Zásady hesel a omezení účtu v Microsoft Entra ID

  • Článek

V Microsoft Entra ID je zásada hesel, která definuje nastavení, jako je složitost hesla, délka nebo věk. Existují také zásady, které definují přijatelné znaky a délku uživatelských jmen.

Pokud se k změně nebo resetování hesla v Microsoft Entra ID používá samoobslužné resetování hesla (SSPR), zkontroluje se zásady hesel. Pokud heslo nesplňuje požadavky zásad, zobrazí se uživateli výzva k dalšímu pokusu. Správci Azure mají určitá omezení používání SSPR, která se liší od běžných uživatelských účtů, a existují menší výjimky pro zkušební a bezplatné verze Microsoft Entra ID.

Tento článek popisuje nastavení zásad hesel a požadavky na složitost přidružené k uživatelským účtům. Popisuje také, jak pomocí PowerShellu zkontrolovat nebo nastavit nastavení vypršení platnosti hesla.

Zásady uživatelského jména

Každý účet, který se přihlásí k Microsoft Entra ID, musí mít přidruženou jedinečnou hodnotu atributu hlavního názvu uživatele (UPN). V hybridních prostředích s prostředím místní Active Directory Domain Services (AD DS) synchronizovaným s MICROSOFT Entra ID pomocí microsoft Entra Připojení je ve výchozím nastavení hlavní název uživatele (UPN) Microsoft Entra nastaven na místní hlavní název uživatele (UPN).

Následující tabulka popisuje zásady uživatelského jména, které se vztahují na místní účty AD DS synchronizované s ID Microsoft Entra a pro uživatelské účty jen pro cloud vytvořené přímo v Microsoft Entra ID:

Vlastnost Požadavky na UserPrincipalName
Povolené znaky A – Z
a - z
0 – 9
' . - _ ! # ^ ~
Nepovolené znaky Libovolný znak @, který neodděluje uživatelské jméno od domény.
Nemůže obsahovat znak tečky "." bezprostředně před symbolem @.
Omezení délky Celková délka nesmí překročit 113 znaků.
Před symbolem @může být až 64 znaků.
Za symbolem @může být až 48 znaků.

Zásady hesel Microsoft Entra

Zásady hesel se použijí pro všechny uživatelské účty, které se vytvářejí a spravují přímo v Microsoft Entra ID. Některá z těchto nastavení zásad hesel se nedají upravit, ale můžete nakonfigurovat vlastní zakázaná hesla pro ochranu heslem Microsoft Entra nebo parametry uzamčení účtu.

Ve výchozím nastavení je účet uzamčen po 10 neúspěšných pokusech o přihlášení s nesprávným heslem. Uživatel je uzamčený po dobu jedné minuty. Další nesprávné pokusy o přihlášení uživatele zamknou po delší dobu trvání. Inteligentní uzamčení sleduje poslední tři chybné hodnoty hash hesel, aby se zabránilo zvýšení čítače uzamčení pro stejné heslo. Pokud někdo několikrát zadá stejné chybné heslo, nezamkne se. Můžete definovat prahovou hodnotu a dobu trvání inteligentního uzamčení.

Zásady hesel Microsoft Entra se nevztahují na uživatelské účty synchronizované z místního prostředí AD DS pomocí microsoft Entra Připojení, pokud nepovolíte EnforceCloudPasswordPolicyForPasswordSyncedUsers.

Jsou definovány následující možnosti zásad hesel Microsoft Entra. Pokud není uvedeno, nemůžete tato nastavení změnit:

Vlastnost Požadavky
Povolené znaky A – Z
a - z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <>
Prázdné místo
Nepovolené znaky Znaky Unicode
Omezení hesel Minimálně 8 znaků a maximálně 256 znaků.
Vyžaduje tři ze čtyř následujících typů znaků:
- Malá písmena
- Velká písmena
- Čísla (0–9)
- Symboly (viz předchozí omezení hesel)
Doba platnosti hesla (maximální stáří hesla) Výchozí hodnota: 90 dnů. Pokud byl tenant vytvořen po roce 2021, nemá výchozí hodnotu vypršení platnosti. Aktuální zásady můžete zkontrolovat pomocí get-MgDomain.
Hodnotu lze konfigurovat pomocí rutiny Update-MgDomain z modulu Microsoft Graph pro PowerShell.
Vypršení platnosti hesla (Nechejte hesla nikdy vypršet) Výchozí hodnota: false (označuje, že hesla mají datum vypršení platnosti).
Hodnotu lze nakonfigurovat pro jednotlivé uživatelské účty pomocí rutiny Update-MgUser .
Historie změn hesel Poslední heslo nelze znovu použít, když uživatel změní heslo.
Historie resetování hesla Poslední heslo se dá znovu použít, když uživatel resetuje zapomenuté heslo.

Rozdílné zásady resetování hesel pro správce

Ve výchozím nastavení jsou účty správců povolené pro samoobslužné resetování hesla a vynucuje se silná výchozí zásada resetování hesel se dvěma bránami . Tato zásada se může lišit od zásady, kterou jste definovali pro uživatele, a tuto zásadu nelze změnit. Funkce resetování hesla byste měli vždy testovat jako uživatel bez přiřazených rolí správce Azure.

Zásady dvou bran vyžadují dvě části ověřovacích dat, jako je e-mailová adresa, ověřovací aplikace nebo telefonní číslo, a zakazují bezpečnostní otázky. Pro zkušební nebo bezplatné verze služby Microsoft Entra ID jsou rovněž zakázány hlasové hovory v Office a mobilních telefonech.

Zásady dvou bran platí za následujících okolností:

  • Ovlivněny jsou všechny následující role správce Azure:

    • Správce aplikace
    • Správce služby proxy aplikací
    • Správce ověřování
    • Správce fakturace
    • Správce dodržování předpisů
    • Správci zařízení
    • Účty synchronizace adresářů
    • Zapisovače adresářů
    • Správce Dynamics 365
    • Správce Exchange
    • Globální správce nebo správce společnosti
    • Správce helpdesku
    • Správce Intune
    • Poštovní schránka Správa istrator
    • Místní Správa istrator zařízení připojený k Microsoft Entra
    • Podpora partnerské vrstvy 1
    • Podpora partnerské vrstvy 2
    • Správce hesel
    • správce služba Power BI
    • Správce privilegovaného ověřování
    • Správce privilegovaných rolí
    • Správce zabezpečení
    • Správce podpory služeb
    • Správce SharePointu
    • správce Skype pro firmy
    • Správce uživatelů

  • Pokud uplynulo 30 dní ve zkušební verzi předplatného; Nebo

  • Pro vašeho tenanta Microsoft Entra je nakonfigurovaná vlastní doména, například contoso.com; nebo

  • Microsoft Entra Připojení synchronizuje identity z místního adresáře

Použití SSPR pro účty správců můžete zakázat pomocí rutiny PowerShellu Update-MgPolicyAuthorizationPolicy . Parametr -AllowedToUseSspr:$true|$false povolí nebo zakáže samoobslužné resetování hesla pro správce. Změny zásad pro povolení nebo zakázání SSPR pro účty správců můžou trvat až 60 minut, než se projeví.

Výjimky

Zásady s jednou bránou vyžadují jednu část ověřovacích dat, například e-mailovou adresu nebo telefonní číslo. Zásady s jednou bránou platí za následujících okolností:

  • Je to do prvních 30 dnů od zkušebního předplatného.

    -nebo-

  • Vlastní doména není nakonfigurovaná (tenant používá výchozí *.onmicrosoft.com, který se nedoporučuje pro produkční použití) a Microsoft Entra Připojení nesynchronuje identity.

Zásady vypršení platnosti hesla

Globální Správa istrator nebo uživatel Správa istrator může pomocí Microsoft Graphu nastavit uživatelská hesla, jejichž platnost nevyprší.

Pomocí rutin PowerShellu můžete také odebrat konfiguraci, která nikdy nevyprší platnost, nebo zjistit, která uživatelská hesla jsou nastavená tak, aby nikdy nevypršla.

Tyto pokyny platí pro ostatní poskytovatele, jako je Intune a Microsoft 365, které také spoléhají na ID Microsoft Entra pro identitu a adresářové služby. Vypršení platnosti hesla je jedinou částí zásad, kterou je možné změnit.

Poznámka:

Ve výchozím nastavení je možné nakonfigurovat, aby nevypršela platnost hesel pro uživatelské účty, které nejsou synchronizovány prostřednictvím microsoft Entra Připojení. Další informace o synchronizaci adresářů najdete v článku Propojení AD a Microsoft Entra ID.

Nastavení nebo kontrola zásad hesla pomocí PowerShellu

Začněte tím, že si stáhnete a nainstalujete modul Microsoft Graph PowerShellu a připojíte ho k tenantovi Microsoft Entra.

Po instalaci modulu podle potřeby proveďte jednotlivé úlohy pomocí následujících kroků.

Kontrola zásad vypršení platnosti hesla

  1. Otevřete příkazový řádek PowerShellu a připojte se k tenantovi Microsoft Entra pomocí globálního Správa istratoru nebo účtu user Správa istrator.

  2. Spusťte jeden z následujících příkazů pro jednotlivého uživatele nebo pro všechny uživatele:

    • Pokud chcete zjistit, jestli je heslo jednoho uživatele nastavené na nikdy nevyprší, spusťte následující rutinu. Nahraďte <user ID> ID uživatele, kterého chcete zkontrolovat:

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

    • Pokud chcete zobrazit nastavení Heslo nikdy nevyprší všem uživatelům, spusťte následující rutinu:

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

Nastavení vypršení platnosti hesla

  1. Otevřete příkazový řádek PowerShellu a připojte se k tenantovi Microsoft Entra pomocí globálního Správa istratoru nebo účtu user Správa istrator.

  2. Spusťte jeden z následujících příkazů pro jednotlivého uživatele nebo pro všechny uživatele:

    • Pokud chcete nastavit heslo jednoho uživatele tak, aby platnost hesla vypršela, spusťte následující rutinu. Nahraďte <user ID> ID uživatele, kterého chcete zkontrolovat:

      Update-MgUser -UserId <user ID> -PasswordPolicies None

    • Pokud chcete nastavit hesla všech uživatelů v organizaci tak, aby jejich platnost vypršela, použijte následující příkaz:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }

Nastavení hesla na nikdy nevyprší platnost

  1. Otevřete příkazový řádek PowerShellu a připojte se k tenantovi Microsoft Entra pomocí globálního Správa istratoru nebo účtu user Správa istrator.

  2. Spusťte jeden z následujících příkazů pro jednotlivého uživatele nebo pro všechny uživatele:

    • Pokud chcete nastavit heslo jednoho uživatele tak, aby nikdy nevyprší platnost, spusťte následující rutinu. Nahraďte <user ID> ID uživatele, kterého chcete zkontrolovat:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration

    • Pokud chcete nastavit hesla všech uživatelů v organizaci tak, aby nikdy nevyprší platnost, spusťte následující rutinu:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }

    Upozorňující

    Hesla nastavená na -PasswordPolicies DisablePasswordExpiration věk na základě atributu LastPasswordChangeDateTime . Pokud na základě atributu LastPasswordChangeDateTime změníte vypršení platnosti -PasswordPolicies None, všechna hesla, která mají LastPasswordChangeDateTime starší než 90 dnů, vyžadují, aby je uživatel při příštím přihlášení změnil. Tato změna může mít vliv na velký počet uživatelů.

Další kroky

Pokud chcete začít používat SSPR, přečtěte si kurz : Povolení uživatelům odemknout svůj účet nebo resetovat hesla pomocí samoobslužného resetování hesla Microsoft Entra.

Pokud máte vy nebo uživatelé problémy s samoobslužným resetováním hesla, přečtěte si téma Řešení potíží s samoobslužným resetováním hesla.