سياسات كلمة المرور وقيود الحساب في Azure للدليل النشط

في Azure للدليل النشط (Azure AD)، هناك سياسة كلمة مرور تُحدد إعدادات مثل تعقيد كلمة المرور أو طولها أو عمرها. هناك أيضا سياسة تحدد الأحرف المقبولة وطول أسماء المستخدمين.

عند استخدام إعادة تعيين كلمة المرور بالخدمة الذاتية (SSPR) لتغيير كلمة مرور أو إعادة تعيينها في Azure للدليل النشط، يتم التحقق من سياسة كلمة المرور. إذا لم تلبي كلمة المرور متطلبات السياسة، تتم مطالبة المستخدم بالمحاولة مرة أخرى. لدى مسؤولي Azure بعض القيود على استخدام إعادة تعيين كلمة المرور بالخدمة الذاتية التي تختلف عن حسابات المستخدمين العادية.

توضح هذه المقالة إعدادات سياسة كلمة المرور ومتطلبات التعقيد المقترنة بحسابات المستخدمين في مستأجرك من Azure للدليل النشط، وكيف يمكنك استخدام PowerShell للتحقق من إعدادات انتهاء صلاحية كلمة المرور أو تعيينها.

سياسات اسم المستخدم

يجب أن يكون لكل حساب يقوم بتسجيل الدخول إلى Azure للدليل النشط قيمة سمة اسم مستخدم أساسي فريد (UPN) مقترنة بحسابه. في البيئات المختلطة مع بيئة محلية لخدمات مجال الدليل النشط (AD DS) متزامنة مع Azure للدليل النشط باستخدام اتصال Azure للدليل النشط، يتم تعيين Azure للدليل النشط لاسم المستخدم الأساسي افتراضيًا لاسم المستخدم الأساسي المحلي.

يوضح الجدول التالي سياسات اسم المستخدم التي تنطبق على كل من حسابات خدمات مجال الدليل النشط المحلية التي تتم مزامنتها مع Azure للدليل النشط، وحسابات المستخدمين السحابية فقط التي تم إنشاؤها مباشرة في Azure للدليل النشط:

الخاصية متطلبات اسم المستخدم الأساسي
الأحرف المسموح بها
  • أ-ي
  • أ-ي
  • 0 – 9
  • ' . - _ ! # ^ ~
الأحرف غير مسموح بها
  • أي حرف "@" لا يفصل اسم المستخدم عن المجال.
  • لا يمكن أن تحتوي على حرف النقطة "." الذي يسبق رمز "@" مباشرة
قيود الطول
  • يجب ألا يتجاوز الطول الإجمالي 113 حرفا
  • يمكن أن يكون هناك ما يصل إلى 64 حرفًا قبل الرمز "@"
  • يمكن أن يكون هناك ما يصل إلى 48 حرفًا بعد الرمز "@"

نُهج كلمة مرور Azure AD

يتم تطبيق سياسة كلمة المرور على جميع حسابات المستخدمين التي تم إنشاؤها وإدارتها مباشرةً في Azure للدليل النشط. لا يمكن تعديل بعض إعدادات سياسة كلمة المرور هذه، على الرغم من أنه يمكنك تكوين كلمات مرور محظورة مخصصة لحماية كلمة مرور Azure للدليل النشط أو معلمات قفل الحساب.

بشكل افتراضي، يتم قفل حساب بعد 10 محاولات تسجيل دخول غير ناجحة باستخدام كلمة المرور غير الصحيحة. يتم منع المستخدم لمدة دقيقة واحدة. محاولات تسجيل الدخول غير صحيحة أخرى تمنع المستخدم لزيادة مدة الوقت. يتتبع القفل الذكي آخر ثلاث تجزئات لكلمات المرور السيئة لتجنب زيادة عداد القفل لنفس كلمة المرور. إذا قام شخص ما بإدخال نفس كلمة المرور غير صالحة عدة مرات، لن يؤدي هذا السلوك إلى قفل الحساب. يمكنك تحديد حد القفل الذكي ومدته.

لا يتم تطبيق سياسة كلمة مرور Azure للدليل النشط على حسابات المستخدمين المتزامنة من بيئة خدمات مجال الدليل النشط المحلية باستخدام اتصال Azure للدليل النشط، إلا إذا قمت بتمكين EnforceCloudPasswordPolicyForPasswordSyncedUsers.

يتم تعريف خيارات سياسة كلمة مرور Azure للدليل النشط التالية. ما لم يُذكر، لا يمكنك تغيير هذه الإعدادات:

الخاصية المتطلبات
الأحرف المسموح بها
  • أ-ي
  • أ-ي
  • 0 – 9
  • @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
  • مساحة فارغة
الأحرف غير مسموح بها أحرف Unicode.
قيود كلمة المرور
  • 8 أحرف كحد أدنى و 256 حرفا كحد أقصى.
  • تتطلب كلمات المرور ثلاثة من كل أربعة مما يلي:
    • أحرف صغيرة.
    • أحرف كبيرة.
    • الأرقام (0-9).
    • الرموز (راجع قيود كلمة المرور السابقة).
مدة انتهاء صلاحية كلمة المرور (الحد الأقصى لعمر كلمة المرور)
  • القيمة الافتراضية: 90 يوماً.
  • القيمة قابلة للتكوين باستخدام Set-MsolPasswordPolicy cmdlet من نموذج Azure للدليل النشط في Windows PowerShell.
إعلام انتهاء صلاحية كلمة المرور (عند إعلام المستخدمين بانتهاء صلاحية كلمة المرور)
  • القيمة الافتراضية: 14 يوماً (قبل انتهاء صلاحية كلمة المرور).
  • القيمة قابلة للتكوين باستخدام Set-MsolPasswordPolicy cmdlet.
انتهاء صلاحية كلمة المرور (عدم انتهاء صلاحية كلمة المرور أبداً)
  • القيمة الافتراضية: خطأ (يشير إلى أن كلمة المرور لها تاريخ انتهاء صلاحية).
  • يمكن تكوين القيمة لحسابات المستخدمين الفردية باستخدام Set-MsolUser cmdlet.
تاريخ تغيير كلمة المرور لا يمكن استخدام كلمة المرور الأخيرة مرة أخرى عندما يقوم المستخدم بتغيير كلمة مرور.
تاريخ إعادة تعيين كلمة مرور لا يمكن استخدام كلمة المرور الأخيرة مرة أخرى عندما يقوم المستخدم بإعادة تعيين كلمة المرور المنسية.

إعادة تعيين اختلافات السياسة للمسؤول

بشكل افتراضي، يتم تمكين حسابات المسؤول لإعادة تعيين كلمة المرور بالخدمة الذاتية، ويتم فرض سياسة إعادة تعيين كلمة مرور افتراضية قوية من بوابتين. قد تختلف هذه السياسة عن السياسة التي حددتها لمستخدمينك، ولا يمكن تغيير هذه السياسة. يجب عليك دائما اختبار وظيفة إعادة تعيين كلمة المرور كمستخدم بدون تعيين أي أدوار مسؤول من Azure.

مع سياسة البوابتين، لا يملك المسؤولون القدرة على استخدام أسئلة الأمان.

تتطلب سياسة البوابتين وجود قطعتين من بيانات المصادقة، مثل عنوان البريد الإلكتروني أو تطبيق المصادقة أو رقم هاتف. يتم تطبيق سياسة البوابتين في الحالات التالية:

  • تتأثر كل أدوار مسؤول Azure التالية:

    • مسؤول التطبيق
    • مسؤول خدمة وكيل التطبيق
    • مسؤول المصادقة
    • المسؤول المحلي للجهاز المرتبط مع Azure للدليل النشط
    • مسؤول الفواتير
    • مسؤول التوافق
    • مسؤولو الجهاز
    • حسابات مزامنة الدليل
    • كاتبو الدليل
    • مسؤول ديناميكيات 365
    • مسؤول Exchange
    • مسؤول عمومي أو مسؤول شركة
    • مسؤول مكتب المساعدة
    • مسؤول Intune
    • مسؤول صندوق البريد
    • شريك الطبقة 1 للدعم
    • شريك الطبقة 2 للدعم
    • مسؤول كلمة المرور
    • مسؤول خدمة Power BI
    • مسؤول المصادقة المميز
    • مسؤول الدور المميز
    • مسؤول SharePoint
    • مسؤول الأمان
    • مسؤول دعم الخدمة
    • مسؤول Skype for Business
    • مسؤول المستخدم
  • إذا انقضت 30 يوما في اشتراك تجريبي؛ أو

  • تم تكوين مجال مخصص لمستأجرك Azure للدليل النشط، مثل contoso.com؛ أو

  • يقوم اتصال Azure للدليل النشط بمزامنة الهويات من دليلك المحلي

يمكنك تعطيل استخدام إعادة تعيين كلمة المرور بالخدمة الذاتية لحسابات المسؤول باستخدام Set-MsolCompanySettingsPowerShell cmdlet. -SelfServePasswordResetEnabled $Falseتعطل المعلمة إعادة تعيين كلمة المرور بالخدمة الذاتية للمسؤولين. يمكن أن تستغرق تغييرات النهج لتعطيل أو تمكين إعادة تعيين كلمة مرور الخدمة الذاتية لحسابات المسؤول ما يصل إلى 60 دقيقة حتى يتم تفعيلها.

استثناءات

تتطلب سياسة البوابة الواحدة جزءا واحدا من بيانات المصادقة، مثل عنوان البريد الإلكتروني أو رقم الهاتف. يتم تطبيق سياسة البوابة الواحدة في الحالات التالية:

  • إنها في غضون أول 30 يومًا من الاشتراك التجريبي. أو
  • لم يتم تكوين مجال مخصص لمستأجرك من Azure للدليل النشط، لذا فهو يستخدم الافتراضي * .onmicrosoft.com. لا يوصى بالمجال الافتراضي * .onmicrosoft.com للاستخدام الإنتاجي؛ و
  • لا يقوم اتصال Azure للدليل النشط بمزامنة الهويات

نُهج انتهاء صلاحية كلمة المرور

يمكن للمسؤول العمومي أو مسؤول المستخدم استخدام نموذج Microsoft Azure للدليل النشط لـWindows PowerShell لتعيين كلمات مرور المستخدم بحيث لا تنتهي صلاحيتها.

يمكنك أيضاً استخدام PowerShell cmdlets لإزالة التكوين الذي لا تنتهي صلاحيته أبداً، أو لمعرفة كلمات مرور المستخدم التي تم تعيينها بحيث لا تنتهي صلاحيتها أبداً.

ينطبق هذا التوجيه على موفرين آخرين مثل Intune وMicrosoft 365، التي تعتمد أيضا على Azure للدليل النشط للحصول على خدمات الهوية والدليل. انتهاء صلاحية كلمة المرور هو الجزء الوحيد من السياسة الذي يمكن تغييره.

ملاحظة

بشكل افتراضي، يمكن تكوين كلمات المرور فقط لحسابات المستخدمين التي لم تتم مزامنتها من خلال اتصال Azure للدليل النشط Connect بحيث لا تنتهي صلاحيتها. لمزيدٍ من المعلومات حول مزامنة الدليل، راجع اتصال الدليل النشط من خلال Azure للدليل النشط.

تعيين سياسات كلمة المرور أو التحقق منها باستخدام PowerShell

للبدء، قم بتنزيل نموذج PowerShell من «Azure للدليل النشط» وتثبيتهوربطها بمستأجرك من Azure للدليل النشط.

بعد تثبيت النموذج، اتبع الخطوات التالية لإكمال كل مهمة حسب الحاجة.

التحقق من سياسة انتهاء الصلاحية لكلمة مرور

  1. افتح مطالبة PowerShell ثم اتصل بمستأجر Azure للدليل النشط باستخدام مسؤول عمومي أو حساب مسؤول مستخدم.

  2. تشغيل أحد الأوامر التالية إما لمستخدم فردي أو لكل المستخدمين:

    • لمعرفة ما إذا تم تعيين كلمة مرور مستخدم واحد إلى عدم انتهاء الصلاحية أبدا، شغل cmdlet التالية. استبدل <user ID> بمعرف المستخدم للمستخدم الذي تريد التحقق منه، مثل driley@contoso.onmicrosoft.com:

      Get-AzureADUser -ObjectId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • لمعرفة إعداد كلمة المرور التي لا تنتهي صلاحيتها أبدًا لكل المستخدمين، شغّل cmdlet التالية:

      Get-AzureADUser -All $true | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

تعيين كلمة مرور لتنتهي صلاحيتها

  1. افتح مطالبة PowerShell ثم اتصل بمستأجر Azure للدليل النشط باستخدام مسؤول عمومي أو حساب مسؤول مستخدم.

  2. تشغيل أحد الأوامر التالية إما لمستخدم فردي أو لكل المستخدمين:

    • لتعيين كلمة مرور مستخدم واحد بحيث تنتهي صلاحية كلمة المرور، قم بتشغيل cmdlet التالية. استبدل <user ID> بمعرف المستخدم للمستخدم الذي تريد التحقق منه، مثل driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies None
      
    • لتعيين كلمات مرور لكل المستخدمين في المنظمة بحيث تنتهي صلاحيتها، استخدم cmdlet التالية:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies None
      

تعيين كلمة مرور بحيث لا تنتهي صلاحيتها أبدًا

  1. افتح مطالبة PowerShell ثم اتصل بمستأجر Azure للدليل النشط باستخدام مسؤول عمومي أو حساب مسؤول مستخدم.

  2. تشغيل أحد الأوامر التالية إما لمستخدم فردي أو لكل المستخدمين:

    • لتعيين كلمة مرور مستخدم واحد بحيث لا تنتهي صلاحيتها أبدًا، شغل cmdlet التالية. استبدل <user ID> بمعرف المستخدم للمستخدم الذي تريد التحقق منه، مثل driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • لتعيين كلمات مرور لكل المستخدمين في المنظمة بحيث لا تنتهي صلاحيتها أبدًا، استخدم cmdlet التالية:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies DisablePasswordExpiration
      

    تحذير

    تعيين كلمات المرور إلى -PasswordPolicies DisablePasswordExpiration العمر لا يزال مُستندًا إلى pwdLastSet السمة. استنادا إلى pwdLastSet السمة، إذا قمت بتغيير انتهاء الصلاحية إلى -PasswordPolicies None، فإن كل كلمات المرور التي لها أكثر من pwdLastSet 90 يوما تتطلب من المستخدم تغييرها في المرة التالية التي يسجلون فيها الدخول. يمكن أن يؤثر هذا التغيير على عدد كبير من المستخدمين.

الخطوات التالية

البدء باستخدام إعادة تعيين كلمة مرور الخدمة الذاتية، راجع البرنامج التعليمي: تمكين المستخدمين من إلغاء تأمين حساباتهم أو إعادة تعيين كلمات المرور باستخدام إعادة تعيين كلمة المرور بالخدمة الذاتية من Azure للدليل النشط.

إذا كنت أنت أو المستخدمين تواجهون مشاكل مع إعادة تعيين كلمة المرور بالخدمة الذاتية، راجع استكشاف أخطاء الخدمة الذاتية وإصلاحها لإعادة تعيين كلمة المرور