Políticas de senha e restrições de conta no Microsoft Entra ID

No Microsoft Entra ID, há uma política de senha que define configurações como a complexidade, o comprimento ou a idade da senha. Também há uma política que define os caracteres aceitáveis e o comprimento dos nomes de usuário.

Quando a SSPR (redefinição de senha self-service) é usada para alterar ou redefinir uma senha no Microsoft Entra ID, a política de senha é verificada. Se a senha não atender aos requisitos da política, o usuário será solicitado a tentar novamente. Os administradores do Azure têm algumas restrições ao uso da SSPR que são diferentes das contas de usuário comuns, e há pequenas exceções para versões de teste e gratuitas do Microsoft Entra ID.

Este artigo descreve as configurações da política de senha e os requisitos de complexidade associados às contas de usuário. Também aborda como usar o PowerShell para verificar ou definir configurações de expiração de senha.

Políticas de nome de usuário

Todas as contas que se conectam ao Microsoft Entra ID devem ter um valor de atributo exclusivo de nome UPN associado à sua conta. Em ambientes híbridos com um ambiente local do Active Directory Domain Services (AD DS) sincronizado com o Microsoft Entra ID usando o Microsoft Entra Connect, por padrão, o UPN do Microsoft Entra ID é definido como o UPN local.

A tabela a seguir descreve as políticas de nome de usuário que se aplicam às contas locais que são sincronizadas com o Microsoft Entra ID e às contas de usuário somente na nuvem criadas diretamente no Microsoft Entra ID:

Propriedade Requisitos de UserPrincipalName
Caracteres permitidos A – Z
a - z
0 – 9
' . - _ ! # ^ ~
Caracteres não permitidos Qualquer caractere de '@' que não esteja separando o nome de usuário do domínio.
Não pode conter um caractere de ponto '.' imediatamente antes do símbolo '@'
Restrições de comprimento O comprimento total não deve exceder 113 caracteres
Pode haver até 64 caracteres antes do símbolo de "@"
Pode haver até 48 caracteres após o símbolo de "@"

Políticas de senha do Microsoft Entra

Uma política de senha é aplicada a todas as contas de usuário criadas e gerenciadas diretamente no Microsoft Entra ID. Algumas dessas configurações de política de senha não podem ser modificadas, embora você possa configurar senhas proibidas personalizadas para a proteção de senha do Microsoft Entra ou parâmetros de bloqueio de conta.

Por padrão, uma conta será bloqueada após 10 tentativas malsucedidas de conexão com a senha incorreta. O usuário é bloqueado por um minuto. A duração do bloqueio aumenta após outras tentativas de entrada incorretas. O bloqueio inteligente rastreia os últimos três hashes de senha incorreta para evitar o incremento do contador de bloqueio para a mesma senha. Se alguém digitar a mesma senha incorreta várias vezes, a pessoa não será bloqueada. Você pode definir o limite e a duração do bloqueio inteligente.

São definidas as seguintes opções de política de senha do Microsoft Entra. A menos que indicado, não é possível alterar essas configurações:

Propriedade Requisitos
Caracteres permitidos A – Z
a - z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
Espaço em branco
Caracteres não permitidos Caracteres Unicode
Restrições de senha Um mínimo de 8 caracteres e um máximo de 256 caracteres.
Requer três dos quatro tipos de caracteres a seguir:
- Caracteres minúsculos
- Caracteres maiúsculos
– Números (0 a 9)
– Símbolos (veja as restrições de senha mencionadas)
Duração da expiração da senha (duração máxima da senha) Valor padrão: 90 dias. Se o locatário tiver sido criado após 2021, ele não terá nenhum valor de término padrão. Você pode verificar a política atual com Get-MgDomain.
O valor pode ser configurado usando o cmdlet Update-MgDomain do módulo do Microsoft Graph para o PowerShell.
Expiração de senha (permite que as senhas nunca expirem) Valor padrão: false (indica que as senhas têm uma data de validade).
O valor pode ser configurado para contas de usuário individuais usando o cmdlet Update-MgUser.
Histórico de alteração de senha A última senha não pode ser usada novamente quando o usuário alterar uma senha.
Histórico de redefinição de senha A última senha pode ser usada novamente quando o usuário redefine uma senha esquecida.

Se você habilitar EnforceCloudPasswordPolicyForPasswordSyncedUsers, a política de senha do Microsoft Entra se aplicará a contas de usuário sincronizadas no local usando o Microsoft Entra Connect. Além disso, se um usuário alterar uma senha local para incluir um caractere unicode, a alteração de senha poderá ser bem-sucedida localmente, mas não no Microsoft Entra ID. Se a sincronização de hash de senha estiver habilitada com o Microsoft Entra Connect, o usuário ainda poderá receber um token de acesso para recursos de nuvem. Mas se o locatário habilitar a alteração de senha baseada em risco do usuário, a alteração de senha será relatada como de alto risco.

Será solicitado que o usuário altere a senha novamente. Mas se a alteração ainda incluir um caractere unicode, o usuário podrá ficar bloqueado se o bloqueio inteligente também estiver ativado.

Limitações da política de redefinição de senha baseada em risco

Se você habilitar EnforceCloudPasswordPolicyForPasswordSyncedUsers, uma alteração de senha de nuvem será necessária quando um alto risco for identificado. Será solicitado que o usuário altere a senha quando entrar no Microsoft Entra ID. A nova senha deve estar em conformidade com as políticas de senha na nuvem e no local.

Se uma alteração de senha atender aos requisitos locais, mas não atender aos requisitos de nuvem, a alteração de senha ocorrerá se a sincronização de hash de senha estiver habilitada. Por exemplo, se a nova senha incluir um caractere unicode, a alteração de senha poderá ser atualizada no local, mas não na nuvem.

Se a senha não estiver em conformidade com os requisitos de senha na nuvem, ela não será atualizada na nuvem e o risco da conta não diminuirá. O usuário ainda receberá um token de acesso para recursos de nuvem, mas será solicitada a alteração da senha novamente ao acessar recursos de nuvem. O usuário não verá nenhum erro ou notificação de que a senha escolhida não atendeu aos requisitos de nuvem.

Diferenças da política de redefinição de senha do administrador

Por padrão, as contas de administrador são habilitadas para redefinição de senha self-service e uma política de redefinição de senha de duas portas padrão forte é imposta. Essa política poderá ser diferente da que você definiu para os usuários e ela não poderá ser alterada. Sempre teste a funcionalidade de redefinição de senha como um usuário sem funções de administrador do Azure atribuídas.

A política de duas portas requer duas partes de dados de autenticação, como um endereço de email, aplicativo autenticador ou um número de telefone e proíbe perguntas de segurança. As chamadas de voz móveis e do Office também são proibidas para versões de avaliação ou gratuitas do Microsoft Entra ID.

A política de administrador de SSPR não depende da política do método de autenticação. Por exemplo, se você desabilitar tokens de software de terceiros na política de métodos de autenticação, as contas de administrador ainda poderão registrar aplicativos de token de software de terceiros e usá-los, mas apenas para SSPR.

Uma política de duas portas aplica-se nas seguintes circunstâncias:

  • Todas as seguintes funções de administrador do Azure são afetadas:

    • Administrador de Aplicativos
    • Administrador de Autenticação
    • Administrador de cobrança
    • Administrador de conformidade
    • Administrador de dispositivo de nuvem
    • Contas de sincronização de diretório
    • Gravadores de diretório
    • Administrador do Dynamics 365
    • Administrador do Exchange
    • Administrador Global
    • Administrador de Assistência Técnica
    • Administrador do Intune
    • Administrador Local do Dispositivo Ingressado no Microsoft Entra
    • Suporte de camada 1 do parceiro
    • Suporte de camada 2 do parceiro
    • Administrador de senha
    • Administrador do Power Platform
    • Administrador de Autenticação Privilegiada
    • Administrador de função com privilégios
    • Administrador de segurança
    • Administrador de suporte a serviço
    • Administrador do SharePoint
    • Administrador do Skype for Business
    • Administrador de equipes
    • Administrador de Comunicações do Teams
    • Administrador de dispositivos do Teams
    • Administrador de usuários
  • Se 30 dias tiverem decorrido em uma assinatura de avaliação

    -Ou-

  • Um domínio personalizado é configurado para o seu locatário do Microsoft Entra, como contoso.com

    -Ou-

  • O Microsoft Entra Connect sincroniza identidades de seu diretório local

Você pode desabilitar o uso de SSPR para contas de administrador usando o cmdlet do PowerShell Update-MgPolicyAuthorizationPolicy. O parâmetro -AllowedToUseSspr:$true|$false habilita/desabilita o SSPR para administradores. As alterações de política para habilitar ou desabilitar o SSPR em contas de administrador podem levar até 60 minutos para entrar em vigor.

Exceções

Uma política de duas portas requer um tipo de dados de autenticação, como um endereço de email ou um número de telefone. Uma política de uma porta aplica-se nas seguintes circunstâncias:

  • Está dentro dos primeiros 30 dias de uma assinatura de avaliação

    -Ou-

  • Um domínio personalizado não está configurado (o locatário está usando o *.onmicrosoft.com padrão, que não é recomendado para uso em produção) e o Microsoft Entra Connect não está sincronizando identidades.

Políticas de expiração de senha

Administradores de usuário podem usar o Microsoft Graph para definir que as senhas de usuários não expirem.

Você também pode usar os cmdlets do PowerShell para remover as configurações que nunca expiram ou para ver quais senhas de usuário são configuradas para não expirar.

Essas diretrizes se aplicam a outros provedores, como o Intune e o Microsoft 365, que também contam com o Microsoft Entra ID para serviços de identidade e diretório. A expiração da senha é a única parte da política que pode ser alterada.

Observação

Por padrão, somente as senhas de contas de usuário que não são sincronizadas por meio do Microsoft Entra Connect podem ser configuradas para não expirar. Para obter mais informações sobre a sincronização de diretório, confira Conectar o AD com o Microsoft Entra ID.

Definir ou verificar políticas de senha usando o PowerShell

Para começar, faça o download e instale o módulo do Microsoft Graph PowerShell e conecte-o ao seu locatário do Microsoft Entra.

Depois que o módulo for instalado, use as etapas a seguir para concluir cada tarefa conforme necessário.

Verificar a política de expiração de uma senha

  1. Abra um prompt do PowerShell e conecte-se ao seu locatário do Microsoft Entra como pelo menos um Administrador de Usuários.

  2. Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:

    • Para ver se a senha de um único usuário está definida para nunca expirar, execute o cmdlet a seguir. Substitua <user ID> pela ID do usuário que deseja verificar:

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      
    • Para ver a configuração Senha nunca expira para todos os usuários, execute o seguinte cmdlet:

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
      

Definir uma senha para expirar

  1. Abra um prompt do PowerShell e conecte-se ao seu locatário do Microsoft Entra como pelo menos um Administrador de Usuários.

  2. Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:

    • Para definir a senha de um usuário para que ela expire, execute o cmdlet a seguir. Substitua <user ID> pela ID do usuário que deseja verificar:

      Update-MgUser -UserId <user ID> -PasswordPolicies None
      
    • Para definir as senhas de todos os usuários da organização de modo que elas expirem, use o seguinte comando:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
      

Definir uma senha para nunca expirar

  1. Abra um prompt do PowerShell e conecte-se ao seu locatário do Microsoft Entra como pelo menos um Administrador de Usuários.

  2. Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:

    • Para definir a senha de um usuário para que ela nunca expire, execute o cmdlet a seguir. Substitua <user ID> pela ID do usuário que deseja verificar:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
      
    • Para definir as senhas de todos os usuários de uma organização para nunca expirar, execute o seguinte cmdlet:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
      

    Aviso

    Senhas definidas como -PasswordPolicies DisablePasswordExpiration ainda expiram com base no atributo LastPasswordChangeDateTime. Com base no atributo LastPasswordChangeDateTime, se você alterar a expiração para -PasswordPolicies None, todas as senhas que tenham um LastPasswordChangeDateTime com idade acima de 90 dias exigirão que o usuário as altere na próxima vez que entrarem. Essa alteração pode afetar um grande número de usuários.

Próximas etapas

Para começar a usar a SSPR, confira Tutorial: Permitir que os usuários desbloqueiem suas contas ou redefinam senhas usando a redefinição de senha self-service do Microsoft Entra.

Se você ou os usuários tiverem problemas com a SSPR, confira Solucionar problemas da redefinição de senha self-service