Политики паролей и ограничения учетных записей для паролей в Microsoft Entra ID
В идентификаторе Microsoft Entra есть политика паролей, которая определяет такие параметры, как сложность пароля, длина или возраст. Существует также политика, которая определяет допустимые символы и длину имен пользователей.
Если для самостоятельного сброса пароля (SSPR) используется для изменения или сброса пароля в идентификаторе Microsoft Entra, политика паролей проверяется. Если пароль не соответствует требованиям политики, пользователю предлагается повторить попытку. Администраторы Azure имеют некоторые ограничения на использование SSPR, которые отличаются от обычных учетных записей пользователей, и существуют незначительные исключения для пробной версии и бесплатных версий идентификатора Microsoft Entra.
В этой статье описываются параметры политики паролей и требования к сложности, связанные с учетными записями пользователей. В этой статье также описывается, как использовать PowerShell для проверки или задания параметров истечения срока действия пароля.
Политики имен пользователей
Все учетные записи, с которыми выполнен вход в Microsoft Entra ID, должны иметь уникальное значение атрибута имени субъекта-пользователя (UPN), связанное с этой учетной записью. В гибридных средах с средой доменных служб локальная служба Active Directory, синхронизированной с идентификатором Microsoft Entra Id Connect с помощью Microsoft Entra Connect, по умолчанию для имени участника-пользователя Microsoft Entra IDN устанавливается локальное имя участника-пользователя.
В следующей таблице описаны политики имени пользователя, которые применяются как к локальным учетным записям, которые синхронизируются с идентификатором Microsoft Entra ID, так и для учетных записей пользователей, созданных непосредственно в идентификаторе Microsoft Entra.
Свойство | Требования UserPrincipalName |
---|---|
Допустимые символы | A–Z a–z 0–9 ' . - _ ! # ^ ~ |
Недопустимые символы | Любой знак "@", который не отделяет имя пользователя от домена. Не может содержать знак точки "." непосредственно перед знаком "@". |
Ограничения длины | Общая длина не должна превышать 113 знаков. Перед знаком "@" может быть до 64 знаков. После знака "@" может быть до 48 знаков. |
Политики паролей Microsoft Entra
Политика паролей применяется ко всем учетным записям пользователей, созданным и управляемым непосредственно в идентификаторе Microsoft Entra. Некоторые из этих параметров политики паролей нельзя изменить, хотя можно настроить настраиваемые запрещенные пароли для защиты паролей Microsoft Entra или параметров блокировки учетных записей.
По умолчанию после 10 неудачных попыток входа с неправильным паролем учетная запись блокируется. Пользователь блокируется на одну минуту. Длительность блокировки увеличивается после дальнейших неправильных попыток входа. Смарт-блокировка отслеживает хэши последних трех попыток неправильного ввода пароля во избежание повторного увеличения счетчика блокировки для того же пароля. Если кто-то вводит один и тот же неправильный пароль несколько раз, они не заблокированы. Можно определить пороговое значение и длительность смарт-блокировки.
Определены следующие параметры политики паролей Microsoft Entra. Если не указано иное, эти параметры изменить нельзя.
Свойство | Требования |
---|---|
Допустимые символы | A–Z a–z 0–9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> Пустое пространство |
Недопустимые символы | Символы Юникода |
Ограничения для пароля | От 8 до 256 знаков. Требуется три из четырех из следующих типов символов: — Строчные буквы — Прописные буквы - Числа (0-9) — Символы (см. предыдущие ограничения паролей) |
Длительность срока действия пароля (максимальный срок существования пароля) | Значение по умолчанию: 90 дней. Если клиент был создан после 2021 года, он не имеет значения срока действия по умолчанию. Вы можете проверить текущую политику с помощью Get-MgDomain. Это значение можно настроить с помощью командлета Update-MgDomain из модуля Microsoft Graph для PowerShell. |
Срок действия пароля истекает (пароли можно сделать бессрочными) | Значение по умолчанию: false (указывает, что пароли имеют дату окончания срока действия). Значение можно настроить для отдельных учетных записей пользователей с помощью командлета Update-MgUser . |
Журнал изменения пароля | Последний пароль невозможно использовать повторно, когда пользователь изменяет пароль. |
Журнал сброса пароля | Последний пароль можно использовать повторно, когда пользователь сбрасывает забытый пароль. |
Если включить EnforceCloudPasswordPolicyForPasswordSyncedUsers, политика паролей Microsoft Entra применяется к учетным записям пользователей, синхронизированным из локальной среды с помощью Microsoft Entra Connect. Кроме того, если пользователь изменяет пароль локально, чтобы включить символ юникода, изменение пароля может завершиться локально, но не в идентификаторе Microsoft Entra. Если синхронизация хэша паролей включена с помощью Microsoft Entra Connect, пользователь по-прежнему может получить маркер доступа для облачных ресурсов. Но если клиент включает изменение пароля на основе рисков пользователей, изменение пароля сообщается как высокий риск.
Пользователю будет предложено снова изменить пароль. Но если изменение по-прежнему содержит символ юникода, они могут быть заблокированы, если смарт-блокировка также включена.
Ограничения политики сброса пароля на основе рисков
Если включить EnforceCloudPasswordPolicyForPasswordSyncedUsers, изменение пароля в облаке необходимо после определения высокого риска. Пользователю предлагается изменить пароль при входе в идентификатор Microsoft Entra. Новый пароль должен соответствовать как облачным, так и локальным политикам паролей.
Если изменение пароля соответствует локальным требованиям, но не соответствует требованиям облака, изменение пароля завершается успешно, если включена синхронизация хэша паролей. Например, если новый пароль содержит символ Юникода, изменение пароля может быть обновлено локально, но не в облаке.
Если пароль не соответствует требованиям к облачному паролю, он не обновляется в облаке, а риск учетной записи не уменьшается. Пользователь по-прежнему получает маркер доступа для облачных ресурсов, но вам будет предложено снова изменить пароль при следующем доступе к облачным ресурсам. Пользователь не видит никаких ошибок или уведомлений о том, что выбранный пароль не соответствует требованиям облака.
Различия политики сброса администратора
По умолчанию учетные записи администратора поддерживают самостоятельный сброс пароля, и принудительно применяется стандартная строгая политика сброса паролей с двумя шлюзами. Эта политика может отличаться от той, которую вы определили для пользователей, и эта политика не может быть изменена. Всегда следует тестировать функции сброса пароля от имени пользователя, которому не назначена какая-либо роль администратора Azure.
Политика с двумя шлюзами требует двух частей данных проверки подлинности, таких как адрес электронной почты, приложение authenticator или номер телефона, и запрещает вопросы безопасности. Офисные и мобильные голосовые звонки также запрещены для пробной или бесплатной версии Microsoft Entra ID.
Политика администратора SSPR не зависит от политики методов проверки подлинности. Например, если вы отключите сторонние маркеры программного обеспечения в политике методов проверки подлинности, учетные записи администраторов по-прежнему могут регистрировать сторонние приложения маркеров программного обеспечения и использовать их только для SSPR.
Двухфакторная политика применяется в следующих случаях:
затронуты все следующие роли администратора:
- Администратор приложений
- Администратор проверки подлинности
- администратора выставления счетов;
- Администратор соответствия требованиям
- Администратор облачных устройств
- Учетные записи синхронизации службы каталогов
- Редакторы каталогов
- Администратор Dynamics 365
- Администратор Exchange
- Глобальный администратор
- Администратор службы технической поддержки
- Администратор Intune
- Локальный администратор устройства, присоединенный к Microsoft Entra
- Поддержка партнеров уровня 1
- Поддержка партнеров уровня 2
- Администратор паролей
- Администратор Power Platform
- Привилегированный администратор проверки подлинности
- Администратор привилегированных ролей
- Администратор безопасности
- Администратор службы поддержки
- Администратор SharePoint
- Администратор Skype для бизнеса
- Администратор Teams
- Администратор связи Teams
- Администраторы устройств Teams
- Администратор пользователей
Если 30 дней истекло в пробной подписке
-или-
Личный домен настроен для клиента Microsoft Entra, например contoso.com
-или-
Microsoft Entra Connect синхронизирует удостоверения из локального каталога.
Вы можете отключить использование SSPR для учетных записей администратора с помощью командлета Update-MgPolicyAuthorizationPolicy PowerShell. Параметр -AllowedToUseSspr:$true|$false
включает или отключает SSPR для администраторов. Изменения политики для включения или отключения SSPR для учетных записей администратора могут занять до 60 минут.
Исключения
Однофакторная политика требует ввода одного фрагмента данных для аутентификации, такого как адрес электронной почты или номер телефона. Однофакторная политика применяется в следующих случаях:
еще не прошло 30 дней с момента установки пробной подписки
-или-
Личный домен не настроен (клиент использует значение по умолчанию *.onmicrosoft.com, которое не рекомендуется для использования в рабочей среде) и Microsoft Entra Connect не синхронизирует удостоверения.
Администраторы пользователей могут использовать Microsoft Graph для установки паролей пользователей, которые не будут истекать.
Можно также использовать командлеты PowerShell, чтобы удалить бессрочную конфигурацию или просмотреть, какие пароли пользователей имеют неограниченный срок действия.
Это руководство относится к другим поставщикам, таким как Intune и Microsoft 365, которые также используют идентификатор Microsoft Entra для служб удостоверений и каталогов. Срок действия пароля — это единственное, что может быть изменено в политике.
Примечание.
По умолчанию можно настроить только пароли для учетных записей пользователей, которые не синхронизированы с помощью Microsoft Entra Connect. Дополнительные сведения о синхронизации каталогов см. в статье Интеграция локальных каталогов с Microsoft Entra ID.
Задание или проверка политик пароля с помощью PowerShell.
Чтобы приступить к работе, скачайте и установите модуль Microsoft Graph PowerShell и подключите его к клиенту Microsoft Entra.
После установки модуля придерживайтесь приведенных ниже инструкций, чтобы при необходимости выполнить все следующие задачи.
Проверка политики срока действия пароля
Откройте запрос PowerShell и подключитесь к клиенту Microsoft Entra по крайней мере администратором пользователей.
Выполните одну из следующих команд для отдельного пользователя или всех пользователей сразу.
Чтобы узнать, обозначен ли пароль отдельного пользователя как бессрочный, воспользуйтесь следующим командлетом. Замените
<user ID>
идентификатор пользователя, который вы хотите проверить:Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Чтобы просмотреть параметр " Пароль" для всех пользователей, выполните следующий командлет:
Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Задание срока действия пароля
Откройте запрос PowerShell и подключитесь к клиенту Microsoft Entra по крайней мере администратором пользователей.
Выполните одну из следующих команд для отдельного пользователя или всех пользователей сразу.
Чтобы установить для пароля отдельного пользователя конечный срок действия, воспользуйтесь следующим командлетом. Замените
<user ID>
идентификатор пользователя, который вы хотите проверить:Update-MgUser -UserId <user ID> -PasswordPolicies None
Чтобы задать пароли всех пользователей в организации, чтобы срок их действия истек, используйте следующую команду:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
Установка бессрочного пароля
Откройте запрос PowerShell и подключитесь к клиенту Microsoft Entra по крайней мере администратором пользователей.
Выполните одну из следующих команд для отдельного пользователя или всех пользователей сразу.
Чтобы установить бессрочный пароль для отдельного пользователя, воспользуйтесь следующим командлетом. Замените
<user ID>
идентификатор пользователя, который вы хотите проверить:Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
Чтобы задать пароли всех пользователей в организации, которые никогда не истекают, выполните следующий командлет:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Предупреждение
Пароль, для которого задано
-PasswordPolicies DisablePasswordExpiration
, по-прежнему имеет срок использования, определяемый атрибутомLastPasswordChangeDateTime
. В зависимости от атрибутаLastPasswordChangeDateTime
, если задать срок действия, указав-PasswordPolicies None
, то всем пользователям, у паролей которых значениеLastPasswordChangeDateTime
превышает 90 дней, будет необходимо сменить пароль при следующем входе. Это изменение может повлиять на большое количество пользователей.
Следующие шаги
Сведения о начале работы с SSPR см. в руководстве по разблокировке учетной записи или сбросу паролей с помощью самостоятельного сброса пароля Microsoft Entra.
Если у вас или у ваших пользователей возникли проблемы с SSPR, см. статью об устранении неполадок при самостоятельном сбросе пароля.