Lösenordsprinciper och kontobegränsningar i Microsoft Entra ID

  • Artikel

I Microsoft Entra-ID finns det en lösenordsprincip som definierar inställningar som lösenordskomplexitet, längd eller ålder. Det finns också en princip som definierar acceptabla tecken och längd för användarnamn.

När självbetjäning av lösenordsåterställning (SSPR) används för att ändra eller återställa ett lösenord i Microsoft Entra-ID kontrolleras lösenordsprincipen. Om lösenordet inte uppfyller principkraven uppmanas användaren att försöka igen. Azure-administratörer har vissa begränsningar för att använda SSPR som skiljer sig från vanliga användarkonton, och det finns mindre undantag för utvärderingsversioner och kostnadsfria versioner av Microsoft Entra-ID.

I den här artikeln beskrivs inställningar för lösenordsprinciper och komplexitetskrav som är associerade med användarkonton. Den beskriver också hur du använder PowerShell för att kontrollera eller ange inställningar för lösenordets giltighetstid.

Användarnamnsprinciper

Varje konto som loggar in på Microsoft Entra ID måste ha ett unikt UPN-attributvärde (användarhuvudnamn) som är associerat med deras konto. I hybridmiljöer med en lokal Active Directory Domain Services-miljö (AD DS) synkroniserad med Microsoft Entra-ID med Microsoft Entra Anslut är Som standard Microsoft Entra UPN inställt på det lokala UPN.

I följande tabell beskrivs de användarnamnsprinciper som gäller för både lokala AD DS-konton som synkroniseras med Microsoft Entra-ID och för endast molnbaserade användarkonton som skapats direkt i Microsoft Entra-ID:

Property Krav för UserPrincipalName
Tecken tillåts A – Z
a - z
0 – 9
' . - _ ! # ^ ~
Tecken tillåts inte Alla "@"-tecken som inte separerar användarnamnet från domänen.
Det går inte att innehålla punkttecknet "." omedelbart före "@"-symbolen
Längdbegränsningar Den totala längden får inte överstiga 113 tecken
Det kan finnas upp till 64 tecken före "@"-symbolen
Det kan finnas upp till 48 tecken efter "@"-symbolen

Microsoft Entra-lösenordsprinciper

En lösenordsprincip tillämpas på alla användarkonton som skapas och hanteras direkt i Microsoft Entra-ID. Vissa av dessa inställningar för lösenordsprinciper kan inte ändras, men du kan konfigurera anpassade förbjudna lösenord för Microsoft Entra-lösenordsskydd eller kontoutelåsningsparametrar.

Som standard är ett konto utelåst efter 10 misslyckade inloggningsförsök med fel lösenord. Användaren är utelåst i en minut. Ytterligare felaktiga inloggningsförsök låser ut användaren under längre tidsperioder. Smart utelåsning spårar de tre senaste felaktiga lösenordshasharna för att undvika att öka utelåsningsräknaren för samma lösenord. Om någon anger samma felaktiga lösenord flera gånger blir de inte utelåst. Du kan definiera tröskelvärdet för smart utelåsning och varaktighet.

Microsoft Entra-lösenordsprincipen gäller inte för användarkonton som synkroniserats från en lokal AD DS-miljö med Microsoft Entra Anslut, såvida du inte aktiverar EnforceCloudPasswordPolicyForPasswordSyncedUsers.

Följande lösenordsprincipalternativ för Microsoft Entra definieras. Om inget anges kan du inte ändra de här inställningarna:

Property Krav
Tecken tillåts A – Z
a - z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <>
Tomt utrymme
Tecken tillåts inte Unicode-tecken
Lösenordsbegränsningar Minst 8 tecken och högst 256 tecken.
Kräver tre av fyra av följande teckentyper:
– Gemener
- Versaler
- Tal (0-9)
- Symboler (se tidigare lösenordsbegränsningar)
Varaktighet för förfallotid för lösenord (högsta lösenordsålder) Standardvärde: 90 dagar. Om klientorganisationen skapades efter 2021 har den inget standardförfallovärde. Du kan kontrollera den aktuella principen med Get-MgDomain.
Värdet kan konfigureras med hjälp av cmdleten Update-MgDomain från Microsoft Graph-modulen för PowerShell.
Lösenordet upphör att gälla (låt lösenord aldrig upphöra) Standardvärde: false (anger att lösenord har ett förfallodatum).
Värdet kan konfigureras för enskilda användarkonton med hjälp av cmdleten Update-MgUser .
Historik för lösenordsändring Det sista lösenordet kan inte användas igen när användaren ändrar ett lösenord.
Historik för lösenordsåterställning Det sista lösenordet kan användas igen när användaren återställer ett bortglömt lösenord.

Skillnader i återställningsprincip för administratörer

Som standard är administratörskonton aktiverade för självbetjäning av lösenordsåterställning och en stark standardprincip för lösenordsåterställning med två portar tillämpas. Den här principen kan skilja sig från den som du har definierat för dina användare och den här principen kan inte ändras. Du bör alltid testa funktionen för lösenordsåterställning som användare utan tilldelade Azure-administratörsroller.

Principen med två portar kräver två delar av autentiseringsdata, till exempel en e-postadress, en autentiseringsapp eller ett telefonnummer, och den förbjuder säkerhetsfrågor. Office- och mobilsamtal är också förbjudna för utvärderingsversioner eller kostnadsfria versioner av Microsoft Entra ID.

En tvågrindsprincip gäller under följande omständigheter:

  • Alla följande Azure-administratörsroller påverkas:

    • Programadministratör
    • Programproxytjänstadministratör
    • Autentiseringsadministratör
    • Faktureringsadministratör
    • Efterlevnadsadministratör
    • Enhetsadministratörer
    • Katalogsynkroniseringskonton
    • Katalogförfattare
    • Dynamics 365-administratör
    • Exchange-administratör
    • Global administratör eller företagsadministratör
    • Supportadministratör
    • Intune-administratör
    • Postlådeadministratör
    • Lokal administratör för Microsoft Entra-ansluten enhet
    • Stöd för partnernivå 1
    • Support för partnernivå 2
    • Lösenordsadministratör
    • Power BI-tjänst administratör
    • Administratör för privilegierad autentisering
    • Privilegierad rolladministratör
    • Säkerhetsadministratör
    • Tjänstsupportadministratör
    • SharePoint-administratör
    • Skype för företag administratör
    • Användaradministratör

  • Om 30 dagar har förflutit i en utvärderingsprenumeration; Eller

  • En anpassad domän har konfigurerats för din Microsoft Entra-klientorganisation, till exempel contoso.com, eller

  • Microsoft Entra Anslut synkroniserar identiteter från din lokala katalog

Du kan inaktivera användningen av SSPR för administratörskonton med hjälp av Cmdleten Update-MgPolicyAuthorizationPolicy PowerShell. Parametern -AllowedToUseSspr:$true|$false aktiverar/inaktiverar SSPR för administratörer. Principändringar för att aktivera eller inaktivera SSPR för administratörskonton kan ta upp till 60 minuter att börja gälla.

Undantag

En princip med en grind kräver en del av autentiseringsdata, till exempel en e-postadress eller ett telefonnummer. En engrindsprincip gäller under följande omständigheter:

  • Det är inom de första 30 dagarna efter en utvärderingsprenumeration

    -eller-

  • En anpassad domän är inte konfigurerad (klientorganisationen använder standardinställningen *.onmicrosoft.com, som inte rekommenderas för produktionsanvändning) och Microsoft Entra Anslut synkroniserar inte identiteter.

Principer för förfallodatum för lösenord

En global administratör eller användaradministratör kan använda Microsoft Graph för att ange att användarlösenord inte ska upphöra att gälla.

Du kan också använda PowerShell-cmdletar för att ta bort konfigurationen som aldrig upphör att gälla eller för att se vilka användarlösenord som aldrig upphör att gälla.

Den här vägledningen gäller för andra leverantörer, till exempel Intune och Microsoft 365, som också förlitar sig på Microsoft Entra-ID för identitets- och katalogtjänster. Lösenordets giltighetstid är den enda del av principen som kan ändras.

Kommentar

Som standard kan endast lösenord för användarkonton som inte synkroniseras via Microsoft Entra Anslut konfigureras så att de inte upphör att gälla. Mer information om katalogsynkronisering finns i Connect AD med Microsoft Entra ID.

Ange eller kontrollera lösenordsprinciper med hjälp av PowerShell

Kom igång genom att ladda ned och installera Microsoft Graph PowerShell-modulen och ansluta den till din Microsoft Entra-klientorganisation.

När modulen har installerats använder du följande steg för att slutföra varje uppgift efter behov.

Kontrollera förfalloprincipen för ett lösenord

  1. Öppna en PowerShell-prompt och anslut till din Microsoft Entra-klientorganisation med hjälp av ett globalt administratörs - eller användaradministratörskonto .

  2. Kör något av följande kommandon för en enskild användare eller för alla användare:

    • Kör följande cmdlet för att se om en enskild användares lösenord är inställt på att aldrig upphöra att gälla. Ersätt <user ID> med användar-ID:t för den användare som du vill kontrollera:

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

    • Om du vill se inställningen Lösenord upphör aldrig att gälla för alla användare kör du följande cmdlet:

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

Ange att ett lösenord ska upphöra att gälla

  1. Öppna en PowerShell-prompt och anslut till din Microsoft Entra-klientorganisation med hjälp av ett globalt administratörs - eller användaradministratörskonto .

  2. Kör något av följande kommandon för en enskild användare eller för alla användare:

    • Om du vill ange lösenordet för en användare så att lösenordet upphör att gälla kör du följande cmdlet. Ersätt <user ID> med användar-ID:t för den användare som du vill kontrollera:

      Update-MgUser -UserId <user ID> -PasswordPolicies None

    • Om du vill ange lösenord för alla användare i organisationen så att de upphör att gälla använder du följande kommando:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }

Ange att ett lösenord aldrig ska upphöra att gälla

  1. Öppna en PowerShell-prompt och anslut till din Microsoft Entra-klientorganisation med hjälp av ett globalt administratörs - eller användaradministratörskonto .

  2. Kör något av följande kommandon för en enskild användare eller för alla användare:

    • Kör följande cmdlet för att ange att lösenordet för en användare aldrig ska upphöra att gälla. Ersätt <user ID> med användar-ID:t för den användare som du vill kontrollera:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration

    • Kör följande cmdlet för att ange att lösenorden för alla användare i en organisation aldrig ska upphöra att gälla:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }

    Varning

    Lösenord som är inställda -PasswordPolicies DisablePasswordExpiration på fortfarande ålder baserat på attributet LastPasswordChangeDateTime . LastPasswordChangeDateTime Om du ändrar förfallodatumet till -PasswordPolicies Nonekräver alla lösenord som har äldre LastPasswordChangeDateTime än 90 dagar att användaren ändrar dem nästa gång de loggar in. Den här ändringen kan påverka ett stort antal användare.

Nästa steg

Information om hur du kommer igång med SSPR finns i Självstudie: Gör det möjligt för användare att låsa upp sitt konto eller återställa lösenord med microsoft Entra självbetjäning av lösenordsåterställning.

Om du eller användarna har problem med SSPR kan du läsa Felsöka lösenordsåterställning via självbetjäning