Политики паролей и ограничения учетных записей для паролей в Microsoft Entra ID

  • Статья

В идентификаторе Microsoft Entra есть политика паролей, которая определяет такие параметры, как сложность пароля, длина или возраст. Существует также политика, которая определяет допустимые символы и длину имен пользователей.

При самостоятельном сбросе пароля (SSPR) используется для изменения или сброса пароля в идентификаторе Microsoft Entra, политика паролей проверка. Если пароль не соответствует требованиям политики, пользователю предлагается повторить попытку. Администраторы Azure имеют некоторые ограничения на использование SSPR, которые отличаются от обычных учетных записей пользователей, и существуют незначительные исключения для пробной версии и бесплатных версий идентификатора Microsoft Entra.

В этой статье описываются параметры политики паролей и требования к сложности, связанные с учетными записями пользователей. Здесь также описывается, как использовать PowerShell для проверка или настройки параметров истечения срока действия пароля.

Политики имен пользователей

Все учетные записи, с которыми выполнен вход в Microsoft Entra ID, должны иметь уникальное значение атрибута имени субъекта-пользователя (UPN), связанное с этой учетной записью. В гибридных средах с средой локальная служба Active Directory доменных служб (AD DS), синхронизированной с идентификатором Microsoft Entra с помощью Microsoft Entra Подключение, по умолчанию имя участника-пользователя Microsoft Entra имеет локальную имя участника-пользователя.

В следующей таблице описаны политики имени пользователя, которые применяются как к локальным учетным записям AD DS, которые синхронизируются с идентификатором Microsoft Entra ID, так и для учетных записей пользователей, созданных непосредственно в идентификаторе Microsoft Entra.

Свойство Требования UserPrincipalName
Допустимые символы A–Z
a–z
0–9
' . - _ ! # ^ ~
Недопустимые символы Любой знак "@", который не отделяет имя пользователя от домена.
Не может содержать знак точки "." непосредственно перед знаком "@".
Ограничения длины Общая длина не должна превышать 113 знаков.
Перед знаком "@" может быть до 64 знаков.
После знака "@" может быть до 48 знаков.

Политики паролей Microsoft Entra

Политика паролей применяется ко всем учетным записям пользователей, созданным и управляемым непосредственно в идентификаторе Microsoft Entra. Некоторые из этих параметров политики паролей нельзя изменить, хотя можно настроить настраиваемые запрещенные пароли для защиты паролей Microsoft Entra или параметров блокировки учетных записей.

По умолчанию после 10 неудачных попыток входа с неправильным паролем учетная запись блокируется. Пользователь блокируется на одну минуту. Последующие неудачные попытки входа приведут к блокировке пользователя на более длительное время. Смарт-блокировка отслеживает хэши последних трех попыток неправильного ввода пароля во избежание повторного увеличения счетчика блокировки для того же пароля. Если кто-то вводит один и тот же неправильный пароль несколько раз, они не будут заблокированы. Можно определить пороговое значение и длительность смарт-блокировки.

Политика паролей Microsoft Entra не применяется к учетным записям пользователей, синхронизированным из локальной среды AD DS с помощью Microsoft Entra Подключение, если вы не включите ApplyCloudPasswordPolicyForPasswordSyncedUsers.

Определены следующие параметры политики паролей Microsoft Entra. Если не указано иное, эти параметры изменить нельзя.

Свойство Требования
Допустимые символы A–Z
a–z
0–9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <>
Пустое пространство
Недопустимые символы Символы Юникода
Ограничения для пароля От 8 до 256 знаков.
Требуется три из четырех из следующих типов символов:
— Строчные буквы
— Прописные буквы
- Числа (0-9)
— Символы (см. предыдущие ограничения паролей)
Длительность срока действия пароля (максимальный срок существования пароля) Значение по умолчанию: 90 дней. Если клиент был создан после 2021 года, он не имеет значения срока действия по умолчанию. Вы можете проверка текущую политику с помощью Get-MgDomain.
Это значение можно настроить с помощью командлета Update-MgDomain из модуля Microsoft Graph для PowerShell.
Срок действия пароля истекает (пароли можно сделать бессрочными) Значение по умолчанию: false (указывает, что пароли имеют дату окончания срока действия).
Значение можно настроить для отдельных учетных записей пользователей с помощью командлета Update-MgUser .
Журнал изменения пароля Последний пароль невозможно использовать повторно, когда пользователь изменяет пароль.
Журнал сброса пароля Последний пароль можно использовать повторно, когда пользователь сбрасывает забытый пароль.

Различия политики сброса администратора

По умолчанию учетные записи администратора поддерживают самостоятельный сброс пароля, и принудительно применяется стандартная строгая политика сброса паролей с двумя шлюзами. Эта политика может отличаться от той, которая была определена для пользователей, и ее изменить нельзя. Всегда следует тестировать функции сброса пароля от имени пользователя, которому не назначена какая-либо роль администратора Azure.

Политика с двумя шлюзами требует двух частей данных проверки подлинности, таких как адрес электронной почты, приложение authenticator или номер телефона, и запрещает вопросы безопасности. Офисные и мобильные голосовые звонки также запрещены для пробной или бесплатной версии Microsoft Entra ID.

Двухфакторная политика применяется в следующих случаях:

  • затронуты все следующие роли администратора:

    • Администратор приложений
    • администратор прокси-сервера приложений;
    • Администратор проверки подлинности
    • Администратор выставления счетов
    • Администратор соответствия требованиям
    • Администраторы устройств
    • Учетные записи синхронизации службы каталогов
    • создатели каталогов;
    • Администратор Dynamics 365
    • Администратор Exchange
    • глобальный или корпоративный администратор;
    • Администратор службы поддержки
    • Администратор Intune
    • администратор почтовых ящиков;
    • Microsoft Entra Joined Device Local Администратор istrator
    • Поддержка партнеров уровня 1
    • Поддержка партнеров уровня 2
    • Администратор паролей
    • администратор службы Power BI.
    • Привилегированный администратор проверки подлинности,
    • администратор привилегированных ролей;
    • Администратор безопасности
    • администратор службы поддержки;
    • Администратор SharePoint
    • администратор Skype для бизнеса;
    • Администратор Teams
    • Администратор связи Teams
    • Администраторы устройств Teams
    • Администратор пользователей

  • если прошло 30 дней с момента установки пробной подписки; или

  • Личный домен настроен для клиента Microsoft Entra, например contoso.com; или

  • Microsoft Entra Подключение синхронизирует удостоверения из локального каталога.

Вы можете отключить использование SSPR для учетных записей администратора с помощью командлета Update-MgPolicyAuthorizationPolicy PowerShell. Параметр -AllowedToUseSspr:$true|$false включает или отключает SSPR для администраторов. Изменения политики для включения или отключения SSPR для учетных записей администратора могут занять до 60 минут.

Исключения

Однофакторная политика требует ввода одного фрагмента данных для аутентификации, такого как адрес электронной почты или номер телефона. Однофакторная политика применяется в следующих случаях:

  • еще не прошло 30 дней с момента установки пробной подписки

    -или-

  • Личный домен не настроен (клиент использует значение по умолчанию *.onmicrosoft.com, которое не рекомендуется для использования в рабочей среде) и Microsoft Entra Подключение не синхронизирует удостоверения.

Глобальный Администратор istrator или user Администратор istrator может использовать Microsoft Graph для установки паролей пользователей, которые не истекают.

Можно также использовать командлеты PowerShell, чтобы удалить бессрочную конфигурацию или просмотреть, какие пароли пользователей имеют неограниченный срок действия.

Это руководство относится к другим поставщикам, таким как Intune и Microsoft 365, которые также используют идентификатор Microsoft Entra для служб удостоверений и каталогов. Срок действия пароля — это единственное, что может быть изменено в политике.

Примечание.

По умолчанию можно настроить только пароли для учетных записей пользователей, которые не синхронизированы с помощью Microsoft Entra Подключение. Дополнительные сведения о синхронизации каталогов см. в статье Интеграция локальных каталогов с Microsoft Entra ID.

Задание или проверка политик пароля с помощью PowerShell.

Чтобы приступить к работе, скачайте и установите модуль Microsoft Graph PowerShell и подключите его к клиенту Microsoft Entra.

После установки модуля придерживайтесь приведенных ниже инструкций, чтобы при необходимости выполнить все следующие задачи.

Проверка политики срока действия пароля

  1. Откройте запрос PowerShell и подключитесь к клиенту Microsoft Entra с помощью глобальной Администратор istrator или учетной записи пользователя Администратор istrator.

  2. Выполните одну из следующих команд для отдельного пользователя или всех пользователей сразу.

    • Чтобы узнать, обозначен ли пароль отдельного пользователя как бессрочный, воспользуйтесь следующим командлетом. Замените <user ID> идентификатор пользователя, который вы хотите проверка:

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

    • Чтобы просмотреть параметр " Пароль" для всех пользователей, выполните следующий командлет:

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

Задание срока действия пароля

  1. Откройте запрос PowerShell и подключитесь к клиенту Microsoft Entra с помощью глобальной Администратор istrator или учетной записи пользователя Администратор istrator.

  2. Выполните одну из следующих команд для отдельного пользователя или всех пользователей сразу.

    • Чтобы установить для пароля отдельного пользователя конечный срок действия, воспользуйтесь следующим командлетом. Замените <user ID> идентификатор пользователя, который вы хотите проверка:

      Update-MgUser -UserId <user ID> -PasswordPolicies None

    • Чтобы задать пароли всех пользователей в организации, чтобы срок их действия истек, используйте следующую команду:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }

Установка бессрочного пароля

  1. Откройте запрос PowerShell и подключитесь к клиенту Microsoft Entra с помощью глобальной Администратор istrator или учетной записи пользователя Администратор istrator.

  2. Выполните одну из следующих команд для отдельного пользователя или всех пользователей сразу.

    • Чтобы установить бессрочный пароль для отдельного пользователя, воспользуйтесь следующим командлетом. Замените <user ID> идентификатор пользователя, который вы хотите проверка:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration

    • Чтобы задать пароли всех пользователей в организации, которые никогда не истекают, выполните следующий командлет:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }

    Предупреждение

    Пароль, для которого задано -PasswordPolicies DisablePasswordExpiration, по-прежнему имеет срок использования, определяемый атрибутом LastPasswordChangeDateTime. В зависимости от атрибута LastPasswordChangeDateTime, если задать срок действия, указав -PasswordPolicies None, то всем пользователям, у паролей которых значение LastPasswordChangeDateTime превышает 90 дней, будет необходимо сменить пароль при следующем входе. Это изменение может повлиять на большое количество пользователей.

Следующие шаги

Сведения о начале работы с SSPR см. в руководстве по разблокировке учетной записи или сбросу паролей с помощью самостоятельного сброса пароля Microsoft Entra.

Если у вас или у ваших пользователей возникли проблемы с SSPR, см. статью об устранении неполадок при самостоятельном сбросе пароля.