Объединенная политика паролей и проверка слабых паролей в идентификаторе Microsoft Entra
Начиная с октября 2021 года проверка Microsoft Entra для соответствия политикам паролей также включает проверку известных слабых паролей и их вариантов. В этом разделе описываются сведения о критериях политики паролей, проверяемых идентификатором Microsoft Entra.
Политики паролей Microsoft Entra
Политика паролей применяется ко всем учетным записям пользователей и администраторов, созданным и управляемым непосредственно в идентификаторе Microsoft Entra. Можно запретить ненадежные пароли и определить параметры для блокировки учетной записи после повторяющихся попыток ввода ненадежного пароля. Изменить другие параметры политики паролей нельзя.
Политика паролей Microsoft Entra не применяется к учетным записям пользователей, синхронизированным из локальной среды AD DS с помощью Microsoft Entra Connect, если вы не включите ApplyCloudPasswordPolicyForPasswordSyncedUsers. Если включена функция Принудительной записи паролей EnforceCloudPasswordPolicyForPasswordSyncedUsers и обратной записи паролей, применяется политика истечения срока действия пароля Microsoft Entra, но локальная политика паролей имеет приоритет для длительности, сложности и т. д.
Следующие требования политики паролей Microsoft Entra применяются ко всем паролям, созданным, измененным или сбросным в идентификаторе Microsoft Entra. Требования применяются при подготовке пользователей, а также изменении и сбросе пароля. В эти параметры нельзя внести никакие изменения за исключением указанных здесь.
Свойство | Требования |
---|---|
Допустимые символы | Прописные буквы (A–Z) Строчные буквы (a–z) Числа (0–9) Символы: - @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> - пробел |
Недопустимые символы | Символы Юникода |
Длина пароля | Требования к паролям — Не менее 8 символов — Не более 256 символов |
Сложность пароля | Пароли должны содержать символы трех из следующих четырех категорий: — Прописные буквы — Строчные буквы -Числа — Символы Примечание: для арендаторов Azure для образования проверка сложности пароля не требуется. |
Пароль не использовался недавно | При изменении пароля новый пароль не должен совпадать с текущим паролем. |
Пароль не запрещен защитой паролей Microsoft Entra | Пароль не может находиться в глобальном списке запрещенных паролей для защиты паролей Microsoft Entra Или в настраиваемом списке запрещенных паролей, относящихся к вашей организации. |
Политики истечения срока действия паролей остаются без изменений, но описаны в этом разделе для полноты. Те, кто назначен по крайней мере роль администратора пользователя, могут использовать командлеты Microsoft Graph PowerShell, чтобы не истекать срок действия паролей пользователей.
Примечание.
По умолчанию неограниченный срок действия можно настроить только для паролей учетных записей пользователей, которые не синхронизируются с помощью Microsoft Entra Connect. Дополнительные сведения о синхронизации каталогов см. в статье Интеграция локальных каталогов с Microsoft Entra ID.
Можно также использовать PowerShell, чтобы удалить конфигурацию неограниченного срока действия или просмотреть, какие пароли пользователей имеют неограниченный срок действия.
Следующие требования к истечению срока действия применяются к другим поставщикам, используюющим идентификатор Microsoft Entra для служб удостоверений и каталогов, таких как Microsoft Intune и Microsoft 365.
Свойство | Требования |
---|---|
Длительность срока действия пароля (максимальный срок существования пароля) | Значение по умолчанию: 90 дней. Это значение можно настроить с помощью командлета Update-MgDomain из модуля Microsoft Graph PowerShell. |
Срок действия пароля истекает (пароли можно сделать бессрочными) | Значение по умолчанию: false (указывает, что у пароля есть дата окончания срока действия). Значение можно настроить для отдельных учетных записей пользователей с помощью командлета Update-MgUser . |