Kombinerad lösenordsprincip och sök efter svaga lösenord i Microsoft Entra-ID
Från och med oktober 2021 innehåller Microsoft Entra-validering för efterlevnad av lösenordsprinciper även en kontroll av kända svaga lösenord och deras varianter. I det här avsnittet beskrivs information om de kriterier för lösenordsprinciper som kontrolleras av Microsoft Entra-ID.
Microsoft Entra-lösenordsprinciper
En lösenordsprincip tillämpas på alla användar- och administratörskonton som skapas och hanteras direkt i Microsoft Entra-ID. Du kan förbjuda svaga lösenord och definiera parametrar för att låsa ett konto efter upprepade felaktiga lösenordsförsök. Det går inte att ändra andra inställningar för lösenordsprinciper.
Microsoft Entra-lösenordsprincipen gäller inte för användarkonton som synkroniserats från en lokal AD DS-miljö med Microsoft Entra-Anslut såvida du inte aktiverar EnforceCloudPasswordPolicyForPasswordSyncedUsers. Om EnforceCloudPasswordPolicyForPasswordSyncedUsers och tillbakaskrivning av lösenord är aktiverade gäller förfalloprincipen för Microsoft Entra-lösenord, men den lokala lösenordsprincipen har företräde för längd, komplexitet och så vidare.
Följande krav för Microsoft Entra-lösenordsprinciper gäller för alla lösenord som skapas, ändras eller återställs i Microsoft Entra-ID. Krav tillämpas under användaretablering, lösenordsändring och lösenordsåterställningsflöden. Du kan inte ändra de här inställningarna förutom vad som anges.
| Property | Krav |
|---|---|
| Tecken tillåts | Versaler (A – Z) Gemener (a - z) Tal (0–9) Symboler: - @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <> - tomt utrymme |
| Tecken tillåts inte | Unicode-tecken |
| Lösenordslängd | Lösenord kräver - Minst åtta tecken - Högst 256 tecken |
| Lösenordskomplexitet | Lösenord kräver tre av fyra av följande kategorier: - Versaler – Gemener -Nummer -Symboler Obs! Lösenordskomplexitetskontroll krävs inte för Utbildningsklientorganisationer. |
| Lösenordet har inte använts nyligen | När en användare ändrar sitt lösenord ska det nya lösenordet inte vara detsamma som det aktuella lösenordet. |
| Lösenord är inte förbjudet av Microsoft Entra-lösenordsskydd | Lösenordet kan inte finnas på den globala listan över förbjudna lösenord för Microsoft Entra Password Protection, eller på den anpassningsbara listan över förbjudna lösenord som är specifika för din organisation. |
Principer för förfallodatum för lösenord
Förfalloprinciper för lösenord är oförändrade, men de ingår i det här avsnittet för fullständighet. En global administratör eller användaradministratör kan använda Microsoft Graph PowerShell-cmdletar för att ange att användarlösenord inte ska upphöra att gälla.
Kommentar
Som standard kan endast lösenord för användarkonton som inte synkroniseras via Microsoft Entra Connect konfigureras att inte upphöra att gälla. Mer information om katalogsynkronisering finns i Connect AD med Microsoft Entra ID.
Du kan också använda PowerShell för att ta bort konfigurationen som aldrig upphör att gälla eller för att se användarlösenord som är inställda på att aldrig upphöra att gälla.
Följande förfallokrav gäller för andra leverantörer som använder Microsoft Entra-ID för identitets- och katalogtjänster, till exempel Microsoft Intune och Microsoft 365.
| Property | Krav |
|---|---|
| Varaktighet för förfallotid för lösenord (högsta lösenordsålder) | Standardvärde: 90 dagar. Värdet kan konfigureras med hjälp av cmdleten Update-MgDomain från Microsoft Graph PowerShell-modulen. |
| Lösenordet upphör att gälla (låt lösenord aldrig upphöra) | Standardvärde: false (anger att lösenordet har ett förfallodatum). Värdet kan konfigureras för enskilda användarkonton med hjälp av cmdleten Update-MgUser . |