Directivas de contraseñas y restricciones de cuenta en id. de Microsoft Entra

En Microsoft Entra ID, hay una directiva de contraseñas que define la configuración, como la complejidad de la contraseña, la longitud o la edad. También hay una directiva que define los caracteres y longitudes de nombres de usuario aceptables.

Cuando se usa el autoservicio de restablecimiento de contraseña (SSPR) para cambiar o restablecer una contraseña en Microsoft Entra ID, se comprueba la directiva de contraseñas. Si la contraseña no cumple los requisitos de la directiva, se le pedirá al usuario que vuelva a intentarlo. Los administradores de Azure tienen algunas restricciones en el uso de SSPR que son diferentes a las cuentas de usuario normales, y hay excepciones menores para las versiones de prueba y gratuitas de Microsoft Entra ID.

En este artículo se describen la configuración de directiva de contraseñas y los requisitos de complejidad asociados a las cuentas de usuario. También se explica cómo usar PowerShell para comprobar o establecer la configuración de expiración de contraseñas.

Directivas de nombre de usuario

Cada cuenta que inicia sesión en Microsoft Entra ID debe tener un valor de atributo de nombre principal de usuario (UPN) único asociado a esa cuenta. En entornos híbridos con un entorno local de Active Directory Domain Services (AD DS) sincronizado con Microsoft Entra ID mediante Microsoft Entra Connect, el UPN de Microsoft Entra está establecido en el UPN local de forma predeterminada.

En la siguiente tabla, se describen las directivas de nombre de usuario que se aplican tanto a las cuentas de AD DS locales que están sincronizadas con Microsoft Entra ID como a las cuentas de usuario que solo están en la nube creadas directamente en Microsoft Entra ID:

Propiedad Requisitos de UserPrincipalName
Caracteres permitidos A – Z
a - z
0 – 9
' . - _ ! # ^ ~
Caracteres no permitidos Cualquier carácter "@" que no separa el nombre de usuario del dominio.
No puede contener un carácter de punto "." inmediatamente antes del símbolo "@".
Restricciones de longitud La longitud total no debe superar los 113 caracteres.
Puede haber hasta 64 caracteres antes del símbolo "@".
Puede haber hasta 48 caracteres después del símbolo "@".

Directivas de contraseñas de Microsoft Entra

Una directiva de contraseñas se aplica a todas las cuentas de usuario que se crean y administran directamente en id. de Microsoft Entra. Algunos de los ajustes de esta directiva de contraseñas no se pueden modificar, aunque puede configurar contraseñas prohibidas personalizadas para la protección de contraseñas de Microsoft Entra o parámetros de bloqueo de cuentas.

De manera predeterminada, una cuenta se bloquea después de 10 intentos de inicio de sesión no superados con una contraseña incorrecta. El usuario se queda bloqueado durante un minuto. Más intentos de inicio de sesión incorrectos bloquean el usuario durante mayor cantidad de tiempo. El bloqueo inteligente realiza un seguimiento de los últimos tres códigos hash de contraseña incorrecta para evitar que aumente el contador de bloqueo con la misma contraseña. Si alguien escribe la misma contraseña incorrecta varias veces, no se lo bloqueará. Puede definir el umbral de bloqueo inteligente y la duración.

La directiva de contraseñas de Microsoft Entra no se aplica a las cuentas de usuario que se sincronizan desde un entorno de AD DS local mediante Microsoft Entra Connect, a menos que habilite EnforceCloudPasswordPolicyForPasswordSyncedUsers.

Se definen las siguientes opciones de directiva de contraseñas de Microsoft Entra. A menos que se indique, no se puede cambiar estos ajustes:

Propiedad Requisitos
Caracteres permitidos A – Z
a - z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
Espacio en blanco
Caracteres no permitidos Caracteres Unicode
Restricciones de contraseña Un mínimo de 8 caracteres y un máximo de 256 caracteres.
Requiere tres de cuatro de los siguientes tipos de caracteres:
- Caracteres en minúsculas
- Caracteres en mayúsculas
- Números (0-9).
- Símbolos (vea las anteriores restricciones de contraseña).
Duración de la expiración de la contraseña (vigencia máxima de la contraseña) Valor predeterminado: 90 días. Si el inquilino se creó después de 2021, no tiene ningún valor de expiración predeterminado. Puede comprobar la directiva actual con Get-MgDomain.
El valor se puede configurar mediante el cmdlet Update-MgDomain del módulo de Microsoft Graph para PowerShell.
Expiración de las contraseñas (permitir que las contraseñas no expiren nunca) Valor predeterminado: false (indica que las contraseñas tienen una fecha de expiración).
El valor se puede configurar para cuentas de usuario individuales mediante el cmdlet Update-MgUser.
Historial de cambios de contraseña La última contraseña no puede usarse de nuevo cuando el usuario cambia una contraseña.
Historial de restablecimientos de contraseña La última contraseña puede usarse de nuevo cuando el usuario restablece una contraseña olvidada.

Diferencias entre directivas de restablecimiento de administrador

De forma predeterminada, las cuentas de administrador están habilitadas para el autoservicio de restablecimiento de contraseña, y se aplica una robusta directiva de restablecimiento de contraseña de dos puertas de forma predeterminada. Esta directiva puede ser diferente de la que se ha definido para los usuarios y no se puede cambiar. Siempre debe probar la funcionalidad de restablecimiento de contraseña como usuario sin los roles de administrador de Azure asignados.

La directiva de dos puertas requiere dos elementos de datos de autenticación, como una dirección de correo electrónico, una aplicación de autenticador o un número de teléfono, y prohíbe las preguntas de seguridad. Las llamadas de voz móviles y de Office también están prohibidas para versiones de prueba o gratuitas de Microsoft Entra ID.

Se aplica una directiva de dos puertas en las siguientes circunstancias:

  • Todos los roles de administrador siguientes se ven afectados:

    • Administrador de aplicaciones
    • Administrador del servicio de proxy de la aplicación
    • Administrador de autenticación
    • Administrador de facturación
    • Administrador de cumplimiento
    • Administradores de dispositivo
    • Cuentas de sincronización de directorios
    • Escritores de directorios
    • Administrador de Dynamics 365
    • Administrador de Exchange
    • Administrador global y administrador de la compañía
    • Administrador del departamento de soporte técnico
    • Administrador de Intune
    • Administrador de buzones de correo
    • Administrador local de dispositivos unidos a Microsoft Entra
    • Soporte para asociados de nivel 1
    • Soporte para asociados de nivel 2
    • Administrador de contraseñas
    • Administrador de servicios de Power BI
    • Administrador de autenticación con privilegios
    • Administrador de roles con privilegios
    • Administrador de seguridad
    • Administrador del soporte técnico del servicio
    • Administrador de SharePoint
    • Administrador de Skype Empresarial
    • Administrador de usuarios
  • Una vez transcurridos 30 días en una suscripción de prueba

  • Se ha configurado un dominio personalizado para el inquilino de Microsoft Entra, como contoso.com; o

  • Microsoft Entra Connect sincroniza identidades desde el directorio local

Puede deshabilitar el uso de SSPR para las cuentas de administrador mediante el cmdlet de PowerShell Update-MgPolicyAuthorizationPolicy. El parámetro -AllowedToUseSspr:$true|$false habilitará o deshabilitará SSPR para los administradores. Los cambios de directiva para habilitar o deshabilitar SSPR de las cuentas de administrador podría tardar hasta 60 minutos en surtir efecto.

Excepciones

Las directivas de una puerta necesitan información de autenticación, como una dirección de correo electrónico o un número de teléfono. Se aplica una directiva de una puerta en las siguientes circunstancias:

  • Está dentro de los primeros 30 días de una suscripción de prueba

    O bien:

  • Un dominio personalizado no está configurado (el inquilino usa el valor predeterminado *.onmicrosoft.com, que no se recomienda para su uso en producción) y Microsoft Entra Connect no sincroniza las identidades.

Directivas de expiración de contraseñas

Un administrador global o un administrador de usuarios puede usar Microsoft Graph al configurar las contraseñas de usuario para que no expiren.

También puede usar cmdlets de PowerShell para quitar la configuración de no expirar nunca o ver qué contraseñas de usuario están configuradas para que no expiren nunca.

Esta guía se aplica a otros proveedores (como Intune y Microsoft 365) que también dependen de Microsoft Entra ID para los servicios de identidad y directorio. La expiración de contraseñas es la única parte de la directiva que se puede cambiar.

Nota:

De forma predeterminada, solo las contraseñas de cuentas de usuario que no se sincronizan a través de Microsoft Entra Connect pueden configurarse para que no expiren. Para obtener más información sobre la sincronización de directorios, vea el artículo sobre cómo conectar AD con id. de Microsoft Entra.

Establecer o comprobar directivas de contraseña mediante PowerShell

Para empezar, descargue e instale el módulo de Microsoft Graph para PowerShell y conéctelo al inquilino de Microsoft Entra.

Una vez instalado el módulo, use los pasos a continuación para completar cada tarea según sea necesario.

Comprobación de la directiva de expiración de una contraseña

  1. Abra un símbolo del sistema de PowerShell y conéctese con su inquilino de Microsoft Entra mediante una cuenta de Administrador global o Administrador de usuarios.

  2. Ejecute uno de los siguientes comandos para un usuario individual o para todos los usuarios:

    • Para ver si la contraseña de un solo usuario está configurada para no expirar nunca, ejecute el siguiente cmdlet. Reemplace <user ID> por el identificador de usuario que quiere comprobar:

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • Para ver la configuración La contraseña nunca expira de todos los usuarios, ejecute el siguiente cmdlet:

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

Configuración de una contraseña para que caduque

  1. Abra un símbolo del sistema de PowerShell y conéctese con su inquilino de Microsoft Entra mediante una cuenta de Administrador global o Administrador de usuarios.

  2. Ejecute uno de los siguientes comandos para un usuario individual o para todos los usuarios:

    • Para establecer la contraseña de un usuario para que expire, ejecute el cmdlet siguiente. Reemplace <user ID> por el identificador de usuario que quiere comprobar:

      Update-MgUser -UserId <user ID> -PasswordPolicies None
      
    • Para establecer las contraseñas de todos los usuarios de la organización de modo que expiren, use el siguiente comando:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
      

Configure una contraseña para que no caduque nunca

  1. Abra un símbolo del sistema de PowerShell y conéctese con su inquilino de Microsoft Entra mediante una cuenta de Administrador global o Administrador de usuarios.

  2. Ejecute uno de los siguientes comandos para un usuario individual o para todos los usuarios:

    • Para establecer la contraseña de un usuario para que no expire nunca, ejecute el cmdlet siguiente. Reemplace <user ID> por el identificador de usuario que quiere comprobar:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • Para configurar las contraseñas de todos los usuarios de una organización para que nunca expiren, ejecute el siguiente cmdlet:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
      

    Advertencia

    La antigüedad de las contraseñas establecidas en -PasswordPolicies DisablePasswordExpiration sigue basándose en el atributo LastPasswordChangeDateTime. En función del LastPasswordChangeDateTime atributo, si cambia la expiración a -PasswordPolicies None, todas las contraseñas que tengan una LastPasswordChangeDateTime cuya antigüedad sea superior a 90 días requieren que el usuario las cambie la próxima vez que se inicie sesión. Este cambio puede afectar a gran cantidad de usuarios.

Pasos siguientes

Para empezar a trabajar con SSPR, consulte Tutorial: Habilitación del autoservicio de restablecimiento de contraseñas de Microsoft Entra para que los usuarios puedan desbloquear su cuenta o restablecer contraseñas.

Si usted o los usuarios tienen problemas con SSPR, consulte Solución de problemas de autoservicio de restablecimiento de contraseña.