Wachtwoordbeleid en accountbeperkingen in Microsoft Entra ID
In Microsoft Entra ID is er een wachtwoordbeleid dat instellingen definieert, zoals de complexiteit, lengte of leeftijd van het wachtwoord. Er is ook een beleid dat acceptabele tekens en lengte definieert voor gebruikersnamen.
Wanneer selfservice voor wachtwoordherstel (SSPR) wordt gebruikt om een wachtwoord in Microsoft Entra ID te wijzigen of opnieuw in te stellen, wordt het wachtwoordbeleid gecontroleerd. Als het wachtwoord niet voldoet aan de beleidsvereisten, wordt de gebruiker gevraagd het opnieuw te proberen. Azure-beheerders hebben enkele beperkingen voor het gebruik van SSPR die verschillen van gewone gebruikersaccounts en er zijn kleine uitzonderingen voor proefversies en gratis versies van Microsoft Entra-id.
In dit artikel worden de instellingen en complexiteitsvereisten voor wachtwoordbeleid beschreven die zijn gekoppeld aan gebruikersaccounts. Ook wordt beschreven hoe u PowerShell gebruikt om de instellingen voor het verlopen van wachtwoorden te controleren of in te stellen.
Gebruikersnaambeleid
Elk account dat zich aanmeldt bij Microsoft Entra ID moet een unieke UPN-kenmerkwaarde (User Principal Name) hebben die is gekoppeld aan hun account. In hybride omgevingen met een on-premises Active Directory-domein Services-omgeving die is gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect, is de UPN van Microsoft Entra ID standaard ingesteld op de on-premises UPN.
De volgende tabel bevat een overzicht van de gebruikersnamenbeleidsregels die van toepassing zijn op zowel on-premises accounts die zijn gesynchroniseerd met Microsoft Entra-id als voor cloudgebruikersaccounts die rechtstreeks in Microsoft Entra-id zijn gemaakt:
Eigenschappen | Vereisten voor UserPrincipalName |
---|---|
Toegestane tekens | A – Z a - z 0 – 9 ' . - _ ! # ^ ~ |
Tekens die niet zijn toegestaan | Een @-teken dat de gebruikersnaam niet van het domein scheidt. Mag geen puntteken "." direct voorafgaand aan het symbool @bevatten |
Lengtebeperkingen | De totale lengte mag niet langer zijn dan 113 tekens Het @-symbool mag maximaal 64 tekens bevatten Het @-symbool mag maximaal 48 tekens bevatten |
Wachtwoordbeleid voor Microsoft Entra
Een wachtwoordbeleid wordt toegepast op alle gebruikersaccounts die rechtstreeks in Microsoft Entra-id worden gemaakt en beheerd. Sommige van deze instellingen voor wachtwoordbeleid kunnen niet worden gewijzigd, maar u kunt aangepaste verboden wachtwoorden configureren voor Microsoft Entra-wachtwoordbeveiliging of accountvergrendelingsparameters.
Standaard is een account vergrendeld na 10 mislukte aanmeldingspogingen met het verkeerde wachtwoord. De gebruiker is een minuut geblokkeerd. De vergrendelingsduur neemt toe na verdere onjuiste aanmeldingspogingen. Slimme vergrendeling houdt de laatste drie ongeldige wachtwoordhashes bij om te voorkomen dat de vergrendelingsteller voor hetzelfde wachtwoord wordt verhoogd. Als iemand meerdere keren hetzelfde slechte wachtwoord invoert, zijn ze niet vergrendeld. U kunt de drempelwaarde en duur voor slimme vergrendeling definiëren.
De volgende opties voor het wachtwoordbeleid van Microsoft Entra zijn gedefinieerd. Tenzij vermeld, kunt u deze instellingen niet wijzigen:
Eigenschappen | Vereisten |
---|---|
Toegestane tekens | A – Z a - z 0 – 9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> Spatie |
Tekens die niet zijn toegestaan | Unicode-tekens |
Wachtwoordbeperkingen | Minimaal 8 tekens en maximaal 256 tekens. Vereist drie van de vier van de volgende typen tekens: - Kleine letters - Hoofdletters - Getallen (0-9) - Symbolen (zie de vorige wachtwoordbeperkingen) |
Duur van wachtwoordverloop (maximale wachtwoordduur) | Standaardwaarde: 90 dagen. Als de tenant na 2021 is gemaakt, heeft deze geen standaardverloopwaarde. U kunt het huidige beleid controleren met Get-MgDomain. De waarde kan worden geconfigureerd met behulp van de cmdlet Update-MgDomain uit de Microsoft Graph-module voor PowerShell. |
Wachtwoord verlopen (wachtwoorden nooit laten verlopen) | Standaardwaarde: false (geeft aan dat wachtwoorden een vervaldatum hebben). De waarde kan worden geconfigureerd voor afzonderlijke gebruikersaccounts met behulp van de cmdlet Update-MgUser . |
Geschiedenis van wachtwoordwijziging | Het laatste wachtwoord kan niet opnieuw worden gebruikt wanneer de gebruiker een wachtwoord wijzigt. |
Geschiedenis van wachtwoordherstel | Het laatste wachtwoord kan opnieuw worden gebruikt wanneer de gebruiker een vergeten wachtwoord opnieuw instelt. |
Als u EnforceCloudPasswordPolicyForPasswordSyncedUsers inschakelt, is het wachtwoordbeleid van Microsoft Entra van toepassing op gebruikersaccounts die vanuit on-premises zijn gesynchroniseerd met Microsoft Entra Connect. Als een gebruiker bovendien een on-premises wachtwoord wijzigt om een Unicode-teken op te nemen, kan de wachtwoordwijziging on-premises slagen, maar niet in Microsoft Entra-id. Als wachtwoord-hashsynchronisatie is ingeschakeld met Microsoft Entra Connect, kan de gebruiker nog steeds een toegangstoken voor cloudresources ontvangen. Maar als de tenant op risico gebaseerde wachtwoordwijziging op basis van gebruikers inschakelt, wordt de wachtwoordwijziging gerapporteerd als een hoog risico.
De gebruiker wordt gevraagd om het wachtwoord opnieuw te wijzigen. Maar als de wijziging nog steeds een Unicode-teken bevat, kunnen ze worden vergrendeld als slimme vergrendeling ook is ingeschakeld.
Beperkingen voor beleid voor wachtwoordherstel op basis van risico
Als u EnforceCloudPasswordPolicyForPasswordSyncedUsers inschakelt, is een cloudwachtwoordwijziging vereist zodra een hoog risico is geïdentificeerd. De gebruiker wordt gevraagd om het wachtwoord te wijzigen wanneer hij of zij zich aanmeldt bij Microsoft Entra-id. Het nieuwe wachtwoord moet voldoen aan zowel het cloud- als het on-premises wachtwoordbeleid.
Als een wachtwoordwijziging voldoet aan on-premises vereisten, maar niet voldoet aan de cloudvereisten, slaagt de wachtwoordwijziging als wachtwoord-hashsynchronisatie is ingeschakeld. Als het nieuwe wachtwoord bijvoorbeeld een Unicode-teken bevat, kan de wachtwoordwijziging on-premises worden bijgewerkt, maar niet in de cloud.
Als het wachtwoord niet voldoet aan de cloudwachtwoordvereisten, wordt het wachtwoord niet bijgewerkt in de cloud en neemt het accountrisico niet af. De gebruiker ontvangt nog steeds een toegangstoken voor cloudresources, maar wordt gevraagd om het wachtwoord opnieuw te wijzigen wanneer ze de volgende keer toegang hebben tot cloudresources. De gebruiker ziet geen foutmelding of melding dat het gekozen wachtwoord niet voldoet aan de cloudvereisten.
Administrator reset policy differences (Verschillen herstelbeleid beheerder)
Beheerdersaccounts zijn standaard ingeschakeld voor selfservice voor wachtwoordherstel en er wordt een sterk beleid voor wachtwoordherstel met twee poorten afgedwongen. Dit beleid kan afwijken van het beleid dat u voor uw gebruikers hebt gedefinieerd en dit beleid kan niet worden gewijzigd. U moet altijd de functionaliteit voor wachtwoordherstel testen als gebruiker zonder toegewezen Azure-beheerdersrollen.
Voor het beleid met twee poorten zijn twee stukjes verificatiegegevens vereist, zoals een e-mailadres, authenticator-app of een telefoonnummer, en worden beveiligingsvragen verboden. Office- en mobiele spraakoproepen zijn ook verboden voor proefversies of gratis versies van Microsoft Entra ID.
Het SSPR-beheerdersbeleid is niet afhankelijk van het verificatiemethodebeleid. Als u bijvoorbeeld softwaretokens van derden uitschakelt in het beleid voor verificatiemethoden, kunnen beheerdersaccounts nog steeds softwaretokentoepassingen van derden registreren en gebruiken, maar alleen voor SSPR.
Een beleid met twee poorten is van toepassing in de volgende omstandigheden:
Alle volgende Azure-beheerdersrollen worden beïnvloed:
- Toepassingsbeheerder
- Verificatiebeheerder
- Factureringsbeheerder
- Nalevingsbeheerder
- Cloudapparaatbeheerder
- Adreslijstsynchronisatieaccounts
- Adreslijstschrijvers
- Dynamics 365-beheerder
- Exchange-beheerder
- Globale beheerder
- Helpdeskbeheerder
- Intune-beheerder
- Lokale beheerder van Microsoft Entra-apparaat
- Laag1-ondersteuning voor partner
- Laag2-ondersteuning voor partner
- Wachtwoordbeheerder
- Power Platform-beheerder
- Bevoorrechte verificatiebeheerder
- Beheerder voor bevoorrechte rollen
- Beveiligingsbeheer
- Serviceondersteuningsbeheerder
- SharePoint-beheerder
- Skype voor Bedrijven-beheerder
- Teams-beheerder
- Teams-communicatiebeheerder
- Teams-apparaatbeheerder
- Gebruikersbeheerder
Als er 30 dagen zijn verstreken in een proefabonnement
-Of-
Er is een aangepast domein geconfigureerd voor uw Microsoft Entra-tenant, zoals contoso.com
-Of-
Microsoft Entra Connect synchroniseert identiteiten vanuit uw on-premises directory
U kunt het gebruik van SSPR uitschakelen voor beheerdersaccounts met behulp van de PowerShell-cmdlet Update-MgPolicyAuthorizationPolicy . De -AllowedToUseSspr:$true|$false
parameter schakelt SSPR in of uit voor beheerders. Beleidswijzigingen voor het in- of uitschakelen van SSPR voor beheerdersaccounts kunnen tot 60 minuten duren.
Uitzonderingen
Een beleid met één poort vereist één stukje verificatiegegevens, zoals een e-mailadres of telefoonnummer. Een beleid met één poort is van toepassing in de volgende omstandigheden:
Het abonnement valt binnen de eerste 30 dagen van een proefabonnement
-Of-
Een aangepast domein is niet geconfigureerd (de tenant gebruikt de standaard *.onmicrosoft.com, die niet wordt aanbevolen voor productiegebruik) en Microsoft Entra Connect synchroniseert geen identiteiten.
Verloopbeleid voor wachtwoorden
Gebruikersbeheerders kunnen Microsoft Graph gebruiken om gebruikerswachtwoorden in te stellen die niet verlopen.
U kunt ook PowerShell-cmdlets gebruiken om de configuratie voor nooit verlopen te verwijderen of om te zien welke gebruikerswachtwoorden zijn ingesteld om nooit te verlopen.
Deze richtlijnen zijn van toepassing op andere providers, zoals Intune en Microsoft 365, die ook afhankelijk zijn van Microsoft Entra-id voor identiteits- en adreslijstservices. Wachtwoordverloop is het enige deel van het beleid dat kan worden gewijzigd.
Notitie
Standaard kunnen alleen wachtwoorden worden geconfigureerd voor gebruikersaccounts die niet via Microsoft Entra Connect worden gesynchroniseerd om niet te verlopen. Zie AD verbinden met Microsoft Entra ID voor meer informatie over adreslijstsynchronisatie.
Set or check the password policies by using PowerShell (Wachtwoordbeleid instellen of controleren met behulp van PowerShell)
Download en installeer de Microsoft Graph PowerShell-module en verbind deze met uw Microsoft Entra-tenant om aan de slag te gaan.
Nadat de module is geïnstalleerd, gebruikt u de volgende stappen om elke taak zo nodig te voltooien.
Controleer het verloopbeleid voor een wachtwoord
Open een PowerShell-prompt en maak verbinding met uw Microsoft Entra-tenant als ten minste een gebruikersbeheerder.
Voer een van de volgende opdrachten uit voor een afzonderlijke gebruiker of voor alle gebruikers:
Als u wilt zien of het wachtwoord van één gebruiker is ingesteld om nooit te verlopen, voert u de volgende cmdlet uit. Vervang
<user ID>
door de gebruikers-id van de gebruiker die u wilt controleren:Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Als u wilt zien dat de instelling Wachtwoord nooit verloopt voor alle gebruikers, voert u de volgende cmdlet uit:
Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Een wachtwoord instellen om te verlopen
Open een PowerShell-prompt en maak verbinding met uw Microsoft Entra-tenant als ten minste een gebruikersbeheerder.
Voer een van de volgende opdrachten uit voor een afzonderlijke gebruiker of voor alle gebruikers:
Voer de volgende cmdlet uit om het wachtwoord van één gebruiker zo in te stellen dat het wachtwoord verloopt. Vervang
<user ID>
door de gebruikers-id van de gebruiker die u wilt controleren:Update-MgUser -UserId <user ID> -PasswordPolicies None
Gebruik de volgende opdracht om de wachtwoorden van alle gebruikers in de organisatie zo in te stellen dat ze verlopen:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
Een wachtwoord instellen om nooit te verlopen
Open een PowerShell-prompt en maak verbinding met uw Microsoft Entra-tenant als ten minste een gebruikersbeheerder.
Voer een van de volgende opdrachten uit voor een afzonderlijke gebruiker of voor alle gebruikers:
Voer de volgende cmdlet uit om het wachtwoord van één gebruiker in te stellen om nooit te verlopen. Vervang
<user ID>
door de gebruikers-id van de gebruiker die u wilt controleren:Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
Als u wilt instellen dat alle gebruikers in een organisatie nooit verlopen, voert u de volgende cmdlet uit:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Waarschuwing
Wachtwoorden zijn ingesteld op
-PasswordPolicies DisablePasswordExpiration
nog steeds leeftijd op basis van hetLastPasswordChangeDateTime
kenmerk. Als u de vervaldatum-PasswordPolicies None
wijzigt op basis van hetLastPasswordChangeDateTime
kenmerk, moeten alle wachtwoorden die ouderLastPasswordChangeDateTime
zijn dan 90 dagen, de gebruiker deze wijzigen wanneer ze zich de volgende keer aanmelden. Deze wijziging kan van invloed zijn op een groot aantal gebruikers.
Volgende stappen
Als u aan de slag wilt met SSPR, raadpleegt u zelfstudie: Gebruikers in staat stellen hun account te ontgrendelen of wachtwoorden opnieuw in te stellen met behulp van selfservice voor wachtwoordherstel van Microsoft Entra.
Als u of gebruikers problemen hebben met SSPR, raadpleegt u Problemen met selfservice voor wachtwoordherstel oplossen