Directivas de contraseñas y restricciones de cuenta en id. de Microsoft Entra

En Microsoft Entra ID, hay una directiva de contraseñas que define la configuración, como la complejidad de la contraseña, la longitud o la edad. También hay una directiva que define los caracteres y longitudes de nombres de usuario aceptables.

Cuando se usa el autoservicio de restablecimiento de contraseña (SSPR) para cambiar o restablecer una contraseña en Microsoft Entra ID, se comprueba la directiva de contraseñas. Si la contraseña no cumple los requisitos de la directiva, se le pedirá al usuario que vuelva a intentarlo. Los administradores de Azure tienen algunas restricciones en el uso de SSPR que son diferentes a las cuentas de usuario normales, y hay excepciones menores para las versiones de prueba y gratuitas de Microsoft Entra ID.

En este artículo se describen la configuración de directiva de contraseñas y los requisitos de complejidad asociados a las cuentas de usuario. También se explica cómo usar PowerShell para comprobar o establecer la configuración de expiración de contraseñas.

Directivas de nombre de usuario

Cada cuenta que inicia sesión en Microsoft Entra ID debe tener un valor de atributo de nombre principal de usuario (UPN) único asociado a esa cuenta. En entornos híbridos con un entorno local de Active Directory Domain Services sincronizado con Microsoft Entra ID mediante Microsoft Entra Connect, el UPN de Microsoft Entra ID se establece de forma predeterminada con el UPN local.

En la siguiente tabla se describen las directivas de nombre de usuario que se aplican tanto a las cuentas locales que están sincronizadas con Microsoft Entra ID, como a las cuentas de usuario que solo están en la nube y que se crean directamente en Microsoft Entra ID:

Propiedad Requisitos de UserPrincipalName
Caracteres permitidos A – Z
a - z
0 – 9
' . - _ ! # ^ ~
Caracteres no permitidos Cualquier carácter "@" que no separa el nombre de usuario del dominio.
No puede contener un carácter de punto "." inmediatamente antes del símbolo "@".
Restricciones de longitud La longitud total no debe superar los 113 caracteres.
Puede haber hasta 64 caracteres antes del símbolo "@".
Puede haber hasta 48 caracteres después del símbolo "@".

Directivas de contraseñas de Microsoft Entra

Una directiva de contraseñas se aplica a todas las cuentas de usuario que se crean y administran directamente en id. de Microsoft Entra. Algunos de los ajustes de esta directiva de contraseñas no se pueden modificar, aunque puede configurar contraseñas prohibidas personalizadas para la protección de contraseñas de Microsoft Entra o parámetros de bloqueo de cuentas.

De manera predeterminada, una cuenta se bloquea después de 10 intentos de inicio de sesión no superados con una contraseña incorrecta. El usuario se queda bloqueado durante un minuto. La duración del bloqueo aumenta después de otros intentos de inicio de sesión incorrectos. El bloqueo inteligente realiza un seguimiento de los últimos tres códigos hash de contraseña incorrecta para evitar que aumente el contador de bloqueo con la misma contraseña. Si alguien introduce varias veces la misma contraseña incorrecta, no se le bloquea. Puedes definir el umbral y la duración del bloqueo inteligente.

Se definen las siguientes opciones de directiva de contraseñas de Microsoft Entra. A menos que se indique, no se puede cambiar estos ajustes:

Propiedad Requisitos
Caracteres permitidos A – Z
a - z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
Espacio en blanco
Caracteres no permitidos Caracteres Unicode
Restricciones de contraseña Un mínimo de 8 caracteres y un máximo de 256 caracteres.
Requiere tres de cuatro de los siguientes tipos de caracteres:
- Caracteres en minúsculas
- Caracteres en mayúsculas
- Números (0-9).
- Símbolos (vea las anteriores restricciones de contraseña).
Duración de la expiración de la contraseña (vigencia máxima de la contraseña) Valor predeterminado: 90 días. Si el inquilino se creó después de 2021, no tiene ningún valor de expiración predeterminado. Puede comprobar la directiva actual con Get-MgDomain.
El valor se puede configurar mediante el cmdlet Update-MgDomain del módulo de Microsoft Graph para PowerShell.
Expiración de las contraseñas (permitir que las contraseñas no expiren nunca) Valor predeterminado: false (indica que las contraseñas tienen una fecha de expiración).
El valor se puede configurar para cuentas de usuario individuales mediante el cmdlet Update-MgUser.
Historial de cambios de contraseña La última contraseña no puede usarse de nuevo cuando el usuario cambia una contraseña.
Historial de restablecimientos de contraseña La última contraseña puede usarse de nuevo cuando el usuario restablece una contraseña olvidada.

Si habilitas EnforceCloudPasswordPolicyForPasswordSyncedUsers, la directiva de contraseñas de Microsoft Entra se aplica a las cuentas de usuario sincronizadas desde el entorno local mediante Microsoft Entra Connect. Además, si un usuario cambia una contraseña local para incluir un carácter unicode, el cambio de contraseña puede realizarse correctamente en el entorno local, pero no en Microsoft Entra ID. Si la sincronización de hash de contraseñas está habilitada con Microsoft Entra Connect, el usuario todavía puede recibir un token de acceso para los recursos en la nube. Pero si el inquilino habilita el cambio de contraseña basado en riesgos de usuario, el cambio de contraseña se notifica como de alto riesgo.

Se pide al usuario que vuelva a cambiar su contraseña. Pero si el cambio todavía incluye un carácter unicode, podrían bloquearse si el bloqueo inteligente también está habilitado.

Limitaciones de la directiva de restablecimiento de contraseña basada en riesgos

Si habilitas EnforceCloudPasswordPolicyForPasswordSyncedUsers, se requiere un cambio de contraseña en la nube una vez que se identifica un riesgo alto. Se pide al usuario que cambie su contraseña cuando inicie sesión en Microsoft Entra ID. La nueva contraseña debe cumplir las directivas de contraseñas locales y en la nube.

Si un cambio de contraseña cumple los requisitos locales, pero no cumple los requisitos en la nube, el cambio de contraseña se realiza correctamente si la sincronización de hash de contraseña está habilitada. Por ejemplo, si la nueva contraseña incluye un carácter unicode, el cambio de contraseña se puede actualizar localmente, pero no en la nube.

Si la contraseña no cumple los requisitos de contraseña en la nube, no se actualiza en la nube y el riesgo de la cuenta no disminuye. El usuario sigue recibiendo un token de acceso para los recursos en la nube, pero se le pedirá que cambie su contraseña de nuevo la próxima vez que acceda a los recursos en la nube. El usuario no ve ningún error o notificación de que su contraseña elegida no cumple los requisitos de nube.

Diferencias entre directivas de restablecimiento de administrador

De forma predeterminada, las cuentas de administrador están habilitadas para el autoservicio de restablecimiento de contraseña, y se aplica una robusta directiva de restablecimiento de contraseña de dos puertas de forma predeterminada. Esta directiva puede ser diferente de la que se ha definido para los usuarios, y esta directiva no se puede cambiar. Siempre debe probar la funcionalidad de restablecimiento de contraseña como usuario sin los roles de administrador de Azure asignados.

La directiva de dos puertas requiere dos elementos de datos de autenticación, como una dirección de correo electrónico, una aplicación de autenticador o un número de teléfono, y prohíbe las preguntas de seguridad. Las llamadas de voz móviles y de Office también están prohibidas para versiones de prueba o gratuitas de Microsoft Entra ID.

La directiva de administrador de SSPR no depende de la directiva de métodos de autenticación. Por ejemplo, si deshabilita tokens de software de terceros en la directiva de métodos de autenticación, las cuentas de administrador pueden seguir registrando aplicaciones de token de software de terceros y usarlas, pero solo para SSPR.

Se aplica una directiva de dos puertas en las siguientes circunstancias:

  • Todos los roles de administrador siguientes se ven afectados:

    • Administrador de aplicaciones
    • Administrador de autenticación
    • Administrador de facturación
    • Administrador de cumplimiento
    • Administrador de dispositivos en la nube
    • Cuentas de sincronización de directorios
    • Escritores de directorios
    • Administrador de Dynamics 365
    • Administrador de Exchange
    • Administrador global
    • Administrador del departamento de soporte técnico
    • Administrador de Intune
    • Administrador local de dispositivos unidos a Microsoft Entra
    • Soporte para asociados de nivel 1
    • Soporte para asociados de nivel 2
    • Administrador de contraseñas
    • Administrador de Power Platform
    • Administrador de autenticación con privilegios
    • Administrador de roles con privilegios
    • Administrador de seguridad
    • Administrador del soporte técnico del servicio
    • Administrador de SharePoint
    • Administrador de Skype Empresarial
    • Administrador de Teams
    • Administrador de comunicaciones de Teams
    • Administrador de dispositivos de Teams
    • Administrador de usuarios
  • Si transcurridos 30 días en una suscripción de prueba

    -O bien-

  • Un dominio personalizado está configurado para el inquilino de Microsoft Entra, como contoso.com

    -O bien-

  • Microsoft Entra Connect sincroniza las identidades desde el directorio local

Puede deshabilitar el uso de SSPR para las cuentas de administrador mediante el cmdlet de PowerShell Update-MgPolicyAuthorizationPolicy. El parámetro -AllowedToUseSspr:$true|$false habilitará o deshabilitará SSPR para los administradores. Los cambios de directiva para habilitar o deshabilitar SSPR de las cuentas de administrador podría tardar hasta 60 minutos en surtir efecto.

Excepciones

Las directivas de una puerta necesitan información de autenticación, como una dirección de correo electrónico o un número de teléfono. Se aplica una directiva de una puerta en las siguientes circunstancias:

  • Está dentro de los primeros 30 días de una suscripción de prueba

    O bien:

  • Un dominio personalizado no está configurado (el inquilino usa el valor predeterminado *.onmicrosoft.com, que no se recomienda para su uso en producción) y Microsoft Entra Connect no sincroniza las identidades.

Directivas de expiración de contraseñas

Los administradores de usuarios pueden usar Microsoft Graph para configurar que las contraseñas de los usuarios no expiren.

También puede usar cmdlets de PowerShell para quitar la configuración de no expirar nunca o ver qué contraseñas de usuario están configuradas para que no expiren nunca.

Esta guía se aplica a otros proveedores (como Intune y Microsoft 365) que también dependen de Microsoft Entra ID para los servicios de identidad y directorio. La expiración de contraseñas es la única parte de la directiva que se puede cambiar.

Nota:

De forma predeterminada, solo las contraseñas de cuentas de usuario que no se sincronizan a través de Microsoft Entra Connect pueden configurarse para que no expiren. Para obtener más información sobre la sincronización de directorios, vea el artículo sobre cómo conectar AD con id. de Microsoft Entra.

Establecer o comprobar directivas de contraseña mediante PowerShell

Para empezar, descargue e instale el módulo de Microsoft Graph para PowerShell y conéctelo al inquilino de Microsoft Entra.

Una vez instalado el módulo, use los pasos a continuación para completar cada tarea según sea necesario.

Comprobación de la directiva de expiración de una contraseña

  1. Abra un símbolo del sistema de PowerShell y conéctese al inquilino de Microsoft Entra como mínimo un Administrador de usuarios.

  2. Ejecute uno de los siguientes comandos para un usuario individual o para todos los usuarios:

    • Para ver si la contraseña de un solo usuario está configurada para no expirar nunca, ejecute el siguiente cmdlet. Reemplace <user ID> por el identificador de usuario que quiere comprobar:

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • Para ver la configuración La contraseña nunca expira de todos los usuarios, ejecute el siguiente cmdlet:

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

Configuración de una contraseña para que caduque

  1. Abra un símbolo del sistema de PowerShell y conéctese al inquilino de Microsoft Entra como mínimo un Administrador de usuarios.

  2. Ejecute uno de los siguientes comandos para un usuario individual o para todos los usuarios:

    • Para establecer la contraseña de un usuario para que expire, ejecute el cmdlet siguiente. Reemplace <user ID> por el identificador de usuario que quiere comprobar:

      Update-MgUser -UserId <user ID> -PasswordPolicies None
      
    • Para establecer las contraseñas de todos los usuarios de la organización de modo que expiren, use el siguiente comando:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
      

Configure una contraseña para que no caduque nunca

  1. Abra un símbolo del sistema de PowerShell y conéctese al inquilino de Microsoft Entra como mínimo un Administrador de usuarios.

  2. Ejecute uno de los siguientes comandos para un usuario individual o para todos los usuarios:

    • Para establecer la contraseña de un usuario para que no expire nunca, ejecute el cmdlet siguiente. Reemplace <user ID> por el identificador de usuario que quiere comprobar:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • Para configurar las contraseñas de todos los usuarios de una organización para que nunca expiren, ejecute el siguiente cmdlet:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
      

    Advertencia

    La antigüedad de las contraseñas establecidas en -PasswordPolicies DisablePasswordExpiration sigue basándose en el atributo LastPasswordChangeDateTime. En función del LastPasswordChangeDateTime atributo, si cambia la expiración a -PasswordPolicies None, todas las contraseñas que tengan una LastPasswordChangeDateTime cuya antigüedad sea superior a 90 días requieren que el usuario las cambie la próxima vez que se inicie sesión. Este cambio puede afectar a gran cantidad de usuarios.

Pasos siguientes

Para empezar a trabajar con SSPR, consulte Tutorial: Habilitación del autoservicio de restablecimiento de contraseñas de Microsoft Entra para que los usuarios puedan desbloquear su cuenta o restablecer contraseñas.

Si usted o los usuarios tienen problemas con SSPR, consulte Solución de problemas de autoservicio de restablecimiento de contraseña.