Kebijakan kata sandi dan batasan akun di Microsoft Entra ID

  • Artikel

Di ID Microsoft Entra, ada kebijakan kata sandi yang menentukan pengaturan seperti kompleksitas, panjang, atau usia kata sandi. Ada juga kebijakan yang mendefinisikan karakter dan panjang yang dapat diterima untuk nama pengguna.

Saat pengaturan ulang kata sandi mandiri (SSPR) digunakan untuk mengubah atau mengatur ulang kata sandi di ID Microsoft Entra, kebijakan kata sandi diperiksa. Jika kata sandi tidak memenuhi persyaratan kebijakan, pengguna akan diminta untuk mencoba lagi. Administrator Azure memiliki beberapa batasan dalam menggunakan SSPR yang berbeda dengan akun pengguna reguler, dan ada pengecualian kecil untuk versi percobaan dan gratis ID Microsoft Entra.

Artikel ini menjelaskan pengaturan kebijakan kata sandi dan persyaratan kompleksitas yang terkait dengan akun pengguna. Ini juga mencakup cara menggunakan PowerShell untuk memeriksa atau mengatur pengaturan kedaluwarsa kata sandi.

Kebijakan nama pengguna

Setiap akun yang masuk ke Microsoft Entra ID harus memiliki nilai atribut nama prinsipal pengguna (UPN) unik yang terkait dengan akun mereka. Di lingkungan hibrid dengan lingkungan Active Directory lokal Domain Services (AD DS) yang disinkronkan ke ID Microsoft Entra menggunakan Microsoft Entra Koneksi, secara default Microsoft Entra UPN diatur ke UPN lokal.

Tabel berikut menguraikan kebijakan nama pengguna yang berlaku untuk akun AD DS lokal yang disinkronkan ke ID Microsoft Entra, dan untuk akun pengguna khusus cloud yang dibuat langsung di ID Microsoft Entra:

Properti Persyaratan UserPrincipalName
Karakter yang diperbolehkan A – Z
a - z
0 – 9
' . - _ ! #^~
Karakter yang tidak diperbolehkan Setiap karakter "@" yang tidak memisahkan nama pengguna dari domain.
Tidak boleh berisi karakter titik "." tepat sebelum simbol "@"
Batasan panjang Panjang total tidak boleh melebihi 113 karakter
Maksimal 64 karakter sebelum simbol "@"
Maksimal 48 karakter setelah simbol "@"

Kebijakan kata sandi Microsoft Entra

Kebijakan kata sandi diterapkan ke semua akun pengguna yang dibuat dan dikelola langsung di ID Microsoft Entra. Beberapa pengaturan kebijakan kata sandi ini tidak dapat dimodifikasi, meskipun Anda dapat mengonfigurasi kata sandi terlarang kustom untuk perlindungan kata sandi Microsoft Entra atau parameter penguncian akun.

Secara default, akun dikunci setelah 10 kali gagal masuk dengan kata sandi yang salah. Pengguna dikunci selama satu menit. Upaya masuk yang salah lebih lanjut mengunci pengguna untuk meningkatkan durasi waktu. Penguncian cerdas melacak tiga hash kata sandi buruk terakhir untuk menghindari penambahan penghitung penguncian untuk kata sandi yang sama. Jika seseorang memasukkan kata sandi yang sama buruk beberapa kali, mereka tidak akan terkunci. Anda dapat menentukan ambang batas dan durasi penguncian cerdas.

Kebijakan kata sandi Microsoft Entra tidak berlaku untuk akun pengguna yang disinkronkan dari lingkungan AD DS lokal menggunakan Microsoft Entra Koneksi, kecuali Anda mengaktifkan EnforceCloudPasswordPolicyForPasswordSyncedUsers.

Opsi kebijakan kata sandi Microsoft Entra berikut ditentukan. Kecuali disebutkan, Anda tidak dapat mengubah pengaturan ini:

Properti Persyaratan
Karakter yang diperbolehkan A – Z
a - z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <>
Spasi kosong
Karakter yang tidak diperbolehkan Karakter Unicode
Pembatasan kata sandi Minimal 8 karakter dan maksimal 256 karakter.
Memerlukan tiga dari empat jenis karakter berikut:
- Karakter huruf kecil
- Karakter huruf besar
- Angka (0-9)
- Simbol (lihat pembatasan kata sandi sebelumnya)
Durasi kedaluwarsa kata sandi (Usia kata sandi maksimum) Nilai default: 90 hari. Jika penyewa dibuat setelah 2021, penyewa tidak memiliki nilai kedaluwarsa default. Anda dapat memeriksa kebijakan saat ini dengan Get-MgDomain.
Nilai ini dapat dikonfigurasi dengan menggunakan cmdlet Update-MgDomain dari modul Microsoft Graph untuk PowerShell.
Kedaluwarsa kata sandi (Biarkan kata sandi tidak pernah kedaluwarsa) Nilai default: false (menunjukkan bahwa kata sandi memiliki tanggal kedaluwarsa).
Nilai dapat dikonfigurasi untuk akun pengguna individual dengan menggunakan cmdlet Update-MgUser .
Riwayat perubahan kata sandi Kata sandi terakhir tidak dapat digunakan lagi ketika pengguna mengubah kata sandi.
Riwayat pengaturan ulang kata sandi Kata sandi terakhir dapat digunakan lagi ketika pengguna mengaur ulang kata sandi yang terlupakan.

Perbedaan kebijakan pengaturan ulang administrator

Secara default, akun administrator diaktifkan untuk pengaturan ulang kata sandi mandiri, dan kebijakan pengaturan ulang kata sandi dua gerbang default yang kuat diberlakukan. Kebijakan ini mungkin berbeda dari yang telah Anda tentukan untuk pengguna Anda, dan kebijakan ini tidak dapat diubah. Anda harus selalu menguji fungsionalitas pengaturan ulang kata sandi sebagai pengguna tanpa peran administrator Azure yang ditetapkan.

Kebijakan dua gerbang memerlukan dua bagian data autentikasi, seperti alamat email, aplikasi pengautentikasi, atau nomor telepon, dan melarang pertanyaan keamanan. Panggilan suara Office dan seluler juga dilarang untuk Microsoft Entra ID versi uji coba atau gratis.

Kebijakan dua gerbang berlaku dalam keadaan berikut:

  • Semua peran administrator Azure berikut ini terpengaruh:

    • Administrator aplikasi
    • Administrator layanan proksi aplikasi
    • Administrator Autentikasi
    • Administrator penagihan
    • Administrator kepatuhan
    • Administrator perangkat
    • Akun sinkronisasi direktori
    • Penulis direktori
    • Administrator Dynamics 365
    • Admin Exchange
    • Administrator global atau administrator perusahaan
    • Admin Bantuan Teknis
    • Administrator Intune
    • Admin Kotak Surat
    • Administrator Lokal Perangkat Yang Bergabung dengan Microsoft Entra
    • Dukungan Mitra Tingkat1
    • Dukungan Mitra Tingkat2
    • Administrator kata sandi
    • Administrator layanan Power BI
    • Administrator autentikasi istimewa
    • Admin peran Istimewa
    • Administrator keamanan
    • Admin dukungan layanan
    • Administrator SharePoint
    • Administrator Skype for Business
    • Administrator pengguna

  • Jika 30 hari telah berlalu dalam langganan percobaan; atau

  • Domain kustom telah dikonfigurasi untuk penyewa Microsoft Entra Anda, seperti contoso.com; atau

  • Microsoft Entra Koneksi sedang menyinkronkan identitas dari direktori lokal Anda

Anda dapat menonaktifkan penggunaan SSPR untuk akun administrator menggunakan cmdlet PowerShell Update-MgPolicyAuthorizationPolicy . Parameter -AllowedToUseSspr:$true|$false mengaktifkan/menonaktifkan SSPR untuk administrator. Perubahan kebijakan untuk mengaktifkan atau menonaktifkan SSPR untuk akun administrator dapat memakan waktu hingga 60 menit untuk diterapkan.

Pengecualian

Kebijakan satu gerbang memerlukan satu bagian data autentikasi, seperti alamat email atau nomor telepon. Kebijakan satu gerbang berlaku dalam keadaan berikut:

  • Ini dalam 30 hari pertama langganan uji coba

    -Atau-

  • Domain kustom tidak dikonfigurasi (penyewa menggunakan *.onmicrosoft.com default, yang tidak direkomendasikan untuk penggunaan produksi) dan Microsoft Entra Koneksi tidak menyinkronkan identitas.

Kebijakan kedaluwarsa kata sandi

Administrator Global atau Administrator Pengguna dapat menggunakan Microsoft Graph untuk mengatur kata sandi pengguna agar tidak kedaluwarsa.

Anda juga dapat menggunakan cmdlet PowerShell untuk menghapus konfigurasi yang tidak pernah kedaluwarsa atau untuk melihat kata sandi pengguna mana yang diatur agar tidak pernah kedaluwarsa.

Panduan ini berlaku untuk penyedia lain, seperti Intune dan Microsoft 365, yang juga mengandalkan ID Microsoft Entra untuk layanan identitas dan direktori. Kedaluwarsa kata sandi adalah satu-satunya bagian dari kebijakan yang dapat diubah.

Catatan

Secara default hanya kata sandi untuk akun pengguna yang tidak disinkronkan melalui Microsoft Entra Koneksi yang dapat dikonfigurasi agar tidak kedaluwarsa. Untuk informasi lebih lanjut tentang sinkronisasi direktori, lihat artikel Menghubungkan AD dengan Microsoft Entra ID.

Mengatur atau memeriksa kebijakan kata sandi menggunakan PowerShell

Untuk memulai, unduh dan instal modul Microsoft Graph PowerShell dan sambungkan ke penyewa Microsoft Entra Anda.

Setelah modul diinstal, gunakan langkah berikut untuk menyelesaikan setiap tugas sesuai kebutuhan.

Memeriksa kebijakan kedaluwarsa untuk kata sandi

  1. Buka perintah PowerShell dan sambungkan ke penyewa Microsoft Entra Anda menggunakan akun Administrator Global atau Administrator Pengguna.

  2. Jalankan salah satu perintah berikut ini untuk pengguna perorangan atau untuk semua pengguna:

    • Untuk melihat apakah kata sandi pengguna tunggal diatur untuk tidak pernah kedaluwarsa, jalankan cmdlet berikut. Ganti <user ID> dengan ID pengguna pengguna yang ingin Anda periksa:

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

    • Untuk melihat pengaturan Kata Sandi tidak pernah kedaluwarsa untuk semua pengguna, jalankan cmdlet berikut:

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

Mengatur kata sandi untuk kedaluwarsa

  1. Buka perintah PowerShell dan sambungkan ke penyewa Microsoft Entra Anda menggunakan akun Administrator Global atau Administrator Pengguna.

  2. Jalankan salah satu perintah berikut ini untuk pengguna perorangan atau untuk semua pengguna:

    • Untuk mengatur kata sandi satu pengguna sehingga kata sandi kedaluwarsa, jalankan cmdlet berikut. Ganti <user ID> dengan ID pengguna pengguna yang ingin Anda periksa:

      Update-MgUser -UserId <user ID> -PasswordPolicies None

    • Untuk mengatur kata sandi semua pengguna di organisasi sehingga kedaluwarsa, gunakan perintah berikut:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }

Mengatur kata sandi agar tidak pernah kedaluwarsa

  1. Buka perintah PowerShell dan sambungkan ke penyewa Microsoft Entra Anda menggunakan akun Administrator Global atau Administrator Pengguna.

  2. Jalankan salah satu perintah berikut ini untuk pengguna perorangan atau untuk semua pengguna:

    • Untuk mengatur kata sandi satu pengguna agar tidak pernah kedaluwarsa, jalankan cmdlet berikut. Ganti <user ID> dengan ID pengguna pengguna yang ingin Anda periksa:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration

    • Untuk mengatur kata sandi semua pengguna dalam organisasi agar tidak pernah kedaluwarsa, jalankan cmdlet berikut:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }

    Peringatan

    Kata sandi diatur ke -PasswordPolicies DisablePasswordExpiration usia diam berdasarkan atribut LastPasswordChangeDateTime. Berdasarkan atribut LastPasswordChangeDateTime, jika Anda mengubah kedaluwarsa menjadi -PasswordPolicies None, semua kata sandi yang memiliki waktu LastPasswordChangeDateTime lebih dari 90 hari mengharuskan pengguna mengubahnya saat berikutnya mereka masuk. Perubahan ini dapat memengaruhi sejumlah besar pengguna.

Langkah berikutnya

Untuk mulai menggunakan SSPR, lihat Tutorial: Mengaktifkan pengguna untuk membuka kunci akun mereka atau mengatur ulang kata sandi menggunakan pengaturan ulang kata sandi layanan mandiri Microsoft Entra.

Jika Anda atau pengguna mengalami masalah terkait SSPR, lihat Memecahkan masalah pengaturan ulang kata sandi mandiri