Stratégie de mot de passe combinée et la vérification de mot de passe faible dans Microsoft Entra ID
À compter d’octobre 2021 octobre, la validation Microsoft Entra de la conformité avec les stratégies de mot de passe comprend également une vérification des mots de passe faibles connus et de leurs variantes. Cette rubrique explique en détail les critères de stratégie de mot de passe vérifiés par Microsoft Entra ID.
Stratégies de mot de passe Microsoft Entra
Une stratégie de mot de passe est appliquée à tous les comptes d’utilisateur qui sont créés et gérés directement dans Microsoft Entra ID. Vous pouvez interdire les mots de passe faibles et définir des paramètres pour verrouiller un compte après plusieurs mots de passe erronés. Les autres paramètres de stratégie de mot de passe ne peuvent pas être modifiés.
La stratégie de mot de passe Microsoft Entra ne s’applique pas aux comptes d’utilisateur synchronisés à partir d’un environnement AD DS local avec Microsoft Entra Connect, sauf si vous activez EnforceCloudPasswordPolicyForPasswordSyncedUsers. Si EnforceCloudPasswordPolicyForPasswordSyncedUsers et la réécriture du mot de passe sont activés, la stratégie d’expiration de mot de passe Microsoft Entra s’applique, mais la stratégie de mot de passe locale est prioritaire pour la longueur, la complexité, et ainsi de suite.
Les exigences de stratégie de mot de passe Microsoft Entra suivantes s’appliquent à tous les mots de passe créés, modifiés ou réinitialisés dans Microsoft Entra ID. Ces exigences sont appliquées lors de l’approvisionnement des utilisateurs, de la modification des mots de passe et dans le cadre de la réinitialisation du mot de passe. Vous ne pouvez pas modifier ces paramètres, sauf comme indiqué.
| Propriété | Spécifications |
|---|---|
| Caractères autorisés | Caractères majuscules (A - Z) Caractères minuscules (a - z) Chiffres (0 - 9) Symboles : - @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> - espace vide |
| Caractères non autorisés | Caractères Unicode |
| Longueur du mot de passe | Les mots de passe nécessitent - Longueur minimale de huit caractères - 256 caractères au maximum |
| Complexité du mot de passe | Les mots de passe exigent trois des quatre catégories suivantes : - caractères en majuscules - caractères en minuscules - chiffres - symboles Remarque : la vérification de la complexité des mots de passe n’est pas requise pour les locataires Education. |
| Mot de passe pas utilisé récemment | Lorsqu’un utilisateur modifie son mot de passe, le nouveau mot de passe ne doit pas être identique au mot de passe actuel. |
| Le mot de passe n’est pas interdit par Protection par mot de passe Microsoft Entra | Le mot de passe ne peut pas figurer dans la liste globale des mots de passe interdits pour Protection par mot de passe Microsoft Entra ou figurer dans la liste personnalisable de mots de passe interdits dans votre organisation. |
Stratégies d’expiration de mot de passe
Les stratégies d’expiration de mot de passe sont inchangées, mais elles sont incluses dans cette rubrique à des fins d’exhaustivité. Un Administrateur général ou un Administrateur d’utilisateurs peut utiliser les cmdlets de Microsoft Graph PowerShell pour définir des mots de passe utilisateur sans date d’expiration.
Remarque
Par défaut, seuls les mots de passe de comptes d’utilisateurs non synchronisés par le biais Microsoft Entra Connect peuvent être configurés pour ne pas expirer. Pour plus d’informations sur la synchronisation d’annuaires, consultez Connecter AD à Microsoft Entra ID.
Vous pouvez également utiliser PowerShell pour supprimer la configuration de l’absence d’expiration ou pour voir quels mots de passe utilisateur sont définis pour ne jamais expirer.
Les exigences d’expiration suivantes s’appliquent aux autres fournisseurs qui utilisent Microsoft Entra ID pour les services d’identité et d’annuaire, par exemple Microsoft Intune et Microsoft 365.
| Propriété | Spécifications |
|---|---|
| Durée d’expiration du mot de passe (âge maximum du mot de passe) | Valeur par défaut : 90 jours. La valeur est configurable en utilisant la cmdlet Update-MgDomain du module Microsoft Graph PowerShell. |
| Expiration du mot de passe (empêche le mot de passe d’expirer) | Valeur par défaut : false (indique que le mot de passe a une date d’expiration). La valeur peut être configurée pour des comptes d’utilisateur individuels à l’aide de la cmdlet Update-MgUser. |