Stratégies de mot de passe et restrictions de compte dans Microsoft Entra ID

Dans Microsoft Entra ID, vous trouverez une stratégie de mot de passe qui définit des paramètres tels que la complexité, la longueur ou l’âge du mot de passe. Vous trouverez également une stratégie qui définit la longueur et les caractères acceptables pour les noms d’utilisateur.

Si la réinitialisation de mot de passe en libre-service (SSPR) est utilisée pour changer ou réinitialiser un mot de passe dans Microsoft Entra ID, la stratégie de mot de passe est vérifiée. Si le mot de passe ne répond pas aux exigences de la stratégie, l’utilisateur est invité à réessayer. Les administrateurs Azure imposent certaines restrictions sur l’utilisation de SSPR qui sont différentes des comptes d’utilisateur standard, et il existe des exceptions mineures pour les versions d’essai et gratuites de Microsoft Entra ID.

Cet article décrit les paramètres des stratégies de mot de passe et les exigences en matière de complexité associées aux comptes d’utilisateur. Il explique également comment utiliser PowerShell pour case activée ou définir les paramètres d’expiration du mot de passe.

Stratégies de nom d’utilisateur

Chaque compte se connectant à Microsoft Entra ID doit être associé à une valeur d’attribut de nom d’utilisateur principal (UPN) unique. Dans les environnements hybrides où un environnement Active Directory Domain Services (AD DS) local est synchronisé avec Microsoft Entra ID à l’aide de Microsoft Entra Connect, l’UPN Microsoft Entra ID est défini par défaut sur l’UPN local.

Le tableau suivant décrit les stratégies de nom d’utilisateur qui s’appliquent à la fois aux comptes locaux synchronisés avec Microsoft Entra ID et aux comptes d’utilisateur uniquement dans le cloud créés directement dans Microsoft Entra ID :

Propriété Conditions requises pour UserPrincipalName
Caractères autorisés A – Z
a - z
0 – 9
' . - _ ! # ^ ~
Caractères non autorisés Tout caractère « @ » qui ne sépare pas le nom d’utilisateur du domaine.
Ne peut pas contenir un point « . » précédant immédiatement le symbole « @ »
Contraintes de longueur La longueur totale ne doit pas dépasser 113 caractères
Jusqu’à 64 caractères avant le symbole « @ »
Jusqu’à 48 caractères après le symbole « @ »

Stratégies de mot de passe Microsoft Entra

Une stratégie de mot de passe est appliquée à tous les comptes d’utilisateur qui sont créés et gérés directement dans Microsoft Entra ID. Certains de ces paramètres de stratégie de mot de passe ne peuvent pas être modifiés. Toutefois, vous pouvez configurer des mots de passe interdits personnalisés pour la protection par mot de passe Microsoft Entra ou des paramètres de verrouillage de compte.

Par défaut, un compte est bloqué au bout de 10 tentatives de connexion infructueuses avec un mot de passe incorrect. L’utilisateur est verrouillé pendant une minute. La durée de verrouillage augmente après d’autres tentatives de connexion incorrectes. Le verrouillage intelligent suit les trois derniers hachages de mots de passe incorrects afin d'éviter d'incrémenter le compteur de verrouillages pour le même mot de passe. Si un utilisateur entre plusieurs fois le même mot de passe incorrect, il ne sera pas verrouillé. Vous pouvez définir le seuil et la durée du verrouillage intelligent.

Les options de stratégie de mot de passe Microsoft Entra suivantes sont définies. Sauf indication contraire, vous ne pouvez pas modifier ces paramètres :

Propriété Spécifications
Caractères autorisés A – Z
a - z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
Espace vide
Caractères non autorisés Caractères Unicode
Restrictions de mot de passe 8 caractères minimum et 256 caractères maximum.
Trois des quatre types de caractères suivants sont requis :
- caractères en minuscules
- caractères en majuscules
- Chiffres (0-9)
- Symboles (voir les restrictions de mot de passe précédentes)
Durée d’expiration du mot de passe (âge maximum du mot de passe) Valeur par défaut : 90 jours. Si le locataire a été créé après 2021, il n’a pas de valeur d’expiration par défaut. Vous pouvez vérifier la stratégie actuelle avec Get-MgDomain.
La valeur est configurable en utilisant la cmdlet Update-MgDomain du module Microsoft Graph pour PowerShell.
Expiration du mot de passe (empêche le mot de passe d’expirer) Valeur par défaut : false (indique que les mots de passe ont une date d’expiration).
La valeur peut être configurée pour des comptes d’utilisateur individuels en utilisant la cmdlet Update-MgUser.
Historique de modification du mot de passe Le dernier mot de passe ne peut pas être réutilisé lorsque l’utilisateur modifie un mot de passe.
Historique de réinitialisation du mot de passe Le dernier mot de passe peut être réutilisé lorsque l’utilisateur réinitialise un mot de passe oublié.

Si vous activez EnforceCloudPasswordPolicyForPasswordSyncedUsers, la stratégie de mot de passe Microsoft Entra s’applique aux comptes d’utilisateur synchronisés à partir d’un environnement local avec Microsoft Entra Connect. Dans le cas où un utilisateur modifie son mot de passe local en y intégrant un caractère Unicode, la modification peut être réussie au niveau local, mais échouer lors de l’authentification avec Microsoft Entra ID. Si la synchronisation de hachage de mot de passe est activée avec Microsoft Entra Connect, l’utilisateur peut toujours recevoir un jeton d’accès pour les ressources cloud. Toutefois, si le locataire active la modification du mot de passe en fonction des risques encourus par l’utilisateur , la modification du mot de passe est signalée comme étant à haut risque.

L’utilisateur est invité à modifier à nouveau son mot de passe. Toutefois, si la modification inclut toujours un caractère Unicode, il risque d'être verrouillé si le verrouillage intelligent est également activé.

Limitations de la stratégie de réinitialisation de mot de passe basée sur les risques

Si vous activez EnforceCloudPasswordPolicyForPasswordSyncedUsers, une modification de mot de passe cloud est requise une fois qu’un risque élevé est identifié. L’utilisateur est invité à modifier son mot de passe lorsqu’il se connecte à Microsoft Entra ID. Le nouveau mot de passe doit se conformer aux stratégies de mot de passe cloud et locales.

Si une modification de mot de passe répond aux exigences locales, mais ne répond pas aux exigences du cloud, la modification du mot de passe réussit si la synchronisation de hachage de mot de passe est activée. Par exemple, si le nouveau mot de passe inclut un caractère Unicode, la modification du mot de passe peut être mise à jour localement, mais pas dans le cloud.

Si le mot de passe ne répond pas aux critères de sécurité du cloud, il ne sera pas mis à jour dans le cloud, ce qui laisse le compte vulnérable. L’utilisateur obtient toujours un jeton d’accès aux ressources cloud, mais il devra modifier son mot de passe lors de sa prochaine connexion aux ressources cloud. Aucune erreur ou notification n’apparaît pour informer l’utilisateur que le mot de passe choisi ne correspond pas aux critères du cloud.

Différences en matière de stratégie de réinitialisation par l’administrateur

Par défaut, les comptes d’administrateur sont activés pour la réinitialisation de mot de passe en libre-service, et une stratégie de réinitialisation de mot de passe à deux portes renforcée par défaut est appliquée. Cette stratégie peut être différente de celle que vous avez définie pour vos utilisateurs et ne peut pas être modifiée. Vous devez toujours tester la fonctionnalité de réinitialisation de mot de passe en tant qu’utilisateur, sans qu’un rôle d’administrateur Azure vous soit affecté.

La stratégie à deux verrous nécessite deux éléments de données d’authentification, par exemple une adresse e-mail, une application d’authentification ou un numéro de téléphone et elle interdit les questions de sécurité. Les appels vocaux Office et mobiles sont également interdits pour les versions d’essai et gratuites de Microsoft Entra ID.

La stratégie d’administrateur SSPR ne dépend pas de la stratégie de méthode d’authentification. Par exemple, si vous désactivez des jetons logiciels tiers dans la stratégie de méthodes d’authentification, les comptes d’administrateur peuvent toujours inscrire des applications de jetons logiciels tiers et les utiliser, mais uniquement pour SSPR.

Une stratégie à deux verrous s’applique dans les conditions suivantes :

  • Tous les rôles d’administrateur suivants sont concernés :

    • Administrateur d’application
    • Administrateur d’authentification
    • Administrateur de facturation
    • Administrateur de conformité
    • Administrateur d’appareil cloud
    • Comptes de synchronisation d’annuaires
    • Enregistreurs de répertoire
    • Administrateur Dynamics 365
    • Administrateur Exchange
    • Administrateur général
    • Administrateur du support technique
    • Administrateur Intune
    • Administrateur local de l’appareil joint à Microsoft Entra
    • Prise en charge de niveau 1 de partenaire
    • Prise en charge de niveau 2 de partenaire
    • Administrateur de mots de passe
    • Administrateur de plateforme Power
    • Administrateur d’authentification privilégié
    • Administrateur de rôle privilégié
    • Administrateur de sécurité
    • Administrateur de support de service
    • Administrateur SharePoint
    • Administrateur Skype Entreprise
    • Administrateur Teams
    • Administrateur des communications Teams
    • Administrateur d’appareils Teams
    • Administrateur d’utilisateurs
  • Si 30 jours se sont écoulés dans un abonnement d’essai

    - Ou -

  • Un domaine personnalisé est configuré pour votre locataire Microsoft Entra, par exemple contoso.com

    - Ou -

  • Microsoft Entra Connect synchronise les identités à partir de votre annuaire local

Vous pouvez désactiver l’utilisation de SSPR pour les comptes Administrateur à l’aide de l’applet de commande PowerShell Update-MgPolicyAuthorizationPolicy. Le paramètre -AllowedToUseSspr:$true|$false active/désactive SSPR pour les administrateurs. Les modifications de stratégie pour activer ou désactiver SSPR pour les comptes Administrateur peuvent prendre jusqu’à 60 minutes.

Exceptions

Une stratégie à un verrou nécessite un élément de données d’authentification, par exemple une adresse de messagerie ou un numéro de téléphone. Une stratégie à un verrou s’applique dans les conditions suivantes :

  • Pendant les 30 premiers jours d’un abonnement d’essai

    -Ou-

  • Un domaine personnalisé n’est pas configuré (le locataire utilise *.onmicrosoft.com par défaut, ce qui n’est pas recommandé pour une utilisation en production) et Microsoft Entra Connect ne synchronise pas les identités.

Stratégies d’expiration de mot de passe

Les administrateurs des utilisateurs peuvent utiliser Microsoft Graph pour définir des mots de passe utilisateur sans date d’expiration.

Vous pouvez également utiliser des applets de commande PowerShell pour supprimer la configuration de non-expiration ou pour voir quels mots de passe utilisateur sont définis pour ne jamais expirer.

Ces conseils s’appliquent à d’autres fournisseurs, comme Intune et Microsoft 365, qui s’appuient également sur Microsoft Entra ID pour les services d’identité et d’annuaire. L’expiration du mot de passe est la seule partie de la stratégie qui peut être modifiée.

Remarque

Par défaut, seuls les mots de passe de comptes d’utilisateurs non synchronisés par le biais de Microsoft Entra Connect peuvent être configurés pour ne pas expirer. Pour plus d’informations sur la synchronisation d’annuaires, consultez Connecter AD à Microsoft Entra ID.

Définir ou vérifier les stratégies de mot de passe à l’aide de PowerShell

Pour commencer, téléchargez et installez le module Microsoft Graph PowerShell, puis connectez-le à votre locataire Microsoft Entra.

Une fois le module installé, suivez les étapes ci-après pour effectuer chaque tâche en fonction des besoins.

Vérifier la stratégie d’expiration d’un mot de passe

  1. Ouvrez une invite PowerShell et connectez-vous à votre locataire Microsoft Entra en tant qu’administrateur(-trice) des utilisateurs.

  2. Exécutez l’une des commandes suivantes pour un utilisateur individuel ou tous les utilisateurs :

    • Pour voir si le mot de passe d’un seul utilisateur est défini pour ne jamais expirer, exécutez l’applet de commande suivante. Remplacez <user ID> par l’ID utilisateur que vous voulez vérifier :

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • Pour afficher le paramètre Le mot de passe n’expire jamais pour tous les utilisateurs, exécutez la cmdlet suivante :

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

Définir un mot de passe pour qu’il expire

  1. Ouvrez une invite PowerShell et connectez-vous à votre locataire Microsoft Entra en tant qu’administrateur(-trice) des utilisateurs.

  2. Exécutez l’une des commandes suivantes pour un utilisateur individuel ou tous les utilisateurs :

    • Pour définir le mot de passe d’un utilisateur afin qu’il expire, exécutez l’applet de commande suivante. Remplacez <user ID> par l’ID utilisateur que vous voulez vérifier :

      Update-MgUser -UserId <user ID> -PasswordPolicies None
      
    • Pour définir les mots de passe de tous les utilisateurs de l’organisation pour qu’ils expirent, utilisez la commande suivante :

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
      

Définir un mot de passe pour qu’il n’expire jamais

  1. Ouvrez une invite PowerShell et connectez-vous à votre locataire Microsoft Entra en tant qu’administrateur(-trice) des utilisateurs.

  2. Exécutez l’une des commandes suivantes pour un utilisateur individuel ou tous les utilisateurs :

    • Pour définir le mot de passe d’un utilisateur afin qu’il n’expire jamais, exécutez l’applet de commande suivante : Remplacez <user ID> par l’ID utilisateur que vous voulez vérifier :

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • Pour définir les mots de passe de tous les utilisateurs de l’organisation afin qu’ils n’expirent jamais, utilisez la cmdlet suivante :

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
      

    Avertissement

    Les mots de passe définis sur -PasswordPolicies DisablePasswordExpiration le restent en fonction de l’attribut LastPasswordChangeDateTime. En fonction de l’attribut LastPasswordChangeDateTime, si vous définissez l’expiration sur -PasswordPolicies None, tous les mots dont LastPasswordChangeDateTime est supérieur à 90 jours doivent être modifiés par l’utilisateur lors de sa connexion suivante. Cette modification peut affecter un grand nombre d’utilisateurs.

Étapes suivantes

Pour bien démarrer avec la réinitialisation de mot de passe en libre-service, consultez Tutoriel : Permettre aux utilisateurs de déverrouiller leur compte ou de réinitialiser des mots de passe à l’aide de la réinitialisation de mot de passe en libre-service Microsoft Entra.

Si vos utilisateurs ou vous-même rencontrez des problèmes de réinitialisation SSPR, consultez Résolution des problèmes de réinitialisation de mot de passe en libre-service.