Políticas de senha e restrições de conta do Active Directory do Azure

No Azure AD (Azure Active Directory), há uma política de senha que define as configurações como a complexidade, o comprimento ou a duração da senha. Também há uma política que define os caracteres aceitáveis e o comprimento dos nomes de usuário.

Quando a SSPR (redefinição de senha self-service) é usada para alterar ou redefinir uma senha no Azure AD, a política de senha é verificada. Se a senha não atender aos requisitos da política, o usuário será solicitado a tentar novamente. Os administradores do Azure têm algumas restrições sobre o uso de SSPR que são diferentes para contas de usuário regulares.

Este artigo descreve as configurações de política de senha e os requisitos de complexidade associados às contas de usuário no locatário do Azure AD e como você pode usar o PowerShell para verificar ou definir as configurações de expiração de senha.

Políticas de nome de usuário

Cada conta que entrar no Azure AD deve ter um valor de atributo de nome UPN exclusivo associado à respectiva conta. Em ambientes híbridos com um ambiente do AD DS (Active Directory Domain Services) local sincronizado ao Azure AD usando o Azure AD Connect, por padrão, o UPN do Azure AD é definido como o UPN local.

A seguinte tabela descreve as políticas de nome de usuário que se aplicam a contas de AD DS locais que são sincronizadas com o Azure AD e para contas de usuário somente em nuvem criadas diretamente no Azure AD:

Propriedade Requisitos de UserPrincipalName
Caracteres permitidos
  • A – Z
  • a - z
  • 0 – 9
  • ' . - _ ! # ^ ~
Caracteres não permitidos
  • Qualquer caractere de '@' que não esteja separando o nome de usuário do domínio.
  • Não pode conter um caractere de ponto '.' imediatamente antes do símbolo '@'
Restrições de comprimento
  • O comprimento total não deve exceder 113 caracteres
  • Pode haver até 64 caracteres antes do símbolo de "@"
  • Pode haver até 48 caracteres após o símbolo de "@"

Políticas de senha do Azure AD

Uma política de senha é aplicada a todas as contas de usuário que são criadas e gerenciadas diretamente no Azure AD. Algumas dessas configurações de política de senha não podem ser modificadas, embora você possa configurar senhas proibidas personalizadas para a proteção de senha do Azure AD ou parâmetros de bloqueio de conta.

Por padrão, uma conta será bloqueada após 10 tentativas malsucedidas de conexão com a senha incorreta. O usuário é bloqueado por um minuto. Quanto mais tentativas de conexão com senha incorreta, por mais tempo o usuário ficará bloqueado. O bloqueio inteligente rastreia os últimos três hashes de senha incorreta para evitar o incremento do contador de bloqueio para a mesma senha. Se alguém inserir a mesma senha incorreta várias vezes, esse comportamento não causará o bloqueio da conta. Você pode definir o limite e a duração do bloqueio inteligente.

A política de senha do Azure AD não se aplica a contas de usuário sincronizadas de um ambiente de AD DS local usando o Azure AD Connect, a menos que você habilite EnforceCloudPasswordPolicyForPasswordSyncedUsers.

As opções de política de senha do Azure AD a seguir estão definidas. A menos que indicado, não é possível alterar essas configurações:

Propriedade Requisitos
Caracteres permitidos
  • A – Z
  • a - z
  • 0 – 9
  • @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
  • espaço em branco
Caracteres não permitidos Caracteres Unicode.
Restrições de senha
  • Um mínimo de 8 caracteres e um máximo de 256 caracteres.
  • Requer três de quatro dos seguintes itens:
    • Caracteres minúsculos.
    • Caracteres maiúsculos.
    • Números (0-9).
    • Símbolos (veja as restrições de senha acima).
Duração da expiração da senha (duração máxima da senha)
  • Valor padrão: 90 dias.
  • O valor é configurável usando o cmdlet Set-MsolPasswordPolicy do Módulo do Azure Active Directory para Windows PowerShell.
Notificação de expiração da senha (quando os usuários são notificados da expiração da senha)
  • Valor padrão: 14 dias (antes do vencimento de senha).
  • O valor é configurável usando o cmdlet Set-MsolPasswordPolicy.
Expiração de senha (permite que as senhas nunca expirem)
  • Valor padrão: false (indica que a senha tem uma data de validade).
  • O valor pode ser configurado para contas de usuário individuais usando o cmdlet Set-MsolUser.
Histórico de alteração de senha A última senha não pode ser usada novamente quando o usuário alterar uma senha.
Histórico de redefinição de senha A última senha pode ser usada novamente quando o usuário redefine uma senha esquecida.

Diferenças da política de redefinição de senha do administrador

Por padrão, as contas de administrador são habilitadas para redefinição de senha self-service e uma política de redefinição de senha de duas portas padrão forte é imposta. Essa política pode ser diferente da que você definiu para os usuários e ela não pode ser alterada. Sempre teste a funcionalidade de redefinição de senha como um usuário sem funções de administrador do Azure atribuídas.

Com uma política de dois portões, os administradores não podem usar perguntas de segurança.

A política de duas portas requer dois tipos de dados de autenticação, como um endereço de email, aplicativo autenticador ou um número de telefone. Uma política de duas portas aplica-se nas seguintes circunstâncias:

  • Todas as seguintes funções de administrador do Azure são afetadas:

    • Administrador de aplicativos
    • Administrador de serviços de Proxy do aplicativo
    • Administrador de autenticação
    • Administrador Local do Dispositivo Ingressado no Azure AD
    • Administrador de cobrança
    • Administrador de conformidade
    • Administradores de dispositivo
    • Contas de sincronização de diretório
    • Gravadores de diretório
    • Administrador do Dynamics 365
    • Administrador do Exchange
    • Administrador global ou administrador da empresa
    • Administrador de assistência técnica
    • Administrador do Intune
    • Administrador de caixa de correio
    • Suporte de camada 1 do parceiro
    • Suporte de camada 2 do parceiro
    • Administrador de senha
    • Administrador de serviços do Power BI
    • Administrador de autenticação privilegiada
    • Administrador de função com privilégios
    • Administrador do SharePoint
    • Administrador de segurança
    • Administrador de suporte a serviço
    • Administrador do Skype for Business
    • Administrador de usuários
  • Caso tenham se passado 30 dias decorridos de uma assinatura de avaliação; ou

  • Um domínio personalizado foi configurado para seu locatário do Azure AD, como contoso.com; ou

  • O Azure AD Connect está sincronizando identidades do seu diretório local

Você pode desabilitar o uso de SSPR para contas de administrador usando o cmdlet Set-MsolCompanySettings do PowerShell. O parâmetro -SelfServePasswordResetEnabled $False desabilita a SSPR para administradores. As alterações de política para desabilitar ou habilitar o SSPR em contas de administrador podem levar até 60 minutos para entrar em vigor.

Exceções

Uma política de duas portas requer um tipo de dados de autenticação, como um endereço de email ou um número de telefone. Uma política de uma porta aplica-se nas seguintes circunstâncias:

  • Ela esteja dentro dos primeiros 30 dias de uma assinatura; ou
  • Um domínio personalizado não foi configurado para seu locatário do Azure AD, portanto, está usando o padrão * . onmicrosoft.com. O domínio padrão * . onmicrosoft.com não é recomendado para uso em produção; e
  • O Azure AD Connect não está sincronizando identidades

Políticas de expiração de senha

Um administrador global ou um administrador de usuário pode usar o Módulo Microsoft Azure AD para Windows PowerShell de modo a configurar senhas de usuário para não expirarem.

Você também pode usar os cmdlets do PowerShell para remover as configurações que nunca expiram ou para ver quais senhas de usuário são configuradas para não expirar.

Estas diretrizes se aplicam a outros provedores, como o Intune e o Microsoft 365, que também dependem do Azure AD para serviços de identidade e diretório. A expiração da senha é a única parte da política que pode ser alterada.

Observação

Por padrão, somente as senhas para contas de usuário que não são sincronizadas por meio do Azure AD Connect podem ser configuradas para não expirar. Para saber mais sobre a sincronização de diretório, confira Conectar AD ao Azure AD.

Definir ou verificar políticas de senha usando o PowerShell

Para começar, baixe e instale o módulo PowerShell do Azure AD e conecte-o ao locatário do Azure AD.

Depois que o módulo for instalado, use as etapas a seguir para concluir cada tarefa conforme necessário.

Verificar a política de expiração de uma senha

  1. Abra um prompt do PowerShell e conecte-se ao locatário do Azure AD usando uma conta de administrador global ou de administrador de usuário.

  2. Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:

    • Para ver se a senha de um único usuário está definida para nunca expirar, execute o cmdlet a seguir. Substitua <user ID> pela ID de usuário do usuário que você deseja verificar, como driley@contoso.onmicrosoft.com:

      Get-AzureADUser -ObjectId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • Para ver a configuração Senha nunca expira para todos os usuários, execute o seguinte cmdlet:

      Get-AzureADUser -All $true | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

Definir uma senha para expirar

  1. Abra um prompt do PowerShell e conecte-se ao locatário do Azure AD usando uma conta de administrador global ou de administrador de usuário.

  2. Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:

    • Para definir a senha de um usuário para que ela expire, execute o cmdlet a seguir. Substitua <user ID> pela ID de usuário do usuário que você deseja verificar, como driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies None
      
    • Para definir as senhas de todos os usuários da organização para que elas expirem, use o seguinte cmdlet:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies None
      

Definir uma senha para nunca expirar

  1. Abra um prompt do PowerShell e conecte-se ao locatário do Azure AD usando uma conta de administrador global ou de administrador de usuário.

  2. Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:

    • Para definir a senha de um usuário para que ela nunca expire, execute o cmdlet a seguir. Substitua <user ID> pela ID de usuário do usuário que você deseja verificar, como driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • Para definir as senhas de todos os usuários de uma organização para nunca expirar, execute o seguinte cmdlet:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies DisablePasswordExpiration
      

    Aviso

    Senhas definidas como -PasswordPolicies DisablePasswordExpiration ainda expiram com base no atributo pwdLastSet. Com base no atributo pwdLastSet, se você alterar a expiração para -PasswordPolicies None, todas as senhas que tenham um pwdLastSet com idade acima de 90 dias exigirão que o usuário as altere na próxima vez que entrarem. Essa alteração pode afetar um grande número de usuários.

Próximas etapas

Para começar com a SSPR, confira Tutorial: permitir que os usuários desbloqueiem sua conta ou redefinam senhas usando a redefinição de senha self-service do Azure Active Directory.

Se você ou os usuários tiverem problemas com a SSPR, confira Solucionar problemas da redefinição de senha self-service