Lösenordsprinciper och kontobegränsningar i Microsoft Entra ID

  • Artikel

I Microsoft Entra-ID finns det en lösenordsprincip som definierar inställningar som lösenordskomplexitet, längd eller ålder. Det finns också en princip som definierar acceptabla tecken och längd för användarnamn.

När självbetjäning av lösenordsåterställning (SSPR) används för att ändra eller återställa ett lösenord i Microsoft Entra-ID kontrolleras lösenordsprincipen. Om lösenordet inte uppfyller principkraven uppmanas användaren att försöka igen. Azure-administratörer har vissa begränsningar för att använda SSPR som skiljer sig från vanliga användarkonton, och det finns mindre undantag för utvärderingsversioner och kostnadsfria versioner av Microsoft Entra-ID.

I den här artikeln beskrivs inställningar för lösenordsprinciper och komplexitetskrav som är associerade med användarkonton. Den beskriver också hur du använder PowerShell för att kontrollera eller ange inställningar för lösenordets giltighetstid.

Användarnamnsprinciper

Varje konto som loggar in på Microsoft Entra ID måste ha ett unikt UPN-attributvärde (användarhuvudnamn) som är associerat med deras konto. I hybridmiljöer med en lokal Active Directory Domain Services-miljö som synkroniserats med Microsoft Entra-ID med Microsoft Entra Connect är Som standard Microsoft Entra ID UPN inställt på det lokala UPN:t.

I följande tabell beskrivs de användarnamnsprinciper som gäller för både lokala konton som synkroniseras med Microsoft Entra-ID och för endast molnbaserade användarkonton som skapats direkt i Microsoft Entra-ID:

Property Krav för UserPrincipalName
Tecken tillåts A – Z
a - z
0 – 9
' . - _ ! # ^ ~
Tecken tillåts inte Alla "@"-tecken som inte separerar användarnamnet från domänen.
Det går inte att innehålla punkttecknet "." omedelbart före "@"-symbolen
Längdbegränsningar Den totala längden får inte överstiga 113 tecken
Det kan finnas upp till 64 tecken före "@"-symbolen
Det kan finnas upp till 48 tecken efter "@"-symbolen

Microsoft Entra-lösenordsprinciper

En lösenordsprincip tillämpas på alla användarkonton som skapas och hanteras direkt i Microsoft Entra-ID. Vissa av dessa inställningar för lösenordsprinciper kan inte ändras, men du kan konfigurera anpassade förbjudna lösenord för Microsoft Entra-lösenordsskydd eller kontoutelåsningsparametrar.

Som standard är ett konto utelåst efter 10 misslyckade inloggningsförsök med fel lösenord. Användaren är utelåst i en minut. Varaktigheten för utelåsning ökar efter ytterligare felaktiga inloggningsförsök. Smart utelåsning spårar de tre senaste felaktiga lösenordshasharna för att undvika att öka utelåsningsräknaren för samma lösenord. Om någon anger samma felaktiga lösenord flera gånger är de inte utelåst. Du kan definiera tröskelvärdet för smart utelåsning och varaktighet.

Följande lösenordsprincipalternativ för Microsoft Entra definieras. Om inget anges kan du inte ändra de här inställningarna:

Property Krav
Tecken tillåts A – Z
a - z
0 – 9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
Tomt utrymme
Tecken tillåts inte Unicode-tecken
Lösenordsbegränsningar Minst 8 tecken och högst 256 tecken.
Kräver tre av fyra av följande teckentyper:
– Gemener
- Versaler
- Tal (0-9)
- Symboler (se tidigare lösenordsbegränsningar)
Varaktighet för förfallotid för lösenord (högsta lösenordsålder) Standardvärde: 90 dagar. Om klientorganisationen skapades efter 2021 har den inget standardförfallovärde. Du kan kontrollera den aktuella principen med Get-MgDomain.
Värdet kan konfigureras med hjälp av cmdleten Update-MgDomain från Microsoft Graph-modulen för PowerShell.
Lösenordet upphör att gälla (låt lösenord aldrig upphöra) Standardvärde: false (anger att lösenord har ett förfallodatum).
Värdet kan konfigureras för enskilda användarkonton med hjälp av cmdleten Update-MgUser .
Historik för lösenordsändring Det sista lösenordet kan inte användas igen när användaren ändrar ett lösenord.
Historik för lösenordsåterställning Det sista lösenordet kan användas igen när användaren återställer ett bortglömt lösenord.

Om du aktiverar EnforceCloudPasswordPolicyForPasswordSyncedUsers gäller Microsoft Entra-lösenordsprincipen för användarkonton som synkroniserats lokalt med Hjälp av Microsoft Entra Connect. Om en användare dessutom ändrar ett lösenord lokalt för att inkludera ett unicode-tecken kan lösenordsändringen lyckas lokalt men inte i Microsoft Entra-ID. Om synkronisering av lösenordshash är aktiverat med Microsoft Entra Connect kan användaren fortfarande ta emot en åtkomsttoken för molnresurser. Men om klientorganisationen aktiverar användarriskbaserad lösenordsändring rapporteras lösenordsändringen som hög risk.

Användaren uppmanas att ändra sitt lösenord igen. Men om ändringen fortfarande innehåller ett unicode-tecken kan de bli utelåsta om smart utelåsning också är aktiverat.

Principbegränsningar för riskbaserad lösenordsåterställning

Om du aktiverar EnforceCloudPasswordPolicyForPasswordSyncedUsers krävs en ändring av molnlösenordet när en hög risk har identifierats. Användaren uppmanas att ändra sitt lösenord när de loggar in på Microsoft Entra-ID. Det nya lösenordet måste uppfylla både moln- och lokala lösenordsprinciper.

Om en lösenordsändring uppfyller lokala krav men inte uppfyller molnkraven lyckas lösenordsändringen om synkronisering av lösenordshash är aktiverad. Om det nya lösenordet till exempel innehåller ett Unicode-tecken kan lösenordsändringen uppdateras lokalt men inte i molnet.

Om lösenordet inte uppfyller kraven för molnlösenord uppdateras det inte i molnet och kontorisken minskar inte. Användaren får fortfarande en åtkomsttoken för molnresurser, men de uppmanas att ändra sitt lösenord igen nästa gång de får åtkomst till molnresurser. Användaren ser inga fel eller meddelanden om att det valda lösenordet inte uppfyllde molnkraven.

Skillnader i återställningsprincip för administratörer

Som standard är administratörskonton aktiverade för självbetjäning av lösenordsåterställning och en stark standardprincip för lösenordsåterställning med två portar tillämpas. Den här principen kan skilja sig från den som du har definierat för dina användare och den här principen kan inte ändras. Du bör alltid testa funktionen för lösenordsåterställning som användare utan tilldelade Azure-administratörsroller.

Principen med två portar kräver två delar av autentiseringsdata, till exempel en e-postadress, en autentiseringsapp eller ett telefonnummer, och den förbjuder säkerhetsfrågor. Office- och mobilsamtal är också förbjudna för utvärderingsversioner eller kostnadsfria versioner av Microsoft Entra ID.

SSPR-administratörsprincipen är inte beroende av autentiseringsmetodprincipen. Om du till exempel inaktiverar programtoken från tredje part i principen Autentiseringsmetoder kan administratörskonton fortfarande registrera program från tredje part och använda dem, men bara för SSPR.

En tvågrindsprincip gäller under följande omständigheter:

  • Alla följande Azure-administratörsroller påverkas:

    • Appadministratör
    • Autentiseringsadministratör
    • Faktureringsadministratör
    • Efterlevnadsadministratör
    • Molnenhetsadministratör
    • Katalogsynkroniseringskonton
    • Katalogförfattare
    • Dynamics 365-administratör
    • Exchange-administratör
    • Global administratör
    • Supportadministratör
    • Intune-administratör
    • Lokal administratör för Microsoft Entra-ansluten enhet
    • Stöd för partnernivå 1
    • Support för partnernivå 2
    • Lösenordsadministratör
    • Power Platform-administratör
    • Administratör av privilegierad autentisering
    • Administratör för privilegierad roll
    • Säkerhetsadministratör
    • Tjänstsupportadministratör
    • SharePoint-administratör
    • Skype för företag administratör
    • Teams-administratör
    • Teams kommunikationsadministratör
    • Administratör för Teams-enheter
    • Användaradministratör

  • Om 30 dagar har gått i en utvärderingsprenumeration

    -eller-

  • En anpassad domän konfigureras för din Microsoft Entra-klientorganisation, till exempel contoso.com

    -eller-

  • Microsoft Entra Connect synkroniserar identiteter från din lokala katalog

Du kan inaktivera användningen av SSPR för administratörskonton med hjälp av Cmdleten Update-MgPolicyAuthorizationPolicy PowerShell. Parametern -AllowedToUseSspr:$true|$false aktiverar/inaktiverar SSPR för administratörer. Principändringar för att aktivera eller inaktivera SSPR för administratörskonton kan ta upp till 60 minuter att börja gälla.

Undantag

En princip med en grind kräver en del av autentiseringsdata, till exempel en e-postadress eller ett telefonnummer. En engrindsprincip gäller under följande omständigheter:

  • Det är inom de första 30 dagarna efter en utvärderingsprenumeration

    -eller-

  • En anpassad domän är inte konfigurerad (klientorganisationen använder standardinställningen *.onmicrosoft.com, som inte rekommenderas för produktionsanvändning) och Microsoft Entra Connect synkroniserar inte identiteter.

Principer för förfallodatum för lösenord

Användaradministratörer kan använda Microsoft Graph för att ange att användarlösenord inte ska upphöra att gälla.

Du kan också använda PowerShell-cmdletar för att ta bort konfigurationen som aldrig upphör att gälla eller för att se vilka användarlösenord som aldrig upphör att gälla.

Den här vägledningen gäller för andra leverantörer, till exempel Intune och Microsoft 365, som också förlitar sig på Microsoft Entra-ID för identitets- och katalogtjänster. Lösenordets giltighetstid är den enda del av principen som kan ändras.

Kommentar

Som standard kan endast lösenord för användarkonton som inte synkroniseras via Microsoft Entra Connect konfigureras så att de inte upphör att gälla. Mer information om katalogsynkronisering finns i Connect AD med Microsoft Entra ID.

Ange eller kontrollera lösenordsprinciper med hjälp av PowerShell

Kom igång genom att ladda ned och installera Microsoft Graph PowerShell-modulen och ansluta den till din Microsoft Entra-klientorganisation.

När modulen har installerats använder du följande steg för att slutföra varje uppgift efter behov.

Kontrollera förfalloprincipen för ett lösenord

  1. Öppna en PowerShell-prompt och anslut till din Microsoft Entra-klientorganisation som minst användaradministratör.

  2. Kör något av följande kommandon för en enskild användare eller för alla användare:

    • Kör följande cmdlet för att se om en enskild användares lösenord är inställt på att aldrig upphöra att gälla. Ersätt <user ID> med användar-ID:t för den användare som du vill kontrollera:

      Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

    • Om du vill se inställningen Lösenord upphör aldrig att gälla för alla användare kör du följande cmdlet:

      Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

Ange att ett lösenord ska upphöra att gälla

  1. Öppna en PowerShell-prompt och anslut till din Microsoft Entra-klientorganisation som minst användaradministratör.

  2. Kör något av följande kommandon för en enskild användare eller för alla användare:

    • Om du vill ange lösenordet för en användare så att lösenordet upphör att gälla kör du följande cmdlet. Ersätt <user ID> med användar-ID:t för den användare som du vill kontrollera:

      Update-MgUser -UserId <user ID> -PasswordPolicies None

    • Om du vill ange lösenord för alla användare i organisationen så att de upphör att gälla använder du följande kommando:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }

Ange att ett lösenord aldrig ska upphöra att gälla

  1. Öppna en PowerShell-prompt och anslut till din Microsoft Entra-klientorganisation som minst användaradministratör.

  2. Kör något av följande kommandon för en enskild användare eller för alla användare:

    • Kör följande cmdlet för att ange att lösenordet för en användare aldrig ska upphöra att gälla. Ersätt <user ID> med användar-ID:t för den användare som du vill kontrollera:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration

    • Kör följande cmdlet för att ange att lösenorden för alla användare i en organisation aldrig ska upphöra att gälla:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }

    Varning

    Lösenord som är inställda -PasswordPolicies DisablePasswordExpiration på fortfarande ålder baserat på attributet LastPasswordChangeDateTime . LastPasswordChangeDateTime Om du ändrar förfallodatumet till -PasswordPolicies Nonekräver alla lösenord som har äldre LastPasswordChangeDateTime än 90 dagar att användaren ändrar dem nästa gång de loggar in. Den här ändringen kan påverka ett stort antal användare.

Nästa steg

Information om hur du kommer igång med SSPR finns i Självstudie: Gör det möjligt för användare att låsa upp sitt konto eller återställa lösenord med microsoft Entra självbetjäning av lösenordsåterställning.

Om du eller användarna har problem med SSPR kan du läsa Felsöka lösenordsåterställning via självbetjäning