Kennwortrichtlinien und Kontoeinschränkungen in Microsoft Entra ID

In Microsoft Entra ID definiert eine Kennwortrichtlinie Einstellungen wie die Kennwortkomplexität, die Länge oder das Alter. Außerdem definiert eine Richtlinie zulässige Zeichen und die Länge für Benutzernamen.

Wenn ein Kennwort in Microsoft Entra ID mithilfe der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) geändert oder zurückgesetzt wird, erfolgt eine Überprüfung anhand der Kennwortrichtlinie. Wenn das Kennwort nicht die Richtlinienanforderungen erfüllt, wird der Benutzer aufgefordert, es erneut zu versuchen. Azure-Administratorinnen und -Administratoren haben einige Einschränkungen bei der Verwendung von SSPR, die sich von regulären Benutzerkonten unterscheiden, und es gibt geringfügige Ausnahmen für Testversionen und kostenlose Versionen von Microsoft Entra ID.

Dieser Artikel beschreibt die Kennwortrichtlinien und Komplexitätsanforderungen im Zusammenhang mit Benutzerkonten. Außerdem wird erläutert, wie Sie PowerShell verwenden, um Kennwortablaufeinstellungen zu überprüfen oder festzulegen.

Richtlinien für Benutzernamen

Jedes Konto, das sich bei Microsoft Entra ID anmeldet, muss über ein eindeutiges, diesem Konto zugeordnetes UPN-Attribut (User Principal Name, Benutzerprinzipalname) verfügen. In hybriden Umgebungen mit einer lokalen Active Directory Domain Services-Umgebung, die über Microsoft Entra Connect mit Microsoft Entra ID synchronisiert wird, ist der UPN von Microsoft Entra ID standardmäßig auf den lokalen UPN eingestellt.

In der folgenden Tabelle sind die Richtlinien für Benutzernamen aufgeführt, die sowohl für lokale Konten gelten, die mit Microsoft Entra ID synchronisiert werden, als auch für reine Cloud-Benutzerkonten, die direkt in Microsoft Entra ID erstellt werden:

Eigenschaft UserPrincipalName-Richtlinien
Zulässige Zeichen A – Z
a – z
0 – 9
' . - _ ! # ^ ~
Unzulässige Zeichen Jedes @-Zeichen, das nicht den Benutzernamen und die Domäne trennt.
Darf keinen Punkt (.) unmittelbar vor dem @-Symbol enthalten.
Längenbeschränkungen Die Gesamtlänge darf 113 Zeichen nicht überschreiten.
Vor dem @-Symbol sind bis zu 64 Zeichen zulässig.
Nach dem @-Symbol sind bis zu 48 Zeichen zulässig.

Kennwortrichtlinien in Microsoft Entra

Eine Kennwortrichtlinie wird auf alle Benutzerkonten angewandt, die direkt in Microsoft Entra ID erstellt und verwaltet werden. Einige dieser Kennwortrichtlinieneinstellungen können zwar nicht geändert werden, aber Sie können benutzerdefinierte gesperrte Kennwörter für den Microsoft Entra-Kennwortschutz oder Parameter für Kontosperrungen konfigurieren.

Nach 10 nicht erfolgreichen Anmeldeversuchen mit einem falschen Kennwort wird das Konto standardmäßig gesperrt. Benutzende werden dann für eine Minute gesperrt. Die Sperrdauer erhöht sich nach weiteren fehlerhaften Anmeldeversuchen. Smart Lockout verfolgt die letzten drei fehlerhaften Kennworthashes, um zu vermeiden, dass der Sperrungszähler für dasselbe Kennwort erhöht wird. Wenn eine Person mehrmals ein falsches Kennwort eingibt, wird das Konto nicht gesperrt. Sie können den Schwellenwert und die Dauer von Smart Lockout festlegen.

Die folgenden Optionen für Microsoft Entra-Kennwortrichtlinien sind definiert: Sofern nichts anderes angegeben ist, können Sie die folgenden Einstellungen nicht ändern:

Eigenschaft Requirements (Anforderungen)
Zulässige Zeichen A – Z
a – z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
Leerraum
Unzulässige Zeichen Unicode-Zeichen
Kennworteinschränkungen Mindestens 8 Zeichen und höchstens 256 Zeichen.
Muss drei der folgenden vier Elemente enthalten:
Kleinbuchstaben
Großbuchstaben
- Zahlen (0 bis 9)
- Symbole (siehe die vorherigen Kennworteinschränkungen)
Zeitraum bis zum Ablauf des Kennworts (maximales Kennwortalter) Standardwert: 90 Tage Wenn der Mandant nach 2021 erstellt wurde, hat er keinen Standardablaufwert. Sie können die aktuelle Richtlinie mit Get-MgDomain überprüfen.
Der Wert kann jedoch im Microsoft Graph-Modul für PowerShell mit dem Cmdlet Update-MgDomain konfiguriert werden.
Kennwortablauf (Kennwort läuft nie ab) Standardwert: false (gibt an, dass Kennwörter ein Ablaufdatum aufweisen).
Der Wert kann für einzelne Benutzerkonten mithilfe des Cmdlets Update-MgUser konfiguriert werden.
Verlauf der Kennwortänderungen Das letzte Kennwort kann nicht erneut verwendet werden, wenn Benutzende ein Kennwort ändern.
Verlauf der Kennwortzurücksetzungen Das letzte Kennwort kann erneut verwendet werden, wenn Benutzende ein vergessenes Kennwort zurücksetzen.

Wenn Sie EnforceCloudPasswordPolicyForPasswordSyncedUsers aktivieren, gilt die Microsoft Entra Kennwortrichtlinie für Benutzerkonten, die lokal mit Microsoft Entra Connect synchronisiert werden. Wenn Benutzende ein Kennwort lokal so ändern, dass es ein Unicode-Zeichen enthält, kann die Kennwortänderung lokal erfolgreich sein, aber nicht in Microsoft Entra ID. Wenn die Kennwort-Hashsynchronisierung mit Microsoft Entra Connect aktiviert ist, können Benutzende dennoch ein Zugriffstoken für Cloud-Ressourcen erhalten. Wenn der Tenant jedoch Kennwortänderung basierend auf Benutzerrisiko aktiviert hat, wird die Kennwortänderung als hohes Risiko gemeldet.

Benutzende werden aufgefordert, ihr Kennwort erneut zu ändern. Enthält die Änderung jedoch noch ein Unicode-Zeichen, können die Benutzenden gesperrt werden, wenn auch Smart Lockout aktiviert ist.

Risikobasierte Einschränkungen der Richtlinie für das Zurücksetzen von Kennwörtern

Wenn Sie EnforceCloudPasswordPolicyForPasswordSyncedUsers aktivieren, wird eine Änderung des Cloudkennworts verlangt, sobald ein hohes Risiko erkannt wird. Benutzende werden aufgefordert, ihr Kennwort zu ändern, wenn sie sich bei Microsoft Entra ID anmelden. Das neue Kennwort muss sowohl der Cloud- als auch der lokalen Kennwortrichtlinie entsprechen.

Wenn eine Kennwortänderung die lokalen Anforderungen erfüllt, aber nicht die Anforderungen in der Cloud, ist die Kennwortänderung erfolgreich, wenn die Kennwort-Hashsynchronisierung aktiviert ist. Wenn das neue Kennwort beispielsweise ein Unicode-Zeichen enthält, kann die Kennwortänderung lokal, aber nicht in der Cloud aktualisiert werden.

Wenn das Kennwort nicht den Anforderungen für Kennwörter in der Cloud entspricht, wird es nicht in der Cloud aktualisiert, und das Risiko für das Konto wird nicht verringert. Benutzende erhalten weiterhin ein Token für den Zugriff auf die Cloud-Ressourcen, werden jedoch beim nächsten Zugriff auf die Cloud-Ressourcen aufgefordert, ihr Kennwort erneut zu ändern. Benutzer erhalten keine Fehlermeldung oder Benachrichtigung, dass das von ihnen gewählte Kennwort nicht den Anforderungen der Cloud entspricht.

Unterschiede zu Richtlinien zum Zurücksetzen von Administratorkennwörtern

Standardmäßig ist die Self-Service-Kennwortzurücksetzung für Administratorkonten aktiviert, und es wird eine strenge Standardrichtlinie für die zweistufige Kennwortzurücksetzung erzwungen. Diese Richtlinie kann sich von der Richtlinie unterscheiden, die Sie für Ihre Benutzenden definiert haben, und diese Richtlinie kann nicht geändert werden. Sie sollten die Funktion zum Zurücksetzen des Kennworts immer als Benutzer ohne zugewiesene Azure-Administratorrollen testen.

Eine Zwei-Gate-Richtlinie erfordert Authentifizierungsdaten, die aus zwei Elementen bestehen, z. B. E-Mail-Adresse, Authentifizierung-App oder Telefonnummer, und verbietet Sicherheitsfragen. Office- und Mobiltelefon-Sprachanrufe sind für Testversionen oder kostenlose Versionen von Microsoft Entra ID ebenfalls verboten.

Die SSPR-Administratorrichtlinie ist nicht von der Richtlinie für die Authentifizierungsmethode abhängig. Wenn Sie beispielsweise Softwaretoken von Drittanbietern in der Richtlinie für Authentifizierungsmethoden deaktivieren, können Administratorkonten weiterhin Softwaretokenanwendungen von Drittanbietern registrieren und diese verwenden, jedoch nur für SSPR.

Eine Zwei-Gate-Richtlinie gilt in folgenden Situationen:

  • Alle folgenden Administratorrollen sind betroffen:

    • Anwendungsadministrator
    • Authentifizierungsadministrator
    • Abrechnungsadministrator
    • Complianceadministrator
    • Cloudgeräteadministrator
    • Konten zur Verzeichnissynchronisierung
    • Verzeichnis schreiben
    • Dynamics 365-Administrator
    • Exchange-Administrator
    • Globaler Administrator
    • Helpdeskadministrator
    • Intune-Administrator
    • Lokaler Administrator des in Microsoft Entra eingebundenen Geräts
    • Partnersupport der Ebene 1
    • Partnersupport der Ebene 2
    • Kennwortadministrator
    • Power Platform-Administrator
    • Privilegierter Authentifizierungsadministrator
    • Administrator für privilegierte Rollen
    • Sicherheitsadministrator
    • Dienstunterstützungsadministrator
    • SharePoint-Administrator
    • Skype for Business-Administrator
    • Teams-Administrator
    • Teams-Kommunikationsadministrator
    • Teams-Geräteadministrator
    • Benutzeradministrator
  • Wenn 30 Tage in einem Testabonnement abgelaufen sind.

    -ODER-

  • eine benutzerdefinierte Domäne für Ihren Microsoft Entra-Mandanten konfiguriert wurde, z. B. contoso.com.

    -ODER-

  • Microsoft Entra Connect synchronisiert Identitäten aus Ihrem lokalen Verzeichnis.

Sie können die Verwendung der Self-Service-Kennwortzurücksetzung für Administratorkonten über das PowerShell-Cmdlet Update-MgPolicyAuthorizationPolicy deaktivieren. Mithilfe des Parameters -AllowedToUseSspr:$true|$false wird die Self-Service-Kennwortzurücksetzung für Administrator*innen aktiviert bzw. deaktiviert. Es kann bis zu 60 Minuten dauern, bis Richtlinienänderungen zum Aktivieren oder Deaktivieren des SSPR für Administratorkonten wirksam werden.

Ausnahmen

Eine Ein-Gate-Richtlinie erfordert Authentifizierungsdaten, die aus einem Element bestehen, z. B. eine E-Mail-Adresse oder eine Telefonnummer. Eine Ein-Gate-Richtlinie gilt in folgenden Situationen:

  • Für ein Testabonnement sind noch keine 30 Tage vergangen.

    -Oder-

  • Eine benutzerdefinierte Domäne ist nicht konfiguriert (der Mandant verwendet die Standardeinstellung *.onmicrosoft.com, was für die Verwendung in der Produktion nicht empfohlen wird), und Microsoft Entra Connect führt keine Synchronisierung von Identitäten durch.

Richtlinien zum Kennwortablauf

Benutzeradministratoren können mithilfe des Microsoft Graph festlegen, dass Benutzerkennwörter nicht ablaufen sollen.

Sie können auch PowerShell-Cmdlets verwenden, um die Konfiguration für niemals ablaufende Kennwörter zu entfernen oder um anzuzeigen, für welche Benutzerkennwörter festgelegt ist, dass sie nie ablaufen.

Diese Anleitung gilt für andere Anbieter wie Intune und Microsoft 365, die ebenfalls auf Microsoft Entra ID als Identitäts- und Verzeichnisdienste zurückgreifen. Kennwortablauf ist der einzige Teil der Richtlinie, der geändert werden kann.

Hinweis

Standardmäßig können nur Kennwörter für Benutzerkonten, die nicht über Microsoft Entra Connect synchronisiert werden, so konfiguriert werden, dass sie nicht ablaufen. Weitere Informationen zur Verzeichnissynchronisierung finden Sie unter Verbinden von AD mit Microsoft Entra ID.

Festlegen oder Überprüfen der Kennwortrichtlinien mithilfe von PowerShell

Um zu beginnen, laden Sie das Microsoft Graph-PowerShell-Modul herunter und installieren es. Verbinden Sie es anschließend mit Ihrem Microsoft Entra-Mandanten.

Nachdem das Modul installiert wurde, können Sie jede Aufgabe nach Bedarf mit den folgenden Schritten abschließen.

Überprüfen der Ablaufrichtlinie für ein Kennwort

  1. Öffnen Sie eine PowerShell-Eingabeaufforderung und verbinden Sie sich mindestens als Benutzeradministrator mit Ihrem Microsoft Entra- Mandanten.

  2. Führen Sie einen der folgenden Befehle für einen einzelnen Benutzer oder für alle Benutzer aus:

    • Führen Sie das folgende Cmdlet aus, um zu ermitteln, ob für das Kennwort eines einzelnen Benutzers festgelegt ist, dass es nie abläuft. Ersetzen Sie <user ID> durch die Benutzer-ID des Benutzers oder der Benutzerin, den bzw. die Sie überprüfen möchten:

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • Um die Einstellung Kennwort läuft nie ab für alle Benutzer anzuzeigen, führen Sie das folgende Cmdlet aus:

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

Festlegen, dass ein Kennwort abläuft

  1. Öffnen Sie eine PowerShell-Eingabeaufforderung und verbinden Sie sich mindestens als Benutzeradministrator mit Ihrem Microsoft Entra- Mandanten.

  2. Führen Sie einen der folgenden Befehle für einen einzelnen Benutzer oder für alle Benutzer aus:

    • Um für das Kennwort eines Benutzers festzulegen, dass es abläuft, führen Sie das folgende Cmdlet aus. Ersetzen Sie <user ID> durch die Benutzer-ID des Benutzers oder der Benutzerin, den bzw. die Sie überprüfen möchten:

      Update-MgUser -UserId <user ID> -PasswordPolicies None
      
    • Um für die Kennwörter aller Benutzer*innen in der Organisation festzulegen, dass sie ablaufen, verwenden Sie den folgenden Befehl:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
      

Festlegen, dass ein Kennwort nicht abläuft

  1. Öffnen Sie eine PowerShell-Eingabeaufforderung und verbinden Sie sich mindestens als Benutzeradministrator mit Ihrem Microsoft Entra- Mandanten.

  2. Führen Sie einen der folgenden Befehle für einen einzelnen Benutzer oder für alle Benutzer aus:

    • Um für das Kennwort eines Benutzers festzulegen, dass es nie abläuft, führen Sie das folgende Cmdlet aus. Ersetzen Sie <user ID> durch die Benutzer-ID des Benutzers oder der Benutzerin, den bzw. die Sie überprüfen möchten:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • Um für die Kennwörter aller Benutzer in der Organisation festzulegen, dass sie nie ablaufen, verwenden Sie das folgende Cmdlet:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
      

    Warnung

    Kennwörter, die auf -PasswordPolicies DisablePasswordExpiration festgelegt sind, altern trotzdem entsprechend dem LastPasswordChangeDateTime-Attribut. Entsprechend dem LastPasswordChangeDateTime-Attribut ergibt sich, wenn Sie das Ablaufen in -PasswordPolicies None ändern, dass jedes Kennwort, dessen LastPasswordChangeDateTime älter als 90 Tage ist, vom Benutzer bei seiner nächster Anmeldung geändert werden muss. Diese Änderung kann eine große Anzahl von Benutzern betreffen.

Nächste Schritte

Informationen zu den ersten Schritten mit der SSPR finden Sie unter Tutorial: Ermöglichen der Kontoentsperrung oder Kennwortzurücksetzung für Benutzer*innen mithilfe der Self-Service-Kennwortzurücksetzung von Microsoft Entra.

Falls Sie oder Ihre Benutzer Probleme mit SSPR haben, helfen Ihnen die Informationen unter Behandeln von Problemen mit der Self-Service-Kennwortzurücksetzung weiter.