Zásady hesel a omezení účtu v Microsoft Entra ID
V Microsoft Entra ID je zásada hesel, která definuje nastavení, jako je složitost hesla, délka nebo věk. Existují také zásady, které definují přijatelné znaky a délku uživatelských jmen.
Pokud se k změně nebo resetování hesla v Microsoft Entra ID používá samoobslužné resetování hesla (SSPR), zkontroluje se zásady hesel. Pokud heslo nesplňuje požadavky zásad, zobrazí se uživateli výzva k dalšímu pokusu. Správci Azure mají určitá omezení používání SSPR, která se liší od běžných uživatelských účtů, a existují menší výjimky pro zkušební a bezplatné verze Microsoft Entra ID.
Tento článek popisuje nastavení zásad hesel a požadavky na složitost přidružené k uživatelským účtům. Popisuje také, jak pomocí PowerShellu zkontrolovat nebo nastavit nastavení vypršení platnosti hesla.
Zásady uživatelského jména
Každý účet, který se přihlásí k Microsoft Entra ID, musí mít přidruženou jedinečnou hodnotu atributu hlavního názvu uživatele (UPN). V hybridních prostředích s prostředím místní Active Directory Domain Services synchronizovaným s MICROSOFT Entra ID pomocí služby Microsoft Entra Connect je ve výchozím nastavení hlavní název uživatele (UPN) Microsoft Entra ID nastaven na místní hlavní název uživatele (UPN).
Následující tabulka popisuje zásady uživatelského jména, které platí pro místní účty synchronizované s ID Microsoft Entra a pro uživatelské účty jen pro cloud vytvořené přímo v MICROSOFT Entra ID:
Vlastnost | Požadavky na UserPrincipalName |
---|---|
Povolené znaky | A – Z a - z 0 – 9 ' . - _ ! # ^ ~ |
Nepovolené znaky | Libovolný znak @, který neodděluje uživatelské jméno od domény. Nemůže obsahovat znak tečky "." bezprostředně před symbolem @. |
Omezení délky | Celková délka nesmí překročit 113 znaků. Před symbolem @může být až 64 znaků. Za symbolem @může být až 48 znaků. |
Zásady hesel Microsoft Entra
Zásady hesel se použijí pro všechny uživatelské účty, které se vytvářejí a spravují přímo v Microsoft Entra ID. Některá z těchto nastavení zásad hesel se nedají upravit, ale můžete nakonfigurovat vlastní zakázaná hesla pro ochranu heslem Microsoft Entra nebo parametry uzamčení účtu.
Ve výchozím nastavení je účet uzamčen po 10 neúspěšných pokusech o přihlášení s nesprávným heslem. Uživatel je uzamčený po dobu jedné minuty. Doba uzamčení se zvyšuje po dalších nesprávných pokusech o přihlášení. Inteligentní uzamčení sleduje poslední tři chybné hodnoty hash hesel, aby se zabránilo zvýšení čítače uzamčení pro stejné heslo. Pokud někdo několikrát zadá stejné chybné heslo, nebude uzamčený. Můžete definovat prahovou hodnotu a dobu trvání inteligentního uzamčení.
Jsou definovány následující možnosti zásad hesel Microsoft Entra. Pokud není uvedeno, nemůžete tato nastavení změnit:
Vlastnost | Požadavky |
---|---|
Povolené znaky | A – Z a - z 0 – 9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> Prázdné místo |
Nepovolené znaky | Znaky Unicode |
Omezení hesel | Minimálně 8 znaků a maximálně 256 znaků. Vyžaduje tři ze čtyř následujících typů znaků: - Malá písmena - Velká písmena - Čísla (0–9) - Symboly (viz předchozí omezení hesel) |
Doba platnosti hesla (maximální stáří hesla) | Výchozí hodnota: 90 dnů. Pokud byl tenant vytvořen po roce 2021, nemá výchozí hodnotu vypršení platnosti. Aktuální zásady můžete zkontrolovat pomocí get-MgDomain. Hodnotu lze konfigurovat pomocí rutiny Update-MgDomain z modulu Microsoft Graph pro PowerShell. |
Vypršení platnosti hesla (Nechejte hesla nikdy vypršet) | Výchozí hodnota: false (označuje, že hesla mají datum vypršení platnosti). Hodnotu lze nakonfigurovat pro jednotlivé uživatelské účty pomocí rutiny Update-MgUser . |
Historie změn hesel | Poslední heslo nelze znovu použít, když uživatel změní heslo. |
Historie resetování hesla | Poslední heslo se dá znovu použít, když uživatel resetuje zapomenuté heslo. |
Pokud povolíte EnforceCloudPasswordPolicyForPasswordSyncedUsers, zásady hesel Microsoft Entra platí pro uživatelské účty synchronizované z místního prostředí pomocí Microsoft Entra Connect. Pokud uživatel změní heslo místně tak, aby obsahoval znak unicode, může změna hesla proběhnout místně, ale ne v MICROSOFT Entra ID. Pokud je synchronizace hodnot hash hesel povolená pomocí microsoft Entra Connect, může uživatel stále přijímat přístupový token pro cloudové prostředky. Pokud ale tenant povolí změnu hesla založeného na riziku uživatele, bude změna hesla hlášena jako vysoká rizika.
Uživateli se znovu zobrazí výzva ke změně hesla. Pokud ale změna stále obsahuje znak unicode, může se uzamknout, pokud je povolené i inteligentní uzamčení .
Omezení zásad resetování hesel na základě rizik
Pokud povolíte EnforceCloudPasswordPolicyForPasswordSyncedUsers, po zjištění vysokého rizika se vyžaduje změna cloudového hesla. Při přihlášení k ID Microsoft Entra se uživateli zobrazí výzva ke změně hesla. Nové heslo musí vyhovovat zásadám cloudových i místních hesel.
Pokud změna hesla splňuje místní požadavky, ale nesplňuje požadavky na cloud, změna hesla proběhne úspěšně, pokud je povolená synchronizace hodnot hash hesel. Pokud například nové heslo obsahuje znak Unicode, může být změna hesla aktualizována místně, ale ne v cloudu.
Pokud heslo nevyhovuje požadavkům na cloudové heslo, neaktualizuje se v cloudu a riziko účtu se nezmenší. Uživatel stále obdrží přístupový token pro cloudové prostředky, ale při příštím přístupu ke cloudovým prostředkům se mu zobrazí výzva ke změně hesla. Uživateli se nezobrazí žádná chyba nebo oznámení, že zvolené heslo nesplní požadavky na cloud.
Rozdílné zásady resetování hesel pro správce
Ve výchozím nastavení jsou účty správců povolené pro samoobslužné resetování hesla a vynucuje se silná výchozí zásada resetování hesel se dvěma bránami . Tato zásada se může lišit od zásady, kterou jste definovali pro uživatele, a tuto zásadu nelze změnit. Funkce resetování hesla byste měli vždy testovat jako uživatel bez přiřazených rolí správce Azure.
Zásady dvou bran vyžadují dvě části ověřovacích dat, jako je e-mailová adresa, ověřovací aplikace nebo telefonní číslo, a zakazují bezpečnostní otázky. Pro zkušební nebo bezplatné verze služby Microsoft Entra ID jsou rovněž zakázány hlasové hovory v Office a mobilních telefonech.
Zásady správce SSPR nezávisí na zásadách metody ověřování. Pokud například zakážete softwarové tokeny třetích stran v zásadách metody ověřování, účty správců můžou dál registrovat aplikace softwarových tokenů třetích stran a používat je, ale jenom pro SSPR.
Zásady dvou bran platí za následujících okolností:
Ovlivněny jsou všechny následující role správce Azure:
- Správce aplikace
- Správce ověřování
- Správce fakturace
- Správce dodržování předpisů
- Správce cloudových zařízení
- Účty synchronizace adresářů
- Zapisovače adresářů
- Správce Dynamics 365
- Správce Exchange
- Globální správce
- Správce helpdesku
- Správce Intune
- Místní správce zařízení připojený k Microsoft Entra
- Podpora partnerské vrstvy 1
- Podpora partnerské vrstvy 2
- Správce hesel
- Správce Power Platform
- Správce privilegovaného ověřování
- Správce privilegovaných rolí
- Správce zabezpečení
- Správce podpory služeb
- Správce SharePointu
- správce Skype pro firmy
- Správce Teams
- Správce komunikace Teams
- Správce zařízení Teams
- Správce uživatelů
Pokud uplynulo 30 dnů ve zkušebním předplatném
-nebo-
Vlastní doména je nakonfigurovaná pro vašeho tenanta Microsoft Entra, například pro contoso.com
-nebo-
Microsoft Entra Connect synchronizuje identity z místního adresáře.
Použití SSPR pro účty správců můžete zakázat pomocí rutiny PowerShellu Update-MgPolicyAuthorizationPolicy . Parametr -AllowedToUseSspr:$true|$false
povolí nebo zakáže samoobslužné resetování hesla pro správce. Změny zásad pro povolení nebo zakázání SSPR pro účty správců můžou trvat až 60 minut, než se projeví.
Výjimky
Zásady s jednou bránou vyžadují jednu část ověřovacích dat, například e-mailovou adresu nebo telefonní číslo. Zásady s jednou bránou platí za následujících okolností:
Je to do prvních 30 dnů od zkušebního předplatného.
-nebo-
Vlastní doména není nakonfigurovaná (tenant používá výchozí *.onmicrosoft.com, který se nedoporučuje pro produkční použití) a Microsoft Entra Connect nesynchronuje identity.
Zásady vypršení platnosti hesla
Správci uživatelů můžou pomocí Microsoft Graphu nastavit uživatelská hesla, jejichž platnost nevyprší.
Pomocí rutin PowerShellu můžete také odebrat konfiguraci, která nikdy nevyprší platnost, nebo zjistit, která uživatelská hesla jsou nastavená tak, aby nikdy nevypršla.
Tyto pokyny platí pro ostatní poskytovatele, jako je Intune a Microsoft 365, které také spoléhají na ID Microsoft Entra pro identitu a adresářové služby. Vypršení platnosti hesla je jedinou částí zásad, kterou je možné změnit.
Poznámka:
Ve výchozím nastavení je možné nakonfigurovat, aby nevypršela platnost hesel pro uživatelské účty, které nejsou synchronizovány prostřednictvím služby Microsoft Entra Connect. Další informace o synchronizaci adresářů najdete v článku Propojení AD a Microsoft Entra ID.
Nastavení nebo kontrola zásad hesla pomocí PowerShellu
Začněte tím, že si stáhnete a nainstalujete modul Microsoft Graph PowerShellu a připojíte ho k tenantovi Microsoft Entra.
Po instalaci modulu podle potřeby proveďte jednotlivé úlohy pomocí následujících kroků.
Kontrola zásad vypršení platnosti hesla
Otevřete příkazový řádek PowerShellu a připojte se k tenantovi Microsoft Entra alespoň jako správce uživatelů.
Spusťte jeden z následujících příkazů pro jednotlivého uživatele nebo pro všechny uživatele:
Pokud chcete zjistit, jestli je heslo jednoho uživatele nastavené na nikdy nevyprší, spusťte následující rutinu. Nahraďte
<user ID>
ID uživatele, kterého chcete zkontrolovat:Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Pokud chcete zobrazit nastavení Heslo nikdy nevyprší všem uživatelům, spusťte následující rutinu:
Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Nastavení vypršení platnosti hesla
Otevřete příkazový řádek PowerShellu a připojte se k tenantovi Microsoft Entra alespoň jako správce uživatelů.
Spusťte jeden z následujících příkazů pro jednotlivého uživatele nebo pro všechny uživatele:
Pokud chcete nastavit heslo jednoho uživatele tak, aby platnost hesla vypršela, spusťte následující rutinu. Nahraďte
<user ID>
ID uživatele, kterého chcete zkontrolovat:Update-MgUser -UserId <user ID> -PasswordPolicies None
Pokud chcete nastavit hesla všech uživatelů v organizaci tak, aby jejich platnost vypršela, použijte následující příkaz:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
Nastavení hesla na nikdy nevyprší platnost
Otevřete příkazový řádek PowerShellu a připojte se k tenantovi Microsoft Entra alespoň jako správce uživatelů.
Spusťte jeden z následujících příkazů pro jednotlivého uživatele nebo pro všechny uživatele:
Pokud chcete nastavit heslo jednoho uživatele tak, aby nikdy nevyprší platnost, spusťte následující rutinu. Nahraďte
<user ID>
ID uživatele, kterého chcete zkontrolovat:Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
Pokud chcete nastavit hesla všech uživatelů v organizaci tak, aby nikdy nevyprší platnost, spusťte následující rutinu:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Upozorňující
Hesla nastavená na
-PasswordPolicies DisablePasswordExpiration
věk na základě atributuLastPasswordChangeDateTime
. Pokud na základě atributuLastPasswordChangeDateTime
změníte vypršení platnosti-PasswordPolicies None
, všechna hesla, která majíLastPasswordChangeDateTime
starší než 90 dnů, vyžadují, aby je uživatel při příštím přihlášení změnil. Tato změna může mít vliv na velký počet uživatelů.
Další kroky
Pokud chcete začít používat SSPR, přečtěte si kurz : Povolení uživatelům odemknout svůj účet nebo resetovat hesla pomocí samoobslužného resetování hesla Microsoft Entra.
Pokud máte vy nebo uživatelé problémy s samoobslužným resetováním hesla, přečtěte si téma Řešení potíží s samoobslužným resetováním hesla.