulte Tutorial: Ative os utilizadores para desbloquearem a sua conta ou redefinirem as palavras-passe utilizando o reset da palavra-passe de autosserviço do Azure Ative Directory.To get started with SSPR, see Tutorial: Enable users to unlock their account or reset passwords using Azure Active Directory self-service password reset.

Se você ou utilizadores tiverem problemas com SSPR, consulte o reset da palavra-passe de autosserviço de resolução de problemasIf you or users have problems with SSPR, see Troubleshoot self-service password reset