Zásady resetování hesel a omezení účtů v Azure Active Directory

V Azure Active Directory (Azure AD) existuje zásada hesel, která definuje nastavení, jako je složitost hesla, délka nebo věk. Existují také zásady, které definují přijatelné znaky a délku uživatelských jmen.

Pokud se samoobslužné resetování hesla (SSPR) používá ke změně nebo resetování hesla v Azure AD, zkontroluje se zásada hesla. Pokud heslo nesplňuje požadavky zásad, zobrazí se uživateli výzva k dalšímu pokusu. Správci Azure mají určitá omezení používání SSPR, která se liší od běžných uživatelských účtů.

Tento článek popisuje nastavení zásad hesel a požadavky na složitost spojené s uživatelskými účty ve vašem Azure AD tenantovi a způsob, jakým můžete pomocí PowerShellu zkontrolovat nebo nastavit nastavení vypršení platnosti hesla.

Zásady uživatelského jména

Každý účet, který se přihlásí k Azure AD musí mít přiřazenou jedinečnou hodnotu atributu hlavního názvu uživatele (UPN). V hybridních prostředích s prostředím místní Active Directory Domain Services (AD DS) synchronizovaným s Azure AD pomocí Azure AD Připojení je ve výchozím nastavení hlavní název uživatele (UPN Azure AD) nastavený na místní hlavní název uživatele (UPN).

Následující tabulka popisuje zásady uživatelského jména, které se vztahují na místní účty služby AD DS synchronizované s Azure AD a pro uživatelské účty vytvořené jenom v cloudu přímo v Azure AD:

Vlastnost Požadavky userPrincipalName
Povolené znaky
  • A – Z
  • a - z
  • 0 – 9
  • ' . - _ ! # ^ ~
Nepovolené znaky
  • Libovolný znak @, který neodděluje uživatelské jméno od domény.
  • Nelze obsahovat znak tečky". Bezprostředně před symbolem @
Omezení délky
  • Celková délka nesmí překročit 113 znaků.
  • Před symbolem @může být až 64 znaků.
  • Za symbolem @může být až 48 znaků.

zásady hesel Azure AD

Zásady hesel se použijí na všechny uživatelské účty vytvořené a spravované přímo v Azure AD. Některá z těchto nastavení zásad hesel se nedají upravit, ale můžete nakonfigurovat vlastní zakázaná hesla pro Azure AD parametry ochrany hesel nebo uzamčení účtu.

Ve výchozím nastavení je účet uzamčen po 10 neúspěšných pokusech o přihlášení s nesprávným heslem. Uživatel je zamčený po dobu jedné minuty. Další nesprávné pokusy o přihlášení zamknou uživatele po delší dobu trvání. Inteligentní uzamčení sleduje poslední tři chybné hodnoty hash hesel, aby se zabránilo zvýšení čítače uzamčení pro stejné heslo. Pokud někdo několikrát zadá stejné špatné heslo, toto chování nezpůsobí uzamčení účtu. Můžete definovat prahovou hodnotu inteligentního uzamčení a dobu trvání.

Zásady Azure AD hesel se nevztahují na uživatelské účty synchronizované z místního prostředí služby AD DS pomocí Azure AD Připojení, pokud nepovolíte EnforceCloudPasswordPolicyForPasswordSyncedUsers.

Jsou definovány následující možnosti zásad hesel Azure AD. Pokud není uvedeno, nemůžete tato nastavení změnit:

Vlastnost Požadavky
Povolené znaky
  • A – Z
  • a - z
  • 0 – 9
  • @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
  • prázdné místo
Nepovolené znaky Znaky Unicode
Omezení hesel
  • Minimálně 8 znaků a maximálně 256 znaků.
  • Vyžaduje tři z následujících čtyř:
    • Malá písmena.
    • Velká písmena.
    • Čísla (0–9).
    • Symboly (viz předchozí omezení hesel).
Doba platnosti hesla (maximální stáří hesla)
  • Výchozí hodnota: 90 dní.
  • Hodnota je konfigurovatelná pomocí rutiny Set-MsolPasswordPolicy z modulu Azure Active Directory pro Windows PowerShell.
Oznámení o vypršení platnosti hesla (když uživatelé obdrží oznámení o vypršení platnosti hesla)
  • Výchozí hodnota: 14 dní (před vypršením platnosti hesla)
  • Hodnota je konfigurovatelná pomocí rutiny Set-MsolPasswordPolicy .
Platnost hesla vypršela (Nechejte hesla vypršet)
  • Výchozí hodnota: false (označuje, že heslo má datum vypršení platnosti).
  • Hodnotu lze nakonfigurovat pro jednotlivé uživatelské účty pomocí rutiny Set-MsolUser .
Historie změn hesel Poslední heslo nejde znovu použít, když uživatel změní heslo.
Historie resetování hesla Poslední heslo se dá znovu použít, když uživatel resetuje zapomenuté heslo.

Rozdílné zásady resetování hesel pro správce

Ve výchozím nastavení jsou účty správců povolené pro samoobslužné resetování hesla a vynucuje se silná výchozí zásada resetování hesla se dvěma branou . Tato zásada se může lišit od zásady, kterou jste definovali pro uživatele, a tuto zásadu nelze změnit. Funkce resetování hesla byste měli vždy otestovat jako uživatele bez přiřazených rolí správce Azure.

S dvěma branami zásady nemají správci možnost používat bezpečnostní otázky.

Zásady dvou bran vyžadují dvě ověřovací data, například e-mailovou adresu, ověřovací aplikaci nebo telefonní číslo. Zásady dvou bran platí za následujících okolností:

  • Ovlivněny jsou všechny následující role správce Azure:

    • Správce aplikací
    • Správce služby proxy aplikací
    • Správce ověřování
    • místní správce Azure AD připojeného zařízení
    • Správce fakturace
    • Správce dodržování předpisů
    • Správci zařízení
    • Účty synchronizace adresářů
    • Zapisovačé adresářů
    • Správce Dynamics 365
    • Správce Exchange
    • Globální správce nebo správce společnosti
    • Správce helpdesku
    • Správce Intune
    • Správce poštovní schránky
    • Podpora partnerské vrstvy 1
    • Podpora partnerské vrstvy 2
    • Správce hesel
    • Správce služby Power BI
    • Správce privilegovaného ověřování
    • Správce privilegovaných rolí
    • Správce SharePointu
    • Správce zabezpečení
    • Správce služeb
    • Správce Skypu pro firmy
    • Správce uživatelů
  • Pokud uplynulo 30 dní ve zkušebním předplatném; Nebo

  • Pro vašeho Azure AD tenanta je nakonfigurovaná vlastní doména, například contoso.com; nebo

  • Azure AD Připojení synchronizuje identity z místního adresáře.

Použití SSPR pro účty správce můžete zakázat pomocí rutiny PowerShellu Set-MsolCompanySettings . Parametr -SelfServePasswordResetEnabled $False zakáže SSPR pro správce. Změny zásad pro zakázání nebo povolení SSPR pro účty správců můžou trvat až 60 minut, než se projeví.

Výjimky

Zásada jednorázového ověřování vyžaduje jednu část ověřovacích dat, například e-mailovou adresu nebo telefonní číslo. Zásady 1 brány platí za následujících okolností:

  • Je to během prvních 30 dnů zkušebního předplatného; Nebo
  • Pro vašeho tenanta Azure AD není nakonfigurovaná vlastní doména, takže používá výchozí *.onmicrosoft.com. Výchozí doména *.onmicrosoft.com se nedoporučuje pro produkční použití; A
  • Azure AD Připojení nesynchronuje identity

Zásady vypršení platnosti hesla

Globální správce nebo správce uživatelů může použít modul Microsoft Azure AD pro Windows PowerShell k nastavení hesel uživatelů, jejichž platnost nevyprší.

Pomocí rutin PowerShellu můžete také odebrat konfiguraci, která nikdy nevyprší platnost, nebo zjistit, která uživatelská hesla jsou nastavená na nikdy nevyprší.

Tyto pokyny platí pro jiné poskytovatele, jako jsou Intune a Microsoft 365, které také spoléhají na Azure AD pro identity a adresářové služby. Vypršení platnosti hesla je jedinou částí zásad, kterou je možné změnit.

Poznámka

Ve výchozím nastavení je možné nakonfigurovat tak, aby nevypršela platnost hesel pro uživatelské účty, které nejsou synchronizovány prostřednictvím Azure AD Připojení. Další informace o synchronizaci adresářů najdete v článku Propojení AD a Azure AD.

Nastavení nebo kontrola zásad hesla pomocí PowerShellu

Pokud chcete začít, stáhněte a nainstalujte modul Azure AD PowerShellu a připojte ho ke svému Azure AD tenantovi.

Po instalaci modulu proveďte jednotlivé úlohy podle potřeby pomocí následujících kroků.

Kontrola zásad vypršení platnosti hesla

  1. Otevřete výzvu PowerShellu a připojte se k tenantovi Azure AD pomocí globálního správce nebo účtu správce uživatele.

  2. Spusťte jeden z následujících příkazů pro jednotlivé uživatele nebo pro všechny uživatele:

    • Pokud chcete zjistit, jestli je heslo jednoho uživatele nastavené na nikdy nevyprší, spusťte následující rutinu. Nahraďte <user ID> ID uživatele, kterého chcete zkontrolovat, například driley@contoso.onmicrosoft.com:

      Get-AzureADUser -ObjectId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • Pokud chcete zobrazit nastavení Heslo nikdy nevyprší pro všechny uživatele, spusťte následující rutinu:

      Get-AzureADUser -All $true | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

Nastavení hesla na vypršení platnosti

  1. Otevřete výzvu PowerShellu a připojte se k tenantovi Azure AD pomocí globálního správce nebo účtu správce uživatele.

  2. Spusťte jeden z následujících příkazů pro jednotlivé uživatele nebo pro všechny uživatele:

    • Pokud chcete nastavit heslo jednoho uživatele tak, aby platnost hesla vypršela, spusťte následující rutinu. Nahraďte <user ID> ID uživatele, kterého chcete zkontrolovat, například driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies None
      
    • Pokud chcete nastavit hesla všech uživatelů v organizaci tak, aby vypršela jejich platnost, použijte následující rutinu:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies None
      

Nastavení hesla na nikdy nevyprší platnost

  1. Otevřete výzvu PowerShellu a připojte se k tenantovi Azure AD pomocí globálního správce nebo účtu správce uživatele.

  2. Spusťte jeden z následujících příkazů pro jednotlivé uživatele nebo pro všechny uživatele:

    • Pokud chcete nastavit heslo jednoho uživatele tak, aby nikdy nevyprší platnost, spusťte následující rutinu. Nahraďte <user ID> ID uživatele, kterého chcete zkontrolovat, například driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • Pokud chcete nastavit hesla všech uživatelů v organizaci tak, aby nikdy nevyprší platnost, spusťte následující rutinu:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies DisablePasswordExpiration
      

    Upozornění

    Hesla nastavená na -PasswordPolicies DisablePasswordExpiration věk na základě atributu pwdLastSet . Pokud na základě atributu pwdLastSet změníte platnost -PasswordPolicies Nonena , všechna hesla, která mají pwdLastSet starší než 90 dnů, vyžadují, aby je uživatel při příštím přihlášení změnil. Tato změna může mít vliv na velký počet uživatelů.

Další kroky

Pokud chcete začít se službou SSPR, přečtěte si kurz: Povolení odemknutí účtu nebo resetování hesel pomocí samoobslužného resetování hesla Azure Active Directory.

Pokud vy nebo uživatelé máte problémy s samoobslužným resetováním hesla, přečtěte si téma Řešení potíží se samoobslužným resetováním hesla.