Wachtwoordbeleid en accountbeperkingen in Microsoft Entra ID
In Microsoft Entra ID is er een wachtwoordbeleid dat instellingen definieert, zoals de complexiteit, lengte of leeftijd van het wachtwoord. Er is ook een beleid dat acceptabele tekens en lengte definieert voor gebruikersnamen.
Wanneer selfservice voor wachtwoordherstel (SSPR) wordt gebruikt om een wachtwoord in Microsoft Entra ID te wijzigen of opnieuw in te stellen, wordt het wachtwoordbeleid gecontroleerd. Als het wachtwoord niet voldoet aan de beleidsvereisten, wordt de gebruiker gevraagd het opnieuw te proberen. Azure-beheerders hebben enkele beperkingen voor het gebruik van SSPR die verschillen van gewone gebruikersaccounts en er zijn kleine uitzonderingen voor proefversies en gratis versies van Microsoft Entra-id.
In dit artikel worden de instellingen en complexiteitsvereisten voor wachtwoordbeleid beschreven die zijn gekoppeld aan gebruikersaccounts. Ook wordt beschreven hoe u PowerShell gebruikt om de instellingen voor het verlopen van wachtwoorden te controleren of in te stellen.
Gebruikersnaambeleid
Elk account dat zich aanmeldt bij Microsoft Entra ID moet een unieke UPN-kenmerkwaarde (User Principal Name) hebben die is gekoppeld aan hun account. In hybride omgevingen met een on-premises Active Directory-domein Services-omgeving (AD DS) die is gesynchroniseerd met Microsoft Entra-id met behulp van Microsoft Entra Verbinding maken, is de Microsoft Entra UPN standaard ingesteld op de on-premises UPN.
De volgende tabel bevat een overzicht van het gebruikersnaambeleid dat van toepassing is op zowel on-premises AD DS-accounts die worden gesynchroniseerd met Microsoft Entra-id als voor gebruikersaccounts die rechtstreeks in de cloud zijn gemaakt in Microsoft Entra-id:
| Eigenschappen | Vereisten voor UserPrincipalName |
|---|---|
| Toegestane tekens | A – Z a - z 0 – 9 ' . - _ ! #^~ |
| Tekens die niet zijn toegestaan | Een @-teken dat de gebruikersnaam niet van het domein scheidt. Mag geen puntteken "." direct voorafgaand aan het symbool @bevatten |
| Lengtebeperkingen | De totale lengte mag niet langer zijn dan 113 tekens Het @-symbool mag maximaal 64 tekens bevatten Het @-symbool mag maximaal 48 tekens bevatten |
Wachtwoordbeleid voor Microsoft Entra
Een wachtwoordbeleid wordt toegepast op alle gebruikersaccounts die rechtstreeks in Microsoft Entra-id worden gemaakt en beheerd. Sommige van deze instellingen voor wachtwoordbeleid kunnen niet worden gewijzigd, maar u kunt aangepaste verboden wachtwoorden configureren voor Microsoft Entra-wachtwoordbeveiliging of accountvergrendelingsparameters.
Standaard is een account vergrendeld na 10 mislukte aanmeldingspogingen met het verkeerde wachtwoord. De gebruiker is een minuut geblokkeerd. Verdere onjuiste aanmeldingspogingen vergrendelen de gebruiker voor langere tijdsduur. Slimme vergrendeling houdt de laatste drie ongeldige wachtwoordhashes bij om te voorkomen dat de vergrendelingsteller voor hetzelfde wachtwoord wordt verhoogd. Als iemand meerdere keren hetzelfde ongeldige wachtwoord invoert, worden ze niet vergrendeld. U kunt de drempelwaarde en duur voor slimme vergrendeling definiëren.
Het wachtwoordbeleid van Microsoft Entra is niet van toepassing op gebruikersaccounts die zijn gesynchroniseerd vanuit een on-premises AD DS-omgeving met behulp van Microsoft Entra Verbinding maken, tenzij u EnforceCloudPasswordPolicyForPasswordSyncedUsers inschakelt.
De volgende opties voor het wachtwoordbeleid van Microsoft Entra zijn gedefinieerd. Tenzij vermeld, kunt u deze instellingen niet wijzigen:
| Eigenschappen | Vereisten |
|---|---|
| Toegestane tekens | A – Z a - z 0 – 9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <> Spatie |
| Tekens die niet zijn toegestaan | Unicode-tekens |
| Wachtwoordbeperkingen | Minimaal 8 tekens en maximaal 256 tekens. Vereist drie van de vier van de volgende typen tekens: - Kleine letters - Hoofdletters - Getallen (0-9) - Symbolen (zie de vorige wachtwoordbeperkingen) |
| Duur van wachtwoordverloop (maximale wachtwoordduur) | Standaardwaarde: 90 dagen. Als de tenant na 2021 is gemaakt, heeft deze geen standaardverloopwaarde. U kunt het huidige beleid controleren met Get-MgDomain. De waarde kan worden geconfigureerd met behulp van de cmdlet Update-MgDomain uit de Microsoft Graph-module voor PowerShell. |
| Wachtwoord verlopen (wachtwoorden nooit laten verlopen) | Standaardwaarde: false (geeft aan dat wachtwoorden een vervaldatum hebben). De waarde kan worden geconfigureerd voor afzonderlijke gebruikersaccounts met behulp van de cmdlet Update-MgUser . |
| Geschiedenis van wachtwoordwijziging | Het laatste wachtwoord kan niet opnieuw worden gebruikt wanneer de gebruiker een wachtwoord wijzigt. |
| Geschiedenis van wachtwoordherstel | Het laatste wachtwoord kan opnieuw worden gebruikt wanneer de gebruiker een vergeten wachtwoord opnieuw instelt. |
Administrator reset policy differences (Verschillen herstelbeleid beheerder)
Beheerdersaccounts zijn standaard ingeschakeld voor selfservice voor wachtwoordherstel en er wordt een sterk beleid voor wachtwoordherstel met twee poorten afgedwongen. Dit beleid kan afwijken van het beleid dat u voor uw gebruikers hebt gedefinieerd en dit beleid kan niet worden gewijzigd. U moet altijd de functionaliteit voor wachtwoordherstel testen als gebruiker zonder toegewezen Azure-beheerdersrollen.
Voor het beleid met twee poorten zijn twee stukjes verificatiegegevens vereist, zoals een e-mailadres, authenticator-app of een telefoonnummer, en worden beveiligingsvragen verboden. Office- en mobiele spraakoproepen zijn ook verboden voor proefversies of gratis versies van Microsoft Entra ID.
Een beleid met twee poorten is van toepassing in de volgende omstandigheden:
Alle volgende Azure-beheerdersrollen worden beïnvloed:
- Toepassingsbeheerder
- Toepassingsproxyservicebeheerder
- Verificatiebeheerder
- Factureringsbeheerder
- Beheerder voor naleving
- Apparaatbeheerders
- Adreslijstsynchronisatieaccounts
- Adreslijstschrijvers
- Dynamics 365-beheerder
- Exchange-beheerder
- Globale beheerder of bedrijfsbeheerder
- Helpdeskbeheerder
- Intune-beheerder
- Postvakbeheerder
- Lokale Beheer istrator voor Microsoft Entra-gekoppelde apparaten
- Laag1-ondersteuning voor partner
- Laag2-ondersteuning voor partner
- Wachtwoordbeheerder
- Power BI-service beheerder
- Bevoorrechte verificatiebeheerder
- Beheerder voor bevoorrechte rollen
- Beveiligingsbeheerder
- Serviceondersteuningsbeheerder
- SharePoint-beheerder
- Skype voor Bedrijven beheerder
- Gebruikersbeheerder
Als er 30 dagen zijn verstreken in een proefabonnement; Of
Er is een aangepast domein geconfigureerd voor uw Microsoft Entra-tenant, zoals contoso.com; of
Microsoft Entra Verbinding maken identiteiten synchroniseert vanuit uw on-premises directory
U kunt het gebruik van SSPR uitschakelen voor beheerdersaccounts met behulp van de PowerShell-cmdlet Update-MgPolicyAuthorizationPolicy . De -AllowedToUseSspr:$true|$false parameter schakelt SSPR in of uit voor beheerders. Beleidswijzigingen voor het in- of uitschakelen van SSPR voor beheerdersaccounts kunnen tot 60 minuten duren.
Uitzonderingen
Een beleid met één poort vereist één stukje verificatiegegevens, zoals een e-mailadres of telefoonnummer. Een beleid met één poort is van toepassing in de volgende omstandigheden:
Het abonnement valt binnen de eerste 30 dagen van een proefabonnement
-Of-
Een aangepast domein is niet geconfigureerd (de tenant maakt gebruik van de standaard *.onmicrosoft.com, die niet wordt aanbevolen voor productiegebruik) en Microsoft Entra Verbinding maken identiteiten niet synchroniseert.
Verloopbeleid voor wachtwoorden
Een globale Beheer istrator of gebruiker Beheer istrator kan Microsoft Graph gebruiken om gebruikerswachtwoorden in te stellen die niet verlopen.
U kunt ook PowerShell-cmdlets gebruiken om de configuratie voor nooit verlopen te verwijderen of om te zien welke gebruikerswachtwoorden zijn ingesteld om nooit te verlopen.
Deze richtlijnen zijn van toepassing op andere providers, zoals Intune en Microsoft 365, die ook afhankelijk zijn van Microsoft Entra-id voor identiteits- en adreslijstservices. Wachtwoordverloop is het enige deel van het beleid dat kan worden gewijzigd.
Notitie
Standaard kunnen alleen wachtwoorden voor gebruikersaccounts die niet worden gesynchroniseerd via Microsoft Entra Verbinding maken worden geconfigureerd om niet te verlopen. Zie AD verbinden met Microsoft Entra ID voor meer informatie over adreslijstsynchronisatie.
Set or check the password policies by using PowerShell (Wachtwoordbeleid instellen of controleren met behulp van PowerShell)
Download en installeer de Microsoft Graph PowerShell-module en verbind deze met uw Microsoft Entra-tenant om aan de slag te gaan.
Nadat de module is geïnstalleerd, gebruikt u de volgende stappen om elke taak zo nodig te voltooien.
Controleer het verloopbeleid voor een wachtwoord
Open een PowerShell-prompt en maak verbinding met uw Microsoft Entra-tenant met behulp van een Global Beheer istrator- of User Beheer istrator-account.
Voer een van de volgende opdrachten uit voor een afzonderlijke gebruiker of voor alle gebruikers:
Als u wilt zien of het wachtwoord van één gebruiker is ingesteld om nooit te verlopen, voert u de volgende cmdlet uit. Vervang
<user ID>door de gebruikers-id van de gebruiker die u wilt controleren:Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}Als u wilt zien dat de instelling Wachtwoord nooit verloopt voor alle gebruikers, voert u de volgende cmdlet uit:
Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Een wachtwoord instellen om te verlopen
Open een PowerShell-prompt en maak verbinding met uw Microsoft Entra-tenant met behulp van een Global Beheer istrator- of User Beheer istrator-account.
Voer een van de volgende opdrachten uit voor een afzonderlijke gebruiker of voor alle gebruikers:
Voer de volgende cmdlet uit om het wachtwoord van één gebruiker zo in te stellen dat het wachtwoord verloopt. Vervang
<user ID>door de gebruikers-id van de gebruiker die u wilt controleren:Update-MgUser -UserId <user ID> -PasswordPolicies NoneGebruik de volgende opdracht om de wachtwoorden van alle gebruikers in de organisatie zo in te stellen dat ze verlopen:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
Een wachtwoord instellen om nooit te verlopen
Open een PowerShell-prompt en maak verbinding met uw Microsoft Entra-tenant met behulp van een Global Beheer istrator- of User Beheer istrator-account.
Voer een van de volgende opdrachten uit voor een afzonderlijke gebruiker of voor alle gebruikers:
Voer de volgende cmdlet uit om het wachtwoord van één gebruiker in te stellen om nooit te verlopen. Vervang
<user ID>door de gebruikers-id van de gebruiker die u wilt controleren:Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpirationAls u wilt instellen dat alle gebruikers in een organisatie nooit verlopen, voert u de volgende cmdlet uit:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Waarschuwing
Wachtwoorden zijn ingesteld op
-PasswordPolicies DisablePasswordExpirationnog steeds leeftijd op basis van hetLastPasswordChangeDateTimekenmerk. Als u de vervaldatum-PasswordPolicies Nonewijzigt op basis van hetLastPasswordChangeDateTimekenmerk, moeten alle wachtwoorden die ouderLastPasswordChangeDateTimezijn dan 90 dagen, de gebruiker deze wijzigen wanneer ze zich de volgende keer aanmelden. Deze wijziging kan van invloed zijn op een groot aantal gebruikers.
Volgende stappen
Als u aan de slag wilt met SSPR, raadpleegt u zelfstudie: Gebruikers in staat stellen hun account te ontgrendelen of wachtwoorden opnieuw in te stellen met behulp van selfservice voor wachtwoordherstel van Microsoft Entra.
Als u of gebruikers problemen hebben met SSPR, raadpleegt u Problemen met selfservice voor wachtwoordherstel oplossen