Criteri password e restrizioni per gli account in Microsoft Entra ID

In Microsoft Entra ID è presente un criterio password che definisce impostazioni come la complessità, la lunghezza o la validità delle password. Esistono anche criteri che definiscono caratteri e lunghezza accettabili per i nomi utente.

Quando la reimpostazione della password self-service viene usata per modificare o reimpostare una password in Microsoft Entra ID, i criteri password vengono controllati. Se la password non soddisfa i requisiti dei criteri, all'utente viene richiesto di riprovare. Gli amministratori di Azure hanno alcune restrizioni sull'uso della reimpostazione della password self-service che sono diversi dagli account utente normali ed esistono eccezioni minime per la versione di prova e la versione gratuita di Microsoft Entra ID.

Questo articolo descrive le impostazioni dei criteri password e i requisiti di complessità associati agli account utente. Illustra anche come usare PowerShell per controllare o impostare le impostazioni di scadenza delle password.

Criteri nome utente

Ogni account che accede a ID di Microsoft Entra deve avere un valore di attributo UPN (User Principal Name) univoco associato al proprio account. Negli ambienti ibridi con un ambiente di servizi di dominio Active Directory locale sincronizzato con l'ID Microsoft Entra con Microsoft Entra Connect, per impostazione predefinita l'UPN dell'ID Microsoft Entra è impostato sull'UPN locale.

Nella tabella seguente vengono descritti i criteri relativi al nome utente che si applicano sia agli account locali sincronizzati con Microsoft Entra ID che per gli account utente solo cloud creati direttamente in Microsoft Entra ID:

Proprietà Requisiti di UserPrincipalName
Caratteri consentiti A-Z
a - z
0 – 9
' . - _ ! # ^ ~
Caratteri non consentiti Qualsiasi carattere "@" che non separa il nome utente dal dominio.
Non può contenere un punto "." subito prima del simbolo "@"
Vincoli di lunghezza La lunghezza totale non deve superare i 113 caratteri
Prima del simbolo "@" possono esserci al massimo 64 caratteri
Dopo il simbolo "@" possono esserci al massimo 48 caratteri

Criteri password di Microsoft Entra

I criteri password vengono applicati a tutti gli account utente creati e gestiti direttamente in Microsoft Entra ID. Alcune di queste impostazioni dei criteri password non possono essere modificate, anche se è possibile configurare password personalizzate escluse per i parametri di protezione password o di blocco dell'account Microsoft Entra.

Per impostazione predefinita, un account viene bloccato dopo 10 tentativi di accesso non riusciti a causa della password errata. L'utente viene bloccato per un minuto. La durata del blocco aumenta dopo ulteriori tentativi di accesso non corretti. Il blocco intelligente tiene traccia degli ultimi tre hash delle password non validi per evitare l'incremento del contatore dei blocchi per la stessa password. Se qualcuno immette più volte la stessa password non valida, non viene bloccata. È possibile definire la soglia e la durata del blocco intelligente.

Vengono definite le opzioni seguenti per i criteri password di Microsoft Entra. Se non specificato, non è possibile modificare queste impostazioni:

Proprietà Requisiti
Caratteri consentiti A-Z
a - z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
Spazio vuoto
Caratteri non consentiti Caratteri Unicode
Restrizioni per le password Un numero di caratteri compreso tra 8 e 256.
Richiede tre dei quattro tipi di caratteri seguenti:
- Caratteri minuscoli
- Caratteri maiuscoli
- Numeri (da 0 a 9)
- Simboli (vedere le restrizioni per le password elencate sopra)
Durata scadenza password (validità massima password) Valore predefinito: 90 giorni. Se il tenant è stato creato dopo il 2021, non ha alcun valore di scadenza predefinito. È possibile controllare i criteri correnti con Get-MgDomain.
Il valore è configurabile usando il cmdlet Update-MgDomain del modulo Microsoft Graph per PowerShell.
Scadenza password (Validità illimitata password) Valore predefinito: false (indica che la password ha una data di scadenza).
Il valore può essere configurato per singoli account utente con il cmdlet Update-MgUser.
Cronologia delle modifiche della password Al cambio della password, l'utente non può usare di nuovo la password più recente.
Cronologia delle reimpostazioni della password Alla reimpostazione di una password dimenticata, l'utente può usare di nuovo la password più recente.

Se si abilita EnforceCloudPasswordPolicyForPasswordSyncedUsers, i criteri password di Microsoft Entra si applicano agli account utente sincronizzati dall'ambiente locale tramite Microsoft Entra Connect. Inoltre, se un utente modifica una password in locale per includere un carattere Unicode, la modifica della password può avere esito positivo in locale ma non in Microsoft Entra ID. Se la sincronizzazione dell'hash delle password è abilitata con Microsoft Entra Connect, l'utente può comunque ricevere un token di accesso per le risorse cloud. Tuttavia, se il tenant abilita la modifica della password basata sul rischio utente, la modifica della password viene segnalata come ad alto rischio.

All'utente viene chiesto di modificare nuovamente la password. Tuttavia, se la modifica include ancora un carattere Unicode, potrebbe essere bloccata se è abilitato anche il blocco intelligente.

Limitazioni dei criteri di reimpostazione delle password basate sui rischi

Se si abilita EnforceCloudPasswordPolicyForPasswordSyncedUsers, una modifica della password cloud è necessaria una volta identificato un rischio elevato. All'utente viene richiesto di modificare la password quando accede a Microsoft Entra ID. La nuova password deve essere conforme sia ai criteri cloud che alle password locali.

Se una modifica della password soddisfa i requisiti locali ma non soddisfa i requisiti cloud, la modifica della password ha esito positivo se la sincronizzazione dell'hash delle password è abilitata. Ad esempio, se la nuova password include un carattere Unicode, la modifica della password può essere aggiornata in locale ma non nel cloud.

Se la password non è conforme ai requisiti della password cloud, non viene aggiornata nel cloud e il rischio dell'account non diminuisce. L'utente riceve ancora un token di accesso per le risorse cloud, ma viene richiesto di modificare di nuovo la password al successivo accesso alle risorse cloud. L'utente non visualizza alcun errore o notifica che la password scelta non è riuscita a soddisfare i requisiti cloud.

Differenze dei criteri di reimpostazione degli amministratori

Per impostazione predefinita, gli account amministratore sono abilitati per la reimpostazione della password self-service e viene applicato un criterio di reimpostazione della password a due gate sicuro. Questo criterio può essere diverso da quello definito per gli utenti e questo criterio non può essere modificato. È necessario verificare sempre la funzionalità di reimpostazione della password come utente senza ruoli di amministratore di Azure assegnati.

Il criterio a due gate richiede tre tipi di dati di autenticazione, ad esempio un indirizzo di posta elettronica, un'app di autenticazione o un numero di telefono e vieta le domande di sicurezza. Anche le chiamate vocali di Office e per dispositivi mobili sono vietate per le versioni di valutazione o gratuite di Microsoft Entra ID.

I criteri di amministratore della reimpostazione della password self-service non dipendono dai criteri del metodo delle autenticazioni. Ad esempio, se si disabilitano i token software di terze parti nel criterio Metodi di autenticazione, gli account amministratore possono comunque registrare applicazioni token software di terze parti e usarli, ma solo per la reimpostazione della password self-service.

Un criterio a due gate si applica nelle circostanze seguenti:

  • Sono interessati tutti i ruoli di amministratore di Azure seguenti:

    • Amministratore di applicazioni
    • Amministratore dell'autenticazione
    • Amministratore fatturazione
    • Amministratore di conformità
    • Amministratore dispositivo cloud
    • Account di sincronizzazione della directory
    • Ruolo con autorizzazioni di scrittura nella directory
    • Amministratore di Dynamics 365
    • Amministratore di Exchange
    • Amministratore globale
    • Amministratore supporto tecnico
    • Amministratore di Intune
    • Amministratore locale del dispositivo aggiunto a Microsoft Entra
    • Supporto partner - Livello 1
    • Supporto partner - Livello 2
    • Amministratore password
    • Amministratore di Power Platform
    • Amministratore autenticazione con privilegi
    • Amministratore ruolo con privilegi
    • Amministratore della sicurezza
    • Amministratore servizio di supporto
    • Amministratore SharePoint
    • Amministratore di Skype for Business
    • Amministratore di Teams
    • Amministratore delle comunicazioni di Teams
    • Amministratore di dispositivi di Teams
    • Amministratore utenti
  • Se sono trascorsi 30 giorni in una sottoscrizione di prova

    Oppure

  • Un dominio personalizzato è configurato per il tenant di Microsoft Entra, ad esempio contoso.com

    Oppure

  • Microsoft Entra Connect sincronizza le identità dalla directory locale

È possibile disabilitare l'uso della reimpostazione della password self-service per gli account amministratore usando il cmdlet di PowerShell Update-MgPolicyAuthorizationPolicy. Il parametro -AllowedToUseSspr:$true|$false abilita/disabilita la reimpostazione della password self-service per gli amministratori. Le modifiche ai criteri per abilitare o disabilitare la reimpostazione della password self-service per gli account amministratore possono richiedere fino a 60 minuti.

Eccezioni

Un criterio a un gate richiede un tipo di dati di autenticazione, ad esempio un indirizzo di posta elettronica o un numero di telefono. Un criterio a un gate si applica nelle circostanze seguenti:

  • Non sono ancora trascorsi i primi 30 giorni per una sottoscrizione di valutazione

    Oppure

  • Un dominio personalizzato non è configurato (il tenant usa il valore predefinito *.onmicrosoft.com, che non è consigliato per l'uso in produzione) e Microsoft Entra Connect non sincronizza le identità.

Criteri di scadenza delle password

Gli amministratori utenti possono usare Microsoft Graph per impostare le password utente che non scadono.

È inoltre possibile usare cmdlet PowerShell per rimuovere la configurazione senza scadenza o per vedere quali password utente vengono impostate in modo da non scadere mai.

Queste indicazioni si applicano ad altri provider, ad esempio Intune e Microsoft 365, che si basano sempre su Microsoft Entra ID per i servizi di identità e directory. La scadenza della password è l'unica parte dei criteri a poter essere modificata.

Nota

Per impostazione predefinita, solo le password per gli account utente non sincronizzati tramite Microsoft Entra Connect possono essere configurate per non scadere. Per altre informazioni sulla sincronizzazione delle directory, vedere Connettere AD con Microsoft Entra ID.

Impostare o verificare i criteri password con PowerShell

Per iniziare, scaricare e installare il modulo Microsoft Graph PowerShell e connetterlo al tenant di Microsoft Entra.

Dopo aver installato il modulo, seguire questa procedura per completare ogni attività in base alle esigenze.

Controllare i criteri di scadenza per una password

  1. Aprire un prompt di PowerShell e connettersi al tenant di Microsoft Entra con privilegi almeno di amministratore utente.

  2. Eseguire uno dei comandi seguenti per un singolo utente o per tutti gli utenti:

    • Per verificare se la password di un singolo utente è impostata per non scadere mai, eseguire il cmdlet seguente. Sostituire <user ID> con l'ID utente dell'utente che si vuole controllare:

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • Per visualizzare l'impostazione La password non scade mai per tutti gli utenti, eseguire il cmdlet seguente:

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

Impostare una scadenza della password

  1. Aprire un prompt di PowerShell e connettersi al tenant di Microsoft Entra con privilegi almeno di amministratore utente.

  2. Eseguire uno dei comandi seguenti per un singolo utente o per tutti gli utenti:

    • Per impostare la password di un utente in modo che la password scada, eseguire il cmdlet seguente. Sostituire <user ID> con l'ID utente dell'utente che si vuole controllare:

      Update-MgUser -UserId <user ID> -PasswordPolicies None
      
    • Per impostare le password di tutti gli utenti dell'organizzazione in modo che scadano, usare il comando seguente:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
      

Impostare una password senza scadenza

  1. Aprire un prompt di PowerShell e connettersi al tenant di Microsoft Entra con privilegi almeno di amministratore utente.

  2. Eseguire uno dei comandi seguenti per un singolo utente o per tutti gli utenti:

    • Per impostare la password di un utente senza scadenza, eseguire il cmdlet seguente. Sostituire <user ID> con l'ID utente dell'utente che si vuole controllare:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • Per impostare le password degli utenti in un'organizzazione in modo che non scadano mai, eseguire il cmdlet seguente:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
      

    Avviso

    Le password impostate su -PasswordPolicies DisablePasswordExpiration diventano comunque obsolete in base all'attributo LastPasswordChangeDateTime. In base all'attributo LastPasswordChangeDateTime, se si modifica la scadenza in -PasswordPolicies None, all'accesso successivo l'utente sarà tenuto a cambiare tutte le password che hanno un attributo LastPasswordChangeDateTime che risale a più di 90 giorni prima. Questa modifica può riguardare un numero elevato di utenti.

Passaggi successivi

Per iniziare a usare la reimpostazione della password self-service, vedere Esercitazione: Abilitare gli utenti a sbloccare il proprio account o reimpostare le password usando la reimpostazione della password self-service di Microsoft Entra.

In caso di problemi con la SSPR, vedere Risoluzione dei problemi di reimpostazione della password self-service