Restrizioni account e criteri password in Azure Active Directory

In Azure Active Directory (Azure AD) sono disponibili criteri password che definiscono impostazioni come la complessità, la lunghezza o l'età delle password. Esiste anche un criterio che definisce caratteri e lunghezza accettabili per i nomi utente.

Quando si usa la reimpostazione della password self-service per modificare o reimpostare una password in Azure AD, vengono controllati i criteri password. Se la password non soddisfa i requisiti dei criteri, all'utente viene richiesto di riprovare. Gli amministratori di Azure hanno alcune restrizioni sull'uso della reimpostazione della password self-service diversi dagli account utente normali.

Questo articolo descrive le impostazioni dei criteri password e i requisiti di complessità associati agli account utente nel tenant di Azure AD e come usare PowerShell per controllare o impostare le impostazioni di scadenza delle password.

Criteri nome utente

Ogni account che accede ad Azure AD deve avere un valore di attributo UPN (User Principal Name) univoco associato al proprio account. Negli ambienti ibridi con un ambiente Active Directory Domain Services (AD DS) locale sincronizzato con Azure AD con Azure AD Connect, per impostazione predefinita l'UPN di Azure AD è impostato sull'UPN locale.

La tabella seguente descrive i criteri relativi al nome utente applicabili a entrambi gli account di Active Directory Domain Services locali sincronizzati con Azure AD e per gli account utente solo cloud creati direttamente in Azure AD:

Proprietà Requisiti di UserPrincipalName
Caratteri consentiti
  • A-Z
  • a - z
  • 0 – 9
  • ' . - _ ! # ^ ~
Caratteri non consentiti
  • Qualsiasi carattere "@" che non separa il nome utente dal dominio.
  • Non può contenere un punto "." subito prima del simbolo "@"
Vincoli di lunghezza
  • La lunghezza totale non deve superare i 113 caratteri
  • Prima del simbolo "@" possono esserci al massimo 64 caratteri
  • Dopo il simbolo "@" possono esserci al massimo 48 caratteri

Criteri password di Azure AD

Un criterio password viene applicato a tutti gli account utente creati e gestiti direttamente in Azure AD. Alcune di queste impostazioni dei criteri password non possono essere modificate, anche se è possibile configurare password personalizzate escluse per la protezione delle password di Azure AD o i parametri di blocco dell'account.

Per impostazione predefinita, un account viene bloccato dopo 10 tentativi di accesso non riusciti con la password errata. L'utente viene bloccato per un minuto. Altri tentativi di accesso non riusciti bloccano l'utente per periodi sempre più lunghi. Il blocco intelligente tiene traccia degli ultimi tre hash delle password non valido per evitare di incrementare il contatore di blocco per la stessa password. Se un utente immette più volte la stessa password non valida, questo comportamento non causerà il blocco dell'account. È possibile definire la soglia e la durata del blocco intelligente.

I criteri password di Azure AD non si applicano agli account utente sincronizzati da un ambiente di Active Directory Domain Services locale usando Azure AD Connect, a meno che non si abiliti EnforceCloudPasswordPolicyForPasswordSyncedUsers.

Vengono definite le opzioni seguenti per i criteri password di Azure AD. Se non specificato, non è possibile modificare queste impostazioni:

Proprietà Requisiti
Caratteri consentiti
  • A-Z
  • a - z
  • 0 – 9
  • @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
  • spazio vuoto
Caratteri non consentiti Caratteri Unicode.
Restrizioni per le password
  • Minimo 8 caratteri e un massimo di 256 caratteri.
  • è necessario soddisfare tre dei quattro requisiti seguenti:
    • Caratteri minuscoli.
    • Caratteri maiuscoli.
    • Numeri (da 0 a 9).
    • Simboli (vedere le restrizioni per le password elencate sopra).
Durata scadenza password (validità massima password)
  • Valore predefinito: 90 giorni. Se il tenant è stato creato dopo il 2021, non ha alcun valore di scadenza predefinito. È possibile controllare i criteri correnti con Get-MsolPasswordPolicy.
  • Il valore può essere configurato con il cmdlet Set-MsolPasswordPolicy del modulo di Azure Active Directory per Windows PowerShell.
Notifica di scadenza della password (quando gli utenti ricevono una notifica di scadenza della password)
  • Valore predefinito: 14 giorni (prima della scadenza della password).
  • Il valore può essere configurato con il cmdlet Set-MsolPasswordPolicy.
Scadenza password (consenti che le password non scadano mai)
  • Valore predefinito: false (indica che la password ha una data di scadenza).
  • Il valore può essere configurato per singoli account utente con il cmdlet Set-MsolUser.
Cronologia delle modifiche della password Al cambio della password, l'utente non può usare di nuovo la password più recente.
Cronologia delle reimpostazioni della password Alla reimpostazione di una password dimenticata, l'utente può usare di nuovo la password più recente.

Differenze dei criteri di reimpostazione degli amministratori

Per impostazione predefinita, gli account amministratore sono abilitati per la reimpostazione della password self-service e viene applicato un criterio di reimpostazione della password a due gate sicuro. Questo criterio può essere diverso da quello definito per gli utenti e questo criterio non può essere modificato. È necessario verificare sempre la funzionalità di reimpostazione della password come utente senza ruoli di amministratore di Azure assegnati.

Con il criterio a due gate, gli amministratori non hanno la possibilità di usare le domande di sicurezza.

Il criterio a due gate richiede tre tipi di dati di autenticazione, ad esempio un indirizzo di posta elettronica, un'app di autenticazione o un numero di telefono. Un criterio a due gate si applica nelle circostanze seguenti:

  • Sono interessati tutti i ruoli di amministratore di Azure seguenti:

    • Amministratore di applicazioni
    • Amministratore del servizio proxy di applicazione
    • Amministratore dell'autenticazione
    • Amministratore locale del dispositivo aggiunto ad Azure AD
    • Amministratore fatturazione
    • Amministratore di conformità
    • Amministratori dispositivo
    • Account di sincronizzazione della directory
    • Writer di directory
    • Amministratore di Dynamics 365
    • Amministratore di Exchange
    • Amministratore globale o amministratore aziendale
    • Amministratore dell'help desk
    • Amministratore di Intune
    • Amministratore della cassetta postale
    • Supporto partner - Livello 1
    • Supporto partner - Livello 2
    • Amministratore password
    • Amministratore del servizio Power BI
    • Amministratore dell'autenticazione con privilegi
    • Amministratore dei ruoli con privilegi
    • Amministratore della sicurezza
    • Amministratore del supporto per il servizio
    • Amministratore di SharePoint
    • Amministratore di Skype for Business
    • Amministratore utenti
  • Se sono trascorsi 30 giorni per una sottoscrizione di valutazione o

  • Un dominio personalizzato è stato configurato per il tenant di Azure AD, ad esempio contoso.com; O

  • Identità sincronizzate da Azure AD Connect nella directory locale

È possibile disabilitare l'uso della reimpostazione della password self-service per gli account amministratore usando il cmdlet PowerShell Set-MsolCompanySettings . Il -SelfServePasswordResetEnabled $False parametro disabilita la reimpostazione della password self-service per gli amministratori. Le modifiche ai criteri per disabilitare o abilitare la reimpostazione della password self-service per gli account amministratore possono richiedere fino a 60 minuti.

Eccezioni

Un criterio a un gate richiede un tipo di dati di autenticazione, ad esempio un indirizzo di posta elettronica o un numero di telefono. Un criterio a un gate si applica nelle circostanze seguenti:

  • Non sono ancora trascorsi i primi 30 giorni per una sottoscrizione di valutazione o
  • Un dominio personalizzato non è stato configurato per il tenant di Azure AD, quindi usa il valore predefinito *.onmicrosoft.com. Il dominio *.onmicrosoft.com predefinito non è consigliato per l'uso in produzione; E
  • Azure AD Connect non sincronizza le identità

Criteri di scadenza delle password

Un amministratore globale o un amministratore utenti può usare il modulo di Microsoft Azure AD per Windows PowerShell per impostare le password utente che non scadono.

È anche possibile usare i cmdlet di PowerShell per rimuovere la configurazione senza scadenza o per vedere quali password utente sono impostate per non scadere mai.

Queste indicazioni si applicano ad altri provider, ad esempio Intune e Microsoft 365, che si basano anche su Azure AD per i servizi di identità e directory. La scadenza della password è l'unica parte dei criteri a poter essere modificata.

Nota

Per impostazione predefinita, solo le password per gli account utente non sincronizzati tramite Azure AD Connect possono essere configurate per non scadere. Per altre informazioni sulla sincronizzazione delle directory, vedere Connettere AD con Azure AD.

Impostare o verificare i criteri password con PowerShell

Per iniziare, scaricare e installare il modulo Azure AD PowerShell e connetterlo al tenant di Azure AD.

Dopo aver installato il modulo, seguire questa procedura per completare ogni attività in base alle esigenze.

Controllare i criteri di scadenza per una password

  1. Aprire un prompt di PowerShell e connettersi al tenant di Azure AD usando un account amministratore globale o amministratore utente .

  2. Eseguire uno dei comandi seguenti per un singolo utente o per tutti gli utenti:

    • Per verificare se la password di un singolo utente è impostata su non scadere mai, eseguire il cmdlet seguente. Sostituire <user ID> con l'ID utente dell'utente che si vuole controllare, ad esempio driley@contoso.onmicrosoft.com:

      Get-AzureADUser -ObjectId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • Per visualizzare l'impostazione La password non scade mai per tutti gli utenti, eseguire il cmdlet seguente:

      Get-AzureADUser -All $true | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

Impostare una scadenza della password

  1. Aprire un prompt di PowerShell e connettersi al tenant di Azure AD usando un account amministratore globale o amministratore utente .

  2. Eseguire uno dei comandi seguenti per un singolo utente o per tutti gli utenti:

    • Per impostare la password di un utente in modo che la password scada, eseguire il cmdlet seguente. Sostituire <user ID> con l'ID utente dell'utente che si vuole controllare, ad esempio driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies None
      
    • Per impostare le password di tutti gli utenti dell'organizzazione in modo che scadano, usare il cmdlet seguente:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies None
      

Impostare una password senza scadenza

  1. Aprire un prompt di PowerShell e connettersi al tenant di Azure AD usando un account amministratore globale o amministratore utente .

  2. Eseguire uno dei comandi seguenti per un singolo utente o per tutti gli utenti:

    • Per impostare la password di un utente in modo che non scada mai, eseguire il cmdlet seguente. Sostituire <user ID> con l'ID utente dell'utente che si vuole controllare, ad esempio driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • Per impostare le password di tutti gli utenti di un'organizzazione in modo che non scadano mai, eseguire il seguente cmdlet:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies DisablePasswordExpiration
      

    Avviso

    Le password impostate su -PasswordPolicies DisablePasswordExpiration diventano comunque obsolete in base all'attributo pwdLastSet. In base all'attributo pwdLastSet, se si modifica la scadenza in -PasswordPolicies None, all'accesso successivo l'utente sarà tenuto a cambiare tutte le password che hanno un attributo pwdLastSet che risale a più di 90 giorni prima. Questa modifica può riguardare un numero elevato di utenti.

Passaggi successivi

Per iniziare a usare la reimpostazione della password self-service, vedere Esercitazione: Consentire agli utenti di sbloccare il proprio account o reimpostare le password usando la reimpostazione della password self-service di Azure Active Directory.

Se si verificano problemi con la reimpostazione della password self-service, vedere Risolvere i problemi di reimpostazione della password self-service