Azure Active Directory'deki parola ilkeleri ve hesap kısıtlamaları

  • Makale
  • Okumak için 6 dakika

Azure Active Directory'de (Azure AD), parola karmaşıklığı, uzunluğu veya yaşı gibi ayarları tanımlayan bir parola ilkesi vardır. Kullanıcı adları için kabul edilebilir karakterleri ve uzunluğu tanımlayan bir ilke de vardır.

Azure AD'da parolayı değiştirmek veya sıfırlamak için self servis parola sıfırlama (SSPR) kullanıldığında, parola ilkesi denetlenir. Parola ilke gereksinimlerini karşılamıyorsa kullanıcıdan yeniden denemesi istenir. Azure yöneticilerinin SSPR kullanımıyla ilgili normal kullanıcı hesaplarından farklı bazı kısıtlamaları vardır.

Bu makalede, Azure AD kiracınızdaki kullanıcı hesaplarıyla ilişkili parola ilkesi ayarları ve karmaşıklık gereksinimleri ve parola süre sonu ayarlarını denetlemek veya ayarlamak için PowerShell'i nasıl kullanabileceğiniz açıklanır.

Kullanıcı adı ilkeleri

Azure AD oturum açtığı her hesabın kendi hesabıyla ilişkilendirilmiş benzersiz bir kullanıcı asıl adı (UPN) öznitelik değeri olmalıdır. Azure AD Connect kullanılarak Azure AD eşitlenmiş şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ortamına sahip karma ortamlarda, varsayılan olarak Azure AD UPN şirket içi UPN'ye ayarlanır.

Aşağıdaki tabloda, hem Azure AD eşitlenen şirket içi AD DS hesaplarına hem de doğrudan Azure AD'de oluşturulan yalnızca bulut kullanıcı hesaplarına uygulanan kullanıcı adı ilkeleri özetlenmiştir:

Özellik UserPrincipalName gereksinimleri
İzin verilen karakterler A – Z
a - z
0 – 9
' . - _ ! # ^ ~
karakterlere izin verilmiyor Kullanıcı adını etki alanından ayırmayan herhangi bir "@" karakter.
"@" simgesinin hemen önünde "." nokta karakteri bulunamaz
Uzunluk kısıtlamaları Toplam uzunluk 113 karakteri aşmamalıdır
"@" simgesinden önce en çok 64 karakter olabilir
"@" simgesinden sonra en çok 48 karakter olabilir

parola ilkelerini Azure AD

Doğrudan Azure AD'de oluşturulan ve yönetilen tüm kullanıcı hesaplarına bir parola ilkesi uygulanır. Bu parola ilkesi ayarlarından bazıları değiştirilemez, ancak Azure AD parola koruması veya hesap kilitleme parametreleri için özel yasaklanmış parolalar yapılandırabilirsiniz.

Varsayılan olarak, yanlış parolayla başarısız olan 10 oturum açma girişiminden sonra bir hesap kilitlenir. Kullanıcı bir dakika boyunca kilitlenir. Daha fazla yanlış oturum açma denemesi, kullanıcıyı daha uzun süreler için kilitler. Akıllı kilitleme , aynı parola için kilitleme sayacının artırılmasını önlemek için son üç hatalı parola karmasını izler. Birisi aynı hatalı parolayı birden çok kez girerse, bu davranış hesabın kilitlenmesine neden olmaz. Akıllı kilitleme eşiğini ve süresini tanımlayabilirsiniz.

Azure AD parola ilkesi, EnforceCloudPasswordPolicyForPasswordSyncedUsers'ı etkinleştirmediğiniz sürece, Azure AD Connect kullanılarak şirket içi AD DS ortamından eşitlenen kullanıcı hesapları için geçerli değildir.

Aşağıdaki Azure AD parola ilkesi seçenekleri tanımlanmıştır. Not edilmediği sürece şu ayarları değiştiremezsiniz:

Özellik Gereksinimler
İzin verilen karakterler A – Z
a - z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
Boşluk
karakterlere izin verilmiyor Unicode karakterler
Parola kısıtlamaları En az 8 karakter ve en fazla 256 karakter.
Aşağıdakilerin dörtte üçü gerekir:
- Küçük harf karakterler
- Büyük harf karakterler
- Sayılar (0-9)
- Simgeler (önceki parola kısıtlamalarına bakın)
Parola süre sonu süresi (En fazla parola yaşı) Varsayılan değer: 90 gün. Kiracı 2021'in ardından oluşturulduysa, varsayılan süre sonu değeri yoktur. Get-MsolPasswordPolicy ile geçerli ilkeyi de kontrol edebilirsiniz.
Değer, Windows PowerShell için Azure Active Directory Modülü'nden cmdlet kullanılarak Set-MsolPasswordPolicy yapılandırılabilir.
Parola süre sonu (Parolaların süresinin hiç dolmamasına izin ver) Varsayılan değer: false (parolaların son kullanma tarihi olduğunu gösterir).
Değer, cmdlet'i kullanılarak Set-MsolUser tek tek kullanıcı hesapları için yapılandırılabilir.
Parola değiştirme geçmişi Kullanıcı parolayı değiştirdiğinde son parola yeniden kullanılamaz.
Parola sıfırlama geçmişi Son parola, kullanıcı unutulan bir parolayı sıfırladığında yeniden kullanılabilir .

Yönetici sıfırlama ilkesi farklılıkları

Varsayılan olarak, yönetici hesapları self servis parola sıfırlama için etkinleştirilir ve güçlü bir varsayılan iki kapılı parola sıfırlama ilkesi uygulanır. Bu ilke, kullanıcılarınız için tanımladığınız ilkeden farklı olabilir ve bu ilke değiştirilemez. Herhangi bir Azure yönetici rolü atanmamış bir kullanıcı olarak parola sıfırlama işlevini her zaman test etmelisiniz.

İki kapılı bir ilkeyle, yöneticilerin güvenlik sorularını kullanma yeteneği yoktur.

İki kapılı ilke e-posta adresi, kimlik doğrulayıcı uygulaması veya telefon numarası gibi iki kimlik doğrulama verisi gerektirir. İki kapılı bir ilke aşağıdaki durumlarda geçerlidir:

  • Aşağıdaki tüm Azure yönetici rolleri etkilenir:

    • Uygulama yöneticisi
    • Uygulama ara sunucusu hizmet yöneticisi
    • Kimlik doğrulama yöneticisi
    • Azure AD Katılmış Cihaz Yerel Yöneticisi
    • Faturalama yöneticisi
    • Uyumluluk yöneticisi
    • Cihaz yöneticileri
    • Dizin eşitleme hesapları
    • Dizin yazarları
    • Dynamics 365 yöneticisi
    • Exchange yöneticisi
    • Genel yönetici veya şirket yöneticisi
    • Yardım masası yöneticisi
    • Intune yöneticisi
    • Posta Kutusu Yöneticisi
    • İş Ortağı Katmanı1 Desteği
    • İş Ortağı Katmanı2 Desteği
    • Parola yöneticisi
    • Power BI hizmet yöneticisi
    • Ayrıcalıklı Kimlik Doğrulaması yöneticisi
    • Ayrıcalıklı rol yöneticisi
    • Güvenlik yöneticisi
    • Hizmet desteği yöneticisi
    • SharePoint yöneticisi
    • Skype Kurumsal yöneticisi
    • Kullanıcı yöneticisi

  • Deneme aboneliğinde 30 gün geçtikten sonra; Veya

  • Azure AD kiracınız için contoso.com gibi özel bir etki alanı yapılandırıldı veya

  • Azure AD Connect, şirket içi dizininizden kimlikleri eşitler

Update-MgPolicyAuthorizationPolicy PowerShell cmdlet'ini kullanarak yönetici hesapları için SSPR kullanımını devre dışı bırakabilirsiniz. -AllowedToUseSspr:$true|$false parametresi yöneticiler için SSPR'yi etkinleştirir/devre dışı bırakır. Yönetici hesapları için SSPR'yi etkinleştirmeye veya devre dışı bırakmaya yönelik ilke değişikliklerinin geçerlilik kazanması 60 dakika kadar sürebilir.

Özel durumlar

Tek kapılı ilke, e-posta adresi veya telefon numarası gibi bir parça kimlik doğrulama verisi gerektirir. Tek kapılı bir ilke aşağıdaki durumlarda geçerlidir:

  • Deneme aboneliğinin ilk 30 günü içindedir

    -Veya-

  • Özel bir etki alanı yapılandırılmadı (kiracı üretimde kullanılması önerilmez varsayılan *.onmicrosoft.com kullanıyor) ve Azure AD Connect kimlikleri eşitlemiyor.

Parola süre sonu ilkeleri

Genel yönetici veya kullanıcı yöneticisi, kullanıcı parolalarının süresinin dolmayacak şekilde ayarlanması için Windows PowerShell için Microsoft Azure AD Modülünü kullanabilir.

PowerShell cmdlet'lerini, süresi hiç dolmayan yapılandırmayı kaldırmak veya hangi kullanıcı parolalarının hiçbir zaman sona ermeyecek şekilde ayarlandığını görmek için de kullanabilirsiniz.

Bu kılavuz, kimlik ve dizin hizmetleri için de Azure AD kullanan Intune ve Microsoft 365 gibi diğer sağlayıcılar için geçerlidir. İlkenin değiştirilebilen tek bölümü parola süre sonudur.

Not

Varsayılan olarak, yalnızca Azure AD Connect aracılığıyla eşitlenmemiş kullanıcı hesaplarının parolaları süresi dolmayacak şekilde yapılandırılabilir. Dizin eşitlemesi hakkında daha fazla bilgi için bkz. AD'yi Azure AD'ye bağlama.

PowerShell kullanarak parola ilkelerini ayarlama ve denetleme

Başlamak için Azure AD PowerShell modülünü indirip yükleyin ve Azure AD kiracınıza bağlayın.

Modül yüklendikten sonra, her görevi gerektiği gibi tamamlamak için aşağıdaki adımları kullanın.

Parola için süre sonu ilkesini denetleme

  1. Bir PowerShell istemi açın ve genel yönetici veya kullanıcı yöneticisi hesabı kullanarak Azure AD kiracınıza bağlanın.

  2. Tek bir kullanıcı veya tüm kullanıcılar için aşağıdaki komutlardan birini çalıştırın:

    • Tek bir kullanıcının parolasının süresi hiç dolmak üzere ayarlı olup olmadığını görmek için aşağıdaki cmdlet'i çalıştırın. değerini denetlemek istediğiniz kullanıcının kullanıcı kimliğiyle değiştirin <user ID> ; örneğin driley@contoso.onmicrosoft.com:

      Get-AzureADUser -ObjectId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

    • Parolanın süresi hiçbir zaman dolmaz ayarını tüm kullanıcılar için görmek için aşağıdaki cmdlet'i çalıştırın:

      Get-AzureADUser -All $true | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

Süresi dolmak için parola ayarlama

  1. Bir PowerShell istemi açın ve genel yönetici veya kullanıcı yöneticisi hesabı kullanarak Azure AD kiracınıza bağlanın.

  2. Tek bir kullanıcı veya tüm kullanıcılar için aşağıdaki komutlardan birini çalıştırın:

    • Parolanın süresi dolacak şekilde bir kullanıcının parolasını ayarlamak için aşağıdaki cmdlet'i çalıştırın. değerini denetlemek istediğiniz kullanıcının kullanıcı kimliğiyle değiştirin <user ID> , örneğin driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies None

    • Kuruluştaki tüm kullanıcıların parolalarını süresi dolacak şekilde ayarlamak için aşağıdaki cmdlet'i kullanın:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies None

Parolayı süresi hiç dolmak üzere ayarlama

  1. Bir PowerShell istemi açın ve genel yönetici veya kullanıcı yöneticisi hesabı kullanarak Azure AD kiracınıza bağlanın.

  2. Tek bir kullanıcı veya tüm kullanıcılar için aşağıdaki komutlardan birini çalıştırın:

    • Bir kullanıcının parolasını süresi hiç dolmak üzere ayarlamak için aşağıdaki cmdlet'i çalıştırın. değerini denetlemek istediğiniz kullanıcının kullanıcı kimliğiyle değiştirin <user ID> , örneğin driley@contoso.onmicrosoft.com

      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies DisablePasswordExpiration

    • Bir kuruluştaki tüm kullanıcıların parolalarını hiçbir zaman sona ermeyecek şekilde ayarlamak için aşağıdaki cmdlet'i çalıştırın:

      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies DisablePasswordExpiration

    Uyarı

    Parolalar özniteliğine göre pwdLastSet hala eski olarak -PasswordPolicies DisablePasswordExpiration ayarlanmıştır. özniteliğine pwdLastSet bağlı olarak, süre sonunu olarak -PasswordPolicies Nonedeğiştirirseniz, 90 günden eski olan tüm parolalar pwdLastSet , kullanıcının bir sonraki oturum açışında değiştirmesini gerektirir. Bu değişiklik çok sayıda kullanıcıyı etkileyebilir.

Sonraki adımlar

SSPR'yi kullanmaya başlamak için bkz . Öğretici: Azure Active Directory self servis parola sıfırlamayı kullanarak kullanıcıların hesap kilidini açmalarını veya parolaları sıfırlamalarını sağlama.

Sizin veya kullanıcıların SSPR ile ilgili sorunları varsa bkz. Self servis parola sıfırlama sorunlarını giderme