Microsoft Entra ID のパスワード ポリシーの組み合わせと、脆弱なパスワードのチェック
2021 年 10 月から、パスワード ポリシーへの準拠についての Microsoft Entra の検証には、既知の脆弱なパスワードおよびそのバリアントのチェックも含まれています。 このトピックでは、Microsoft Entra ID でチェックされるパスワード ポリシー条件について詳しく説明します。
Microsoft Entra のパスワード ポリシー
パスワード ポリシーは、Microsoft Entra ID で直接作成および管理されるすべてのユーザー アカウントと管理者アカウントに適用されます。 脆弱なパスワードを禁止し、不正なパスワードの試行が繰り返された後にアカウントをロックするパラメーターを定義できます。 その他のパスワード ポリシー設定は変更できません。
Microsoft Entra のパスワード ポリシーは、EnforceCloudPasswordPolicyForPasswordSyncedUsers を有効にしない限り、Microsoft Entra Connect を使用してオンプレミスの AD DS 環境から同期されたユーザー アカウントに対しては適用されません。 EnforceCloudPasswordPolicyForPasswordSyncedUsers とパスワード ライトバックが有効になっている場合、Microsoft Entra パスワードの有効期限ポリシーが適用されますが、長さ、複雑さなどについては、オンプレミスのパスワード ポリシーが優先されます。
次の Microsoft Entra パスワード ポリシー要件は、Microsoft Entra ID で作成、変更、リセットされるすべてのパスワードに適用されます。 要件は、ユーザー プロビジョニング、パスワードの変更、パスワード リセットのフロー中に適用されます。 これらの設定は、記載されている場合を除き、変更できません。
| プロパティ | 必要条件 |
|---|---|
| 使用できる文字 | 大文字 (A から Z) 小文字 (a から z) 数字 (0 から 9) 記号: - @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> - 空白 |
| 使用できない文字 | Unicode 文字 |
| パスワードの長さ | パスワードに必要な条件 - 最小 8 文字 - 最大 256 文字 |
| パスワードの複雑さ | パスワードには、次の 4 つのカテゴリのうち 3 つが必要です。 - 大文字 - 小文字 - 数字 - 記号 注: Education テナントでは、パスワードの複雑さのチェックは要求されません。 |
| 最近使用されていないパスワード | ユーザーが自分のパスワードを変更する場合、新しいパスワードを現在のパスワードと同じにしてはいけません。 |
| パスワードが Microsoft Entra のパスワード保護 によって禁止されていないこと | パスワードは、Microsoft Entra のパスワード保護での禁止パスワードのグローバル リストや、組織に固有の禁止パスワード リスト (カスタマイズ可能) に含まれていてはいけません。 |
パスワードの有効期限のポリシー
パスワードの有効期限ポリシーは変更されませんが、完全を期すためにこのトピックに含まれています。 少なくともユーザー管理者が割り当てられているユーザーは、Microsoft Graph PowerShell コマンドレットを使用し、ユーザーのパスワードを有効期限が切れないように設定できます。
Note
既定では、期限切れにならないように設定できるのは、Microsoft Entra Connect による同期を行っていないユーザー アカウントのパスワードのみです。 ディレクトリ同期の詳細については、「AD と Microsoft Entra ID を接続する」を参照してください。
また、PowerShell を使用すると、期限のない構成を削除したり、期限が切れないように設定されているユーザー パスワードを確認したりすることもできます。
次の有効期限の要件は、Microsoft Intune や Microsoft 365 など、ID やディレクトリ サービスに Microsoft Entra ID を使用する他のプロバイダーに適用されます。
| プロパティ | 必要条件 |
|---|---|
| パスワードの有効期間 (パスワードの最大有効期間) | 既定値:90 日。 この値は、Microsoft Graph PowerShell モジュールの Update-MgDomain コマンドレットを使って構成できます。 |
| パスワードの有効期限 (パスワードを無期限にします) | 既定値: false (パスワードの有効期限が指定されていることを示します)。 各ユーザー アカウントの値は、Update-MgUser コマンドレットを使って構成できます。 |