Microsoft Entra Kimliğinde parola ilkeleri ve hesap kısıtlamaları
Microsoft Entra Id'de parola karmaşıklığı, uzunluğu veya yaşı gibi ayarları tanımlayan bir parola ilkesi vardır. Kullanıcı adları için kabul edilebilir karakterleri ve uzunluğu tanımlayan bir ilke de vardır.
Microsoft Entra Id'de parolayı değiştirmek veya sıfırlamak için self servis parola sıfırlama (SSPR) kullanıldığında, parola ilkesi denetlenir. Parola ilke gereksinimlerini karşılamıyorsa kullanıcıdan yeniden denemesi istenir. Azure yöneticilerinin SSPR kullanımıyla ilgili normal kullanıcı hesaplarından farklı bazı kısıtlamaları vardır ve Microsoft Entra Id'nin deneme ve ücretsiz sürümleri için küçük özel durumlar vardır.
Bu makalede, kullanıcı hesaplarıyla ilişkili parola ilkesi ayarları ve karmaşıklık gereksinimleri açıklanmaktadır. Ayrıca, parola süre sonu ayarlarını denetlemek veya ayarlamak için PowerShell'in nasıl kullanılacağını da kapsar.
Kullanıcı adı ilkeleri
Microsoft Entra Kimlik'te oturum açan her hesabın, hesabıyla ilişkili benzersiz bir kullanıcı asıl adı (UPN) öznitelik değerine sahip olması gerekir. Şirket içi Active Directory Etki Alanı Hizmetleri ortamının Microsoft Entra Connect kullanılarak Microsoft Entra ID ile eşitlenmiş olduğu karma ortamlarda, varsayılan olarak Microsoft Entra Id UPN şirket içi UPN'ye ayarlanır.
Aşağıdaki tabloda, hem Microsoft Entra Kimliği ile eşitlenen şirket içi hesaplara hem de doğrudan Microsoft Entra Id'de oluşturulan yalnızca bulut kullanıcı hesaplarına uygulanan kullanıcı adı ilkeleri özetlenmiştir:
Özellik | UserPrincipalName gereksinimleri |
---|---|
İzin verilen karakterler | A – Z a - z 0 – 9 ' . - _ ! # ^ ~ |
Karakterlere izin verilmiyor | Kullanıcı adını etki alanından ayırmayan herhangi bir "@" karakteri. "@" simgesinden hemen önce "." nokta karakteri içeremez |
Uzunluk kısıtlamaları | Toplam uzunluk 113 karakteri aşmamalıdır "@" simgesinden önce en fazla 64 karakter olabilir "@" simgesinden sonra en fazla 48 karakter olabilir |
Microsoft Entra parola ilkeleri
Doğrudan Microsoft Entra Id'de oluşturulan ve yönetilen tüm kullanıcı hesaplarına bir parola ilkesi uygulanır. Bu parola ilkesi ayarlarından bazıları değiştirilemez, ancak Microsoft Entra parola koruması veya hesap kilitleme parametreleri için özel yasaklanmış parolalar yapılandırabilirsiniz.
Varsayılan olarak, 10 başarısız oturum açma girişiminden sonra yanlış parolayla bir hesap kilitlenir. Kullanıcı bir dakika boyunca kilitlenir. Daha fazla yanlış oturum açma girişiminden sonra kilitleme süresi artar. Akıllı kilitleme , aynı parola için kilitleme sayacının artırılmasını önlemek için son üç hatalı parola karmasını izler. Bir kişi aynı hatalı parolayı birden çok kez girerse, kilitlenmez. Akıllı kilitleme eşiğini ve süresini tanımlayabilirsiniz.
Aşağıdaki Microsoft Entra parola ilkesi seçenekleri tanımlanır. Not edilmediği sürece, şu ayarları değiştiremezsiniz:
Özellik | Gereksinimler |
---|---|
İzin verilen karakterler | A – Z a - z 0 – 9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> Boşluk |
Karakterlere izin verilmiyor | Unicode karakterleri |
Parola kısıtlamaları | En az 8 karakter ve en fazla 256 karakter. Aşağıdaki karakter türlerinden dörtte üçü gerekir: - Küçük harfler - Büyük harf karakterler - Sayılar (0-9) - Simgeler (önceki parola kısıtlamalarına bakın) |
Parola süre sonu süresi (En fazla parola yaşı) | Varsayılan değer: 90 gün. Kiracı 2021'in ardından oluşturulduysa varsayılan süre sonu değeri yoktur. Get-MgDomain ile geçerli ilkeyi de kontrol edebilirsiniz. Değer, PowerShell için Microsoft Graph modülündeki Update-MgDomain cmdlet'i kullanılarak yapılandırılabilir. |
Parola süre sonu (Parolaların süresinin hiç dolmasına izin verme) | Varsayılan değer: false (parolaların son kullanma tarihi olduğunu gösterir). Değer, Update-MgUser cmdlet'i kullanılarak tek tek kullanıcı hesapları için yapılandırılabilir. |
Parola değiştirme geçmişi | Kullanıcı parolayı değiştirdiğinde son parola yeniden kullanılamaz. |
Parola sıfırlama geçmişi | Son parola, kullanıcı unutulan bir parolayı sıfırladığında yeniden kullanılabilir . |
EnforceCloudPasswordPolicyForPasswordSyncedUsers'ı etkinleştirirseniz, Microsoft Entra parola ilkesi Microsoft Entra Connect kullanılarak şirket içinden eşitlenen kullanıcı hesapları için geçerlidir. Buna ek olarak, kullanıcı şirket içi parolayı unicode karakter içerecek şekilde değiştirirse, parola değişikliği şirket içinde başarılı olabilir ancak Microsoft Entra Kimliği'nde başarılı olmayabilir. Microsoft Entra Connect ile parola karması eşitlemesi etkinleştirildiyse, kullanıcı bulut kaynakları için bir erişim belirteci almaya devam edebilir. Ancak kiracı Kullanıcı risk tabanlı parola değişikliğini etkinleştirirse, parola değişikliği yüksek riskli olarak bildirilir.
Kullanıcıdan parolasını yeniden değiştirmesi istenir. Ancak değişiklik yine de unicode karakter içeriyorsa, akıllı kilitleme de etkinleştirilirse kilitlenebilir.
Risk tabanlı parola sıfırlama ilkesi sınırlamaları
EnforceCloudPasswordPolicyForPasswordSyncedUsers'ı etkinleştirirseniz, yüksek risk belirlendikten sonra bulut parola değişikliği gerekir. Kullanıcıdan Microsoft Entra Id'de oturum açarken parolasını değiştirmesi istenir. Yeni parolanın hem bulut hem de şirket içi parola ilkeleriyle uyumlu olması gerekir.
Parola değişikliği şirket içi gereksinimleri karşılıyorsa ancak bulut gereksinimlerini karşılayamazsa, parola karması eşitlemesi etkinleştirildiğinde parola değişikliği başarılı olur. Örneğin, yeni parola bir Unicode karakteri içeriyorsa, parola değişikliği şirket içinde güncelleştirilebilir ancak bulutta güncelleştirilemez.
Parola bulut parola gereksinimleriyle uyumlu değilse, bulutta güncelleştirilmez ve hesap riski azalmaz. Kullanıcı bulut kaynakları için bir erişim belirteci almaya devam eder, ancak bulut kaynaklarına bir sonraki erişişinde parolasını yeniden değiştirmesi istenir. Kullanıcı, seçtiği parolanın bulut gereksinimlerini karşılayamadığından dolayı herhangi bir hata veya bildirim görmez.
Yönetici sıfırlama ilkesi farklılıkları
Varsayılan olarak, yönetici hesapları self servis parola sıfırlama için etkinleştirilir ve güçlü bir varsayılan iki kapılı parola sıfırlama ilkesi uygulanır. Bu ilke, kullanıcılarınız için tanımladığınız ilkeden farklı olabilir ve bu ilke değiştirilemez. Herhangi bir Azure yönetici rolü atanmamış bir kullanıcı olarak parola sıfırlama işlevini her zaman test etmelisiniz.
İki kapılı ilke, e-posta adresi, kimlik doğrulayıcı uygulaması veya telefon numarası gibi iki kimlik doğrulama verisi gerektirir ve güvenlik sorularını yasaklar. Microsoft Entra ID'nin deneme sürümü veya ücretsiz sürümleri için Office ve mobil sesli aramaları da yasaklanmıştır.
SSPR yönetici ilkesi Kimlik Doğrulamaları yöntemi ilkesine bağlı değildir. Örneğin, Kimlik doğrulama yöntemleri ilkesinde üçüncü taraf yazılım belirteçlerini devre dışı bırakırsanız, yönetici hesapları yine de üçüncü taraf yazılım belirteci uygulamalarını kaydedebilir ve kullanabilir, ancak yalnızca SSPR için kullanabilir.
İki kapılı bir ilke aşağıdaki durumlarda geçerlidir:
Aşağıdaki tüm Azure yönetici rolleri etkilenir:
- Uygulama Yöneticisi
- Kimlik Doğrulama Yöneticisi
- Faturalama Yöneticisi
- Uyumluluk Yöneticisi
- Bulut Cihazı Yöneticisi
- Dizin Eşitleme Hesapları
- Dizin Yazarları
- Dynamics 365 Yöneticisi
- Exchange Yöneticisi
- Genel Yönetici
- Yardım Masası Yöneticisi
- Intune Yöneticisi
- Microsoft Entra'ya Katılmış Cihaz Yerel Yöneticisi
- İş Ortağı Katmanı1 Desteği
- İş Ortağı Katmanı2 Desteği
- Parola Yöneticisi
- Power Platform Yöneticisi
- Ayrıcalıklı Kimlik Doğrulama Yöneticisi
- Ayrıcalıklı Rol Yöneticisi
- Güvenlik Yöneticisi
- Hizmet Desteği Yöneticisi
- SharePoint Yöneticisi
- Skype Kurumsal Yöneticisi
- Teams Yöneticisi
- Teams İletişim Yöneticisi
- Teams Cihazları Yöneticisi
- Kullanıcı Yöneticisi
Deneme aboneliğinde 30 gün geçtikten sonra
-Veya-
Microsoft Entra kiracınız için contoso.com gibi özel bir etki alanı yapılandırılır
-Veya-
Microsoft Entra Connect, şirket içi dizininizdeki kimlikleri eşitler
Update-MgPolicyAuthorizationPolicy PowerShell cmdlet'ini kullanarak yönetici hesapları için SSPR kullanımını devre dışı bırakabilirsiniz. -AllowedToUseSspr:$true|$false
parametresi, yöneticiler için SSPR'yi etkinleştirir/devre dışı bırakır. Yönetici hesapları için SSPR'yi etkinleştirmek veya devre dışı bırakmak için yapılan ilke değişikliklerinin geçerlilik kazanması 60 dakika kadar sürebilir.
Özel durumlar
Tek kapılı ilke, e-posta adresi veya telefon numarası gibi tek bir kimlik doğrulama verisi gerektirir. Tek kapılı ilke aşağıdaki durumlarda geçerlidir:
Deneme aboneliğinin ilk 30 günü içindedir
-Veya-
Özel bir etki alanı yapılandırılmadı (kiracı üretim kullanımı için önerilmez varsayılan *.onmicrosoft.com kullanıyor) ve Microsoft Entra Connect kimlikleri eşitlemiyor.
Parola süre sonu ilkeleri
Kullanıcı Yöneticileri, kullanıcı parolalarının süresinin dolmaması için Microsoft Graph'ı kullanabilir.
PowerShell cmdlet'lerini, süresi hiç dolmayan yapılandırmayı kaldırmak veya hangi kullanıcı parolalarının hiçbir zaman dolmak üzere ayarlandığını görmek için de kullanabilirsiniz.
Bu kılavuz, Intune ve Microsoft 365 gibi kimlik ve dizin hizmetleri için Microsoft Entra Id kullanan diğer sağlayıcılar için de geçerlidir. İlkenin değiştirilebilen tek bölümü parola süre sonudur.
Not
Varsayılan olarak yalnızca Microsoft Entra Connect aracılığıyla eşitlenmemiş kullanıcı hesaplarının parolaları süresi dolmayacak şekilde yapılandırılabilir. Dizin eşitlemesi hakkında daha fazla bilgi için bkz. AD'yi Microsoft Entra Kimliğine bağlama.
PowerShell kullanarak parola ilkelerini ayarlama ve denetleme
Başlamak için Microsoft Graph PowerShell modülünü indirip yükleyin ve Microsoft Entra kiracınıza bağlayın.
Modül yüklendikten sonra, her görevi gerektiği gibi tamamlamak için aşağıdaki adımları kullanın.
Parola için süre sonu ilkesini denetleyin
Bir PowerShell istemi açın ve Microsoft Entra kiracınıza en az Bir Kullanıcı Yöneticisi olarak bağlanın.
Tek bir kullanıcı veya tüm kullanıcılar için aşağıdaki komutlardan birini çalıştırın:
Tek bir kullanıcının parolasının süresi hiç dolmak üzere ayarlı olup olmadığını görmek için aşağıdaki cmdlet'i çalıştırın. değerini denetlemek istediğiniz kullanıcının kullanıcı kimliğiyle değiştirin
<user ID>
:Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Tüm kullanıcılar için Parola süresi hiç dolmaz ayarını görmek için aşağıdaki cmdlet'i çalıştırın:
Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Parolayı süresi dolacak şekilde ayarlama
Bir PowerShell istemi açın ve Microsoft Entra kiracınıza en az Bir Kullanıcı Yöneticisi olarak bağlanın.
Tek bir kullanıcı veya tüm kullanıcılar için aşağıdaki komutlardan birini çalıştırın:
Parolanın süresinin dolması için bir kullanıcının parolasını ayarlamak için aşağıdaki cmdlet'i çalıştırın. değerini denetlemek istediğiniz kullanıcının kullanıcı kimliğiyle değiştirin
<user ID>
:Update-MgUser -UserId <user ID> -PasswordPolicies None
Kuruluştaki tüm kullanıcıların parolalarını süresi dolacak şekilde ayarlamak için aşağıdaki komutu kullanın:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
Parolayı süresi hiç dolmak üzere ayarlama
Bir PowerShell istemi açın ve Microsoft Entra kiracınıza en az Bir Kullanıcı Yöneticisi olarak bağlanın.
Tek bir kullanıcı veya tüm kullanıcılar için aşağıdaki komutlardan birini çalıştırın:
Bir kullanıcının parolasını süresi hiç dolmak üzere ayarlamak için aşağıdaki cmdlet'i çalıştırın. değerini denetlemek istediğiniz kullanıcının kullanıcı kimliğiyle değiştirin
<user ID>
:Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
Bir kuruluştaki tüm kullanıcıların parolalarını hiçbir zaman sona ermeyecek şekilde ayarlamak için aşağıdaki cmdlet'i çalıştırın:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Uyarı
Parolalar özniteliğine
-PasswordPolicies DisablePasswordExpiration
göre hala yaş olarakLastPasswordChangeDateTime
ayarlanır. özniteliğineLastPasswordChangeDateTime
bağlı olarak, süre sonunu olarak-PasswordPolicies None
değiştirirseniz, 90 günden eski olan tüm parolalarLastPasswordChangeDateTime
, kullanıcının bir sonraki oturum açışında değiştirmesini gerektirir. Bu değişiklik çok sayıda kullanıcıyı etkileyebilir.
Sonraki adımlar
SSPR'yi kullanmaya başlamak için bkz . Öğretici: Microsoft Entra self servis parola sıfırlamayı kullanarak kullanıcıların hesabının kilidini açmalarını veya parolaları sıfırlamalarını sağlama.
Sizin veya kullanıcıların SSPR ile ilgili sorunları varsa bkz . Self servis parola sıfırlama sorunlarını giderme