Kennwortrichtlinien und Kontoeinschränkungen in Microsoft Entra ID

  • Artikel

In Microsoft Entra ID definiert eine Kennwortrichtlinie Einstellungen wie die Kennwortkomplexität, die Länge oder das Alter. Außerdem definiert eine Richtlinie zulässige Zeichen und die Länge für Benutzernamen.

Wenn ein Kennwort in Microsoft Entra ID mithilfe der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) geändert oder zurückgesetzt wird, erfolgt eine Überprüfung anhand der Kennwortrichtlinie. Wenn das Kennwort nicht die Richtlinienanforderungen erfüllt, wird der Benutzer aufgefordert, es erneut zu versuchen. Azure-Administrator*innen haben einige Einschränkungen bei der Verwendung von SSPR, die sich von regulären Benutzerkonten unterscheiden, und es gibt geringfügige Ausnahmen für Testversionen und kostenlose Versionen von Microsoft Entra ID.

Dieser Artikel beschreibt die Kennwortrichtlinien und Komplexitätsanforderungen im Zusammenhang mit Benutzerkonten. Außerdem wird erläutert, wie Sie PowerShell verwenden, um Kennwortablaufeinstellungen zu überprüfen oder festzulegen.

Richtlinien für Benutzernamen

Jedes Konto, das sich bei Microsoft Entra ID anmeldet, muss über ein eindeutiges, diesem Konto zugeordnetes UPN-Attribut (User Principal Name, Benutzerprinzipalname) verfügen. In Hybridumgebungen mit einer lokalen Active Directory Domain Services-Umgebung (AD DS), die über Microsoft Entra Connect mit Microsoft Entra ID synchronisiert wird, ist der Microsoft Entra-UPN standardmäßig auf den lokalen UPN festgelegt.

In der folgenden Tabelle sind die Richtlinien für Benutzernamen aufgeführt, die sowohl für lokale AD DS-Konten, die mit Microsoft Entra ID synchronisiert werden, als auch für Benutzerkonten gelten, die ausschließlich in Microsoft Entra ID verwendet und direkt in Microsoft Entra ID erstellt werden:

Eigenschaft UserPrincipalName-Richtlinien
Zulässige Zeichen A – Z
a – z
0 – 9
' . - _ ! # ^ ~
Unzulässige Zeichen Jedes @-Zeichen, das nicht den Benutzernamen und die Domäne trennt.
Darf keinen Punkt (.) unmittelbar vor dem @-Symbol enthalten.
Längenbeschränkungen Die Gesamtlänge darf 113 Zeichen nicht überschreiten.
Vor dem @-Symbol sind bis zu 64 Zeichen zulässig.
Nach dem @-Symbol sind bis zu 48 Zeichen zulässig.

Kennwortrichtlinien in Microsoft Entra

Eine Kennwortrichtlinie wird auf alle Benutzerkonten angewandt, die direkt in Microsoft Entra ID erstellt und verwaltet werden. Einige dieser Kennwortrichtlinieneinstellungen können zwar nicht geändert werden, aber Sie können benutzerdefinierte gesperrte Kennwörter für den Microsoft Entra-Kennwortschutz oder Parameter für Kontosperrungen konfigurieren.

Nach 10 nicht erfolgreichen Anmeldeversuchen mit einem falschen Kennwort wird das Konto standardmäßig gesperrt. Der Benutzer wird dann für eine Minute gesperrt. Mit jeder weiteren fehlerhaften Anmeldeversuch verlängert sich die Dauer, die der Benutzer gesperrt ist. Smart Lockout verfolgt die letzten drei fehlerhaften Kennworthashes, um zu vermeiden, dass der Sperrungszähler für dasselbe Kennwort erhöht wird. Wenn eine Person mehrmals das falsche Kennwort eingibt, wird das Konto nicht gesperrt. Sie können den Grenzwert und die Dauer von Smart Lockout-Maßnahmen festlegen.

Die Microsoft Entra-Kennwortrichtlinie gilt nicht für Benutzerkonten, die über Microsoft Entra Connect aus einer lokalen AD DS-Umgebung synchronisiert werden, sofern Sie nicht EnforceCloudPasswordPolicyForPasswordSyncedUsers aktivieren.

Die folgenden Optionen für Microsoft Entra-Kennwortrichtlinien sind definiert: Sofern nichts anderes angegeben ist, können Sie die folgenden Einstellungen nicht ändern:

Eigenschaft Requirements (Anforderungen)
Zulässige Zeichen A – Z
a – z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
Leerraum
Unzulässige Zeichen Unicode-Zeichen
Kennworteinschränkungen Mindestens 8 Zeichen und höchstens 256 Zeichen.
Muss drei der folgenden vier Elemente enthalten:
Kleinbuchstaben
Großbuchstaben
- Zahlen (0 bis 9)
- Symbole (siehe die vorherigen Kennworteinschränkungen)
Zeitraum bis zum Ablauf des Kennworts (maximales Kennwortalter) Standardwert: 90 Tage Wenn der Mandant nach 2021 erstellt wurde, hat er keinen Standardablaufwert. Sie können die aktuelle Richtlinie mit Get-MgDomain überprüfen.
Der Wert kann jedoch im Microsoft Graph-Modul für PowerShell mit dem Cmdlet Update-MgDomain konfiguriert werden.
Kennwortablauf (Kennwort läuft nie ab) Standardwert: false (gibt an, dass Kennwörter ein Ablaufdatum aufweisen).
Der Wert kann für einzelne Benutzerkonten mithilfe des Cmdlets Update-MgUser konfiguriert werden.
Verlauf der Kennwortänderungen Das letzte Kennwort kann nicht erneut verwendet werden, wenn der Benutzer ein Kennwort ändert.
Verlauf der Kennwortzurücksetzungen Das letzte Kennwort kann erneut verwendet werden, wenn der Benutzer ein vergessenes Kennwort zurücksetzt.

Unterschiede zu Richtlinien zum Zurücksetzen von Administratorkennwörtern

Standardmäßig ist die Self-Service-Kennwortzurücksetzung für Administratorkonten aktiviert, und es wird eine strenge Standardrichtlinie für die zweistufige Kennwortzurücksetzung erzwungen. Diese Richtlinie kann sich von der Richtlinie unterscheiden, die Sie für Ihre Benutzer definiert haben, und diese Richtlinie kann nicht geändert werden. Sie sollten die Funktion zum Zurücksetzen des Kennworts immer als Benutzer ohne zugewiesene Azure-Administratorrollen testen.

Eine Zwei-Gate-Richtlinie erfordert Authentifizierungsdaten, die aus zwei Elementen bestehen, z. B. E-Mail-Adresse, Authentifizierung-App oder Telefonnummer, und verbietet Sicherheitsfragen. Office- und Mobiltelefon-Sprachanrufe sind für Testversionen oder kostenlose Versionen von Microsoft Entra ID ebenfalls verboten.

Eine Zwei-Gate-Richtlinie gilt in folgenden Situationen:

  • Alle folgenden Administratorrollen sind betroffen:

    • Anwendungsadministrator
    • Anwendungsproxy-Dienstadministrator
    • Authentifizierungsadministrator
    • Rechnungsadministrator
    • Complianceadministrator
    • Geräteadministratoren
    • Konten zur Verzeichnissynchronisierung
    • Verzeichnis schreiben
    • Dynamics 365-Administrator
    • Exchange-Administrator
    • Globaler Administrator oder Unternehmensadministrator
    • Helpdesk-Administrator
    • Intune-Administrator
    • Postfachadministrator
    • Lokaler Administrator des in Microsoft Entra eingebundenen Geräts
    • Partnersupport der Ebene 1
    • Partnersupport der Ebene 2
    • Kennwortadministrator
    • Power BI-Dienstadministrator
    • Privilegierter Authentifizierungsadministrator
    • Administrator für privilegierte Rollen
    • Sicherheitsadministrator
    • Dienstunterstützungsadministrator
    • SharePoint-Administrator
    • Skype for Business-Administrator
    • Benutzeradministrator

  • Wenn 30 Tage in einem Testabonnement abgelaufen sind, oder

  • eine benutzerdefinierte Domäne für Ihren Microsoft Entra-Mandanten konfiguriert wurde, z. B. contoso.com, oder

  • Microsoft Entra Connect synchronisiert Identitäten aus Ihrem lokalen Verzeichnis.

Sie können die Verwendung der Self-Service-Kennwortzurücksetzung für Administratorkonten über das PowerShell-Cmdlet Update-MgPolicyAuthorizationPolicy deaktivieren. Mithilfe des Parameters -AllowedToUseSspr:$true|$false wird die Self-Service-Kennwortzurücksetzung für Administrator*innen aktiviert bzw. deaktiviert. Es kann bis zu 60 Minuten dauern, bis Richtlinienänderungen zum Aktivieren oder Deaktivieren des SSPR für Administratorkonten wirksam werden.

Ausnahmen

Eine Ein-Gate-Richtlinie erfordert Authentifizierungsdaten, die aus einem Element bestehen, z. B. eine E-Mail-Adresse oder eine Telefonnummer. Eine Ein-Gate-Richtlinie gilt in folgenden Situationen:

  • Für ein Testabonnement sind noch keine 30 Tage vergangen.

    -Oder-

  • Eine benutzerdefinierte Domäne ist nicht konfiguriert (der Mandant verwendet die Standardeinstellung *.onmicrosoft.com, was für die Verwendung in der Produktion nicht empfohlen wird), und Microsoft Entra Connect führt keine Synchronisierung von Identitäten durch.

Richtlinien zum Kennwortablauf

Benutzer*innen vom Typ Globaler Administrator oder Benutzeradministrator können Microsoft Graph verwenden, um festzulegen, dass Benutzerkennwörter nicht ablaufen.

Sie können auch PowerShell-Cmdlets verwenden, um die Konfiguration für niemals ablaufende Kennwörter zu entfernen oder um anzuzeigen, für welche Benutzerkennwörter festgelegt ist, dass sie nie ablaufen.

Diese Anleitung gilt für andere Anbieter wie Intune und Microsoft 365, die ebenfalls auf Microsoft Entra ID als Identitäts- und Verzeichnisdienste zurückgreifen. Kennwortablauf ist der einzige Teil der Richtlinie, der geändert werden kann.

Hinweis

Standardmäßig können nur Kennwörter für Benutzerkonten, die nicht über Microsoft Entra Connect synchronisiert werden, so konfiguriert werden, dass sie nicht ablaufen. Weitere Informationen zur Verzeichnissynchronisierung finden Sie unter Verbinden von AD mit Microsoft Entra ID.

Festlegen oder Überprüfen der Kennwortrichtlinien mithilfe von PowerShell

Um zu beginnen, laden Sie das Microsoft Graph-PowerShell-Modul herunter und installieren es. Verbinden Sie es anschließend mit Ihrem Microsoft Entra-Mandanten.

Nachdem das Modul installiert wurde, können Sie jede Aufgabe nach Bedarf mit den folgenden Schritten abschließen.

Überprüfen der Ablaufrichtlinie für ein Kennwort

  1. Öffnen Sie eine PowerShell-Eingabeaufforderung, und stellen Sie mithilfe eines Kontos vom Typ Globaler Administrator oder Benutzeradministrator eine Verbindung mit Ihrem Microsoft Entra-Mandanten her.

  2. Führen Sie einen der folgenden Befehle für einen einzelnen Benutzer oder für alle Benutzer aus:

    • Führen Sie das folgende Cmdlet aus, um zu ermitteln, ob für das Kennwort eines einzelnen Benutzers festgelegt ist, dass es nie abläuft. Ersetzen Sie <user ID> durch die Benutzer-ID des Benutzers oder der Benutzerin, den bzw. die Sie überprüfen möchten:

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

    • Um die Einstellung Kennwort läuft nie ab für alle Benutzer anzuzeigen, führen Sie das folgende Cmdlet aus:

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

Festlegen, dass ein Kennwort abläuft

  1. Öffnen Sie eine PowerShell-Eingabeaufforderung, und stellen Sie mithilfe eines Kontos vom Typ Globaler Administrator oder Benutzeradministrator eine Verbindung mit Ihrem Microsoft Entra-Mandanten her.

  2. Führen Sie einen der folgenden Befehle für einen einzelnen Benutzer oder für alle Benutzer aus:

    • Um für das Kennwort eines Benutzers festzulegen, dass es abläuft, führen Sie das folgende Cmdlet aus. Ersetzen Sie <user ID> durch die Benutzer-ID des Benutzers oder der Benutzerin, den bzw. die Sie überprüfen möchten:

      Update-MgUser -UserId <user ID> -PasswordPolicies None

    • Um für die Kennwörter aller Benutzer*innen in der Organisation festzulegen, dass sie ablaufen, verwenden Sie den folgenden Befehl:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }

Festlegen, dass ein Kennwort nicht abläuft

  1. Öffnen Sie eine PowerShell-Eingabeaufforderung, und stellen Sie mithilfe eines Kontos vom Typ Globaler Administrator oder Benutzeradministrator eine Verbindung mit Ihrem Microsoft Entra-Mandanten her.

  2. Führen Sie einen der folgenden Befehle für einen einzelnen Benutzer oder für alle Benutzer aus:

    • Um für das Kennwort eines Benutzers festzulegen, dass es nie abläuft, führen Sie das folgende Cmdlet aus. Ersetzen Sie <user ID> durch die Benutzer-ID des Benutzers oder der Benutzerin, den bzw. die Sie überprüfen möchten:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration

    • Um für die Kennwörter aller Benutzer in der Organisation festzulegen, dass sie nie ablaufen, verwenden Sie das folgende Cmdlet:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }

    Warnung

    Kennwörter, die auf -PasswordPolicies DisablePasswordExpiration festgelegt sind, altern trotzdem entsprechend dem LastPasswordChangeDateTime-Attribut. Entsprechend dem LastPasswordChangeDateTime-Attribut ergibt sich, wenn Sie das Ablaufen in -PasswordPolicies None ändern, dass jedes Kennwort, dessen LastPasswordChangeDateTime älter als 90 Tage ist, vom Benutzer bei seiner nächster Anmeldung geändert werden muss. Diese Änderung kann eine große Anzahl von Benutzern betreffen.

Nächste Schritte

Informationen zu den ersten Schritten mit der SSPR finden Sie unter Tutorial: Ermöglichen der Kontoentsperrung oder Kennwortzurücksetzung für Benutzer*innen mithilfe der Self-Service-Kennwortzurücksetzung von Microsoft Entra.

Falls Sie oder Ihre Benutzer Probleme mit SSPR haben, helfen Ihnen die Informationen unter Behandeln von Problemen mit der Self-Service-Kennwortzurücksetzung weiter.