Gecombineerd wachtwoordbeleid en controleren op zwakke wachtwoorden in Microsoft Entra-id
Vanaf oktober 2021 omvat Microsoft Entra-validatie voor naleving van wachtwoordbeleid ook een controle op bekende zwakke wachtwoorden en hun varianten. In dit onderwerp wordt informatie uitgelegd over de criteria voor wachtwoordbeleid die door Microsoft Entra-id zijn gecontroleerd.
Wachtwoordbeleid voor Microsoft Entra
Een wachtwoordbeleid wordt toegepast op alle gebruikers- en beheerdersaccounts die rechtstreeks in Microsoft Entra-id worden gemaakt en beheerd. U kunt zwakke wachtwoorden verbieden en parameters definiƫren om een account te vergrendelen na herhaalde ongeldige wachtwoordpogingen. Andere instellingen voor wachtwoordbeleid kunnen niet worden gewijzigd.
Het wachtwoordbeleid van Microsoft Entra is niet van toepassing op gebruikersaccounts die zijn gesynchroniseerd vanuit een on-premises AD DS-omgeving met Behulp van Microsoft Entra Connect, tenzij u EnforceCloudPasswordPolicyForPasswordSyncedUsers inschakelt. Als EnforceCloudPasswordPolicyForPasswordSyncedUsers en wachtwoord terugschrijven zijn ingeschakeld, is het verloopbeleid voor Microsoft Entra-wachtwoorden van toepassing, maar het on-premises wachtwoordbeleid heeft voorrang op lengte, complexiteit, enzovoort.
De volgende microsoft Entra-wachtwoordbeleidsvereisten zijn van toepassing op alle wachtwoorden die zijn gemaakt, gewijzigd of opnieuw worden ingesteld in Microsoft Entra-id. Vereisten worden toegepast tijdens het inrichten van gebruikers, het wijzigen van wachtwoorden en het opnieuw instellen van wachtwoorden. U kunt deze instellingen niet wijzigen, behalve zoals vermeld.
Eigenschappen | Vereisten |
---|---|
Toegestane tekens | Hoofdletters (A - Z) Kleine letters (a - z) Cijfers (0 - 9) Symbolen: - @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> - spatie |
Tekens die niet zijn toegestaan | Unicode-tekens |
Wachtwoordlengte | Wachtwoorden vereisen - Minimaal acht tekens - Maximaal 256 tekens |
Wachtwoordcomplexiteit | Voor wachtwoorden zijn drie van de vier van de volgende categorieƫn vereist: - Hoofdletters - Kleine letters -Cijfers - Symbolen Opmerking: controle van wachtwoordcomplexiteit is niet vereist voor Education-tenants. |
Wachtwoord niet onlangs gebruikt | Wanneer een gebruiker het wachtwoord wijzigt, mag het nieuwe wachtwoord niet hetzelfde zijn als het huidige wachtwoord. |
Wachtwoord is niet verboden door Microsoft Entra-wachtwoordbeveiliging | Het wachtwoord kan niet op de algemene lijst met verboden wachtwoorden voor Microsoft Entra Password Protection staan of op de aanpasbare lijst met verboden wachtwoorden die specifiek zijn voor uw organisatie. |
Verloopbeleid voor wachtwoorden
Het verloopbeleid voor wachtwoorden is ongewijzigd, maar het is voor de volledigheid opgenomen in dit onderwerp. Gebruikersbeheerders die ten minste de rol Gebruikersbeheerder hebben toegewezen, kunnen de Microsoft Graph PowerShell-cmdlets gebruiken om gebruikerswachtwoorden in te stellen die niet verlopen.
Notitie
Standaard kunnen alleen wachtwoorden voor gebruikersaccounts die niet zijn gesynchroniseerd via Microsoft Entra Connect zodanig worden geconfigureerd dat ze niet verlopen. Zie AD verbinden met Microsoft Entra ID voor meer informatie over adreslijstsynchronisatie.
U kunt ook PowerShell gebruiken om de configuratie Nooit verlopen te verwijderen of om gebruikerswachtwoorden weer te geven die zijn ingesteld op Nooit verlopen.
De volgende vervaldatumvereisten zijn van toepassing op andere providers die Gebruikmaken van Microsoft Entra ID voor identiteits- en adreslijstservices, zoals Microsoft Intune en Microsoft 365.
Eigenschappen | Vereisten |
---|---|
Duur van wachtwoordverloop (maximale wachtwoordduur) | Standaardwaarde: 90 dagen. De waarde kan worden geconfigureerd met behulp van de cmdlet Update-MgDomain uit de Microsoft Graph PowerShell-module. |
Wachtwoord verlopen (wachtwoorden nooit laten verlopen) | Standaardwaarde: false (geeft aan dat het wachtwoord een vervaldatum heeft). De waarde kan worden geconfigureerd voor afzonderlijke gebruikersaccounts met behulp van de cmdlet Update-MgUser . |