Azure
Uma plataforma de computação em nuvem e uma infraestrutura para criar, implantar e gerenciar aplicativos e serviços por meio de uma rede mundial de datacenters gerenciados pela Microsoft.
Identity security score
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(313.6, 71%, 40%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EJO%3C/text%3E%3C/svg%3E)
Juan Oropeza
0
Pontos de reputação
Good morning my Identity Score is being heavily impacted. I’ve completed all the recommendations, but the issue is that the recommendation to configure passwords to not expire still shows as “not completed,” even though I configured that in my organization in the Admin Center.
Azure
{count} votos
-
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(201.6, 99%, 29%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3ER%3C/text%3E%3C/svg%3E)
Rukmini 29,050 Pontos de reputação Equipe Externa da Microsoft Moderador2026-02-10T12:26:20.0066667+00:00 Olá Juan Oropeza,
O Secure Score não considera as configurações do Centro de Administração do Microsoft 365.
Ele avalia apenas as políticas de senha em nível de usuário do Entra ID. A política deve ser definida para cada usuário como:
PasswordPolicies = DisablePasswordExpiration:
Connect-MgGraph -Scopes User.ReadWrite.All Get-MgUser -All | Where-Object { $_.PasswordPolicies -notcontains "DisablePasswordExpiration" } | ForEach-Object { Update-MgUser -UserId $_.Id -PasswordPolicies "DisablePasswordExpiration" }E valide usando:
Get-MgUser -UserId ******@domain.com | Select PasswordPoliciesDeve retornar DisablePasswordExpiration
Como as políticas de senhas são gerenciadas localmente, essa recomendação pode continuar sendo, por definição, inadequada para usuários com ambientes híbridos ou sincronizados localmente.
Estou traduzindo do inglês, por favor, desculpe quaisquer erros gramaticais.
Se tiver mais alguma dúvida, não hesite em entrar em contato!
-
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(236.8, 96%, 32%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EMR%3C/text%3E%3C/svg%3E)
Mário Duarte 0 Pontos de reputação2026-02-10T13:05:44.1133333+00:00 Como posso me aperceber se o meu computador está sendo pirateado?
-
Mário Duarte 0 Pontos de reputação
2026-02-10T13:08:18+00:00 Como me aperceber se o meu computador está sendo pirateado?
-
Rukmini 29,050 Pontos de reputação Equipe Externa da Microsoft Moderador
2026-02-11T12:27:33.72+00:00 Olá Juan Oropeza, Estamos entrando em contato para verificar se as informações fornecidas acima foram úteis. Caso tenha mais alguma dúvida, entre em contato conosco.
-
Juan Oropeza 0 Pontos de reputação
2026-02-12T11:59:58.41+00:00 As informações foram uteis. Obrigado.
-
Juan Oropeza 0 Pontos de reputação
2026-02-12T12:04:13.47+00:00 Então, continua aparecendo a recomendação como não cumprida, mesmo que configurei a organização toda para não expirar e fiz via powershell também aplicando a politica para cada usuário. Alguma solução?
-
Rukmini 29,050 Pontos de reputação Equipe Externa da Microsoft Moderador
2026-02-12T13:08:12.7133333+00:00 Olá Juan Oropeza,
A Pontuação de Segurança não avalia as configurações de nível organizacional do Centro de Administração do Microsoft 365. Ela valida apenas a política de senhas de nível de usuário do Entra ID.
Se a recomendação ainda exibir "Não concluído" após definir:
PasswordPolicies = DisablePasswordExpiration
Verifique:
- Todos os usuários estão em conformidade.
Get-MgUser -All | Where-Object { $_.PasswordPolicies -notcontains "DisablePasswordExpiration" }
Caso haja algum usuário retornando, a recomendação permanecerá em aberto.
- Os usuários não são híbridos (sincronizados do AD local).
Get-MgUser -UserId ******@domain.com | Select OnPremisesSyncEnabled
Se verdadeiro, o Secure Score não poderá validar as políticas de senha locais e, por definição, a recomendação permanecerá incompleta.
- Aguarde de 24 a 72 horas para que a pontuação Secure Score seja atualizada.
-
Juan Oropeza 0 Pontos de reputação
2026-02-13T11:47:33.1333333+00:00 Get-MgUser -All | Where-Object { $_.PasswordPolicies -notcontains "DisablePasswordExpiration" }
Esse comando me retorna todos os usuários, sendo que todos os usuários estão com disablepassword expiration enable, inclusive, na pratica, nenhum usuário troca de senha pois as configurações da organização afetam sim a politica da expiração de senha, se eu determino na configuração da organização que a senha vai expirar a cada 45 dias, os usuários são obrigados a trocar a cada 45 dias, se coloco para não expirar, os usuários não são obrigados mais a trocar de senha. Dito isso, como que não tem a ver a configuração da organização? Mesmo assim, segue a evidencia:
Um dos usuários esta com DisablePassword expiration, na pratica, esse usuário também não troca de senha nunca, e ele foi listado nesse ultimo comando: Get-MgUser -All | Where-Object { $_.PasswordPolicies -notcontains "DisablePasswordExpiration" }
Informando também que não temos identidade hibrida.
-
Rukmini 29,050 Pontos de reputação Equipe Externa da Microsoft Moderador
2026-02-16T11:13:40.64+00:00 O comando:
Get-MgUser -All | Where-Object { $_.PasswordPolicies -notcontains "DisablePasswordExpiration" }
retorna todos os usuários porque PasswordPolicies é uma string (ou nula), não uma matriz, e o parâmetro -notcontains não a avalia corretamente.
Portanto, mesmo que os usuários tenham DisablePasswordExpiration configurado, o PowerShell ainda pode retorná-los devido ao comportamento de comparação.
Por que a configuração da organização não é considerada?
No Microsoft Entra ID:
A configuração de expiração de senha no nível do locatário controla o comportamento.
Mas o Microsoft Secure Score verifica apenas o atributo no nível do usuário:
PasswordPolicies = DisablePasswordExpiration
Ele não avalia a configuração da organização.
Comando correto
Use este comando em vez do correto:
Get-MgUser -All | Where-Object { -not ($_.PasswordPolicies -match "DisablePasswordExpiration") }
Isso verifica o valor corretamente.
Seu ambiente está funcionando corretamente.
O problema reside na lógica de comparação do PowerShell, e não na configuração da política.
-
Rukmini 29,050 Pontos de reputação Equipe Externa da Microsoft Moderador
2026-02-17T10:22:00.9766667+00:00 Olá Juan Oropeza, Estamos entrando em contato para verificar se as informações fornecidas acima foram úteis. Caso tenha mais alguma dúvida, entre em contato conosco.
-
Juan Oropeza 0 Pontos de reputação
2026-02-19T15:56:25.74+00:00 Vamos voltar ao início da minha dúvida. Quando eu configuro, no nível da organização, a opção “Never password expires”, na prática todos os usuários permanecem com a mesma senha e nunca são obrigados a trocá-la, certo? Vamos por partes. Repito a pergunta: quando, no Admin Center, eu configuro a senha para não expirar, TODOS os usuários dentro do Entra ID automaticamente ficam com a senha “para sempre” e nunca são obrigados a trocar, certo?.
Segundo questionamento: não existe uma configuração diferente no Entra ID. Ou seja, se eu tenho uma configuração no nível da organização para os usuários expirarem a senha em 45 dias, eu não posso ter outra diferente no Entra ID para expirar em 20 dias, por exemplo (hipoteticamente). Até porque, no Entra ID, não existe uma configuração de expiração de senha, certo?.
Terceiro questionamento: o Identity Secure Score abrange todos os aspectos de identidade e, como recomendação, diz que é preciso configurar as senhas para não expirar. Essa configuração já está feita no nível da organização. Onde mais eu preciso configurar para que a recomendação seja marcada como concluída? Se, na prática, os usuários realmente não trocam a senha por causa da configuração no nível da organização.
-
Rukmini 29,050 Pontos de reputação Equipe Externa da Microsoft Moderador
2026-02-19T16:32:26.2633333+00:00 - Sim.
Os usuários que utilizam o Microsoft Entra ID exclusivamente para serviços em nuvem não são obrigados a redefinir suas senhas quando a opção "As senhas nunca expiram" está configurada no nível corporativo.
- Correto.
O Entra ID não possui uma configuração separada para o período de expiração da senha.
Não é possível especificar 20 dias em outro lugar e 45 dias no nível do locatário. Essa opção não existe.
- Por que a Pontuação de Segurança ainda aparece como Incompleta?
Porque a configuração do locatário não está sendo verificada pelo Microsoft Entra ID Identity Secure Score.
Apenas o atributo de nível de usuário é examinado:
DisablePasswordExpiration = PasswordPolicies
Portanto, o Secure Score precisa que esse valor seja definido em cada objeto de usuário para marcar a sugestão como concluída, mesmo que as senhas não expirem de fato.
-
Rukmini 29,050 Pontos de reputação Equipe Externa da Microsoft Moderador
2026-02-23T10:21:44.0333333+00:00 Olá Juan Oropeza, Estamos entrando em contato para verificar se as informações fornecidas acima foram úteis. Caso tenha mais alguma dúvida, entre em contato conosco.
-
Juan Oropeza 0 Pontos de reputação
2026-02-23T12:32:19.69+00:00 As informações ainda não foram úteis. Estamos em um loop e eu não consigo entender por que a recomendação continua como incompleta, se:
- No nível da organização, a política está configurada para não expirar senha; e
- No nível do locatário, via PowerShell (Microsoft Graph), foi configurado para cada usuário com o comando:
Get-MgUser -All | ForEach-Object { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }Mesmo assim, a recomendação ainda aparece como não concluída.
Eu confirmei o atributo com o comando:
Get-MgUser -UserId ******@mydomain.com -Property PasswordPolicies | Select DisplayName, UserPrincipalName, PasswordPoliciesE todos os usuários estão com
PasswordPolicies = DisablePasswordExpiration.Ou seja: se no nível da organização está configurado para não expirar a senha, e também no nível do locatário (via Microsoft Graph) o atributo foi aplicado, e mais importante, na prática as senhas não expiram, qual seria o motivo para a recomendação ainda aparecer como não completada?
-
Rukmini 29,050 Pontos de reputação Equipe Externa da Microsoft Moderador
2026-02-23T12:49:28.83+00:00 Juan Oropeza Por favor verifique as mensagens privadas
Entre para comentar
Entre para responder