Бөлісу құралы:

Политики паролей и ограничения учетных записей в Microsoft Entra ID

  • Мақала

В идентификаторе Microsoft Entra есть политика паролей, которая определяет такие параметры, как сложность пароля, длина или возраст. Существует также политика, которая определяет допустимые символы и длину имен пользователей.

Если функция самостоятельного сброса пароля (SSPR) используется для изменения или сброса пароля в Microsoft Entra ID, проверяется политика пароля. Если пароль не соответствует требованиям политики, пользователю предлагается повторить попытку. Администраторы Azure имеют некоторые ограничения на использование SSPR, которые отличаются от обычных учетных записей пользователей, и существуют незначительные исключения для пробной версии и бесплатных версий идентификатора Microsoft Entra.

В этой статье описываются параметры политики паролей и требования к сложности, связанные с учетными записями пользователей. В этой статье также описывается, как использовать PowerShell для проверки или задания параметров истечения срока действия пароля.

Политики имен пользователей

Все учетные записи, с которыми выполнен вход в Microsoft Entra ID, должны иметь уникальное значение атрибута имени субъекта-пользователя (UPN), связанное с этой учетной записью. В гибридных средах с локальной средой доменных служб Active Directory, синхронизированной с Microsoft Entra ID с помощью Microsoft Entra Connect, по умолчанию UPN в Microsoft Entra ID устанавливается на основе локального UPN.

В следующей таблице описаны политики имени пользователя, которые применяются как к локальным учетным записям, которые синхронизируются с идентификатором Microsoft Entra ID, так и для учетных записей пользователей, созданных непосредственно в идентификаторе Microsoft Entra.

Свойство Требования UserPrincipalName
Допустимые символы A-Z
a-z
0-9
' . - _ ! # ^ ~
Недопустимые символы Любой знак "@", который не отделяет имя пользователя от домена.
Не может содержать знак точки "." непосредственно перед знаком "@".
Ограничения длины Общая длина не должна превышать 113 знаков.
Перед знаком "@" может быть до 64 знаков.
После знака "@" может быть до 48 знаков.

Политики паролей Microsoft Entra

Политика паролей применяется ко всем учетным записям пользователей, созданным и управляемым непосредственно в идентификаторе Microsoft Entra. Некоторые из этих параметров политики паролей нельзя изменить, хотя можно настроить настраиваемые запрещенные пароли для защиты паролей Microsoft Entra или параметров блокировки учетных записей.

По умолчанию после 10 неудачных попыток входа с неправильным паролем учетная запись блокируется. Пользователь блокируется на одну минуту. Длительность блокировки увеличивается после дальнейших неправильных попыток входа. Смарт-блокировка отслеживает хэши последних трех попыток неправильного ввода пароля во избежание повторного увеличения счетчика блокировки для того же пароля. Если кто-то вводит один и тот же неправильный пароль несколько раз, они не заблокированы. Можно определить пороговое значение и длительность смарт-блокировки.

Определены следующие параметры политики паролей Microsoft Entra. Если не указано иное, эти параметры изменить нельзя.

Свойство Требования
Допустимые символы A-Z
a-z
0-9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
Пустое пространство
Недопустимые символы Символы Юникода
Ограничения для пароля От 8 до 256 знаков.
Требуется три из четырех из следующих типов символов:
— Строчные буквы
— Прописные буквы
- Числа (0-9)
— Символы (см. предыдущие ограничения паролей)
Длительность срока действия пароля (максимальный срок существования пароля) Значение по умолчанию: Без срока действия. Если тенант был создан до 2021 года, по умолчанию у него значение срока действия составляет 90 дней. Вы можете проверить текущую политику с помощью Get-MgDomain.
Это значение можно настроить с помощью командлета Update-MgDomain из модуля Microsoft Graph для PowerShell.
Срок действия пароля истекает (пароли можно сделать бессрочными) Значение по умолчанию: false (указывает, что пароли имеют дату окончания срока действия).
Значение можно настроить для отдельных учетных записей пользователей с помощью командлета Update-MgUser .
Журнал изменения пароля Последний пароль невозможно использовать повторно, когда пользователь изменяет пароль.
Журнал сброса пароля Пользователь может снова использовать последний пароль при сбросе забытого пароля.

Если включить EnforceCloudPasswordPolicyForPasswordSyncedUsers, политика паролей Microsoft Entra применяется к учетным записям пользователей, синхронизированным из локальной среды с помощью Microsoft Entra Connect. Кроме того, если пользователь изменяет пароль локально, чтобы включить символ юникода, изменение пароля может завершиться локально, но не в идентификаторе Microsoft Entra. Если синхронизация хэша паролей включена с помощью Microsoft Entra Connect, пользователь по-прежнему может получить маркер доступа для облачных ресурсов. Но если арендатор включает смену пароля, основанную на риске пользователя, смена пароля оценивается как высокий риск.

Пользователю будет предложено снова изменить пароль. Но если изменение по-прежнему содержит символ юникода, они могут быть заблокированы, если смарт-блокировка также включена.

Ограничения политики сброса паролей на основе оценки рисков

Если включить EnforceCloudPasswordPolicyForPasswordSyncedUsers, необходимо изменить пароль в облаке, как только будет выявлен высокий риск. Пользователю предлагается изменить пароль при входе в идентификатор Microsoft Entra. Новый пароль должен соответствовать как облачным, так и локальным политикам паролей.

Если изменение пароля соответствует локальным требованиям, но не соответствует требованиям облака, изменение пароля завершается успешно, если включена синхронизация хэша паролей. Например, если новый пароль содержит символ Юникода, изменение пароля может быть обновлено локально, но не в облаке.

Если пароль не соответствует требованиям к облачному паролю, он не обновляется в облаке, а риск учетной записи не уменьшается. Пользователь по-прежнему получает маркер доступа для облачных ресурсов, но вам будет предложено снова изменить пароль при следующем доступе к облачным ресурсам. Пользователь не видит никаких ошибок или уведомлений о том, что выбранный пароль не соответствует требованиям облака.

Различия в политике сброса администратора

По умолчанию учетные записи администратора поддерживают самостоятельный сброс пароля, и принудительно применяется стандартная строгая политика сброса паролей с двумя шлюзами. Эта политика может отличаться от той, которую вы определили для пользователей, и эта политика не может быть изменена. Всегда следует тестировать функции сброса пароля от имени пользователя, которому не назначена какая-либо роль администратора Azure.

Политика с двумя шлюзами требует двух частей данных проверки подлинности, таких как адрес электронной почты, приложение authenticator или номер телефона, и запрещает вопросы безопасности. Офисные и мобильные голосовые звонки также запрещены для пробной или бесплатной версии Microsoft Entra ID.

Политика администратора SSPR не зависит от политики методов проверки подлинности. Например, если вы отключите сторонние маркеры программного обеспечения в политике методов проверки подлинности, учетные записи администраторов по-прежнему могут регистрировать сторонние приложения маркеров программного обеспечения и использовать их только для SSPR.

Политика двух пунктов пропуска применяется в следующих случаях:

  • затронуты все следующие роли администратора Azure:

    • Администратор приложений
    • Администратор проверки подлинности
    • администратора выставления счетов;
    • Администратор соответствия требованиям
    • Администратор облачных устройств
    • Учетные записи синхронизации каталогов
    • Редакторы каталогов
    • Администратор Dynamics 365
    • Администратор Exchange
    • Глобальный администратор
    • Администратор службы технической поддержки
    • Администратор Intune
    • Локальный администратор устройства, присоединенного к Microsoft Entra
    • Поддержка партнеров уровня 1
    • Поддержка партнеров уровня 2
    • Администратор паролей
    • Администратор Power Platform
    • Привилегированный администратор проверки подлинности
    • Администратор привилегированных ролей
    • Администратор безопасности
    • Администратор службы поддержки
    • Администратор SharePoint
    • Администратор Skype для бизнеса
    • Администратор Teams
    • Администратор коммуникаций Teams
    • Администратор устройств Teams
    • Администратор пользователей

  • Если с начала пробной подписки прошло 30 дней

    -или-

  • Личный домен настроен для клиента Microsoft Entra, например contoso.com

    -или-

  • Microsoft Entra Connect синхронизирует идентичности из локальной директории.

Вы можете отключить использование SSPR для учетных записей администратора, используя команду PowerShell Update-MgPolicyAuthorizationPolicy. Параметр -AllowedToUseSspr:$true|$false включает или отключает SSPR для администраторов. Изменения политики для включения или отключения SSPR для учетных записей администратора могут занять до 60 минут.

Исключения

Однофакторная политика требует ввода одного фрагмента данных для аутентификации, такого как адрес электронной почты или номер телефона. Политика одного прохода применяется в следующих случаях:

  • Это в пределах первых 30 дней пробной подписки.

    -или-

  • Личный домен не настроен (клиент использует значение по умолчанию *.onmicrosoft.com, которое не рекомендуется для использования в рабочей среде) и Microsoft Entra Connect не синхронизирует удостоверения.

Политики истечения срока действия пароля

Администраторы пользователей могут использовать Microsoft Graph для установки паролей пользователей, которые не будут истекать.

Можно также использовать командлеты PowerShell, чтобы удалить бессрочную конфигурацию или просмотреть, какие пароли пользователей имеют неограниченный срок действия.

Это руководство относится к другим поставщикам, таким как Intune и Microsoft 365, которые также используют идентификатор Microsoft Entra для служб удостоверений и каталогов. Срок действия пароля — это единственное, что может быть изменено в политике.

Примечание.

По умолчанию только для паролей учетных записей пользователей, которые не синхронизированы с помощью Microsoft Entra Connect, можно настроить параметр не истекания. Дополнительные сведения о синхронизации каталогов см. в статье Интеграция локальных каталогов с Microsoft Entra ID.

Установить или проверить политики паролей с помощью PowerShell.

Чтобы приступить к работе, скачайте и установите модуль Microsoft Graph PowerShell и подключите его к клиенту Microsoft Entra.

После установки модуля придерживайтесь приведенных ниже инструкций, чтобы при необходимости выполнить все следующие задачи.

Проверка политики срока действия пароля

  1. Откройте запрос PowerShell и подключитесь к вашему клиенту Microsoft Entra в роли администратора пользователей.

  2. Выполните одну из следующих команд для отдельного пользователя или всех пользователей сразу.

    • Чтобы узнать, обозначен ли пароль отдельного пользователя как бессрочный, воспользуйтесь следующим командлетом. Замените <user ID> идентификатор пользователя, который вы хотите проверить:

      Get-MgUser -UserId <user ID> -Property UserPrincipalName, PasswordPolicies | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

    • Чтобы просмотреть параметр Пароль никогда не истекает для всех пользователей, выполните следующий командлет:

      Get-MgUser -All -Property UserPrincipalName, PasswordPolicies | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

Установить срок действия пароля

  1. Откройте командную строку PowerShell и подключитесь к арендатору Microsoft Entra как минимум с правами администратора пользователей.

  2. Выполните одну из следующих команд для отдельного пользователя или всех пользователей сразу.

    • Чтобы установить для пароля отдельного пользователя конечный срок действия, воспользуйтесь следующим командлетом. Замените <user ID> идентификатор пользователя, который вы хотите проверить:

      Update-MgUser -UserId <user ID> -PasswordPolicies None

    • Чтобы задать пароли всех пользователей в организации, чтобы срок их действия истек, используйте следующую команду:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }

Установка бессрочного пароля

  1. Откройте окно PowerShell и подключитесь к клиенту Microsoft Entra в качестве как минимум администратора пользователей.

  2. Выполните одну из следующих команд для отдельного пользователя или всех пользователей сразу.

    • Чтобы установить бессрочный пароль для отдельного пользователя, воспользуйтесь следующим командлетом. Замените <user ID> идентификатор пользователя, который вы хотите проверить:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration

    • Чтобы задать пароли всех пользователей в организации, которые никогда не истекают, выполните следующий командлет:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }

    Предупреждение

    Пароли, для которых задано -PasswordPolicies DisablePasswordExpiration, по-прежнему имеют срок использования, определяемый атрибутом LastPasswordChangeDateTime. В зависимости от атрибута LastPasswordChangeDateTime, если задать срок действия, указав -PasswordPolicies None, то всем пользователям, у паролей которых значение LastPasswordChangeDateTime превышает 90 дней, будет необходимо сменить пароль при следующем входе. Это изменение может повлиять на большое количество пользователей.

Следующие шаги

Чтобы начать работу с SSPR, см. руководство по разблокировке учетной записи или сбросу паролей с помощью самостоятельного сброса пароля в Microsoft Entra.

Если у вас или у ваших пользователей возникли проблемы с SSPR, см. статью об устранении неполадок при самостоятельном сбросе пароля.