2021 年 10 月から、パスワード ポリシーに準拠するための Microsoft Entra 検証には、既知の脆弱なパスワード とそのバリアントのチェックも含まれます。 この記事では、Microsoft Entra ID によってチェックされるパスワード ポリシー条件の詳細について説明します。
Microsoft Entra のパスワード ポリシー
パスワード ポリシーは、Microsoft Entra ID で直接作成および管理されるすべてのユーザーおよび管理者のアカウントに適用されます。 脆弱なパスワードを禁止し、不正なパスワードの試行が繰り返された後にアカウントをロックするパラメーターを定義できます。 その他のパスワード ポリシー設定は変更できません。
Microsoft Entra のパスワード ポリシーは、EnforceCloudPasswordPolicyForPasswordSyncedUsers を有効にする場合を除き、Microsoft Entra Connect を使用してオンプレミスの AD DS 環境から同期されたユーザー アカウントには適用されません。 EnforceCloudPasswordPolicyForPasswordSyncedUsers とパスワード ライトバックが有効になっている場合、Microsoft Entra パスワードの有効期限ポリシーが適用されますが、長さ、複雑さなどについては、オンプレミスのパスワード ポリシーが優先されます。
次の Microsoft Entra パスワード ポリシー要件が、Microsoft Entra ID で作成、変更、リセットされるすべてのパスワードに適用されます。 要件は、ユーザー プロビジョニング、パスワードの変更、パスワード リセットのフロー中に適用されます。 これらの設定は、記載されている場合を除き、変更できません。
| プロパティ | 要件 |
|---|---|
| 使用できる文字 | 大文字 (A から Z) 小文字 (a から z) 数字 (0 から 9) 記号: - @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> - 空白 |
| 使用できない文字 | Unicode 文字 |
| パスワードの長さ | パスワードに必要な条件 - 最小 8 文字 - 最大 256 文字 |
| パスワードの複雑さ | パスワードには、次の 4 つのカテゴリのうち 3 つが必要です。 - 大文字 - 小文字 - 数字 - 記号 注: Education テナントでは、パスワードの複雑さのチェックは要求されません。 |
| 最近使用されていないパスワード | ユーザーが自分のパスワードを変更する場合、新しいパスワードは現在のパスワードと同じにしないでください。 |
| パスワードが Microsoft Entra パスワード保護 によって禁止されていないこと | パスワードは、Microsoft Entra パスワード保護についての禁止パスワードのグローバル リストや、組織に固有のカスタマイズ可能な禁止パスワード リストに含まれていてはなりません。 |
パスワードの有効期限のポリシー
パスワードの有効期限ポリシーは変更されませんが、完全を期す目的でこの記事に含まれています。 少なくともユーザー管理者 が割り当てられているユーザーは、Microsoft Graph PowerShell コマンドレット を使用し、ユーザーのパスワードの有効期限が切れないように設定できます。
注
既定では、期限切れにならないように設定できるのは、Microsoft Entra Connect による同期を行っていないユーザー アカウントのパスワードのみです。 ディレクトリ同期の詳細については、「AD と Microsoft Entra ID を接続する」を参照してください。
また、PowerShell を使用すると、期限のない構成を削除したり、期限が切れないように設定されているユーザー パスワードを確認したりすることもできます。
次の有効期限の要件は、Microsoft Intune や Microsoft 365 などの、ID やディレクトリ サービスに Microsoft Entra ID を使用する他のプロバイダーに適用されます。
| プロパティ | 要件 |
|---|---|
| パスワードの有効期間 (パスワードの最大有効期間) | 既定値:90 日。 この値は、Microsoft Graph PowerShell モジュールの Update-MgDomain コマンドレットを使って構成できます。 |
| パスワードの有効期限 (パスワードを無期限にします) | 既定値: false (パスワードの有効期限が指定されていることを示します)。 各ユーザー アカウントの値を構成するには、Update-MgUser コマンドレットを使用します。 |