Políticas de palavra-passe e restrições de conta no Microsoft Entra ID
No Microsoft Entra ID, há uma política de senha que define configurações como a complexidade, o comprimento ou a idade da senha. Há também uma política que define caracteres e comprimentos aceitáveis para nomes de usuário.
Quando a redefinição de senha de autoatendimento (SSPR) é usada para alterar ou redefinir uma senha no Microsoft Entra ID, a diretiva de senha é verificada. Se a senha não atender aos requisitos da política, o usuário será solicitado a tentar novamente. Os administradores do Azure têm algumas restrições no uso do SSPR que são diferentes das contas de usuário comuns, e há pequenas exceções para versões de avaliação e gratuitas do Microsoft Entra ID.
Este artigo descreve as configurações de diretiva de senha e os requisitos de complexidade associados às contas de usuário. Ele também aborda como usar o PowerShell para verificar ou definir configurações de expiração de senha.
Políticas de nome de utilizador
Cada conta que inicie sessão no Microsoft Entra ID tem de ter um valor de atributo de nome principal de utilizador (UPN) exclusivo associado à respetiva conta. Em ambientes híbridos com um ambiente dos Serviços de Domínio Ative Directory (AD DS) local sincronizado com o ID do Microsoft Entra usando o Microsoft Entra Connect, por padrão, o UPN do Microsoft Entra é definido como o UPN local.
A tabela a seguir descreve as políticas de nome de usuário que se aplicam às contas do AD DS locais sincronizadas com a ID do Microsoft Entra e às contas de usuário somente na nuvem criadas diretamente na ID do Microsoft Entra:
| Property | Requisitos de UserPrincipalName |
|---|---|
| Caracteres permitidos | A – Z a - z 0 – 9 ' . - _ ! # ^ ~ |
| Caracteres não permitidos | Qualquer caractere "@" que não esteja separando o nome de usuário do domínio. Não é possível conter um caractere de ponto "." imediatamente anterior ao símbolo "@" |
| Restrições de comprimento | O comprimento total não deve exceder 113 caracteres Pode haver até 64 caracteres antes do símbolo "@" Pode haver até 48 caracteres após o símbolo "@" |
Políticas de senha do Microsoft Entra
Uma política de senha é aplicada a todas as contas de usuário criadas e gerenciadas diretamente no Microsoft Entra ID. Algumas dessas configurações de política de senha não podem ser modificadas, embora você possa configurar senhas proibidas personalizadas para proteção por senha do Microsoft Entra ou parâmetros de bloqueio de conta.
Por predefinição, uma conta é bloqueada após 10 tentativas de início de sessão sem sucesso com a palavra-passe errada. O usuário é bloqueado por um minuto. Outras tentativas de início de sessão incorretas bloqueiam o utilizador por períodos de tempo crescentes. O bloqueio inteligente rastreia os três últimos hashes de senha incorretos para evitar incrementar o contador de bloqueio para a mesma senha. Se alguém digitar a mesma senha incorreta várias vezes, não será bloqueado. Você pode definir o limite e a duração do bloqueio inteligente.
A política de senha do Microsoft Entra não se aplica a contas de usuário sincronizadas de um ambiente AD DS local usando o Microsoft Entra Connect, a menos que você habilite EnforceCloudPasswordPolicyForPasswordSyncedUsers.
As seguintes opções de política de senha do Microsoft Entra são definidas. A menos que indicado, você não pode alterar estas configurações:
| Property | Requisitos |
|---|---|
| Caracteres permitidos | A – Z a - z 0 – 9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <> Espaço em branco |
| Caracteres não permitidos | Caracteres Unicode |
| Restrições de palavra-passe | Um mínimo de 8 caracteres e um máximo de 256 caracteres. Requer três dos quatro tipos de caracteres a seguir: - Caracteres minúsculos - Caracteres maiúsculos - Números (0-9) - Símbolos (veja as restrições de senha anteriores) |
| Duração da expiração da palavra-passe (Idade máxima da palavra-passe) | Valor predefinido: 90 dias. Se o locatário foi criado após 2021, ele não tem valor de expiração padrão. Você pode verificar a política atual com Get-MgDomain. O valor é configurável usando o cmdlet Update-MgDomain do módulo Microsoft Graph para PowerShell. |
| Expiração da palavra-passe (Permitir que as palavras-passe nunca expirem) | Valor padrão: false (indica que as senhas têm uma data de validade). O valor pode ser configurado para contas de usuário individuais usando o cmdlet Update-MgUser . |
| Histórico de alterações de palavra-passe | A última senha não pode ser usada novamente quando o usuário altera uma senha. |
| Histórico de redefinição de senha | A última senha pode ser usada novamente quando o usuário redefine uma senha esquecida. |
Administrator reset policy differences (Diferenças da política de reposição de administrador)
Por padrão, as contas de administrador são habilitadas para redefinição de senha de autoatendimento e uma política de redefinição de senha de duas portas padrão forte é imposta. Esta política pode ser diferente da que definiu para os seus utilizadores e não pode ser alterada. Você sempre deve testar a funcionalidade de redefinição de senha como um usuário sem nenhuma função de administrador do Azure atribuída.
A política de duas portas requer duas partes de dados de autenticação, como um endereço de e-mail, aplicativo autenticador ou um número de telefone, e proíbe perguntas de segurança. As chamadas de voz móveis e do Office também são proibidas para as versões de avaliação ou gratuitas do Microsoft Entra ID.
Uma política de duas portas aplica-se nas seguintes circunstâncias:
Todas as seguintes funções de administrador do Azure são afetadas:
- Administrador de aplicações
- Administrador de serviço de proxy de aplicativo
- Administrador de autenticação
- Administrador de faturação
- Administrador de Conformidade
- Administradores de dispositivos
- Contas de sincronização de diretórios
- Escritores de diretórios
- Administrador do Dynamics 365
- Administrador do Exchange
- Administrador global ou administrador de empresa
- Administrador do serviço de assistência
- Administrador do Intune
- Administrador de Caixa de Correio
- Administrador Local de Dispositivo Ingressado no Microsoft Entra
- Suporte de nível 1 do parceiro
- Suporte de nível 2 do parceiro
- Administrador de palavras-passe
- Administrador de serviço do Power BI
- Administrador de autenticação privilegiada
- Administrador com função privilegiada
- Administrador de segurança
- Administrador de suporte de serviço
- Administrador do SharePoint
- Administrador do Skype for Business
- Administrador de Equipas
- Administrador de Comunicações do Teams
- Administrador de dispositivos do Teams
- Administrador de usuários
Se tiverem decorrido 30 dias numa subscrição de avaliação; quer
Um domínio personalizado foi configurado para seu locatário do Microsoft Entra, como contoso.com; ou
O Microsoft Entra Connect está sincronizando identidades do diretório local
Você pode desabilitar o uso de SSPR para contas de administrador usando o cmdlet Update-MgPolicyAuthorizationPolicy PowerShell. O -AllowedToUseSspr:$true|$false parâmetro habilita/desabilita SSPR para administradores. As alterações de política para habilitar ou desabilitar o SSPR para contas de administrador podem levar até 60 minutos para entrar em vigor.
Exceções
Uma política de porta única requer uma parte dos dados de autenticação, como um endereço de e-mail ou número de telefone. Uma política de porta única aplica-se nas seguintes circunstâncias:
Está nos primeiros 30 dias de uma subscrição de avaliação
-Ou-
Um domínio personalizado não está configurado (o locatário está usando o padrão *.onmicrosoft.com, que não é recomendado para uso em produção) e o Microsoft Entra Connect não está sincronizando identidades.
Políticas de expiração de senha
Um Administrador Global ou Administrador de Usuários pode usar o Microsoft Graph para definir senhas de usuário para não expirar.
Você também pode usar cmdlets do PowerShell para remover a configuração que nunca expira ou para ver quais senhas de usuário estão definidas para nunca expirar.
Esta orientação aplica-se a outros fornecedores, como o Intune e o Microsoft 365, que também dependem do Microsoft Entra ID para serviços de identidade e diretório. A expiração das palavras-passe é a única parte da política que pode ser alterada.
Nota
Por padrão, apenas senhas para contas de usuário que não são sincronizadas por meio do Microsoft Entra Connect podem ser configuradas para não expirar. Para obter mais informações sobre a sincronização de diretórios, veja Connect AD com o Microsoft Entra ID.
Set or check the password policies by using PowerShell (Utilizar o PowerShell para definir ou verificar as políticas de palavras-passe)
Para começar, baixe e instale o módulo Microsoft Graph PowerShell e conecte-o ao locatário do Microsoft Entra.
Depois que o módulo for instalado, use as etapas a seguir para concluir cada tarefa conforme necessário.
Verifique se há uma senha na política de expiração
Abra um prompt do PowerShell e conecte-se ao locatário do Microsoft Entra usando uma conta de Administrador Global ou Administrador de Usuário .
Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:
Para ver se a senha de um único usuário está definida para nunca expirar, execute o cmdlet a seguir. Substitua
<user ID>pelo ID de usuário do usuário que você deseja verificar:Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}Para ver a configuração Senha nunca expira para todos os usuários, execute o seguinte cmdlet:
Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Definir uma palavra-passe para expirar
Abra um prompt do PowerShell e conecte-se ao locatário do Microsoft Entra usando uma conta de Administrador Global ou Administrador de Usuário .
Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:
Para definir a senha de um usuário para que a senha expire, execute o cmdlet a seguir. Substitua
<user ID>pelo ID de usuário do usuário que você deseja verificar:Update-MgUser -UserId <user ID> -PasswordPolicies NonePara definir as senhas de todos os usuários na organização para que expirem, use o seguinte comando:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
Definir uma palavra-passe para nunca expirar
Abra um prompt do PowerShell e conecte-se ao locatário do Microsoft Entra usando uma conta de Administrador Global ou Administrador de Usuário .
Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:
Para definir a senha de um usuário para nunca expirar, execute o cmdlet a seguir. Substitua
<user ID>pelo ID de usuário do usuário que você deseja verificar:Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpirationPara definir as senhas de todos os usuários em uma organização para nunca expirarem, execute o seguinte cmdlet:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Aviso
As senhas são definidas como
-PasswordPolicies DisablePasswordExpirationidade estática com base noLastPasswordChangeDateTimeatributo. Com base noLastPasswordChangeDateTimeatributo, se você alterar a expiração para-PasswordPolicies None, todas as senhas com mais deLastPasswordChangeDateTime90 dias exigirão que o usuário as altere na próxima vez que entrar. Essa alteração pode afetar um grande número de usuários.
Próximos passos
Para começar a usar o SSPR, consulte Tutorial: Permitir que os usuários desbloqueiem suas contas ou redefinissem senhas usando a redefinição de senha de autoatendimento do Microsoft Entra.
Se você ou os usuários tiverem problemas com o SSPR, consulte Solucionar problemas de redefinição de senha de autoatendimento