Restricciones de cuenta y directivas de contraseñas en Azure Active Directory
En Azure Active Directory (Azure AD), hay una directiva de contraseñas que define la configuración, como la complejidad de la contraseña, la longitud o la edad. También hay una directiva que define los caracteres y longitudes de nombres de usuario aceptables.
Cuando se usa el autoservicio de restablecimiento de contraseña (SSPR) para cambiar o restablecer una contraseña en Azure AD, se comprueba la directiva de contraseñas. Si la contraseña no cumple los requisitos de la directiva, se le pedirá al usuario que vuelva a intentarlo. Los administradores de Azure tienen algunas restricciones en el uso de SSPR que son diferentes a las cuentas de usuario normales, y hay excepciones menores para las versiones de prueba y gratuitas de Azure AD.
En este artículo se describen la configuración de directiva de contraseñas y los requisitos de complejidad asociados a las cuentas de usuario. También se explica cómo usar PowerShell para comprobar o establecer la configuración de expiración de contraseñas.
Directivas de nombre de usuario
Cada cuenta que inicia sesión en Azure AD debe tener un valor de atributo de nombre principal de usuario (UPN) único asociado a esa cuenta. En entornos híbridos con un entorno local de Active Directory Domain Services (AD DS) sincronizado con Azure AD mediante Azure AD Connect, el UPN de Azure AD está establecido en el UPN local de forma predeterminada.
En la siguiente tabla, se describen las directivas de nombre de usuario que se aplican tanto a las cuentas de AD DS locales que están sincronizadas con Azure AD como a las cuentas de usuario que solo están en la nube creadas directamente en Azure AD:
| Propiedad | Requisitos de UserPrincipalName |
|---|---|
| Caracteres permitidos | A – Z a - z 0 – 9 ' . - _ ! # ^ ~ |
| Caracteres no permitidos | Cualquier carácter "@" que no separa el nombre de usuario del dominio. No puede contener un carácter de punto "." inmediatamente antes del símbolo "@". |
| Restricciones de longitud | La longitud total no debe superar los 113 caracteres. Puede haber hasta 64 caracteres antes del símbolo "@". Puede haber hasta 48 caracteres después del símbolo "@". |
Directivas de contraseña de Azure AD
Una directiva de contraseñas se aplica a todas las cuentas de usuario que se crean y administran directamente en Azure AD. Algunos de los ajustes de esta directiva de contraseñas no se pueden modificar, aunque puede configurar contraseñas prohibidas personalizadas para la protección de contraseñas de Azure AD o parámetros de bloqueo de cuentas.
De manera predeterminada, una cuenta se bloquea después de 10 intentos de inicio de sesión no superados con una contraseña incorrecta. El usuario se queda bloqueado durante un minuto. Más intentos de inicio de sesión incorrectos bloquean el usuario durante mayor cantidad de tiempo. El bloqueo inteligente realiza un seguimiento de los últimos tres códigos hash de contraseña incorrecta para evitar que aumente el contador de bloqueo con la misma contraseña. Si alguien escribe la misma contraseña incorrecta varias veces, no se lo bloqueará. Puede definir el umbral de bloqueo inteligente y la duración.
La directiva de contraseñas de Azure AD no se aplica a las cuentas de usuario que se sincronizan desde un entorno de AD DS local mediante Azure AD Connect, a menos que habilite EnforceCloudPasswordPolicyForPasswordSyncedUsers.
Se definen las siguientes opciones de directiva de contraseñas de Azure AD. A menos que se indique, no se puede cambiar estos ajustes:
| Propiedad | Requisitos |
|---|---|
| Caracteres permitidos | A – Z a - z 0 – 9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> Espacio en blanco |
| Caracteres no permitidos | Caracteres Unicode |
| Restricciones de contraseña | Un mínimo de 8 caracteres y un máximo de 256 caracteres. Requiere tres de cuatro de los siguientes tipos de caracteres: - Caracteres en minúsculas - Caracteres en mayúsculas - Números (0-9). - Símbolos (vea las anteriores restricciones de contraseña). |
| Duración de la expiración de la contraseña (vigencia máxima de la contraseña) | Valor predeterminado: 90 días. Si el inquilino se creó después de 2021, no tiene ningún valor de expiración predeterminado. Puede comprobar la directiva actual con Get-MsolPasswordPolicy. El valor se puede configurar con el cmdlet Set-MsolPasswordPolicydel módulo Active Directory para Windows PowerShell. |
| Expiración de las contraseñas (permitir que las contraseñas no expiren nunca) | Valor predeterminado: false (indica que las contraseñas tienen una fecha de expiración). El valor se puede configurar para cuentas de usuario individuales mediante el cmdlet Set-MsolUser. |
| Historial de cambios de contraseña | La última contraseña no puede usarse de nuevo cuando el usuario cambia una contraseña. |
| Historial de restablecimientos de contraseña | La última contraseña puede usarse de nuevo cuando el usuario restablece una contraseña olvidada. |
Diferencias entre directivas de restablecimiento de administrador
De forma predeterminada, las cuentas de administrador están habilitadas para el autoservicio de restablecimiento de contraseña, y se aplica una robusta directiva de restablecimiento de contraseña de dos puertas de forma predeterminada. Esta directiva puede ser diferente de la que se ha definido para los usuarios y no se puede cambiar. Siempre debe probar la funcionalidad de restablecimiento de contraseña como usuario sin los roles de administrador de Azure asignados.
La directiva de dos puertas requiere dos elementos de datos de autenticación, como una dirección de correo electrónico, una aplicación de autenticador o un número de teléfono, y prohíbe las preguntas de seguridad. Las llamadas de voz móviles y de Office también están prohibidas para versiones de prueba o gratuitas de Azure AD.
Se aplica una directiva de dos puertas en las siguientes circunstancias:
Todos los roles de administrador siguientes se ven afectados:
- Administrador de aplicaciones
- Administrador del servicio de proxy de la aplicación
- Administrador de autenticación
- Administrador local de dispositivo unido a Azure AD
- Administrador de facturación
- Administrador de cumplimiento
- Administradores de dispositivo
- Cuentas de sincronización de directorios
- Escritores de directorios
- Administrador de Dynamics 365
- Administrador de Exchange
- Administrador global y administrador de la compañía
- Administrador del departamento de soporte técnico
- Administrador de Intune
- Administrador de buzones de correo
- Soporte para asociados de nivel 1
- Soporte para asociados de nivel 2
- Administrador de contraseñas
- Administrador de servicios de Power BI
- Administrador de autenticación con privilegios
- Administrador de roles con privilegios
- Administrador de seguridad
- Administrador del soporte técnico del servicio
- Administrador de SharePoint
- Administrador de Skype Empresarial
- Administrador de usuarios
Una vez transcurridos 30 días en una suscripción de prueba
Se ha configurado un dominio personalizado para el inquilino de Azure AD, como contoso.com; o
Azure AD Connect sincroniza identidades desde el directorio local
Puede deshabilitar el uso de SSPR para las cuentas de administrador mediante el cmdlet de PowerShell Update-MgPolicyAuthorizationPolicy. El parámetro -AllowedToUseSspr:$true|$false habilitará o deshabilitará SSPR para los administradores. Los cambios de directiva para habilitar o deshabilitar SSPR de las cuentas de administrador podría tardar hasta 60 minutos en surtir efecto.
Excepciones
Las directivas de una puerta necesitan información de autenticación, como una dirección de correo electrónico o un número de teléfono. Se aplica una directiva de una puerta en las siguientes circunstancias:
Está dentro de los primeros 30 días de una suscripción de prueba
-O bien-
Un dominio personalizado no está configurado (el inquilino usa el valor predeterminado *.onmicrosoft.com, que no se recomienda para su uso en producción) y Azure AD Connect no sincroniza las identidades.
Directivas de expiración de contraseñas
Un administrador global o un administrador de usuarios puede usar el Módulo Microsoft Azure AD para Windows PowerShell al configurar las contraseñas de usuario para que no expiren.
También puede usar cmdlets de PowerShell para quitar la configuración de no expirar nunca o ver qué contraseñas de usuario están configuradas para que no expiren nunca.
Esta guía se aplica a otros proveedores (como Intune y Microsoft 365) que también dependen de Azure AD para los servicios de identidad y directorio. La expiración de contraseñas es la única parte de la directiva que se puede cambiar.
Nota:
De forma predeterminada, solo las contraseñas de cuentas de usuario que no se sincronizan a través de Azure AD Connect pueden configurarse para que no expiren. Para obtener más información sobre la sincronización de directorios, vea el artículo sobre cómo conectar AD con Azure AD.
Establecer o comprobar directivas de contraseña mediante PowerShell
Para empezar, descargue e instale el módulo de Azure AD PowerShell y conéctelo al inquilino de Azure AD.
Una vez instalado el módulo, use los pasos a continuación para completar cada tarea según sea necesario.
Comprobación de la directiva de expiración de una contraseña
Abra un símbolo del sistema de PowerShell y conéctese con su inquilino de Azure AD mediante una cuenta de Administrador global o Administrador de usuarios.
Ejecute uno de los siguientes comandos para un usuario individual o para todos los usuarios:
Para ver si la contraseña de un solo usuario está configurada para no expirar nunca, ejecute el siguiente cmdlet. Reemplace
<user ID>por el identificador de usuario que quiere comprobar, como driley@contoso.onmicrosoft.com:Get-AzureADUser -ObjectId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}Para ver la configuración La contraseña nunca expira de todos los usuarios, ejecute el siguiente cmdlet:
Get-AzureADUser -All $true | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Configuración de una contraseña para que caduque
Abra un símbolo del sistema de PowerShell y conéctese con su inquilino de Azure AD mediante una cuenta de Administrador global o Administrador de usuarios.
Ejecute uno de los siguientes comandos para un usuario individual o para todos los usuarios:
Para establecer la contraseña de un usuario para que expire, ejecute el cmdlet siguiente. Reemplace
<user ID>por el identificador de usuario que quiere comprobar, como driley@contoso.onmicrosoft.comSet-AzureADUser -ObjectId <user ID> -PasswordPolicies NonePara establecer las contraseñas de todos los usuarios de la organización de modo que expiren, use el siguiente cmdlet:
Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies None
Configure una contraseña para que no caduque nunca
Abra un símbolo del sistema de PowerShell y conéctese con su inquilino de Azure AD mediante una cuenta de Administrador global o Administrador de usuarios.
Ejecute uno de los siguientes comandos para un usuario individual o para todos los usuarios:
Para establecer la contraseña de un usuario para que no expire nunca, ejecute el cmdlet siguiente. Reemplace
<user ID>por el identificador de usuario que quiere comprobar, como driley@contoso.onmicrosoft.comSet-AzureADUser -ObjectId <user ID> -PasswordPolicies DisablePasswordExpirationPara configurar las contraseñas de todos los usuarios de una organización para que nunca expiren, ejecute el siguiente cmdlet:
Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies DisablePasswordExpiration
Advertencia
La antigüedad de las contraseñas establecidas en
-PasswordPolicies DisablePasswordExpirationsigue basándose en el atributopwdLastSet. En función delpwdLastSetatributo, si cambia la expiración a-PasswordPolicies None, todas las contraseñas que tengan unapwdLastSetcuya antigüedad sea superior a 90 días requieren que el usuario las cambie la próxima vez que se inicie sesión. Este cambio puede afectar a gran cantidad de usuarios.
Pasos siguientes
Para empezar a trabajar con SSPR, consulte Tutorial: Habilitación del autoservicio de restablecimiento de contraseña de Azure Active Directory para que los usuarios puedan desbloquear su cuenta o restablecer contraseñas
Si usted o los usuarios tienen problemas con SSPR, consulte Solución de problemas de autoservicio de restablecimiento de contraseña.