Megosztás a következőn keresztül:

Jelszószabályzatok és fiókkorlátozások a Microsoft Entra ID-ban

  • Cikk

A Microsoft Entra ID-ban van egy jelszóházirend, amely olyan beállításokat határoz meg, mint a jelszó összetettsége, hossza vagy kora. Létezik egy szabályzat is, amely a felhasználónevek elfogadható karaktereit és hosszát határozza meg.

Amikor az önkiszolgáló jelszó-visszaállítást (SSPR) használják a jelszó módosítására vagy alaphelyzetbe állítására a Microsoft Entra ID-ben, a jelszóházirendet ellenőrzik. Ha a jelszó nem felel meg a szabályzat követelményeinek, a rendszer kérni fogja a felhasználót, hogy próbálkozzon újra. Az Azure-rendszergazdák bizonyos korlátozásokkal rendelkeznek az SSPR használatára vonatkozóan, amelyek eltérnek a normál felhasználói fiókoktól, és a Microsoft Entra ID próbaverziójára és ingyenes verzióira vonatkozóan vannak kisebb kivételek.

Ez a cikk a felhasználói fiókokhoz tartozó jelszóházirend-beállításokat és összetettségi követelményeket ismerteti. Azt is ismerteti, hogyan használhatja a PowerShellt a jelszó lejárati beállításainak ellenőrzésére vagy beállítására.

Felhasználónév-szabályzatok

A Microsoft Entra ID-ba bejelentkező összes fióknak egyedi egyszerű felhasználónév (UPN) attribútumértékkel kell rendelkeznie. A Microsoft Entra Connect használatával szinkronizált helyi Active Directory Domain Services-környezettel rendelkező hibrid környezetekben a Microsoft Entra ID UPN alapértelmezés szerint a helyszíni UPN-ra van állítva.

Az alábbi táblázat a Microsoft Entra-azonosítóval szinkronizált helyszíni fiókokra és a közvetlenül a Microsoft Entra-azonosítóban létrehozott, csak felhőalapú felhasználói fiókokra vonatkozó felhasználónév-szabályzatokat ismerteti:

Tulajdonság A UserPrincipalName követelményei
Megengedett karakterek A-Z
a-z
0-9
' . - _ ! # ^ ~
A karakterek nem engedélyezettek Bármely "@" karakter, amely nem választja el a felhasználónevet a tartománytól.
Nem tartalmazhat "." pont karaktert közvetlenül a "@" szimbólum előtt
Hosszkorlátozások A teljes hossz nem haladhatja meg a 113 karaktert
A "@" szimbólum előtt legfeljebb 64 karakter lehet
A "@" szimbólum után legfeljebb 48 karakter lehet

Microsoft Entra jelszószabályzatok

A rendszer jelszóházirendet alkalmaz az összes olyan felhasználói fiókra, amelyet közvetlenül a Microsoft Entra ID-ban hoznak létre és kezelnek. Ezen jelszóházirend-beállítások némelyike nem módosítható, de egyéni tiltott jelszavakat konfigurálhat a Microsoft Entra jelszóvédelmi vagy fiókzárolási paramétereihez.

Alapértelmezés szerint egy fiók zárolása 10 sikertelen bejelentkezési kísérlet után, helytelen jelszóval történik. A felhasználó egy percre ki van zárva. A zárolás időtartama a további helytelen bejelentkezési kísérletek után megnő. Az intelligens zárolás nyomon követi az utolsó három rossz jelszókivonatot, hogy elkerülje a zárolási számláló növelését ugyanazon jelszó esetében. Ha valaki többször is ugyanazt a rossz jelszót adja meg, a rendszer nem zárja ki őket. Megadhatja az intelligens zárolási küszöbértéket és időtartamot.

A következő Microsoft Entra jelszóházirend-beállítások vannak definiálva. Kivéve, ha feljegyezte, nem módosíthatja ezeket a beállításokat:

Tulajdonság Követelmények
Megengedett karakterek A-Z
a-z
0-9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
Üres terület
A karakterek nem engedélyezettek Unicode-karakterek
Jelszókorlátozások Legalább 8 karakterből és legfeljebb 256 karakterből állhat.
A következő karaktertípusok közül négyből hármat igényel:
- Kisbetűk
- Nagybetűk
- Számok (0-9)
- Szimbólumok (lásd az előző jelszókorlátozásokat)
Jelszó lejárati időtartama (A jelszó maximális életkora) Alapértelmezett érték: Nincs lejárati. Ha a bérlő 2021 előtt lett létrehozva, alapértelmezés szerint 90 napos lejárati értékkel rendelkezik. Az aktuális szabályzatot a Get-MgDomain használatával ellenőrizheti.
Az érték a PowerShellHez készült Microsoft Graph modul Update-MgDomain parancsmagjának használatával konfigurálható.
Jelszó lejárata (A jelszavak soha nem járnak le) Alapértelmezett érték: hamis (azt jelzi, hogy a jelszavak lejárati dátummal rendelkeznek).
Az érték az Update-MgUser parancsmaggal konfigurálható egyéni felhasználói fiókokhoz.
Jelszómódosítási előzmények Az utolsó jelszó nem használható újra, amikor a felhasználó módosít egy jelszót.
Jelszó-visszaállítási előzmények Az utolsó jelszó akkor használható újra, ha a felhasználó visszaállít egy elfelejtett jelszót.

Ha engedélyezi a EnforceCloudPasswordPolicyForPasswordSyncedUsers szolgáltatást, a Microsoft Entra jelszóházirendje a helyszíni microsoft Entra Connect használatával szinkronizált felhasználói fiókokra vonatkozik. Ezenkívül ha egy felhasználó a helyszínen unicode karaktert használva módosít egy jelszót, a jelszómódosítás a helyszínen sikeres lehet, de a Microsoft Entra-azonosítóban nem. Ha a jelszókivonat-szinkronizálás engedélyezve van a Microsoft Entra Connect használatával, a felhasználó továbbra is kaphat hozzáférési jogkivonatot a felhőbeli erőforrásokhoz. Ha azonban a bérlő engedélyezi a felhasználó kockázatalapú jelszómódosítását, a rendszer magas kockázatúként jelenti a jelszómódosítást.

A rendszer kéri a felhasználót, hogy módosítsa ismét a jelszavát. Ha azonban a módosítás továbbra is tartalmaz unicode karaktert, kizárhatja őket, ha az intelligens zárolás is engedélyezve van.

Kockázatalapú jelszó-visszaállítási szabályzat korlátozásai

Ha engedélyezi a EnforceCloudPasswordPolicyForPasswordSyncedUsers funkciót, a magas kockázat azonosítása után a felhőbeli jelszó módosítására van szükség. A rendszer arra kéri a felhasználót, hogy módosítsa a jelszavát, amikor bejelentkezik a Microsoft Entra-azonosítóba. Az új jelszónak meg kell felelnie a felhőbeli és a helyszíni jelszóházirendeknek is.

Ha egy jelszómódosítás megfelel a helyszíni követelményeknek, de nem felel meg a felhő követelményeinek, a jelszómódosítás sikeres lesz, ha engedélyezve van a jelszókivonat-szinkronizálás. Ha például az új jelszó Unicode-karaktert tartalmaz, a jelszómódosítás a helyszínen frissíthető, a felhőben azonban nem.

Ha a jelszó nem felel meg a felhőbeli jelszó követelményeinek, az nem frissül a felhőben, és a fiók kockázata nem csökken. A felhasználó továbbra is kap egy hozzáférési jogkivonatot a felhőbeli erőforrásokhoz, de a rendszer kérni fogja, hogy a következő alkalommal módosítsa a jelszavát, amikor legközelebb hozzáfér a felhőbeli erőforrásokhoz. A felhasználó nem lát semmilyen hibát vagy értesítést arról, hogy a választott jelszó nem felelt meg a felhő követelményeinek.

A rendszergazdai visszaállítási szabályzat eltérései

Alapértelmezés szerint a rendszergazdai fiókok engedélyezve vannak az önkiszolgáló jelszó-visszaállításhoz, és erős, alapértelmezett kétkapus jelszó-visszaállítási szabályzat van érvényben. Ez a szabályzat eltérhet a felhasználók által definiálttól, és ez a szabályzat nem módosítható. Mindig tesztelje a jelszó-visszaállítási funkciót felhasználóként anélkül, hogy azure-rendszergazdai szerepkörök lettek volna hozzárendelve.

A kétkapus szabályzathoz két hitelesítési adatra van szükség, például egy e-mail-címre, egy hitelesítő alkalmazásra vagy egy telefonszámra, és tiltja a biztonsági kérdéseket. A Microsoft Entra ID próbaverziója vagy ingyenes verziója esetében az irodai és mobil hanghívások szintén tilosak.

Az SSPR rendszergazdai házirendje nem függ a Hitelesítések metódusházirendtől. Ha például letiltja a külső szoftverjogkivonatokat a hitelesítési módszerek házirendjében, a rendszergazdai fiókok továbbra is regisztrálhatnak külső szoftverjogkivonat-alkalmazásokat, és használhatják őket, de csak SSPR-hez.

A kétkapus szabályzat a következő esetekben érvényes:

  • A rendszer az alábbi Azure-rendszergazdai szerepköröket érinti:

    • alkalmazás-rendszergazda
    • Hitelesítési rendszergazda
    • Számlázási rendszergazda
    • Megfelelőségi rendszergazda
    • Felhőeszköz-rendszergazda
    • Címtár-szinkronizálási fiókok
    • Címtárírók
    • Dynamics 365-rendszergazda
    • Exchange-rendszergazda
    • Globális rendszergazda
    • Ügyfélszolgálati rendszergazda
    • Intune-rendszergazda
    • Microsoft Entra csatlakoztatott eszköz helyi rendszergazdája
    • 1. szintű partnertámogatás
    • 2. partnerszint támogatása
    • Jelszóadminisztrátor
    • Power Platform-rendszergazda
    • Kiemelt hitelesítési rendszergazda
    • Kiemelt szerepkörű rendszergazda
    • Biztonsági rendszergazda
    • Szolgáltatástámogatási rendszergazda
    • SharePoint-rendszergazda
    • Skype Vállalati verzió rendszergazda
    • Teams-rendszergazda
    • Teams Kommunikációs rendszergazda
    • Teams-eszközök rendszergazdája
    • Felhasználói rendszergazda

  • Ha 30 nap telt el egy próbaverziós előfizetésben

    -Vagy-

  • A Microsoft Entra-bérlőhöz egyéni tartomány van konfigurálva, például contoso.com.

    vagy

  • A Microsoft Entra Connect szinkronizálja a helyszíni címtár identitásait

Az Update-MgPolicyAuthorizationPolicy PowerShell parancsmaggal letilthatja az SSPR használatát rendszergazdai fiókokhoz. A -AllowedToUseSspr:$true|$false paraméter engedélyezi/letiltja az SSPR-t a rendszergazdák számára. A rendszergazdai fiókok SSPR-jének engedélyezésére vagy letiltására vonatkozó szabályzatmódosítások érvénybe lépése akár 60 percet is igénybe vehet.

Kivételek

Az egykapus szabályzathoz egy hitelesítési adatra van szükség, például egy e-mail-címre vagy telefonszámra. Az egykapus szabályzat a következő esetekben érvényes:

  • Ez a próba-előfizetés első 30 napjában van

    -Vagy-

  • Az egyéni tartomány nincs konfigurálva (a bérlő az alapértelmezett *.onmicrosoft.com használja, amely éles használatra nem ajánlott), és a Microsoft Entra Connect nem szinkronizálja az identitásokat.

Jelszó lejárati szabályzatai

A felhasználói rendszergazdák a Microsoft Graph használatával beállíthatják, hogy a felhasználói jelszavak ne járjanak le.

A PowerShell-parancsmagokkal eltávolíthatja a "soha le nem jár" konfigurációt, vagy megtekintheti, hogy mely felhasználói jelszavak vannak beállítva arra, hogy soha ne járjanak le.

Ez az útmutató más szolgáltatókra is vonatkozik, például az Intune-ra és a Microsoft 365-re, amelyek szintén a Microsoft Entra azonosítójára támaszkodnak identitás- és címtárszolgáltatásokhoz. A jelszó lejárata a szabályzat egyetlen módosítható része.

Feljegyzés

Alapértelmezés szerint csak a Microsoft Entra Connecten keresztül nem szinkronizált felhasználói fiókok jelszavai konfigurálhatók úgy, hogy ne járjanak le. A címtárszinkronizálással kapcsolatos további információkért lásd: Connect AD with Microsoft Entra ID.

Jelszószabályzatok beállítása vagy ellenőrzése a PowerShell-lel

Első lépésként töltse le és telepítse a Microsoft Graph PowerShell-modult, és csatlakoztassa a Microsoft Entra-bérlőhöz.

A modul telepítése után az alábbi lépésekkel végezze el az egyes feladatokat.

Jelszó lejárati szabályzatának ellenőrzése

  1. Nyisson meg egy PowerShell-parancssort, és legalább felhasználói rendszergazdaként csatlakozzon a Microsoft Entra-bérlőhöz.

  2. Futtassa az alábbi parancsok egyikét egy adott felhasználóhoz vagy az összes felhasználóhoz:

    • Annak megtekintéséhez, hogy egyetlen felhasználó jelszava soha nem jár-e le, futtassa a következő parancsmagot. Cserélje le <user ID> az ellenőrizni kívánt felhasználó felhasználói azonosítójára:

      Get-MgUser -UserId <user ID> -Property UserPrincipalName, PasswordPolicies | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

    • Ha azt szeretné, hogy a Jelszó soha ne járjon le az összes felhasználónál, futtassa a következő parancsmagot:

      Get-MgUser -All -Property UserPrincipalName, PasswordPolicies | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

Jelszó beállítása a lejárathoz

  1. Nyisson meg egy PowerShell-parancssort, és csatlakozzon a Microsoft Entra-bérlőhöz legalább mint Felhasználói rendszergazda.

  2. Futtassa az alábbi parancsok egyikét egy adott felhasználóhoz vagy az összes felhasználóhoz:

    • Ha egy felhasználó jelszavát úgy szeretné beállítani, hogy a jelszó lejárjon, futtassa a következő parancsmagot. Cserélje le <user ID> az ellenőrizni kívánt felhasználó felhasználói azonosítójára:

      Update-MgUser -UserId <user ID> -PasswordPolicies None

    • Ha a szervezet összes felhasználójának jelszavát úgy szeretné beállítani, hogy lejárjanak, használja a következő parancsot:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }

Jelszó úgy beállítása, hogy soha ne járjon le

  1. Nyisson meg egy PowerShell-kérést, és csatlakozzon a Microsoft Entra-bérlőhöz legalább felhasználói rendszergazdaként.

  2. Futtassa az alábbi parancsok egyikét egy adott felhasználóhoz vagy az összes felhasználóhoz:

    • Ha egy felhasználó jelszavát úgy szeretné beállítani, hogy soha ne járjon le, futtassa a következő parancsmagot. Cserélje le <user ID> az ellenőrizni kívánt felhasználó felhasználói azonosítójára:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration

    • Ha azt szeretné, hogy a szervezet összes felhasználójának jelszava soha ne járjon le, futtassa a következő parancsmagot:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }

    Figyelmeztetés

    A jelszavak, melyek -PasswordPolicies DisablePasswordExpiration beállításúak, még mindig a LastPasswordChangeDateTime attribútum alapján öregednek. Az LastPasswordChangeDateTime attribútum alapján, ha a lejáratot -PasswordPolicies None módosítja, a 90 napnál régebbi LastPasswordChangeDateTime jelszavakat a felhasználónak módosítania kell a következő bejelentkezéskor. Ez a módosítás sok felhasználót érinthet.

Következő lépések

Az SSPR használatának megkezdéséhez tekintse meg az oktatóanyagot: Engedélyezze a felhasználók számára a fiók zárolásának feloldását vagy a jelszavak alaphelyzetbe állítását a Microsoft Entra önkiszolgáló jelszó-visszaállítással.

Ha Ön vagy a felhasználók problémái vannak az SSPR-vel, tekintse meg az önkiszolgáló jelszó-visszaállítás hibaelhárítását