Stratégies de mot de passe et restrictions de compte dans Microsoft Entra ID

Dans Microsoft Entra ID, vous trouverez une stratégie de mot de passe qui définit des paramètres tels que la complexité, la longueur ou l’âge du mot de passe. Vous trouverez également une stratégie qui définit la longueur et les caractères acceptables pour les noms d’utilisateur.

Si la réinitialisation de mot de passe en libre-service (SSPR) est utilisée pour changer ou réinitialiser un mot de passe dans Microsoft Entra ID, la stratégie de mot de passe est vérifiée. Si le mot de passe ne répond pas aux exigences de la stratégie, l’utilisateur est invité à réessayer. Les administrateurs Azure imposent certaines restrictions sur l’utilisation de SSPR qui sont différentes des comptes d’utilisateur standard, et il existe des exceptions mineures pour les versions d’essai et gratuites de Microsoft Entra ID.

Cet article décrit les paramètres des stratégies de mot de passe et les exigences en matière de complexité associées aux comptes d’utilisateur. Il explique également comment utiliser PowerShell pour case activée ou définir les paramètres d’expiration du mot de passe.

Stratégies de nom d’utilisateur

Chaque compte se connectant à Microsoft Entra ID doit être associé à une valeur d’attribut de nom d’utilisateur principal (UPN) unique. Dans les environnements hybrides où un environnement Active Directory Domain Services (AD DS) local est synchronisé avec Microsoft Entra ID à l’aide de Microsoft Entra Connect, l’UPN Microsoft Entra est défini par défaut sur l’UPN local.

Le tableau suivant décrit les stratégies de nom d’utilisateur qui s’appliquent à la fois aux comptes AD DS locaux synchronisés avec Microsoft Entra ID et aux comptes d’utilisateur uniquement dans le cloud créés directement dans Microsoft Entra ID :

Propriété Conditions requises pour UserPrincipalName
Caractères autorisés A – Z
a - z
0 – 9
' . - _ ! # ^ ~
Caractères non autorisés Tout caractère « @ » qui ne sépare pas le nom d’utilisateur du domaine.
Ne peut pas contenir un point « . » précédant immédiatement le symbole « @ »
Contraintes de longueur La longueur totale ne doit pas dépasser 113 caractères
Jusqu’à 64 caractères avant le symbole « @ »
Jusqu’à 48 caractères après le symbole « @ »

Stratégies de mot de passe Microsoft Entra

Une stratégie de mot de passe est appliquée à tous les comptes d’utilisateur qui sont créés et gérés directement dans Microsoft Entra ID. Certains de ces paramètres de stratégie de mot de passe ne peuvent pas être modifiés. Toutefois, vous pouvez configurer des mots de passe interdits personnalisés pour la protection par mot de passe Microsoft Entra ou des paramètres de verrouillage de compte.

Par défaut, un compte est bloqué au bout de 10 tentatives de connexion infructueuses avec un mot de passe incorrect. L’utilisateur est verrouillé pendant une minute. La durée de blocage de l’utilisateur augmente au fil des nouvelles tentatives de connexion incorrectes. Le verrouillage intelligent suit les trois derniers hachages de mots de passe incorrects afin d'éviter d'incrémenter le compteur de verrouillages pour le même mot de passe. Si un utilisateur entre plusieurs fois le même mot de passe incorrect, il ne sera pas verrouillé. Vous pouvez définir le seuil de verrouillage intelligent et la durée.

La stratégie de mot de passe Microsoft Entra ne s’applique pas aux comptes d’utilisateur synchronisés à partir d’un environnement AD DS local avec Microsoft Entra Connect, sauf si vous activez EnforceCloudPasswordPolicyForPasswordSyncedUsers.

Les options de stratégie de mot de passe Microsoft Entra suivantes sont définies. Sauf indication contraire, vous ne pouvez pas modifier ces paramètres :

Propriété Spécifications
Caractères autorisés A – Z
a - z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
Espace vide
Caractères non autorisés Caractères Unicode
Restrictions de mot de passe 8 caractères minimum et 256 caractères maximum.
Trois des quatre types de caractères suivants sont requis :
- caractères en minuscules
- caractères en majuscules
- Chiffres (0-9)
- Symboles (voir les restrictions de mot de passe précédentes)
Durée d’expiration du mot de passe (âge maximum du mot de passe) Valeur par défaut : 90 jours. Si le locataire a été créé après 2021, il n’a pas de valeur d’expiration par défaut. Vous pouvez vérifier la stratégie actuelle avec Get-MgDomain.
La valeur est configurable en utilisant la cmdlet Update-MgDomain du module Microsoft Graph pour PowerShell.
Expiration du mot de passe (empêche le mot de passe d’expirer) Valeur par défaut : false (indique que les mots de passe ont une date d’expiration).
La valeur peut être configurée pour des comptes d’utilisateur individuels en utilisant la cmdlet Update-MgUser.
Historique de modification du mot de passe Le dernier mot de passe ne peut pas être réutilisé lorsque l’utilisateur modifie un mot de passe.
Historique de réinitialisation du mot de passe Le dernier mot de passe peut être réutilisé lorsque l’utilisateur réinitialise un mot de passe oublié.

Différences en matière de stratégie de réinitialisation par l’administrateur

Par défaut, les comptes d’administrateur sont activés pour la réinitialisation de mot de passe en libre-service, et une stratégie de réinitialisation de mot de passe à deux portes renforcée par défaut est appliquée. Cette stratégie peut être différente de celle que vous avez définie pour vos utilisateurs et ne peut pas être modifiée. Vous devez toujours tester la fonctionnalité de réinitialisation de mot de passe en tant qu’utilisateur, sans qu’un rôle d’administrateur Azure vous soit affecté.

La stratégie à deux verrous nécessite deux éléments de données d’authentification, par exemple une adresse e-mail, une application d’authentification ou un numéro de téléphone et elle interdit les questions de sécurité. Les appels vocaux Office et mobiles sont également interdits pour les versions d’essai et gratuites de Microsoft Entra ID.

Une stratégie à deux verrous s’applique dans les conditions suivantes :

  • Tous les rôles d’administrateur suivants sont concernés :

    • Administrateur d’application
    • Administrateur de services de proxy d’application
    • Administrateur d’authentification
    • Administrateur de facturation
    • Administrateur de conformité
    • Administrateurs d’appareils
    • Comptes de synchronisation d’annuaires
    • Enregistreurs de répertoire
    • Administrateur Dynamics 365
    • Administrateur Exchange
    • Administrateur général ou administrateur d’entreprise
    • Administrateur du support technique
    • Administrateur Intune
    • Administrateur de boîte aux lettres
    • Administrateur local de l’appareil joint à Microsoft Entra
    • Prise en charge de niveau 1 de partenaire
    • Prise en charge de niveau 2 de partenaire
    • Administrateur de mots de passe
    • Administrateur de services Power BI
    • Administrateur d’authentification privilégié
    • Administrateur de rôle privilégié
    • Administrateur de sécurité
    • Administrateur de support de service
    • Administrateur SharePoint
    • Administrateur Skype Entreprise
    • Administrateur d’utilisateurs
  • Si 30 jours se sont écoulés dans un abonnement d’essai ; ou

  • Un domaine personnalisé a été configuré pour votre locataire Microsoft Entra, par exemple contoso.com ; ou

  • Microsoft Entra Connect synchronise les identités à partir de votre annuaire local.

Vous pouvez désactiver l’utilisation de SSPR pour les comptes Administrateur à l’aide de l’applet de commande PowerShell Update-MgPolicyAuthorizationPolicy. Le paramètre -AllowedToUseSspr:$true|$false active/désactive SSPR pour les administrateurs. Les modifications de stratégie pour activer ou désactiver SSPR pour les comptes Administrateur peuvent prendre jusqu’à 60 minutes.

Exceptions

Une stratégie à un verrou nécessite un élément de données d’authentification, par exemple une adresse de messagerie ou un numéro de téléphone. Une stratégie à un verrou s’applique dans les conditions suivantes :

  • Pendant les 30 premiers jours d’un abonnement d’essai

    -Ou-

  • Un domaine personnalisé n’est pas configuré (le locataire utilise *.onmicrosoft.com par défaut, ce qui n’est pas recommandé pour une utilisation en production) et Microsoft Entra Connect ne synchronise pas les identités.

Stratégies d’expiration de mot de passe

Un Administrateur général ou un Administrateur d’utilisateurs peut utiliser Microsoft Graph pour définir des mots de passe utilisateur sans date d’expiration.

Vous pouvez également utiliser des applets de commande PowerShell pour supprimer la configuration de non-expiration ou pour voir quels mots de passe utilisateur sont définis pour ne jamais expirer.

Ces conseils s’appliquent à d’autres fournisseurs, comme Intune et Microsoft 365, qui s’appuient également sur Microsoft Entra ID pour les services d’identité et d’annuaire. L’expiration du mot de passe est la seule partie de la stratégie qui peut être modifiée.

Remarque

Par défaut, seuls les mots de passe de comptes d’utilisateurs non synchronisés par le biais de Microsoft Entra Connect peuvent être configurés pour ne pas expirer. Pour plus d’informations sur la synchronisation d’annuaires, consultez Connecter AD à Microsoft Entra ID.

Définir ou vérifier les stratégies de mot de passe à l’aide de PowerShell

Pour commencer, téléchargez et installez le module Microsoft Graph PowerShell, puis connectez-le à votre locataire Microsoft Entra.

Une fois le module installé, suivez les étapes ci-après pour effectuer chaque tâche en fonction des besoins.

Vérifier la stratégie d’expiration d’un mot de passe

  1. Ouvrez une invite PowerShell et connectez-vous à votre locataire Microsoft Entra à l’aide d’un compte Administrateur général ou Administrateur d’utilisateurs.

  2. Exécutez l’une des commandes suivantes pour un utilisateur individuel ou tous les utilisateurs :

    • Pour voir si le mot de passe d’un seul utilisateur est défini pour ne jamais expirer, exécutez l’applet de commande suivante. Remplacez <user ID> par l’ID utilisateur que vous voulez vérifier :

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • Pour afficher le paramètre Le mot de passe n’expire jamais pour tous les utilisateurs, exécutez la cmdlet suivante :

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

Définir un mot de passe pour qu’il expire

  1. Ouvrez une invite PowerShell et connectez-vous à votre locataire Microsoft Entra à l’aide d’un compte Administrateur général ou Administrateur d’utilisateurs.

  2. Exécutez l’une des commandes suivantes pour un utilisateur individuel ou tous les utilisateurs :

    • Pour définir le mot de passe d’un utilisateur afin qu’il expire, exécutez l’applet de commande suivante. Remplacez <user ID> par l’ID utilisateur que vous voulez vérifier :

      Update-MgUser -UserId <user ID> -PasswordPolicies None
      
    • Pour définir les mots de passe de tous les utilisateurs de l’organisation pour qu’ils expirent, utilisez la commande suivante :

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
      

Définir un mot de passe pour qu’il n’expire jamais

  1. Ouvrez une invite PowerShell et connectez-vous à votre locataire Microsoft Entra à l’aide d’un compte Administrateur général ou Administrateur d’utilisateurs.

  2. Exécutez l’une des commandes suivantes pour un utilisateur individuel ou tous les utilisateurs :

    • Pour définir le mot de passe d’un utilisateur afin qu’il n’expire jamais, exécutez l’applet de commande suivante : Remplacez <user ID> par l’ID utilisateur que vous voulez vérifier :

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • Pour définir les mots de passe de tous les utilisateurs de l’organisation afin qu’ils n’expirent jamais, utilisez la cmdlet suivante :

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
      

    Avertissement

    Les mots de passe définis sur -PasswordPolicies DisablePasswordExpiration le restent en fonction de l’attribut LastPasswordChangeDateTime. En fonction de l’attribut LastPasswordChangeDateTime, si vous définissez l’expiration sur -PasswordPolicies None, tous les mots dont LastPasswordChangeDateTime est supérieur à 90 jours doivent être modifiés par l’utilisateur lors de sa connexion suivante. Cette modification peut affecter un grand nombre d’utilisateurs.

Étapes suivantes

Pour bien démarrer avec la réinitialisation de mot de passe en libre-service, consultez Tutoriel : Permettre aux utilisateurs de déverrouiller leur compte ou de réinitialiser des mots de passe à l’aide de la réinitialisation de mot de passe en libre-service Microsoft Entra.

Si vos utilisateurs ou vous-même rencontrez des problèmes de réinitialisation SSPR, consultez Résolution des problèmes de réinitialisation de mot de passe en libre-service.