Jelszószabályzatok és fiókkorlátozások a Microsoft Entra ID-ban

  • Cikk

A Microsoft Entra ID-ban van egy jelszóházirend, amely olyan beállításokat határoz meg, mint a jelszó összetettsége, hossza vagy kora. Létezik egy szabályzat is, amely a felhasználónevek elfogadható karaktereit és hosszát határozza meg.

Ha az önkiszolgáló jelszó-visszaállítás (SSPR) használatával módosít vagy alaphelyzetbe állít egy jelszót a Microsoft Entra-azonosítóban, a jelszóházirend be van jelölve. Ha a jelszó nem felel meg a szabályzat követelményeinek, a rendszer kérni fogja a felhasználót, hogy próbálkozzon újra. Az Azure-rendszergazdák bizonyos korlátozásokkal rendelkeznek az SSPR használatára vonatkozóan, amelyek eltérnek a normál felhasználói fiókoktól, és a Microsoft Entra ID próbaverziójára és ingyenes verzióira vonatkozóan vannak kisebb kivételek.

Ez a cikk a felhasználói fiókokhoz tartozó jelszóházirend-beállításokat és összetettségi követelményeket ismerteti. Azt is ismerteti, hogyan használhatja a PowerShellt a jelszó lejárati beállításainak ellenőrzésére vagy beállítására.

Felhasználónév-szabályzatok

A Microsoft Entra ID-ba bejelentkező összes fióknak egyedi egyszerű felhasználónév (UPN) attribútumértékkel kell rendelkeznie. A Microsoft Entra Csatlakozás használatával szinkronizált helyi Active Directory Domain Services (AD DS) környezettel rendelkező hibrid környezetekben alapértelmezés szerint a Microsoft Entra UPN a helyszíni UPN-ra van állítva.

Az alábbi táblázat a Microsoft Entra-azonosítóval szinkronizált helyszíni AD DS-fiókokra és a közvetlenül a Microsoft Entra-azonosítóban létrehozott, csak felhőalapú felhasználói fiókokra vonatkozó felhasználónév-szabályzatokat ismerteti:

Tulajdonság A UserPrincipalName követelményei
Karakterek engedélyezettek A – Z
a - z
0 – 9
' . - _ ! #^~
A karakterek nem engedélyezettek Bármely "@" karakter, amely nem választja el a felhasználónevet a tartománytól.
Nem tartalmazhat "." pont karaktert közvetlenül a "@" szimbólum előtt
Hosszkorlátozások A teljes hossz nem haladhatja meg a 113 karaktert
A "@" szimbólum előtt legfeljebb 64 karakter lehet
A "@" szimbólum után legfeljebb 48 karakter lehet

Microsoft Entra jelszószabályzatok

A rendszer jelszóházirendet alkalmaz az összes olyan felhasználói fiókra, amelyet közvetlenül a Microsoft Entra ID-ban hoznak létre és kezelnek. Ezen jelszóházirend-beállítások némelyike nem módosítható, de egyéni tiltott jelszavakat konfigurálhat a Microsoft Entra jelszóvédelmi vagy fiókzárolási paramétereihez.

Alapértelmezés szerint egy fiók zárolása 10 sikertelen bejelentkezési kísérlet után, helytelen jelszóval történik. A felhasználó egy percre ki van zárva. A további helytelen bejelentkezési kísérletek hosszabb időre zárolják a felhasználót. Az intelligens zárolás nyomon követi az utolsó három rossz jelszókivonatot, hogy elkerülje a zárolási számláló növelését ugyanazon jelszó esetében. Ha valaki többször is ugyanazt a rossz jelszót adja meg, nem lesz kizárva. Megadhatja az intelligens zárolási küszöbértéket és időtartamot.

A Microsoft Entra jelszóházirendje nem vonatkozik a helyszíni AD DS-környezetből a Microsoft Entra Csatlakozás használatával szinkronizált felhasználói fiókokra, kivéve, ha engedélyezi az EnforceCloudPasswordPolicyForPasswordSyncedUsers szolgáltatást.

A következő Microsoft Entra jelszóházirend-beállítások vannak definiálva. Kivéve, ha feljegyezte, nem módosíthatja ezeket a beállításokat:

Tulajdonság Követelmények
Karakterek engedélyezettek A – Z
a - z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <>
Üres terület
A karakterek nem engedélyezettek Unicode-karakterek
Jelszókorlátozások Legalább 8 karakterből és legfeljebb 256 karakterből állhat.
A következő karaktertípusok közül négyből hármat igényel:
- Kisbetűk
- Nagybetűk
- Számok (0-9)
- Szimbólumok (lásd az előző jelszókorlátozásokat)
Jelszó lejárati időtartama (A jelszó maximális életkora) Alapértelmezett érték: 90 nap. Ha a bérlő 2021 után lett létrehozva, nincs alapértelmezett lejárati értéke. Az aktuális szabályzatot a Get-MgDomain használatával ellenőrizheti.
Az érték a PowerShellHez készült Microsoft Graph modul Update-MgDomain parancsmagjának használatával konfigurálható.
Jelszó lejárata (A jelszavak soha nem járnak le) Alapértelmezett érték: hamis (azt jelzi, hogy a jelszavak lejárati dátummal rendelkeznek).
Az érték az Update-MgUser parancsmaggal konfigurálható egyéni felhasználói fiókokhoz.
Jelszómódosítási előzmények Az utolsó jelszó nem használható újra, amikor a felhasználó módosít egy jelszót.
Jelszó-visszaállítási előzmények Az utolsó jelszó akkor használható újra, ha a felhasználó visszaállít egy elfelejtett jelszót.

A rendszergazdai visszaállítási szabályzat eltérései

Alapértelmezés szerint a rendszergazdai fiókok engedélyezve vannak az önkiszolgáló jelszó-visszaállításhoz, és erős, alapértelmezett kétkapus jelszó-visszaállítási szabályzat van érvényben. Ez a szabályzat eltérhet a felhasználók által definiált szabályzattól, és ez a szabályzat nem módosítható. Mindig tesztelje a jelszó-visszaállítási funkciót felhasználóként anélkül, hogy azure-rendszergazdai szerepkörök lettek volna hozzárendelve.

A kétkapus szabályzathoz két hitelesítési adatra van szükség, például egy e-mail-címre, egy hitelesítő alkalmazásra vagy egy telefonszámra, és tiltja a biztonsági kérdéseket. A Microsoft Entra ID próbaverziója vagy ingyenes verziója esetében az irodai és mobil hanghívások szintén tilosak.

A kétkapus szabályzat a következő esetekben érvényes:

  • A rendszer az alábbi Azure-rendszergazdai szerepköröket érinti:

    • Alkalmazás-rendszergazda
    • Alkalmazásproxy szolgáltatásadminisztrátor
    • Hitelesítési rendszergazda
    • Számlázási rendszergazda
    • Szabályozási ügyintéző
    • Eszközgazdák
    • Címtár-szinkronizálási fiókok
    • Címtárírók
    • Dynamics 365-rendszergazda
    • Exchange-rendszergazda
    • Globális rendszergazda vagy vállalati rendszergazda
    • Ügyfélszolgálati rendszergazda
    • Intune-rendszergazda
    • Postaláda Rendszergazda istrator
    • Microsoft Entra csatlakoztatott eszköz helyi Rendszergazda istrator
    • 1. szintű partnertámogatás
    • 2. partnerszint támogatása
    • Jelszórendszergazda
    • Power BI szolgáltatás rendszergazda
    • Emelt szintű hitelesítés rendszergazdája
    • Kiemelt szerepkörű rendszergazda
    • Biztonsági rendszergazda
    • Szolgáltatástámogatási rendszergazda
    • SharePoint-rendszergazda
    • Skype Vállalati verzió rendszergazda
    • Felhasználói rendszergazda

  • Ha 30 nap telt el egy próbaverziós előfizetésben; Vagy

  • Egyéni tartomány lett konfigurálva a Microsoft Entra-bérlőhöz, például contoso.com; vagy

  • A Microsoft Entra Csatlakozás szinkronizálja a helyszíni címtár identitásait

Az Update-MgPolicyAuthorizationPolicy PowerShell parancsmaggal letilthatja az SSPR használatát rendszergazdai fiókokhoz. A -AllowedToUseSspr:$true|$false paraméter engedélyezi/letiltja az SSPR-t a rendszergazdák számára. A rendszergazdai fiókok SSPR-jének engedélyezésére vagy letiltására vonatkozó szabályzatmódosítások érvénybe lépése akár 60 percet is igénybe vehet.

Kivételek

Az egykapus szabályzathoz egy hitelesítési adatra van szükség, például egy e-mail-címre vagy telefonszámra. Az egykapus szabályzat a következő esetekben érvényes:

  • Ez a próba-előfizetés első 30 napjában van

    -Vagy-

  • Az egyéni tartomány nincs konfigurálva (a bérlő az alapértelmezett *.onmicrosoft.com használja, amely éles használatra nem ajánlott), és a Microsoft Entra Csatlakozás nem szinkronizálja az identitásokat.

Jelszó lejárati szabályzatai

Egy globális Rendszergazda istrator vagy felhasználói Rendszergazda istrator a Microsoft Graph használatával beállíthatja, hogy a felhasználói jelszavak ne járjanak le.

A PowerShell-parancsmagokkal eltávolíthatja a soha le nem járandó konfigurációt, vagy megtekintheti, hogy mely felhasználói jelszavak legyenek beállítva soha nem járnak le.

Ez az útmutató más szolgáltatókra is vonatkozik, például az Intune-ra és a Microsoft 365-re, amelyek szintén a Microsoft Entra azonosítójára támaszkodnak identitás- és címtárszolgáltatásokhoz. A jelszó lejárata a szabályzat egyetlen módosítható része.

Feljegyzés

Alapértelmezés szerint csak a Microsoft Entra Csatlakozás által nem szinkronizált felhasználói fiókok jelszavai konfigurálhatók úgy, hogy ne járjanak le. A címtárszinkronizálással kapcsolatos további információkért lásd: Connect AD with Microsoft Entra ID.

Jelszószabályzatok beállítása vagy ellenőrzése a PowerShell-lel

Első lépésként töltse le és telepítse a Microsoft Graph PowerShell-modult, és csatlakoztassa a Microsoft Entra-bérlőhöz.

A modul telepítése után az alábbi lépésekkel végezze el az egyes feladatokat.

Jelszó lejárati szabályzatának ellenőrzése

  1. Nyisson meg egy PowerShell-kérést, és csatlakozzon a Microsoft Entra-bérlőhöz globális Rendszergazda istrator- vagy felhasználói Rendszergazda istrator-fiókkal.

  2. Futtassa az alábbi parancsok egyikét egy adott felhasználóhoz vagy az összes felhasználóhoz:

    • Annak megtekintéséhez, hogy egyetlen felhasználó jelszava soha nem jár-e le, futtassa a következő parancsmagot. Cserélje le <user ID> az ellenőrizni kívánt felhasználó felhasználói azonosítójára:

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

    • Ha azt szeretné, hogy a Jelszó soha ne járjon le az összes felhasználónál, futtassa a következő parancsmagot:

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

Jelszó beállítása a lejárathoz

  1. Nyisson meg egy PowerShell-kérést, és csatlakozzon a Microsoft Entra-bérlőhöz globális Rendszergazda istrator- vagy felhasználói Rendszergazda istrator-fiókkal.

  2. Futtassa az alábbi parancsok egyikét egy adott felhasználóhoz vagy az összes felhasználóhoz:

    • Ha egy felhasználó jelszavát úgy szeretné beállítani, hogy a jelszó lejárjon, futtassa a következő parancsmagot. Cserélje le <user ID> az ellenőrizni kívánt felhasználó felhasználói azonosítójára:

      Update-MgUser -UserId <user ID> -PasswordPolicies None

    • Ha a szervezet összes felhasználójának jelszavát úgy szeretné beállítani, hogy lejárjanak, használja a következő parancsot:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }

Jelszó beállítása soha nem jár le

  1. Nyisson meg egy PowerShell-kérést, és csatlakozzon a Microsoft Entra-bérlőhöz globális Rendszergazda istrator- vagy felhasználói Rendszergazda istrator-fiókkal.

  2. Futtassa az alábbi parancsok egyikét egy adott felhasználóhoz vagy az összes felhasználóhoz:

    • Ha egy felhasználó jelszavát úgy szeretné beállítani, hogy soha ne járjon le, futtassa a következő parancsmagot. Cserélje le <user ID> az ellenőrizni kívánt felhasználó felhasználói azonosítójára:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration

    • Ha azt szeretné, hogy a szervezet összes felhasználójának jelszava soha ne járjon le, futtassa a következő parancsmagot:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }

    Figyelmeztetés

    Az attribútum alapján LastPasswordChangeDateTime a -PasswordPolicies DisablePasswordExpiration jelszavak még mindig öregednek. Az attribútum alapján LastPasswordChangeDateTime , ha a lejáratot -PasswordPolicies Nonemódosítja, a 90 napnál régebbi jelszavakhoz LastPasswordChangeDateTime a felhasználónak módosítania kell őket a következő bejelentkezéskor. Ez a módosítás sok felhasználót érinthet.

Következő lépések

Az SSPR használatának megkezdéséhez tekintse meg az oktatóanyagot: Engedélyezze a felhasználók számára a fiók zárolásának feloldását vagy a jelszavak alaphelyzetbe állítását a Microsoft Entra önkiszolgáló jelszó-visszaállítással.

Ha Ön vagy a felhasználók problémái vannak az SSPR-vel, tekintse meg az önkiszolgáló jelszó-visszaállítás hibaelhárítását