合併的密碼原則,並檢查 Microsoft Entra ID 中的弱式密碼
從 2021 年 10 月開始,Microsoft Entra 驗證是否符合密碼原則也包含已知弱式密碼及其變體的檢查。 本主題說明 Microsoft Entra ID 所檢查的密碼原則準則詳細數據。
Microsoft Entra 密碼原則
密碼原則會套用至直接在 Microsoft Entra ID 中建立和管理的所有用戶和系統管理員帳戶。 您可以 禁止弱式密碼 ,並定義參數,以 在重複不正確的密碼嘗試之後鎖定帳戶 。 無法修改其他密碼原則設定。
除非您啟用 EnforceCloudPasswordPolicyForPasswordSyncedUsers,否則 Microsoft Entra 密碼原則不適用於使用 Microsoft Entra 連線 從內部部署 AD DS 環境同步處理的用戶帳戶。 如果已啟用 EnforceCloudPasswordPolicyForPasswordSyncedUsers 和密碼回寫,則會套用 Microsoft Entra 密碼到期原則,但內部部署密碼原則的優先順序是長度、複雜度等等。
下列 Microsoft Entra 密碼原則需求適用於在 Microsoft Entra 識別碼中建立、變更或重設的所有密碼。 需求會在使用者布建、密碼變更和密碼重設流程期間套用。 除了所述,您無法變更這些設定。
| 屬性 | 需求 |
|---|---|
| 允許的字元 | 大寫字元 (A - Z) 小寫字元 (a - z) 數位 (0 - 9) 符號: - @ # $ % ^ & * - _ ! + = [ ] { } |\ : ' , . ? / ' ~ " ( ) ; <> -空白 |
| 不允許的字元 | Unicode 字元 |
| 密碼長度 | 密碼需要 - 至少八個字元 - 最多 256 個字元 |
| 密碼複雜性 | 密碼需要下列四個類別的三個: - 大寫字元 - 小寫字元 -數位 -符號 注意:教育版租使用者不需要密碼複雜度檢查。 |
| 最近未使用的密碼 | 當使用者變更其密碼時,新密碼不應與目前的密碼相同。 |
| Microsoft Entra 密碼保護不會禁止 密碼 | 密碼不能位於 Microsoft Entra Password Protection 的全域禁用密碼清單,或貴組織專屬的可自定義禁用密碼清單上。 |
密碼到期原則
密碼到期原則不會變更,但會包含在本主題中,以取得完整性。 Global 管理員 istrator 或 User 管理員 istrator 可以使用 Microsoft Graph PowerShell Cmdlet 來設定用戶密碼不會過期。
注意
依預設,只有未透過 Microsoft Entra Connect 同步處理的使用者帳戶密碼,才可設定為不會過期。 如需目錄同步作業的詳細資訊,請參閱 Connect AD 與 Microsoft Entra ID。
您也可以使用PowerShell 移除永不過期的組態,或查看設定為永不過期的用戶密碼。
下列到期需求適用於使用 Microsoft Entra ID 進行身分識別和目錄服務的其他提供者,例如 Microsoft Intune 和 Microsoft 365。
| 屬性 | 需求 |
|---|---|
| 密碼到期期間 (密碼存留期上限) | 預設值:90 天。 您可以使用 Microsoft Graph PowerShell 模組中的 Update-MgDomain Cmdlet 來設定此值。 |
| 密碼到期 (讓密碼永不過期) | 默認值: false (表示密碼有到期日)。 您可以使用 Update-MgUser Cmdlet 來設定個別使用者帳戶的值。 |