Políticas de senha e restrições de conta no Microsoft Entra ID
No Microsoft Entra ID, há uma política de senha que define configurações como a complexidade, o comprimento ou a idade da senha. Também há uma política que define os caracteres aceitáveis e o comprimento dos nomes de usuário.
Quando a SSPR (redefinição de senha self-service) é usada para alterar ou redefinir uma senha no Microsoft Entra ID, a política de senha é verificada. Se a senha não atender aos requisitos da política, o usuário será solicitado a tentar novamente. Os administradores do Azure têm algumas restrições ao uso da SSPR que são diferentes das contas de usuário comuns, e há pequenas exceções para versões de teste e gratuitas do Microsoft Entra ID.
Este artigo descreve as configurações da política de senha e os requisitos de complexidade associados às contas de usuário. Também aborda como usar o PowerShell para verificar ou definir configurações de expiração de senha.
Políticas de nome de usuário
Todas as contas que se conectam ao Microsoft Entra ID devem ter um valor de atributo exclusivo de nome UPN associado à sua conta. Em ambientes híbridos com um ambiente local do Active Directory Domain Services (AD DS) sincronizado com o Microsoft Entra ID usando o Microsoft Entra Connect, por padrão, o UPN do Microsoft Entra é definido como o UPN local.
A tabela a seguir descreve as políticas de nome de usuário que se aplicam às contas do AD DS locais que são sincronizadas com o Microsoft Entra ID e às contas de usuário somente na nuvem criadas diretamente no Microsoft Entra ID:
| Propriedade | Requisitos de UserPrincipalName |
|---|---|
| Caracteres permitidos | A – Z a - z 0 – 9 ' . - _ ! nº ^ ~ |
| Caracteres não permitidos | Qualquer caractere de '@' que não esteja separando o nome de usuário do domínio. Não pode conter um caractere de ponto '.' imediatamente antes do símbolo '@' |
| Restrições de comprimento | O comprimento total não deve exceder 113 caracteres Pode haver até 64 caracteres antes do símbolo de "@" Pode haver até 48 caracteres após o símbolo de "@" |
Políticas de senha do Microsoft Entra
Uma política de senha é aplicada a todas as contas de usuário criadas e gerenciadas diretamente no Microsoft Entra ID. Algumas dessas configurações de política de senha não podem ser modificadas, embora você possa configurar senhas proibidas personalizadas para a proteção de senha do Microsoft Entra ou parâmetros de bloqueio de conta.
Por padrão, uma conta será bloqueada após 10 tentativas malsucedidas de conexão com a senha incorreta. O usuário é bloqueado por um minuto. Quanto mais tentativas de conexão com senha incorreta, por mais tempo o usuário ficará bloqueado. O bloqueio inteligente rastreia os últimos três hashes de senha incorreta para evitar o incremento do contador de bloqueio para a mesma senha. Se alguém digitar a mesma senha incorreta várias vezes, não será bloqueado. Você pode definir o limite e a duração do bloqueio inteligente.
A política de senha do Microsoft Entra não se aplica a contas de usuário sincronizadas a partir de um ambiente AD DS local usando o Microsoft Entra Connect, a menos que você habilite EnforceCloudPasswordPolicyForPasswordSyncedUsers.
São definidas as seguintes opções de política de senha do Microsoft Entra. A menos que indicado, não é possível alterar essas configurações:
| Propriedade | Requisitos |
|---|---|
| Caracteres permitidos | A – Z a - z 0 – 9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> Espaço em branco |
| Caracteres não permitidos | Caracteres Unicode |
| Restrições de senha | Um mínimo de 8 caracteres e um máximo de 256 caracteres. Requer três dos quatro tipos de caracteres a seguir: - Caracteres minúsculos - Caracteres maiúsculos – Números (0 a 9) – Símbolos (veja as restrições de senha mencionadas) |
| Duração da expiração da senha (duração máxima da senha) | Valor padrão: 90 dias. Se o locatário tiver sido criado após 2021, ele não terá nenhum valor de término padrão. Você pode verificar a política atual com Get-MgDomain. O valor pode ser configurado usando o cmdlet Update-MgDomain do módulo do Microsoft Graph para o PowerShell. |
| Expiração de senha (permite que as senhas nunca expirem) | Valor padrão: false (indica que as senhas têm uma data de validade). O valor pode ser configurado para contas de usuário individuais usando o cmdlet Update-MgUser. |
| Histórico de alteração de senha | A última senha não pode ser usada novamente quando o usuário alterar uma senha. |
| Histórico de redefinição de senha | A última senha pode ser usada novamente quando o usuário redefine uma senha esquecida. |
Diferenças da política de redefinição de senha do administrador
Por padrão, as contas de administrador são habilitadas para redefinição de senha self-service e uma política de redefinição de senha de duas portas padrão forte é imposta. Essa política pode ser diferente da que você definiu para os usuários e ela não pode ser alterada. Sempre teste a funcionalidade de redefinição de senha como um usuário sem funções de administrador do Azure atribuídas.
A política de duas portas requer duas partes de dados de autenticação, como um endereço de email, aplicativo autenticador ou um número de telefone e proíbe perguntas de segurança. As chamadas de voz móveis e do Office também são proibidas para versões de avaliação ou gratuitas do Microsoft Entra ID.
Uma política de duas portas aplica-se nas seguintes circunstâncias:
Todas as seguintes funções de administrador do Azure são afetadas:
- Administrador de aplicativos
- Administrador de serviços de Proxy do aplicativo
- Administrador de autenticação
- Administrador de cobrança
- Administrador de conformidade
- Administradores de dispositivo
- Contas de sincronização de diretório
- Gravadores de diretório
- Administrador do Dynamics 365
- Administrador do Exchange
- Administrador global ou administrador da empresa
- Administrador de assistência técnica
- Administrador do Intune
- Administrador de caixa de correio
- Administrador Local do Dispositivo Ingressado no Microsoft Entra
- Suporte de camada 1 do parceiro
- Suporte de camada 2 do parceiro
- Administrador de senha
- Administrador de serviços do Power BI
- Administrador de autenticação privilegiada
- Administrador de função com privilégios
- Administrador de segurança
- Administrador de suporte a serviço
- Administrador do SharePoint
- Administrador do Skype for Business
- Administrador de usuários
Caso tenham se passado 30 dias decorridos de uma assinatura de avaliação; ou
Um domínio personalizado foi configurado para seu locatário do Microsoft Entra, como contoso.com; ou
O Microsoft Entra Connect está sincronizando identidades do seu diretório local
Você pode desabilitar o uso de SSPR para contas de administrador usando o cmdlet do PowerShell Update-MgPolicyAuthorizationPolicy. O parâmetro -AllowedToUseSspr:$true|$false habilita/desabilita o SSPR para administradores. As alterações de política para habilitar ou desabilitar o SSPR em contas de administrador podem levar até 60 minutos para entrar em vigor.
Exceções
Uma política de duas portas requer um tipo de dados de autenticação, como um endereço de email ou um número de telefone. Uma política de uma porta aplica-se nas seguintes circunstâncias:
Está dentro dos primeiros 30 dias de uma assinatura de avaliação
-Ou-
Um domínio personalizado não está configurado (o locatário está usando o *.onmicrosoft.com padrão, que não é recomendado para uso em produção) e o Microsoft Entra Connect não está sincronizando identidades.
Políticas de expiração de senha
Um Administrador Global ou Administrador de Usuário pode usar o Microsoft Graph para definir senhas de usuários que não expiram.
Você também pode usar os cmdlets do PowerShell para remover as configurações que nunca expiram ou para ver quais senhas de usuário são configuradas para não expirar.
Essas diretrizes se aplicam a outros provedores, como o Intune e o Microsoft 365, que também contam com o Microsoft Entra ID para serviços de identidade e diretório. A expiração da senha é a única parte da política que pode ser alterada.
Observação
Por padrão, somente as senhas de contas de usuário que não são sincronizadas por meio do Microsoft Entra Connect podem ser configuradas para não expirar. Para obter mais informações sobre a sincronização de diretório, confira Conectar o AD com o Microsoft Entra ID.
Definir ou verificar políticas de senha usando o PowerShell
Para começar, faça o download e instale o módulo do Microsoft Graph PowerShell e conecte-o ao seu locatário do Microsoft Entra.
Depois que o módulo for instalado, use as etapas a seguir para concluir cada tarefa conforme necessário.
Verificar a política de expiração de uma senha
Abra um prompt do PowerShell e conecte-se ao seu locatário do Microsoft Entra usando uma conta de Administrador Global ou Administrador de Usuário.
Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:
Para ver se a senha de um único usuário está definida para nunca expirar, execute o cmdlet a seguir. Substitua
<user ID>pela ID do usuário que deseja verificar:Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}Para ver a configuração Senha nunca expira para todos os usuários, execute o seguinte cmdlet:
Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Definir uma senha para expirar
Abra um prompt do PowerShell e conecte-se ao seu locatário do Microsoft Entra usando uma conta de Administrador Global ou Administrador de Usuário.
Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:
Para definir a senha de um usuário para que ela expire, execute o cmdlet a seguir. Substitua
<user ID>pela ID do usuário que deseja verificar:Update-MgUser -UserId <user ID> -PasswordPolicies NonePara definir as senhas de todos os usuários da organização de modo que elas expirem, use o seguinte comando:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
Definir uma senha para nunca expirar
Abra um prompt do PowerShell e conecte-se ao seu locatário do Microsoft Entra usando uma conta de Administrador Global ou Administrador de Usuário.
Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:
Para definir a senha de um usuário para que ela nunca expire, execute o cmdlet a seguir. Substitua
<user ID>pela ID do usuário que deseja verificar:Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpirationPara definir as senhas de todos os usuários de uma organização para nunca expirar, execute o seguinte cmdlet:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Aviso
Senhas definidas como
-PasswordPolicies DisablePasswordExpirationainda expiram com base no atributoLastPasswordChangeDateTime. Com base no atributoLastPasswordChangeDateTime, se você alterar a expiração para-PasswordPolicies None, todas as senhas que tenham umLastPasswordChangeDateTimecom idade acima de 90 dias exigirão que o usuário as altere na próxima vez que entrarem. Essa alteração pode afetar um grande número de usuários.
Próximas etapas
Para começar a usar a SSPR, confira Tutorial: Permitir que os usuários desbloqueiem suas contas ou redefinam senhas usando a redefinição de senha self-service do Microsoft Entra.
Se você ou os usuários tiverem problemas com a SSPR, confira Solucionar problemas da redefinição de senha self-service