Parola ilkeleri ve Azure Active Directory'de kısıtlamalarıPassword policies and restrictions in Azure Active Directory

Bu makalede, Azure Active Directory (Azure AD) kiracınız içindeki kullanıcı hesapları ile ilişkili karmaşıklık gereksinimleri ve parola ilkelerini açıklar.This article describes the password policies and complexity requirements associated with user accounts in your Azure Active Directory (Azure AD) tenant.

Yönetici İlkesi farklar SıfırlaAdministrator reset policy differences

Microsoft, varsayılan olarak güçlü bir zorlar iki ağ geçidi parola sıfırlama İlkesi tüm Azure yöneticisi rolleri için Bu ilke, kullanıcılarınız için tanımladığınız ve değiştirilemez parçacıktan farklı olabilir.Microsoft enforces a strong default two-gate password reset policy for any Azure administrator role this policy may be different from the one you have defined for your users and cannot be changed. Her zaman bir kullanıcı olarak parola sıfırlama işlevselliği test etmelisiniz atanmış tüm Azure yöneticisi rollerini olmadan.You should always test password reset functionality as a user without any Azure administrator roles assigned.

İki ağ geçidi İlkesi ile Yöneticiler, güvenlik sorularını kullan olanağı yok.With a two-gate policy, administrators don't have the ability to use security questions.

İki ağ geçidi ilkesi kimlik doğrulama verilerini iki parça gibi gerektiren bir e-posta adresi, authenticator uygulamasını, veya bir telefon numarası.The two-gate policy requires two pieces of authentication data, such as an email address, authenticator app, or a phone number. İki ağ geçidi İlkesi, aşağıdaki durumlarda geçerlidir:A two-gate policy applies in the following circumstances:

  • Aşağıdaki Azure yöneticisi rollerini etkilenir:All the following Azure administrator roles are affected:

    • Yardım Masası YöneticisiHelpdesk administrator
    • Hizmet desteği YöneticisiService support administrator
    • Faturalama yöneticisiBilling administrator
    • Partner Tier1 DesteğiPartner Tier1 Support
    • Partner Tier2 DesteğiPartner Tier2 Support
    • Exchange YöneticisiExchange administrator
    • Skype Kurumsal YöneticisiSkype for Business administrator
    • Kullanıcı YöneticisiUser administrator
    • Dizin yazıcılarDirectory writers
    • Genel yönetici veya şirket YöneticisiGlobal administrator or company administrator
    • SharePoint yöneticisiSharePoint administrator
    • Uyumluluk YöneticisiCompliance administrator
    • Uygulama YöneticisiApplication administrator
    • Güvenlik yöneticisiSecurity administrator
    • Ayrıcalıklı Rol YöneticisiPrivileged role administrator
    • Intune YöneticisiIntune administrator
    • Uygulama Ara sunucusu Hizmet YöneticisiApplication proxy service administrator
    • Dynamics 365 YöneticisiDynamics 365 administrator
    • Power BI Hizmet YöneticisiPower BI service administrator
    • Kimlik doğrulama YöneticisiAuthentication administrator
    • Ayrıcalıklı kimlik yöneticisiPrivileged Authentication administrator
  • 30 günlük bir deneme aboneliği geçtiyse; veyaIf 30 days have elapsed in a trial subscription; or

  • Gösterim etki alanı contoso.com gibi mevcut değil; veyaA vanity domain is present, such as contoso.com; or

  • Azure AD Connect, şirket içi dizininizden kimlikler eşitlemeAzure AD Connect is synchronizing identities from your on-premises directory

Özel durumlarExceptions

Tek parça bir e-posta adresi gibi kimlik doğrulama verilerinin bir ağ geçidi İlkesi gerektirir veya telefon numarası.A one-gate policy requires one piece of authentication data, such as an email address or phone number. Bir ağ geçidi İlkesi, aşağıdaki durumlarda geçerlidir:A one-gate policy applies in the following circumstances:

  • Bu, ilk 30 gün içinde bir deneme aboneliği olur; veyaIt's within the first 30 days of a trial subscription; or
  • Gösterim etki alanı mevcut değil (*. onmicrosoft.com); veA vanity domain isn't present (*.onmicrosoft.com); and
  • Azure AD Connect kimlik eşitleme değilAzure AD Connect isn't synchronizing identities

Tüm kullanıcı hesaplarına uygulanan UserPrincipalName ilkeleriUserPrincipalName policies that apply to all user accounts

Azure AD'de oturum açmak için gereken her bir kullanıcı hesabını hesaplarıyla ilişkili benzersiz kullanıcı asıl adı (UPN) öznitelik değeri olması gerekir.Every user account that needs to sign in to Azure AD must have a unique user principal name (UPN) attribute value associated with their account. Aşağıdaki tabloda, bulutta ve yalnızca bulut kullanıcı hesapları için eşitlenir hem şirket içi Active Directory kullanıcı hesaplarına uygulanan tüm ilkeler özetlenmektedir:The following table outlines the policies that apply to both on-premises Active Directory user accounts that are synchronized to the cloud and to cloud-only user accounts:

ÖzellikProperty UserPrincipalName gereksinimleriUserPrincipalName requirements
İzin verilen karakterCharacters allowed
  • A – ZA – Z
  • a - za - z
  • 0 – 90 – 9
  • ' .' . - _ ! - _ ! # ^ ~# ^ ~
Karakterlere izin verilmezCharacters not allowed
  • Tüm "@ " kullanıcı etki alanı adından ayırarak olmayan karakter.Any "@" character that's not separating the username from the domain.
  • Nokta karakteri içeremez "." hemen "@ " simgesiCan't contain a period character "." immediately preceding the "@" symbol
Uzunluk kısıtlamalarıLength constraints
  • Toplam uzunluğu 113 karakterden uzun olmamalıdırThe total length must not exceed 113 characters
  • Önce en fazla 64 karakter olabilir "@ " simgesiThere can be up to 64 characters before the "@" symbol
  • Sonra en fazla 48 karakter olabilir "@ " simgesiThere can be up to 48 characters after the "@" symbol

Yalnızca bulut kullanıcı hesapları için geçerli bir parola ilkeleriPassword policies that only apply to cloud user accounts

Aşağıdaki tabloda, oluşturulan ve Azure AD'de yönetilen kullanıcı hesaplarına uygulanan parola ilkesi ayarları açıklanır:The following table describes the password policy settings applied to user accounts that are created and managed in Azure AD:

ÖzellikProperty GereksinimlerRequirements
İzin verilen karakterCharacters allowed
  • A – ZA – Z
  • a - za - z
  • 0 – 90 – 9
  • @ # $ % ^ & * - _ !@ # $ % ^ & * - _ ! + = [ ] { } | \ : ‘ , .+ = [ ] { } | \ : ‘ , . ?? / ` ~ " ( ) ; / ` ~ " ( ) ;
  • boş alanblank space
Karakterlere izin verilmezCharacters not allowed
  • Unicode karakter.Unicode characters.
  • Nokta karakteri içeremez "." hemen "@ " sembol".Cannot contain a dot character "." immediately preceding the "@" symbol”.
Parola kısıtlamalarıPassword restrictions
  • En az 8 karakter ve en fazla 256 karakter.A minimum of 8 characters and a maximum of 256 characters.
  • Üç tanesi dört birini gerektirir:Requires three out of four of the following:
    • Küçük harf karakterler.Lowercase characters.
    • Büyük harf karakterler.Uppercase characters.
    • Sayılar (0-9).Numbers (0-9).
    • Semboller (önceki parola kısıtlamalarını bakın).Symbols (see the previous password restrictions).
Parola sona erme süresiPassword expiry duration
  • Varsayılan değer: 90 gün.Default value: 90 days.
  • Değeri kullanılarak yapılandırılabilir Set-MsolPasswordPolicy Azure Active Directory modülü için Windows PowerShell cmdlet'i.The value is configurable by using the Set-MsolPasswordPolicy cmdlet from the Azure Active Directory Module for Windows PowerShell.
Parola süre sonu bildirimiPassword expiry notification
  • Varsayılan değer: 14 (parola süresi dolmadan).Default value: 14 days (before password expires).
  • Değeri kullanılarak yapılandırılabilir Set-MsolPasswordPolicy cmdlet'i.The value is configurable by using the Set-MsolPasswordPolicy cmdlet.
Parola kullanım süresi sonuPassword expiry
  • Varsayılan değer: false gün (Bu parola süre sonu etkin olduğunu gösterir).Default value: false days (indicates that password expiry is enabled).
  • Değeri kullanarak bireysel kullanıcı hesapları için yapılandırılabilir Set-MsolUser cmdlet'i.The value can be configured for individual user accounts by using the Set-MsolUser cmdlet.
Parola değişiklik geçmişiPassword change history Son parola olamaz kullanılabilir yeniden kullanıcı parola değiştirdiğinde.The last password can't be used again when the user changes a password.
Parola geçmişini SıfırlaPassword reset history Son parola olabilir yeniden kullanıcı Unutulan parolayı sıfırlar sağladığınızda kullanılır.The last password can be used again when the user resets a forgotten password.
Hesap kilitlemeAccount lockout 10 başarısız oturum açma denemeden sonra yanlış parola ile kullanıcı için bir dakika kilitlidir.After 10 unsuccessful sign-in attempts with the wrong password, the user is locked out for one minute. Daha fazla yanlış oturum açma kullanıcı kilitleme süreleri artırmaya yönelik çalışır.Further incorrect sign-in attempts lock out the user for increasing durations of time. Akıllı kilitleme aynı parola kilidi açma sayacı artıyor olmasını önlemek için son üç hatalı parola karmaları izler.Smart lockout tracks the last three bad password hashes to avoid incrementing the lockout counter for the same password. Birisi birden çok kez aynı yanlış parola girerse, bu davranış, hesap kilitleme için neden olmaz.If someone enters the same bad password multiple times, this behavior will not cause the account to lockout.

Parola, Azure AD'de süre sonu ilkelerini ayarlamaSet password expiration policies in Azure AD

Bir genel yönetici veya Kullanıcı Yöneticisi bir Microsoft bulut hizmeti için Windows PowerShell için Microsoft Azure AD modülü kullanıcı parolalarını dolmayacak şekilde ayarlamak için kullanabilirsiniz.A global administrator or user administrator for a Microsoft cloud service can use the Microsoft Azure AD Module for Windows PowerShell to set user passwords not to expire. Kaldırmak için Windows PowerShell cmdlet'lerini kullanabilirsiniz-yapılandırma süresi asla veya kullanıcı görmek için parolaları süresiz olarak ayarlanır.You can also use Windows PowerShell cmdlets to remove the never-expires configuration or to see which user passwords are set to never expire.

Bu kılavuz, ayrıca Azure AD için kimlik ve dizin hizmetleri kullanan Intune ve Office 365 gibi diğer sağlayıcılar için geçerlidir.This guidance applies to other providers, such as Intune and Office 365, which also rely on Azure AD for identity and directory services. Parola kullanım süresi değiştirilebilir ilke yalnızca parçasıdır.Password expiration is the only part of the policy that can be changed.

Not

Yalnızca dizin eşitleme ile eşitlenmemiş kullanıcı hesaplarının parolalarını dolmayacak şekilde yapılandırılabilir.Only passwords for user accounts that are not synchronized through directory synchronization can be configured to not expire. Dizin eşitleme hakkında daha fazla bilgi için bkz: AD ile Azure AD Connect.For more information about directory synchronization, see Connect AD with Azure AD.

Ayarlayın veya PowerShell kullanarak parola ilkelerini denetleyinSet or check the password policies by using PowerShell

Başlamak için yapmanız Azure AD PowerShell modülünü indirip.To get started, you need to download and install the Azure AD PowerShell module. Yüklü sonra her bir alan yapılandırmak için aşağıdaki adımları kullanabilirsiniz.After you have it installed, you can use the following steps to configure each field.

Onay için bir parola süre sonu ilkesiCheck the expiration policy for a password

  1. Windows PowerShell için kullanıcı yönetici veya şirket Yöneticisi kimlik bilgilerini kullanarak bağlanın.Connect to Windows PowerShell by using your user administrator or company administrator credentials.

  2. Aşağıdaki komutlardan birini yürütün:Execute one of the following commands:

    • Tek bir kullanıcının parolasını ermeyecek şekilde ayarlanmış olup olmadığını görmek için UPN kullanarak aşağıdaki cmdlet'i çalıştırın (örneğin, aprilr@contoso.onmicrosoft.com) ya da kontrol etmek istediğiniz kullanıcının kullanıcı kimliği:To see if a single user’s password is set to never expire, run the following cmdlet by using the UPN (for example, aprilr@contoso.onmicrosoft.com) or the user ID of the user you want to check:
    Get-AzureADUser -ObjectId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
    
    • Görmek için parola her zaman geçerli olsun ayar tüm kullanıcılar için aşağıdaki cmdlet'i çalıştırın:To see the Password never expires setting for all users, run the following cmdlet:
    Get-AzureADUser -All $true | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
    

Parola süresi dolacak şekilde ayarlayınSet a password to expire

  1. Windows PowerShell için kullanıcı yönetici veya şirket Yöneticisi kimlik bilgilerini kullanarak bağlanın.Connect to Windows PowerShell by using your user administrator or company administrator credentials.

  2. Aşağıdaki komutlardan birini yürütün:Execute one of the following commands:

    • Parolanın süresi dolarsa, bir kullanıcının parolasını ayarlamak için UPN veya kullanıcının kullanıcı Kimliğini kullanarak aşağıdaki cmdlet'i çalıştırın:To set the password of one user so that the password expires, run the following cmdlet by using the UPN or the user ID of the user:
    Set-AzureADUser -ObjectId <user ID> -PasswordPolicies None
    
    • Bu süre kuruluştaki tüm kullanıcıların parolalarının ayarlamak için aşağıdaki cmdlet'i kullanın:To set the passwords of all users in the organization so that they expire, use the following cmdlet:
    Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies None
    

Parola süresi dolmayacak şekilde ayarlayınSet a password to never expire

  1. Windows PowerShell için kullanıcı yönetici veya şirket Yöneticisi kimlik bilgilerini kullanarak bağlanın.Connect to Windows PowerShell by using your user administrator or company administrator credentials.

  2. Aşağıdaki komutlardan birini yürütün:Execute one of the following commands:

    • Süresiz olarak bir kullanıcı parolasını ayarlamak için UPN veya kullanıcının kullanıcı Kimliğini kullanarak aşağıdaki cmdlet'i çalıştırın:To set the password of one user to never expire, run the following cmdlet by using the UPN or the user ID of the user:
    Set-AzureADUser -ObjectId <user ID> -PasswordPolicies DisablePasswordExpiration
    
    • Parolanın süresi dolmayacak kuruluştaki tüm kullanıcılar için aşağıdaki cmdlet'i çalıştırın:To set the passwords of all the users in an organization to never expire, run the following cmdlet:
    Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies DisablePasswordExpiration
    

    Uyarı

    Parolaları kümesine -PasswordPolicies DisablePasswordExpiration hala göre yaş pwdLastSet özniteliği.Passwords set to -PasswordPolicies DisablePasswordExpiration still age based on the pwdLastSet attribute. Süresi dolmayacak kullanıcı parolaları ayarlama ve sonra 90 gün gidin, parolalarının süresinin dolmasını.If you set the user passwords to never expire and then 90+ days go by, the passwords expire. Temel pwdLastSet özniteliği için sona erme değiştirirseniz -PasswordPolicies None, gereken tüm parolaların bir pwdLastSet 90 günde bir sonraki oturum açışlarında değiştirmeye gerektirmek daha eski.Based on the pwdLastSet attribute, if you change the expiration to -PasswordPolicies None, all passwords that have a pwdLastSet older than 90 days require the user to change them the next time they sign in. Bu değişiklik, kullanıcıların çok sayıda etkileyebilir.This change can affect a large number of users.

Sonraki adımlarNext steps

Aşağıdaki makaleler Azure AD aracılığıyla parola sıfırlama hakkında daha fazla bilgi sağlar:The following articles provide additional information about password reset through Azure AD: