Políticas de palavras-passe e restrições de conta no Azure Active Directory

No Azure Ative Directory (Azure AD), existe uma política de palavra-passe que define configurações como a complexidade, comprimento ou idade da palavra-passe. Há também uma política que define caracteres e comprimentos aceitáveis para nomes de utilizadores.

Quando a palavra-passe de autosserviço é utilizada para alterar ou redefinir uma palavra-passe em Azure AD, a política de palavra-passe é verificada. Se a palavra-passe não cumprir os requisitos da apólice, o utilizador é solicitado a tentar novamente. Os administradores da Azure têm algumas restrições na utilização de SSPR que são diferentes das contas regulares dos utilizadores.

Este artigo descreve as definições de política de palavra-passe e os requisitos de complexidade associados às contas de utilizador no seu Azure AD inquilino, e como pode utilizar o PowerShell para verificar ou definir as definições de validade da palavra-passe.

Políticas de nome de utilizador

Todas as contas que se inscrevem na Azure AD devem ter um valor único de atributo de utilizador (UPN) associado à sua conta. Em ambientes híbridos com um ambiente Ative Directory no local Domain Services (AD DS) sincronizado para Azure AD utilizando Azure AD Connect, por padrão, o Azure AD UPN está definido para a UPN on-prem.

O quadro que se segue descreve as políticas de nome de utilizador que se aplicam tanto às contas AD DS no local que são sincronizadas a Azure AD, como às contas de utilizadores criadas apenas na nuvem em Azure AD:

Propriedade Requisitos do Nome UserPrincipal
Caracteres permitidos
  • A – Z
  • a - z
  • 0 – 9
  • ' . - _ ! # ^ ~
Caracteres não são permitidos
  • Qualquer personagem "@" que não esteja a separar o nome de utilizador do domínio.
  • Não pode conter um caráter de época "." imediatamente precedendo o símbolo "@"
Restrições de comprimento
  • O comprimento total não deve exceder 113 caracteres
  • Pode haver até 64 caracteres antes do símbolo "@"
  • Pode haver até 48 caracteres após o símbolo "@"

Azure AD políticas de senha

Uma política de palavra-passe é aplicada a todas as contas de utilizador que são criadas e geridas diretamente em Azure AD. Algumas destas definições de política de palavra-passe não podem ser modificadas, embora possa configurar senhas proibidas personalizadas para Azure AD de proteção de palavras-passe ou parâmetros de bloqueio de conta.

Por predefinição, uma conta é bloqueada após 10 tentativas de inscrição falhadas com a senha errada. O utilizador está bloqueado por um minuto. Outras tentativas de entrada incorreta bloqueiam o utilizador durante o período de tempo. O bloqueio inteligente rastreia os últimos três haques de palavra-passe estragados para evitar o incremento do contador de bloqueio para a mesma palavra-passe. Se alguém introduzir a mesma palavra-passe errada várias vezes, este comportamento não fará com que a conta bloqueie. Pode definir o limiar de bloqueio inteligente e a duração.

A Azure AD a política de palavra-passe não se aplica às contas de utilizador sincronizadas a partir de um ambiente AD DS no local utilizando Azure AD Connect, a menos que ative o EnforceCloudPasswordPolicyForPasswordSyncedUsers.

São definidas as seguintes opções de política de Azure AD palavra-passe. A menos que seja notado, não pode alterar estas definições:

Propriedade Requisitos
Caracteres permitidos
  • A – Z
  • a - z
  • 0 – 9
  • @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
  • espaço em branco
Caracteres não são permitidos Unicode caracteres.
Restrições de senha
  • Um mínimo de 8 caracteres e um máximo de 256 caracteres.
  • Requer três de quatro dos seguintes:
    • Personagens minúsculos.
    • Personagens maiúsculas.
    • Números (0-9).
    • Símbolos (ver as restrições de senha anteriores).
Duração da duração da palavra-passe (idade máxima da senha)
  • Valor predefinido: 90 dias.
  • O valor é configurável utilizando o Set-MsolPasswordPolicy cmdlet do Módulo de Diretório Ativo Azure para Windows PowerShell.
Notificação de expiração da palavra-passe (Quando os utilizadores são notificados da expiração da palavra-passe)
  • Valor predefinido: 14 dias (antes da palavra-passe expirar).
  • O valor é configurável utilizando o Set-MsolPasswordPolicy cmdlet.
Prazo de validade (Deixe que as palavras-passe nunca expirem)
  • Valor predefinido: falso (indica que a palavra-passe tem uma data de validade).
  • O valor pode ser configurado para contas individuais de utilizador utilizando o Set-MsolUser cmdlet.
Histórico de mudança de palavra-passe A última palavra-passe não pode ser usada novamente quando o utilizador muda uma palavra-passe.
Histórico de reset de palavra-passe A última palavra-passe pode ser novamente utilizada quando o utilizador reinicia uma palavra-passe esquecida.

Administrator reset policy differences (Diferenças da política de reposição de administrador)

Por padrão, as contas do administrador são ativadas para o reset da palavra-passe de autosserviço e uma forte política de reset de senha de dois prazos por defeito é aplicada. Esta política pode ser diferente da que definiu para os seus utilizadores, e esta política não pode ser alterada. Deve sempre testar a funcionalidade de reset da palavra-passe como utilizador sem quaisquer funções de administrador Azure atribuídas.

Com uma política de dois portões, os administradores não têm a capacidade de usar questões de segurança.

A política de dois portões requer duas peças de dados de autenticação, como um endereço de e-mail, aplicação autenticadora ou um número de telefone. Nas seguintes circunstâncias, aplica-se uma política de dois prazos:

  • Todas as seguintes funções de administrador da Azure são afetadas:

    • Administrador de aplicação
    • Administrador de serviço de procuração de aplicação
    • Administrador de autenticação
    • Azure AD administrador local do dispositivo
    • Administrador de faturação
    • Administrador de conformidade
    • Administradores de dispositivos
    • Contas de sincronização de diretórios
    • Escritores de diretório
    • Administrador dinâmico 365
    • Administrador do Exchange
    • Administrador global ou administrador da empresa
    • Administrador da Helpdesk
    • Administrador do Intune
    • Administrador da caixa de correio
    • Suporte parceiro Tier1
    • Suporte parceiro Tier2
    • Administrador de palavras-passe
    • Administrador do serviço Power BI
    • Administrador de Autenticação Privilegiada
    • Administrador privilegiado
    • Administrador de segurança
    • Administrador de suporte de serviços
    • Administrador do SharePoint
    • Administrador do Skype para Empresas
    • Administrador de utilizadores
  • Se tiverem decorrido 30 dias de subscrição experimental; ou

  • Um domínio personalizado foi configurado para o seu inquilino Azure AD, como contoso.com;

  • Azure AD Connect está sincronizando identidades do seu diretório no local

Pode desativar a utilização de SSPR para contas de administrador utilizando o cmdlet PowerShell Set-MsolCompanySettings . O -SelfServePasswordResetEnabled $False parâmetro desativa a SSPR para administradores. As alterações de política para desativar ou permitir que o SSPR para contas de administrador possa demorar até 60 minutos a produzir efeitos.

Exceções

Uma política de um portão requer uma peça de dados de autenticação, como um endereço de e-mail ou número de telefone. Nas seguintes circunstâncias, aplica-se uma política de um portão único:

  • É nos primeiros 30 dias de uma assinatura experimental; ou
  • Um domínio personalizado não foi configurado para o seu inquilino Azure AD, pelo que está a usar o padrão *.onmicrosoft.com. O domínio padrão *.onmicrosoft.com não é recomendado para uso de produção; e
  • Azure AD Connect não está a sincronizar identidades

Políticas de expiração de palavra-passe

Um administrador global ou administrador de utilizador pode utilizar o Módulo Microsoft Azure AD para Windows PowerShell para definir palavras-passe do utilizador para não expirar.

Também pode utilizar cmdlets PowerShell para remover a configuração de nunca expirar ou para ver quais as palavras-passe do utilizador definidas para nunca expirar.

Esta orientação aplica-se a outros fornecedores, como Intune e Microsoft 365, que também dependem de Azure AD para serviços de identidade e diretório. A expiração das palavras-passe é a única parte da política que pode ser alterada.

Nota

Por padrão, apenas as palavras-passe para contas de utilizador que não sejam sincronizadas através de Azure AD Connect podem ser configuradas para não expirar. Para obter mais informações sobre a sincronização de diretórios, veja Connect AD com o Azure AD.

Set or check the password policies by using PowerShell (Utilizar o PowerShell para definir ou verificar as políticas de palavras-passe)

Para começar, faça o download e instale o módulo powershell Azure AD e conecte-o ao seu inquilino Azure AD.

Depois de instalado o módulo, utilize os seguintes passos para completar cada tarefa conforme necessário.

Verifique a política de expiração para obter uma senha

  1. Abra uma solicitação PowerShell e ligue-se ao seu inquilino Azure AD utilizando uma conta de administrador global ou administrador de utilizador.

  2. Executar um dos seguintes comandos para um utilizador individual ou para todos os utilizadores:

    • Para ver se a palavra-passe de um único utilizador está definida para nunca expirar, executar o cmdlet seguinte. Substitua-o <user ID> pelo ID do utilizador do utilizador que pretende verificar, tais como driley@contoso.onmicrosoft.com:

      Get-AzureADUser -ObjectId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • Para ver a Palavra-passe nunca expira a definição para todos os utilizadores, execute o seguinte cmdlet:

      Get-AzureADUser -All $true | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

Definir uma senha para expirar

  1. Abra uma solicitação PowerShell e ligue-se ao seu inquilino Azure AD utilizando uma conta de administrador global ou administrador de utilizador.

  2. Executar um dos seguintes comandos para um utilizador individual ou para todos os utilizadores:

    • Para definir a palavra-passe de um utilizador de modo a que a palavra-passe expire, execute o seguinte cmdlet. Substitua-se <user ID> pelo ID do utilizador do utilizador que pretende verificar, tal como driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies None
      
    • Para definir as palavras-passe de todos os utilizadores da organização para que expirem, utilize o seguinte cmdlet:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies None
      

Desafine uma senha para nunca expirar

  1. Abra uma solicitação PowerShell e ligue-se ao seu inquilino Azure AD utilizando uma conta de administrador global ou administrador de utilizador.

  2. Executar um dos seguintes comandos para um utilizador individual ou para todos os utilizadores:

    • Para definir a palavra-passe de um utilizador para nunca expirar, executar o cmdlet seguinte. Substitua-se <user ID> pelo ID do utilizador do utilizador que pretende verificar, tal como driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • Para definir as palavras-passe de todos os utilizadores de uma organização para nunca expirar, executar o seguinte cmdlet:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies DisablePasswordExpiration
      

    Aviso

    As palavras-passe definidas para -PasswordPolicies DisablePasswordExpiration a idade ainda com base no pwdLastSet atributo. Com base no pwdLastSet atributo, se alterar a expiração para -PasswordPolicies None, todas as palavras-passe com mais de pwdLastSet 90 dias requerem que o utilizador as altere na próxima vez que iniciar a sua sação. Esta alteração pode afetar um grande número de utilizadores.

Passos seguintes

Para começar com o SSPR, consulte Tutorial: Ative os utilizadores para desbloquearem a sua conta ou redefinirem as palavras-passe utilizando o reset da palavra-passe do Autosserviço do Azure Ative Directory.

Se você ou utilizadores tiverem problemas com SSPR, consulte a palavra-passe de autosserviço de resolução de problemas