Kebijakan kata sandi dan batasan akun di Azure Active Directory

Di Azure Active Directory (Azure AD), ada kebijakan kata sandi yang menentukan pengaturan seperti kompleksitas, panjang, atau usia kata sandi. Ada juga kebijakan yang mendefinisikan karakter dan panjang yang dapat diterima untuk nama pengguna.

Saat pengaturan ulang kata sandi mandiri (SSPR) digunakan untuk mengubah atau mengatur ulang kata sandi di Azure AD, kebijakan kata sandi dicentang. Jika kata sandi tidak memenuhi persyaratan kebijakan, pengguna akan diminta untuk mencoba lagi. Administrator Azure memiliki beberapa batasan untuk menggunakan SSPR yang berbeda dengan akun pengguna biasa.

Artikel ini menjelaskan pengaturan kebijakan kata sandi dan persyaratan kompleksitas yang terkait dengan akun pengguna di penyewa Azure AD, dan bagaimana Anda bisa menggunakan PowerShell untuk memeriksa atau mengatur pengaturan kedaluwarsa kata sandi.

Kebijakan nama pengguna

Setiap akun yang masuk ke Azure AD harus memiliki nilai atribut nama prinsipal pengguna (UPN) unik yang terkait dengan akun mereka. Di lingkungan hibrid dengan lingkungan Layanan Domain Active Directory lokal (AD DS) yang disinkronkan ke Azure AD menggunakan Azure AD Connect, secara default UPN Azure AD diatur ke UPN lokal.

Tabel berikut menguraikan kebijakan nama pengguna yang berlaku untuk akun AD DS lokal yang disinkronkan ke Azure AD, dan untuk akun pengguna khusus cloud yang dibuat langsung di Azure AD:

Properti Persyaratan UserPrincipalName
Karakter yang diperbolehkan
  • A – Z
  • a - z
  • 0 – 9
  • ' . - _ ! # ^ ~
Karakter yang tidak diperbolehkan
  • Setiap karakter "@" yang tidak memisahkan nama pengguna dari domain.
  • Tidak boleh berisi karakter titik "." tepat sebelum simbol "@"
Batasan panjang
  • Panjang total tidak boleh melebihi 113 karakter
  • Maksimal 64 karakter sebelum simbol "@"
  • Maksimal 48 karakter setelah simbol "@"

Kebijakan kata sandi Azure AD

Kebijakan kata sandi diterapkan ke semua akun pengguna yang dibuat dan dikelola langsung di Azure AD. Beberapa pengaturan kebijakan kata sandi ini tidak dapat dimodifikasi, meskipun Anda dapat mengonfigurasi kata sandi khusus yang dilarang untuk perlindungan kata sandi Azure AD atau parameter penguncian akun.

Secara default, akun dikunci setelah 10 kali gagal masuk dengan kata sandi yang salah. Pengguna dikunci selama satu menit. Upaya masuk yang salah lebih lanjut mengunci pengguna untuk meningkatkan durasi waktu. Penguncian cerdas melacak tiga hash kata sandi buruk terakhir untuk menghindari penambahan penghitung penguncian untuk kata sandi yang sama. Jika seseorang memasukkan kata sandi yang sama buruknya beberapa kali, perilaku ini tidak akan menyebabkan akun dikunci. Anda dapat menentukan ambang batas dan durasi penguncian cerdas.

Kebijakan kata sandi Azure AD tidak berlaku untuk akun pengguna yang disinkronkan dari lingkungan AD DS lokal menggunakan Azure AD Connect, kecuali Anda mengaktifkan EnforceCloudPasswordPolicyForPasswordSyncedUsers.

Opsi kebijakan kata sandi Azure AD berikut ini ditentukan. Kecuali disebutkan, Anda tidak dapat mengubah pengaturan ini:

Properti Persyaratan
Karakter yang diperbolehkan
  • A – Z
  • a - z
  • 0 – 9
  • @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
  • ruang kosong
Karakter yang tidak diperbolehkan Karakter Unicode.
Pembatasan kata sandi
  • Minimal 8 karakter dan maksimal 256 karakter.
  • Membutuhkan tiga dari empat hal berikut:
    • Karakter huruf kecil.
    • Karakter huruf besar.
    • Angka (0-9).
    • Simbol (lihat pembatasan kata sandi sebelumnya).
Durasi kedaluwarsa kata sandi (Usia kata sandi maksimum)
  • Nilai default: 90 hari.
  • Nilai dapat dikonfigurasi menggunakan cmdlet Set-MsolPasswordPolicy dari Modul Azure Active Directory untuk Windows PowerShell.
Pemberitahuan kedaluwarsa kata sandi (Ketika pengguna diberi tahu tentang kedaluwarsa kata sandi)
  • Nilai default: 14 hari (sebelum kata sandi kedaluwarsa).
  • Nilai dapat dikonfigurasi menggunakan cmdlet Set-MsolPasswordPolicy.
Kedaluwarsa kata sandi (Biarkan kata sandi tidak pernah kedaluwarsa)
  • Nilai default: false (menunjukkan kata sandi memiliki tanggal kedaluwarsa).
  • Nilai dapat dikonfigurasi untuk akun pengguna perorangan menggunakan cmdlet Set-MsolUser.
Riwayat perubahan kata sandi Kata sandi terakhir tidak dapat digunakan lagi ketika pengguna mengubah kata sandi.
Riwayat pengaturan ulang kata sandi Kata sandi terakhir dapat digunakan lagi ketika pengguna mengaur ulang kata sandi yang terlupakan.

Perbedaan kebijakan pengaturan ulang administrator

Secara default, akun administrator diaktifkan untuk pengaturan ulang kata sandi mandiri, dan kebijakan pengaturan ulang kata sandi dua gerbang default yang kuat diberlakukan. Kebijakan ini mungkin berbeda dari yang telah Anda tentukan untuk pengguna Anda, dan kebijakan ini tidak dapat diubah. Anda harus selalu menguji fungsionalitas pengaturan ulang kata sandi sebagai pengguna tanpa peran administrator Azure yang ditetapkan.

Dengan kebijakan dua gerbang, administrator tidak memiliki kemampuan untuk menggunakan pertanyaan keamanan.

Kebijakan dua gerbang memerlukan dua bagian data autentikasi, seperti alamat email, aplikasi authenticator, atau nomor telepon. Kebijakan dua gerbang berlaku dalam keadaan berikut:

  • Semua peran administrator Azure berikut ini terpengaruh:

    • Administrator aplikasi
    • Administrator layanan proksi aplikasi
    • Administrator autentikasi
    • Admin Lokal Perangkat Gabungan Azure Active Directory
    • Admin penagihan
    • Administrator kepatuhan
    • Administrator perangkat
    • Akun sinkronisasi direktori
    • Penulis direktori
    • Administrator Dynamics 365
    • Admin Exchange
    • Administrator global atau administrator perusahaan
    • Admin Bantuan Teknis
    • Administrator Intune
    • Admin Kotak Surat
    • Dukungan Mitra Tier1
    • Dukungan Mitra Tier2
    • Administrator kata sandi
    • Administrator layanan Power BI
    • Administrator autentikasi istimewa
    • Admin peran istimewa
    • Administrator SharePoint
    • Administrator keamanan
    • Admin dukungan layanan
    • Administrator Skype for Business
    • Admin pengguna
  • Jika 30 hari telah berlalu dalam langganan percobaan; atau

  • Domain kustom telah dikonfigurasi untuk penyewa Azure AD Anda, seperti contoso.com; atau

  • Azure AD Connect sedang menyinkronkan identitas dari direktori lokal Anda

Anda dapat menonaktifkan penggunaan SSPR untuk akun administrator menggunakan cmdlet PowerShell Set-MsolCompanySettings. Parameter -SelfServePasswordResetEnabled $False menonaktifkan SSPR untuk administrator. Perubahan kebijakan untuk menonaktifkan atau mengaktifkan SSPR untuk akun administrator dapat memakan waktu hingga 60 menit untuk diterapkan.

Pengecualian

Kebijakan satu gerbang memerlukan satu bagian data autentikasi, seperti alamat email atau nomor telepon. Kebijakan satu gerbang berlaku dalam keadaan berikut:

  • Ini dalam 30 hari pertama langganan percobaan; atau
  • Domain kustom belum dikonfigurasi untuk penyewa Azure AD Anda sehingga menggunakan default * .onmicrosoft.com. Domain default * .onmicrosoft.com tidak disarankan untuk penggunaan produksi; dan
  • Azure AD Connect tidak menyinkronkan identitas

Kebijakan kedaluwarsa kata sandi

Administrator global atau administrator pengguna bisa menggunakan Modul Microsoft Azure AD untuk Windows PowerShell untuk mengatur kata sandi pengguna agar tidak kedaluwarsa.

Anda juga dapat menggunakan cmdlet PowerShell untuk menghapus konfigurasi yang tidak pernah kedaluwarsa atau untuk melihat kata sandi pengguna mana yang diatur agar tidak pernah kedaluwarsa.

Panduan ini berlaku untuk penyedia lain, seperti Intune dan Microsoft 365, yang juga bergantung pada Azure AD untuk layanan identitas dan direktori. Kedaluwarsa kata sandi adalah satu-satunya bagian dari kebijakan yang dapat diubah.

Catatan

Secara default, hanya kata sandi untuk akun pengguna yang tidak disinkronkan melalui Azure AD Connect yang dapat dikonfigurasi agar tidak kedaluwarsa. Untuk informasi selengkapnya tentang sinkronisasi direktori, lihat Menyambungkan AD dengan Azure AD.

Mengatur atau memeriksa kebijakan kata sandi menggunakan PowerShell

Untuk memulai, unduh dan instal modul Azure AD PowerShell dan sambungkan ke penyewa Azure AD Anda.

Setelah modul diinstal, gunakan langkah berikut untuk menyelesaikan setiap tugas sesuai kebutuhan.

Memeriksa kebijakan kedaluwarsa untuk kata sandi

  1. Buka perintah PowerShell dan sambungkan ke penyewa Azure AD Anda menggunakan administrator global atau akun administrator pengguna.

  2. Jalankan salah satu perintah berikut ini untuk pengguna perorangan atau untuk semua pengguna:

    • Untuk melihat apakah kata sandi pengguna tunggal diatur untuk tidak pernah kedaluwarsa, jalankan cmdlet berikut. Ganti <user ID> dengan ID pengguna dari pengguna yang ingin Anda periksa, seperti driley@contoso.onmicrosoft.com:

      Get-AzureADUser -ObjectId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • Untuk melihat pengaturan Kata Sandi tidak pernah kedaluwarsa untuk semua pengguna, jalankan cmdlet berikut:

      Get-AzureADUser -All $true | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

Mengatur kata sandi untuk kedaluwarsa

  1. Buka perintah PowerShell dan sambungkan ke penyewa Azure AD Anda menggunakan administrator global atau akun administrator pengguna.

  2. Jalankan salah satu perintah berikut ini untuk pengguna perorangan atau untuk semua pengguna:

    • Untuk mengatur kata sandi satu pengguna sehingga kata sandi kedaluwarsa, jalankan cmdlet berikut. Ganti <user ID> dengan ID pengguna dari pengguna yang ingin Anda periksa, seperti driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies None
      
    • Untuk mengatur kata sandi semua pengguna di organisasi sehingga kedaluwarsa, gunakan cmdlet berikut:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies None
      

Mengatur kata sandi agar tidak pernah kedaluwarsa

  1. Buka perintah PowerShell dan sambungkan ke penyewa Azure AD Anda menggunakan administrator global atau akun administrator pengguna.

  2. Jalankan salah satu perintah berikut ini untuk pengguna perorangan atau untuk semua pengguna:

    • Untuk mengatur kata sandi satu pengguna agar tidak pernah kedaluwarsa, jalankan cmdlet berikut. Ganti <user ID> dengan ID pengguna dari pengguna yang ingin Anda periksa, seperti driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • Untuk mengatur kata sandi semua pengguna dalam organisasi agar tidak pernah kedaluwarsa, jalankan cmdlet berikut:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies DisablePasswordExpiration
      

    Peringatan

    Kata sandi diatur ke -PasswordPolicies DisablePasswordExpiration usia diam berdasarkan atribut pwdLastSet. Berdasarkan atribut pwdLastSet, jika Anda mengubah kedaluwarsa menjadi -PasswordPolicies None, semua kata sandi yang memiliki waktu pwdLastSet lebih dari 90 hari mengharuskan pengguna mengubahnya saat berikutnya mereka masuk. Perubahan ini dapat memengaruhi sejumlah besar pengguna.

Langkah berikutnya

Untuk mulai menggunakan SSPR, lihat Tutorial: Memungkinkan pengguna membuka kunci akun mereka atau mengatur ulang kata sandi menggunakan pengaturan ulang kata sandi mandiri Azure Active Directory.

Jika Anda atau pengguna mengalami masalah terkait SSPR, lihat Memecahkan masalah pengaturan ulang kata sandi mandiri