Microsoft Entra Kimliğinde parola ilkeleri ve hesap kısıtlamaları

  • Makale

Microsoft Entra Id'de parola karmaşıklığı, uzunluğu veya yaşı gibi ayarları tanımlayan bir parola ilkesi vardır. Kullanıcı adları için kabul edilebilir karakterleri ve uzunluğu tanımlayan bir ilke de vardır.

Microsoft Entra Id'de parolayı değiştirmek veya sıfırlamak için self servis parola sıfırlama (SSPR) kullanıldığında, parola ilkesi denetlenir. Parola ilke gereksinimlerini karşılamıyorsa kullanıcıdan yeniden denemesi istenir. Azure yöneticilerinin SSPR kullanımıyla ilgili normal kullanıcı hesaplarından farklı bazı kısıtlamaları vardır ve Microsoft Entra Id'nin deneme ve ücretsiz sürümleri için küçük özel durumlar vardır.

Bu makalede, kullanıcı hesaplarıyla ilişkili parola ilkesi ayarları ve karmaşıklık gereksinimleri açıklanmaktadır. Ayrıca, parola süre sonu ayarlarını denetlemek veya ayarlamak için PowerShell'in nasıl kullanılacağını da kapsar.

Kullanıcı adı ilkeleri

Microsoft Entra Kimlik'te oturum açan her hesabın, hesabıyla ilişkili benzersiz bir kullanıcı asıl adı (UPN) öznitelik değerine sahip olması gerekir. Şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ortamının Microsoft Entra Bağlan kullanılarak Microsoft Entra Id ile eşitlenmiş olduğu karma ortamlarda, varsayılan olarak Microsoft Entra UPN şirket içi UPN olarak ayarlanır.

Aşağıdaki tabloda, hem Microsoft Entra Kimliği ile eşitlenen şirket içi AD DS hesaplarına hem de doğrudan Microsoft Entra Kimliği'nde oluşturulan yalnızca bulut kullanıcı hesaplarına uygulanan kullanıcı adı ilkeleri özetlenmiştir:

Özellik UserPrincipalName gereksinimleri
İzin verilen karakterler A – Z
a - z
0 – 9
' . - _ ! # ^ ~
Karakterlere izin verilmiyor Kullanıcı adını etki alanından ayırmayan herhangi bir "@" karakteri.
"@" simgesinden hemen önce "." nokta karakteri içeremez
Uzunluk kısıtlamaları Toplam uzunluk 113 karakteri aşmamalıdır
"@" simgesinden önce en fazla 64 karakter olabilir
"@" simgesinden sonra en fazla 48 karakter olabilir

Microsoft Entra parola ilkeleri

Doğrudan Microsoft Entra Id'de oluşturulan ve yönetilen tüm kullanıcı hesaplarına bir parola ilkesi uygulanır. Bu parola ilkesi ayarlarından bazıları değiştirilemez, ancak Microsoft Entra parola koruması veya hesap kilitleme parametreleri için özel yasaklanmış parolalar yapılandırabilirsiniz.

Varsayılan olarak, 10 başarısız oturum açma girişiminden sonra yanlış parolayla bir hesap kilitlenir. Kullanıcı bir dakika boyunca kilitlenir. Daha fazla yanlış oturum açma denemesi, kullanıcıyı daha uzun süreler için kilitler. Akıllı kilitleme , aynı parola için kilitleme sayacının artırılmasını önlemek için son üç hatalı parola karmasını izler. Birisi aynı hatalı parolayı birden çok kez girerse, kilitlenmez. Akıllı kilitleme eşiğini ve süresini tanımlayabilirsiniz.

EnforceCloudPasswordPolicyForPasswordSyncedUsers özelliğini etkinleştirmediğiniz sürece Microsoft Entra parola ilkesi, Microsoft Entra Bağlan kullanılarak şirket içi AD DS ortamından eşitlenen kullanıcı hesapları için geçerli değildir.

Aşağıdaki Microsoft Entra parola ilkesi seçenekleri tanımlanır. Not edilmediği sürece, şu ayarları değiştiremezsiniz:

Özellik Gereksinimler
İzin verilen karakterler A – Z
a - z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ' ~ " ( ) ; <>
Boşluk
Karakterlere izin verilmiyor Unicode karakterleri
Parola kısıtlamaları En az 8 karakter ve en fazla 256 karakter.
Aşağıdaki karakter türlerinden dörtte üçü gerekir:
- Küçük harfler
- Büyük harf karakterler
- Sayılar (0-9)
- Simgeler (önceki parola kısıtlamalarına bakın)
Parola süre sonu süresi (En fazla parola yaşı) Varsayılan değer: 90 gün. Kiracı 2021'in ardından oluşturulduysa varsayılan süre sonu değeri yoktur. Get-MgDomain ile geçerli ilkeyi de kontrol edebilirsiniz.
Değer, PowerShell için Microsoft Graph modülündeki Update-MgDomain cmdlet'i kullanılarak yapılandırılabilir.
Parola süre sonu (Parolaların süresinin hiç dolmasına izin verme) Varsayılan değer: false (parolaların son kullanma tarihi olduğunu gösterir).
Değer, Update-MgUser cmdlet'i kullanılarak tek tek kullanıcı hesapları için yapılandırılabilir.
Parola değiştirme geçmişi Kullanıcı parolayı değiştirdiğinde son parola yeniden kullanılamaz.
Parola sıfırlama geçmişi Son parola, kullanıcı unutulan bir parolayı sıfırladığında yeniden kullanılabilir .

Yönetici sıfırlama ilkesi farklılıkları

Varsayılan olarak, yönetici hesapları self servis parola sıfırlama için etkinleştirilir ve güçlü bir varsayılan iki kapılı parola sıfırlama ilkesi uygulanır. Bu ilke, kullanıcılarınız için tanımladığınız ilkeden farklı olabilir ve bu ilke değiştirilemez. Herhangi bir Azure yönetici rolü atanmamış bir kullanıcı olarak parola sıfırlama işlevini her zaman test etmelisiniz.

İki kapılı ilke, e-posta adresi, kimlik doğrulayıcı uygulaması veya telefon numarası gibi iki kimlik doğrulama verisi gerektirir ve güvenlik sorularını yasaklar. Microsoft Entra ID'nin deneme sürümü veya ücretsiz sürümleri için Office ve mobil sesli aramaları da yasaklanmıştır.

İki kapılı bir ilke aşağıdaki durumlarda geçerlidir:

  • Aşağıdaki tüm Azure yönetici rolleri etkilenir:

    • Uygulama yöneticisi
    • Uygulama ara sunucusu hizmet yöneticisi
    • Kimlik doğrulama yöneticisi
    • Faturalama yöneticisi
    • Uyumluluk yöneticisi
    • Cihaz yöneticileri
    • Dizin eşitleme hesapları
    • Dizin yazarları
    • Dynamics 365 yöneticisi
    • Exchange yöneticisi
    • Genel yönetici veya şirket yöneticisi
    • Yardım masası yöneticisi
    • Intune yöneticisi
    • Posta kutusu Yönetici istrator
    • Microsoft Entra Joined Device Local Yönetici istrator
    • İş Ortağı Katmanı1 Desteği
    • İş Ortağı Katmanı2 Desteği
    • Parola yöneticisi
    • Power BI hizmeti yöneticisi
    • Ayrıcalıklı Kimlik Doğrulaması yöneticisi
    • Ayrıcalıklı rol yöneticisi
    • Güvenlik yöneticisi
    • Hizmet desteği yöneticisi
    • SharePoint yöneticisi
    • Skype Kurumsal yöneticisi
    • Kullanıcı yöneticisi

  • Deneme aboneliğinde 30 gün geçtikten sonra; Veya

  • Microsoft Entra kiracınız için contoso.com gibi özel bir etki alanı yapılandırıldı veya

  • Microsoft Entra Bağlan, şirket içi dizininizden kimlikleri eşitlemektedir

Update-MgPolicyAuthorizationPolicy PowerShell cmdlet'ini kullanarak yönetici hesapları için SSPR kullanımını devre dışı bırakabilirsiniz. -AllowedToUseSspr:$true|$false parametresi, yöneticiler için SSPR'yi etkinleştirir/devre dışı bırakır. Yönetici hesapları için SSPR'yi etkinleştirmek veya devre dışı bırakmak için yapılan ilke değişikliklerinin geçerlilik kazanması 60 dakika kadar sürebilir.

Özel durumlar

Tek kapılı ilke, e-posta adresi veya telefon numarası gibi tek bir kimlik doğrulama verisi gerektirir. Tek kapılı ilke aşağıdaki durumlarda geçerlidir:

  • Deneme aboneliğinin ilk 30 günü içindedir

    -Veya-

  • Özel etki alanı yapılandırılmadı (kiracı üretim kullanımı için önerilmez varsayılan *.onmicrosoft.com kullanıyor) ve Microsoft Entra Bağlan kimlikleri eşitlemiyor.

Parola süre sonu ilkeleri

Global Yönetici istrator veya User Yönetici istrator, kullanıcı parolalarının süresinin dolmaması için Microsoft Graph'ı kullanabilir.

PowerShell cmdlet'lerini, süresi hiç dolmayan yapılandırmayı kaldırmak veya hangi kullanıcı parolalarının hiçbir zaman dolmak üzere ayarlandığını görmek için de kullanabilirsiniz.

Bu kılavuz, Intune ve Microsoft 365 gibi kimlik ve dizin hizmetleri için Microsoft Entra Id kullanan diğer sağlayıcılar için de geçerlidir. İlkenin değiştirilebilen tek bölümü parola süre sonudur.

Not

Varsayılan olarak yalnızca Microsoft Entra Bağlan aracılığıyla eşitlenmemiş kullanıcı hesaplarının parolaları süresi dolmayacak şekilde yapılandırılabilir. Dizin eşitlemesi hakkında daha fazla bilgi için bkz. AD'yi Microsoft Entra Kimliğine bağlama.

PowerShell kullanarak parola ilkelerini ayarlama ve denetleme

Başlamak için Microsoft Graph PowerShell modülünü indirip yükleyin ve Microsoft Entra kiracınıza bağlayın.

Modül yüklendikten sonra, her görevi gerektiği gibi tamamlamak için aşağıdaki adımları kullanın.

Parola için süre sonu ilkesini denetleyin

  1. Bir PowerShell istemi açın ve Genel Yönetici strator veya Kullanıcı Yönetici istrator hesabı kullanarak Microsoft Entra kiracınıza bağlanın.

  2. Tek bir kullanıcı veya tüm kullanıcılar için aşağıdaki komutlardan birini çalıştırın:

    • Tek bir kullanıcının parolasının süresi hiç dolmak üzere ayarlı olup olmadığını görmek için aşağıdaki cmdlet'i çalıştırın. değerini denetlemek istediğiniz kullanıcının kullanıcı kimliğiyle değiştirin <user ID> :

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

    • Tüm kullanıcılar için Parola süresi hiç dolmaz ayarını görmek için aşağıdaki cmdlet'i çalıştırın:

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

Parolayı süresi dolacak şekilde ayarlama

  1. Bir PowerShell istemi açın ve Genel Yönetici strator veya Kullanıcı Yönetici istrator hesabı kullanarak Microsoft Entra kiracınıza bağlanın.

  2. Tek bir kullanıcı veya tüm kullanıcılar için aşağıdaki komutlardan birini çalıştırın:

    • Parolanın süresinin dolması için bir kullanıcının parolasını ayarlamak için aşağıdaki cmdlet'i çalıştırın. değerini denetlemek istediğiniz kullanıcının kullanıcı kimliğiyle değiştirin <user ID> :

      Update-MgUser -UserId <user ID> -PasswordPolicies None

    • Kuruluştaki tüm kullanıcıların parolalarını süresi dolacak şekilde ayarlamak için aşağıdaki komutu kullanın:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }

Parolayı süresi hiç dolmak üzere ayarlama

  1. Bir PowerShell istemi açın ve Genel Yönetici strator veya Kullanıcı Yönetici istrator hesabı kullanarak Microsoft Entra kiracınıza bağlanın.

  2. Tek bir kullanıcı veya tüm kullanıcılar için aşağıdaki komutlardan birini çalıştırın:

    • Bir kullanıcının parolasını süresi hiç dolmak üzere ayarlamak için aşağıdaki cmdlet'i çalıştırın. değerini denetlemek istediğiniz kullanıcının kullanıcı kimliğiyle değiştirin <user ID> :

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration

    • Bir kuruluştaki tüm kullanıcıların parolalarını hiçbir zaman sona ermeyecek şekilde ayarlamak için aşağıdaki cmdlet'i çalıştırın:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }

    Uyarı

    Parolalar özniteliğine -PasswordPolicies DisablePasswordExpiration göre hala yaş olarak LastPasswordChangeDateTime ayarlanır. özniteliğine LastPasswordChangeDateTime bağlı olarak, süre sonunu olarak -PasswordPolicies Nonedeğiştirirseniz, 90 günden eski olan tüm parolalar LastPasswordChangeDateTime , kullanıcının bir sonraki oturum açışında değiştirmesini gerektirir. Bu değişiklik çok sayıda kullanıcıyı etkileyebilir.

Sonraki adımlar

SSPR'yi kullanmaya başlamak için bkz . Öğretici: Microsoft Entra self servis parola sıfırlamayı kullanarak kullanıcıların hesabının kilidini açmalarını veya parolaları sıfırlamalarını sağlama.

Sizin veya kullanıcıların SSPR ile ilgili sorunları varsa bkz . Self servis parola sıfırlama sorunlarını giderme