Microsoft Entra ID のパスワード ポリシーの組み合わせと、脆弱なパスワードのチェック

2021 年 10 月から、パスワード ポリシーへの準拠についての Microsoft Entra の検証には、既知の脆弱なパスワードおよびそのバリアントのチェックも含まれています。 このトピックでは、Microsoft Entra ID でチェックされるパスワード ポリシー条件について詳しく説明します。

Microsoft Entra のパスワード ポリシー

パスワード ポリシーは、Microsoft Entra ID で直接作成および管理されるすべてのユーザー アカウントと管理者アカウントに適用されます。 脆弱なパスワードを禁止し、不正なパスワードの試行が繰り返された後にアカウントをロックするパラメーターを定義できます。 その他のパスワード ポリシー設定は変更できません。

Microsoft Entra のパスワード ポリシーは、EnforceCloudPasswordPolicyForPasswordSyncedUsers を有効にしない限り、Microsoft Entra Connect を使用してオンプレミスの AD DS 環境から同期されたユーザー アカウントに対しては適用されません。 EnforceCloudPasswordPolicyForPasswordSyncedUsers とパスワード ライトバックが有効になっている場合、Microsoft Entra パスワードの有効期限ポリシーが適用されますが、長さ、複雑さなどについては、オンプレミスのパスワード ポリシーが優先されます。

次の Microsoft Entra パスワード ポリシー要件は、Microsoft Entra ID で作成、変更、リセットされるすべてのパスワードに適用されます。 要件は、ユーザー プロビジョニング、パスワードの変更、パスワード リセットのフロー中に適用されます。 これらの設定は、記載されている場合を除き、変更できません。

プロパティ 必要条件
使用できる文字 大文字 (A から Z)
小文字 (a から z)
数字 (0 から 9)
記号:
- @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
- 空白
使用できない文字 Unicode 文字
パスワードの長さ パスワードに必要な条件
- 最小 8 文字
- 最大 256 文字
パスワードの複雑さ パスワードには、次の 4 つのカテゴリのうち 3 つが必要です。
- 大文字
- 小文字
- 数字
- 記号
注: Education テナントでは、パスワードの複雑さのチェックは要求されません。
最近使用されていないパスワード ユーザーが自分のパスワードを変更する場合、新しいパスワードを現在のパスワードと同じにしてはいけません。
パスワードが Microsoft Entra のパスワード保護 によって禁止されていないこと パスワードは、Microsoft Entra のパスワード保護での禁止パスワードのグローバル リストや、組織に固有の禁止パスワード リスト (カスタマイズ可能) に含まれていてはいけません。

パスワードの有効期限のポリシー

パスワードの有効期限ポリシーは変更されませんが、完全を期すためにこのトピックに含まれています。 少なくともユーザー管理者が割り当てられているユーザーは、Microsoft Graph PowerShell コマンドレットを使用し、ユーザーのパスワードを有効期限が切れないように設定できます。

Note

既定では、期限切れにならないように設定できるのは、Microsoft Entra Connect による同期を行っていないユーザー アカウントのパスワードのみです。 ディレクトリ同期の詳細については、「AD と Microsoft Entra ID を接続する」を参照してください。

また、PowerShell を使用すると、期限のない構成を削除したり、期限が切れないように設定されているユーザー パスワードを確認したりすることもできます。

次の有効期限の要件は、Microsoft Intune や Microsoft 365 など、ID やディレクトリ サービスに Microsoft Entra ID を使用する他のプロバイダーに適用されます。

プロパティ 必要条件
パスワードの有効期間 (パスワードの最大有効期間) 既定値:90 日。
この値は、Microsoft Graph PowerShell モジュールの Update-MgDomain コマンドレットを使って構成できます。
パスワードの有効期限 (パスワードを無期限にします) 既定値: false (パスワードの有効期限が指定されていることを示します)。
各ユーザー アカウントの値は、Update-MgUser コマンドレットを使って構成できます。

次のステップ