Kebijakan kata sandi dan batasan akun di Microsoft Entra ID
Di ID Microsoft Entra, ada kebijakan kata sandi yang menentukan pengaturan seperti kompleksitas, panjang, atau usia kata sandi. Ada juga kebijakan yang mendefinisikan karakter dan panjang yang dapat diterima untuk nama pengguna.
Saat pengaturan ulang kata sandi mandiri (SSPR) digunakan untuk mengubah atau mengatur ulang kata sandi di ID Microsoft Entra, kebijakan kata sandi diperiksa. Jika kata sandi tidak memenuhi persyaratan kebijakan, pengguna akan diminta untuk mencoba lagi. Administrator Azure memiliki beberapa batasan dalam menggunakan SSPR yang berbeda dengan akun pengguna reguler, dan ada pengecualian kecil untuk versi percobaan dan gratis ID Microsoft Entra.
Artikel ini menjelaskan pengaturan kebijakan kata sandi dan persyaratan kompleksitas yang terkait dengan akun pengguna. Ini juga mencakup cara menggunakan PowerShell untuk memeriksa atau mengatur pengaturan kedaluwarsa kata sandi.
Kebijakan nama pengguna
Setiap akun yang masuk ke Microsoft Entra ID harus memiliki nilai atribut nama prinsipal pengguna (UPN) unik yang terkait dengan akun mereka. Di lingkungan hibrid dengan lingkungan Active Directory lokal Domain Services (AD DS) yang disinkronkan ke ID Microsoft Entra menggunakan Microsoft Entra Koneksi, secara default Microsoft Entra UPN diatur ke UPN lokal.
Tabel berikut menguraikan kebijakan nama pengguna yang berlaku untuk akun AD DS lokal yang disinkronkan ke ID Microsoft Entra, dan untuk akun pengguna khusus cloud yang dibuat langsung di ID Microsoft Entra:
Properti | Persyaratan UserPrincipalName |
---|---|
Karakter yang diperbolehkan | A – Z a - z 0 – 9 ' . - _ ! #^~ |
Karakter yang tidak diperbolehkan | Setiap karakter "@" yang tidak memisahkan nama pengguna dari domain. Tidak boleh berisi karakter titik "." tepat sebelum simbol "@" |
Batasan panjang | Panjang total tidak boleh melebihi 113 karakter Maksimal 64 karakter sebelum simbol "@" Maksimal 48 karakter setelah simbol "@" |
Kebijakan kata sandi Microsoft Entra
Kebijakan kata sandi diterapkan ke semua akun pengguna yang dibuat dan dikelola langsung di ID Microsoft Entra. Beberapa pengaturan kebijakan kata sandi ini tidak dapat dimodifikasi, meskipun Anda dapat mengonfigurasi kata sandi terlarang kustom untuk perlindungan kata sandi Microsoft Entra atau parameter penguncian akun.
Secara default, akun dikunci setelah 10 kali gagal masuk dengan kata sandi yang salah. Pengguna dikunci selama satu menit. Upaya masuk yang salah lebih lanjut mengunci pengguna untuk meningkatkan durasi waktu. Penguncian cerdas melacak tiga hash kata sandi buruk terakhir untuk menghindari penambahan penghitung penguncian untuk kata sandi yang sama. Jika seseorang memasukkan kata sandi yang sama buruk beberapa kali, mereka tidak akan terkunci. Anda dapat menentukan ambang batas dan durasi penguncian cerdas.
Kebijakan kata sandi Microsoft Entra tidak berlaku untuk akun pengguna yang disinkronkan dari lingkungan AD DS lokal menggunakan Microsoft Entra Koneksi, kecuali Anda mengaktifkan EnforceCloudPasswordPolicyForPasswordSyncedUsers.
Opsi kebijakan kata sandi Microsoft Entra berikut ditentukan. Kecuali disebutkan, Anda tidak dapat mengubah pengaturan ini:
Properti | Persyaratan |
---|---|
Karakter yang diperbolehkan | A – Z a - z 0 – 9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <> Spasi kosong |
Karakter yang tidak diperbolehkan | Karakter Unicode |
Pembatasan kata sandi | Minimal 8 karakter dan maksimal 256 karakter. Memerlukan tiga dari empat jenis karakter berikut: - Karakter huruf kecil - Karakter huruf besar - Angka (0-9) - Simbol (lihat pembatasan kata sandi sebelumnya) |
Durasi kedaluwarsa kata sandi (Usia kata sandi maksimum) | Nilai default: 90 hari. Jika penyewa dibuat setelah 2021, penyewa tidak memiliki nilai kedaluwarsa default. Anda dapat memeriksa kebijakan saat ini dengan Get-MgDomain. Nilai ini dapat dikonfigurasi dengan menggunakan cmdlet Update-MgDomain dari modul Microsoft Graph untuk PowerShell. |
Kedaluwarsa kata sandi (Biarkan kata sandi tidak pernah kedaluwarsa) | Nilai default: false (menunjukkan bahwa kata sandi memiliki tanggal kedaluwarsa). Nilai dapat dikonfigurasi untuk akun pengguna individual dengan menggunakan cmdlet Update-MgUser . |
Riwayat perubahan kata sandi | Kata sandi terakhir tidak dapat digunakan lagi ketika pengguna mengubah kata sandi. |
Riwayat pengaturan ulang kata sandi | Kata sandi terakhir dapat digunakan lagi ketika pengguna mengaur ulang kata sandi yang terlupakan. |
Perbedaan kebijakan pengaturan ulang administrator
Secara default, akun administrator diaktifkan untuk pengaturan ulang kata sandi mandiri, dan kebijakan pengaturan ulang kata sandi dua gerbang default yang kuat diberlakukan. Kebijakan ini mungkin berbeda dari yang telah Anda tentukan untuk pengguna Anda, dan kebijakan ini tidak dapat diubah. Anda harus selalu menguji fungsionalitas pengaturan ulang kata sandi sebagai pengguna tanpa peran administrator Azure yang ditetapkan.
Kebijakan dua gerbang memerlukan dua bagian data autentikasi, seperti alamat email, aplikasi pengautentikasi, atau nomor telepon, dan melarang pertanyaan keamanan. Panggilan suara Office dan seluler juga dilarang untuk Microsoft Entra ID versi uji coba atau gratis.
Kebijakan dua gerbang berlaku dalam keadaan berikut:
Semua peran administrator Azure berikut ini terpengaruh:
- Administrator aplikasi
- Administrator layanan proksi aplikasi
- Administrator Autentikasi
- Administrator penagihan
- Administrator kepatuhan
- Administrator perangkat
- Akun sinkronisasi direktori
- Penulis direktori
- Administrator Dynamics 365
- Admin Exchange
- Administrator global atau administrator perusahaan
- Admin Bantuan Teknis
- Administrator Intune
- Admin Kotak Surat
- Administrator Lokal Perangkat Yang Bergabung dengan Microsoft Entra
- Dukungan Mitra Tingkat1
- Dukungan Mitra Tingkat2
- Administrator kata sandi
- Administrator layanan Power BI
- Administrator autentikasi istimewa
- Admin peran Istimewa
- Administrator keamanan
- Admin dukungan layanan
- Administrator SharePoint
- Administrator Skype for Business
- Administrator pengguna
Jika 30 hari telah berlalu dalam langganan percobaan; atau
Domain kustom telah dikonfigurasi untuk penyewa Microsoft Entra Anda, seperti contoso.com; atau
Microsoft Entra Koneksi sedang menyinkronkan identitas dari direktori lokal Anda
Anda dapat menonaktifkan penggunaan SSPR untuk akun administrator menggunakan cmdlet PowerShell Update-MgPolicyAuthorizationPolicy . Parameter -AllowedToUseSspr:$true|$false
mengaktifkan/menonaktifkan SSPR untuk administrator. Perubahan kebijakan untuk mengaktifkan atau menonaktifkan SSPR untuk akun administrator dapat memakan waktu hingga 60 menit untuk diterapkan.
Pengecualian
Kebijakan satu gerbang memerlukan satu bagian data autentikasi, seperti alamat email atau nomor telepon. Kebijakan satu gerbang berlaku dalam keadaan berikut:
Ini dalam 30 hari pertama langganan uji coba
-Atau-
Domain kustom tidak dikonfigurasi (penyewa menggunakan *.onmicrosoft.com default, yang tidak direkomendasikan untuk penggunaan produksi) dan Microsoft Entra Koneksi tidak menyinkronkan identitas.
Kebijakan kedaluwarsa kata sandi
Administrator Global atau Administrator Pengguna dapat menggunakan Microsoft Graph untuk mengatur kata sandi pengguna agar tidak kedaluwarsa.
Anda juga dapat menggunakan cmdlet PowerShell untuk menghapus konfigurasi yang tidak pernah kedaluwarsa atau untuk melihat kata sandi pengguna mana yang diatur agar tidak pernah kedaluwarsa.
Panduan ini berlaku untuk penyedia lain, seperti Intune dan Microsoft 365, yang juga mengandalkan ID Microsoft Entra untuk layanan identitas dan direktori. Kedaluwarsa kata sandi adalah satu-satunya bagian dari kebijakan yang dapat diubah.
Catatan
Secara default hanya kata sandi untuk akun pengguna yang tidak disinkronkan melalui Microsoft Entra Koneksi yang dapat dikonfigurasi agar tidak kedaluwarsa. Untuk informasi lebih lanjut tentang sinkronisasi direktori, lihat artikel Menghubungkan AD dengan Microsoft Entra ID.
Mengatur atau memeriksa kebijakan kata sandi menggunakan PowerShell
Untuk memulai, unduh dan instal modul Microsoft Graph PowerShell dan sambungkan ke penyewa Microsoft Entra Anda.
Setelah modul diinstal, gunakan langkah berikut untuk menyelesaikan setiap tugas sesuai kebutuhan.
Memeriksa kebijakan kedaluwarsa untuk kata sandi
Buka perintah PowerShell dan sambungkan ke penyewa Microsoft Entra Anda menggunakan akun Administrator Global atau Administrator Pengguna.
Jalankan salah satu perintah berikut ini untuk pengguna perorangan atau untuk semua pengguna:
Untuk melihat apakah kata sandi pengguna tunggal diatur untuk tidak pernah kedaluwarsa, jalankan cmdlet berikut. Ganti
<user ID>
dengan ID pengguna pengguna yang ingin Anda periksa:Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Untuk melihat pengaturan Kata Sandi tidak pernah kedaluwarsa untuk semua pengguna, jalankan cmdlet berikut:
Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Mengatur kata sandi untuk kedaluwarsa
Buka perintah PowerShell dan sambungkan ke penyewa Microsoft Entra Anda menggunakan akun Administrator Global atau Administrator Pengguna.
Jalankan salah satu perintah berikut ini untuk pengguna perorangan atau untuk semua pengguna:
Untuk mengatur kata sandi satu pengguna sehingga kata sandi kedaluwarsa, jalankan cmdlet berikut. Ganti
<user ID>
dengan ID pengguna pengguna yang ingin Anda periksa:Update-MgUser -UserId <user ID> -PasswordPolicies None
Untuk mengatur kata sandi semua pengguna di organisasi sehingga kedaluwarsa, gunakan perintah berikut:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
Mengatur kata sandi agar tidak pernah kedaluwarsa
Buka perintah PowerShell dan sambungkan ke penyewa Microsoft Entra Anda menggunakan akun Administrator Global atau Administrator Pengguna.
Jalankan salah satu perintah berikut ini untuk pengguna perorangan atau untuk semua pengguna:
Untuk mengatur kata sandi satu pengguna agar tidak pernah kedaluwarsa, jalankan cmdlet berikut. Ganti
<user ID>
dengan ID pengguna pengguna yang ingin Anda periksa:Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
Untuk mengatur kata sandi semua pengguna dalam organisasi agar tidak pernah kedaluwarsa, jalankan cmdlet berikut:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Peringatan
Kata sandi diatur ke
-PasswordPolicies DisablePasswordExpiration
usia diam berdasarkan atributLastPasswordChangeDateTime
. Berdasarkan atributLastPasswordChangeDateTime
, jika Anda mengubah kedaluwarsa menjadi-PasswordPolicies None
, semua kata sandi yang memiliki waktuLastPasswordChangeDateTime
lebih dari 90 hari mengharuskan pengguna mengubahnya saat berikutnya mereka masuk. Perubahan ini dapat memengaruhi sejumlah besar pengguna.
Langkah berikutnya
Untuk mulai menggunakan SSPR, lihat Tutorial: Mengaktifkan pengguna untuk membuka kunci akun mereka atau mengatur ulang kata sandi menggunakan pengaturan ulang kata sandi layanan mandiri Microsoft Entra.
Jika Anda atau pengguna mengalami masalah terkait SSPR, lihat Memecahkan masalah pengaturan ulang kata sandi mandiri