Udostępnij za pośrednictwem


Zasady haseł i ograniczenia konta w usłudze Microsoft Entra ID

W usłudze Microsoft Entra ID istnieją zasady haseł, które definiują ustawienia, takie jak złożoność hasła, długość lub wiek. Istnieją również zasady definiujące dopuszczalne znaki i długość nazw użytkowników.

Gdy samoobsługowe resetowanie hasła (SSPR) jest używane do zmiany lub zresetowania hasła w identyfikatorze Entra firmy Microsoft, zasady haseł są sprawdzane. Jeśli hasło nie spełnia wymagań zasad, użytkownik zostanie poproszony o ponowną próbę. Administratorzy platformy Azure mają pewne ograniczenia dotyczące używania samoobsługowego resetowania hasła, które różnią się od zwykłych kont użytkowników, i istnieją drobne wyjątki dla wersji próbnej i bezpłatnych wersji identyfikatora Entra firmy Microsoft.

W tym artykule opisano ustawienia zasad haseł i wymagania dotyczące złożoności skojarzone z kontami użytkowników. W tym artykule opisano również sposób sprawdzania lub ustawiania ustawień wygasania haseł przy użyciu programu PowerShell.

Zasady nazwy użytkownika

Każde konto logujące się do usługi Microsoft Entra ID musi mieć skojarzoną unikatową wartość atrybutu głównej nazwy użytkownika (UPN). W środowiskach hybrydowych ze środowiskiem usług lokalna usługa Active Directory Domain Services zsynchronizowanym z identyfikatorem Microsoft Entra ID przy użyciu programu Microsoft Entra Connect domyślnie nazwa UPN identyfikatora Entra firmy Microsoft jest ustawiona na lokalną nazwę UPN.

W poniższej tabeli przedstawiono zasady nazwy użytkownika, które mają zastosowanie zarówno do kont lokalnych, które są synchronizowane z identyfikatorem Microsoft Entra ID, jak i dla kont użytkowników tylko w chmurze utworzonych bezpośrednio w usłudze Microsoft Entra ID:

Właściwości Wymagania userPrincipalName
Dozwolone znaki A – Z
a – z
0 – 9
' . - _ ! # ^ ~
Niedozwolone znaki Każdy znak "@", który nie oddziela nazwy użytkownika od domeny.
Nie można zawierać znaku kropki "." bezpośrednio poprzedzającego symbol "@"
Ograniczenia długości Całkowita długość nie może przekraczać 113 znaków
Symbol "@" może mieć maksymalnie 64 znaki
Symbol "@" może mieć maksymalnie 48 znaków

Zasady haseł w usłudze Microsoft Entra

Zasady haseł są stosowane do wszystkich kont użytkowników utworzonych i zarządzanych bezpośrednio w usłudze Microsoft Entra ID. Niektórych z tych ustawień zasad haseł nie można modyfikować, ale można skonfigurować niestandardowe hasła zakazane dla ochrony haseł firmy Microsoft lub parametrów blokady konta.

Domyślnie konto jest zablokowane po 10 nieudanych próbach logowania przy użyciu nieprawidłowego hasła. Użytkownik jest zablokowany przez jedną minutę. Czas trwania blokady wzrasta po kolejnych nieprawidłowych próbach logowania. Blokada inteligentna śledzi ostatnie trzy nieprawidłowe skróty haseł, aby uniknąć przyrostu licznika blokady dla tego samego hasła. Jeśli ktoś wprowadzi te same nieprawidłowe hasło wielokrotnie, nie zostanie zablokowany. Można zdefiniować próg i czas trwania inteligentnej blokady.

Zdefiniowane są następujące opcje zasad haseł firmy Microsoft Entra. O ile nie wspomniano, nie można zmienić tych ustawień:

Właściwości Wymagania
Dozwolone znaki A – Z
a – z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
Puste miejsce
Niedozwolone znaki Znaki Unicode
Ograniczenia haseł Co najmniej 8 znaków i maksymalnie 256 znaków.
Wymaga trzech na czterech z następujących typów znaków:
- Małe litery
- Wielkie litery
- Liczby (0–9)
- Symbole (zobacz poprzednie ograniczenia haseł)
Czas trwania wygaśnięcia hasła (maksymalny wiek hasła) Wartość domyślna: 90 dni. Jeśli dzierżawa została utworzona po 2021 r., nie ma domyślnej wartości wygaśnięcia. Bieżące zasady można sprawdzić za pomocą polecenia Get-MgDomain.
Wartość można skonfigurować przy użyciu polecenia cmdlet Update-MgDomain z modułu Microsoft Graph dla programu PowerShell.
Wygaśnięcie hasła (niech hasła nigdy nie wygasają) Wartość domyślna: false (wskazuje, że hasła mają datę wygaśnięcia).
Wartość można skonfigurować dla poszczególnych kont użytkowników przy użyciu polecenia cmdlet Update-MgUser .
Historia zmian haseł Ostatnie hasło nie może być ponownie użyte, gdy użytkownik zmieni hasło.
Historia resetowania hasła Ostatnie hasło można użyć ponownie, gdy użytkownik resetuje zapomniane hasło.

Jeśli włączysz opcję EnforceCloudPasswordPolicyForPasswordSyncedUsers, zasady haseł firmy Microsoft Entra będą stosowane do kont użytkowników synchronizowanych ze środowiska lokalnego przy użyciu programu Microsoft Entra Connect. Ponadto jeśli użytkownik zmieni hasło lokalnie w celu uwzględnienia znaku Unicode, zmiana hasła może zakończyć się powodzeniem lokalnie, ale nie w identyfikatorze Entra firmy Microsoft. Jeśli synchronizacja skrótów haseł jest włączona w programie Microsoft Entra Connect, użytkownik nadal może otrzymać token dostępu dla zasobów w chmurze. Jeśli jednak dzierżawa włączy zmianę hasła opartego na ryzyku użytkownika, zmiana hasła jest zgłaszana jako wysokie ryzyko.

Użytkownik zostanie ponownie poproszony o zmianę hasła. Jeśli jednak zmiana nadal zawiera znak Unicode, mogą zostać zablokowane, jeśli włączono również inteligentną blokadę .

Ograniczenia zasad resetowania haseł oparte na ryzyku

Jeśli włączysz opcję EnforceCloudPasswordPolicyForPasswordSyncedUsers, po zidentyfikowaniu wysokiego ryzyka wymagana jest zmiana hasła w chmurze. Użytkownik zostanie poproszony o zmianę hasła po zalogowaniu się do identyfikatora Entra firmy Microsoft. Nowe hasło musi być zgodne zarówno z zasadami haseł w chmurze, jak i lokalnymi.

Jeśli zmiana hasła spełnia wymagania lokalne, ale nie spełnia wymagań w chmurze, zmiana hasła powiedzie się, jeśli synchronizacja skrótów haseł jest włączona. Jeśli na przykład nowe hasło zawiera znak Unicode, zmiana hasła może zostać zaktualizowana lokalnie, ale nie w chmurze.

Jeśli hasło nie jest zgodne z wymaganiami dotyczącymi haseł w chmurze, nie zostanie zaktualizowane w chmurze, a ryzyko związane z kontem nie zostanie zmniejszone. Użytkownik nadal otrzymuje token dostępu dla zasobów w chmurze, ale zostanie wyświetlony monit o ponowne zmianę hasła przy następnym dostępie do zasobów w chmurze. Użytkownik nie widzi żadnego błędu ani powiadomienia, że wybrane hasło nie spełnia wymagań chmury.

Administrator reset policy differences (Różnice zasad resetowania administratora)

Domyślnie konta administratora są włączone na potrzeby samoobsługowego resetowania hasła, a wymuszane są silne domyślne zasady resetowania hasła z dwoma bramami . Te zasady mogą być inne niż te, które zostały zdefiniowane dla użytkowników, i nie można zmienić tych zasad. Zawsze należy testować funkcje resetowania haseł jako użytkownik bez przypisanych ról administratora platformy Azure.

Zasady dwóch bram wymagają dwóch elementów danych uwierzytelniania, takich jak adres e-mail, aplikacja wystawcy uwierzytelniania lub numer telefonu, i zakazuje pytań zabezpieczających. Połączenia głosowe pakietu Office i telefonu komórkowego nie są dozwolone również w przypadku wersji próbnej lub bezpłatnych wersji usługi Microsoft Entra ID.

Zasady administratora samoobsługowego resetowania hasła nie zależą od zasad metody uwierzytelniania. Jeśli na przykład wyłączysz tokeny oprogramowania innych firm w zasadach metod uwierzytelniania, konta administratorów nadal mogą rejestrować aplikacje tokenów oprogramowania innych firm i używać ich, ale tylko w przypadku samoobsługowego resetowania hasła.

Zasady dwóch bram mają zastosowanie w następujących okolicznościach:

  • Dotyczy to wszystkich następujących ról administratora platformy Azure:

    • Administrator aplikacji
    • Administrator uwierzytelniania
    • Administrator rozliczeń
    • Administrator zgodności
    • Administrator urządzeń w chmurze
    • Konta synchronizacji katalogów
    • Autorzy katalogów
    • Administrator usługi Dynamics 365
    • Administrator programu Exchange
    • Globalny administrator usługi
    • Administrator pomocy technicznej
    • Administrator usługi Intune
    • Microsoft Entra Joined Device Local Administrator
    • Pomoc techniczna dla partnerów w warstwie 1
    • Pomoc techniczna dla partnerów w warstwie 2
    • Administrator haseł
    • Power Platform Administrator
    • Administrator uwierzytelniania uprzywilejowanego
    • Administrator ról uprzywilejowanych
    • Administrator zabezpieczeń
    • Administrator pomocy technicznej usługi
    • SharePoint Administrator
    • administrator Skype dla firm
    • Teams Administrator
    • Administrator komunikacji usługi Teams
    • Administrator urządzeń usługi Teams
    • Administrator użytkowników
  • Jeśli upłynął 30 dni w subskrypcji próbnej

    -Lub-

  • Domena niestandardowa jest skonfigurowana dla dzierżawy firmy Microsoft Entra, takiej jak contoso.com

    -Lub-

  • Program Microsoft Entra Connect synchronizuje tożsamości z katalogu lokalnego

Możesz wyłączyć używanie samoobsługowego resetowania hasła dla kont administratorów przy użyciu polecenia cmdlet Update-MgPolicyAuthorizationPolicy Programu PowerShell. Parametr -AllowedToUseSspr:$true|$false włącza/wyłącza samoobsługowe resetowanie hasła dla administratorów. Wprowadzenie zmian zasad w celu włączenia lub wyłączenia samoobsługowego resetowania hasła dla kont administratorów może potrwać do 60 minut.

Wyjątki

Zasady jednej bramy wymagają jednego elementu danych uwierzytelniania, takich jak adres e-mail lub numer telefonu. Zasady o jednej bramie mają zastosowanie w następujących okolicznościach:

  • To w ciągu pierwszych 30 dni od subskrypcji próbnej

    -Lub-

  • Domena niestandardowa nie jest skonfigurowana (dzierżawa używa domyślnej wartości *.onmicrosoft.com, która nie jest zalecana do użytku produkcyjnego), a program Microsoft Entra Connect nie synchronizuje tożsamości.

Zasady wygasania haseł

Administratorzy użytkowników mogą używać programu Microsoft Graph do ustawiania haseł użytkowników, które nie wygasają.

Możesz również użyć poleceń cmdlet programu PowerShell, aby usunąć konfigurację nigdy nie wygasa lub sprawdzić, które hasła użytkownika nigdy nie wygasają.

Te wskazówki dotyczą innych dostawców, takich jak Intune i Microsoft 365, które również korzystają z identyfikatora Entra firmy Microsoft dla tożsamości i usług katalogowych. Wygaśnięcie hasła to jedyna część zasad, którą można zmienić.

Uwaga

Domyślnie można skonfigurować tylko hasła dla kont użytkowników, które nie są synchronizowane za pośrednictwem programu Microsoft Entra Connect, aby nie wygasały. Aby uzyskać więcej informacji na temat synchronizacji katalogów, zobacz sekcję Łączenie AD z usługą Microsoft Entra ID.

Set or check the password policies by using PowerShell (Ustawianie i sprawdzanie zasad haseł za pomocą programu PowerShell)

Aby rozpocząć, pobierz i zainstaluj moduł Programu PowerShell programu Microsoft Graph i połącz go z dzierżawą firmy Microsoft Entra.

Po zainstalowaniu modułu wykonaj następujące kroki, aby wykonać każde zadanie zgodnie z potrzebami.

Sprawdzanie zasad wygasania hasła

  1. Otwórz wiersz polecenia programu PowerShell i połącz się z dzierżawą firmy Microsoft Entra co najmniej administratorem użytkowników.

  2. Uruchom jedno z następujących poleceń dla pojedynczego użytkownika lub dla wszystkich użytkowników:

    • Aby sprawdzić, czy hasło pojedynczego użytkownika nigdy nie wygasa, uruchom następujące polecenie cmdlet. Zastąp <user ID> element identyfikatorem użytkownika, który chcesz sprawdzić:

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • Aby wyświetlić ustawienie Hasło nigdy nie wygasa dla wszystkich użytkowników, uruchom następujące polecenie cmdlet:

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

Ustawianie hasła do wygaśnięcia

  1. Otwórz wiersz polecenia programu PowerShell i połącz się z dzierżawą firmy Microsoft Entra co najmniej administratorem użytkowników.

  2. Uruchom jedno z następujących poleceń dla pojedynczego użytkownika lub dla wszystkich użytkowników:

    • Aby ustawić hasło jednego użytkownika tak, aby hasło wygasło, uruchom następujące polecenie cmdlet. Zastąp <user ID> element identyfikatorem użytkownika, który chcesz sprawdzić:

      Update-MgUser -UserId <user ID> -PasswordPolicies None
      
    • Aby ustawić hasła wszystkich użytkowników w organizacji tak, aby wygasały, użyj następującego polecenia:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
      

Ustawianie hasła, które nigdy nie wygasa

  1. Otwórz wiersz polecenia programu PowerShell i połącz się z dzierżawą firmy Microsoft Entra co najmniej administratorem użytkowników.

  2. Uruchom jedno z następujących poleceń dla pojedynczego użytkownika lub dla wszystkich użytkowników:

    • Aby ustawić hasło jednego użytkownika, aby nigdy nie wygasało, uruchom następujące polecenie cmdlet. Zastąp <user ID> element identyfikatorem użytkownika, który chcesz sprawdzić:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • Aby ustawić hasła wszystkich użytkowników w organizacji, aby nigdy nie wygasały, uruchom następujące polecenie cmdlet:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
      

    Ostrzeżenie

    Hasła ustawione na -PasswordPolicies DisablePasswordExpiration nadal wiek na podstawie atrybutu LastPasswordChangeDateTime . Na podstawie atrybutu LastPasswordChangeDateTime , jeśli zmienisz wygaśnięcie na -PasswordPolicies None, wszystkie hasła, które mają LastPasswordChangeDateTime więcej niż 90 dni, wymagają od użytkownika zmiany ich przy następnym logowaniu. Ta zmiana może mieć wpływ na dużą liczbę użytkowników.

Następne kroki

Aby rozpocząć pracę z samoobsługowym resetowaniem hasła, zobacz Samouczek: umożliwianie użytkownikom odblokowania konta lub resetowania haseł przy użyciu samoobsługowego resetowania haseł przez firmę Microsoft Entra.

Jeśli masz problemy z samoobsługowym resetowaniem hasła, zobacz Rozwiązywanie problemów z samoobsługowym resetowaniem hasła