Aracılığıyla paylaş

Microsoft Entra Kimliğinde parola ilkeleri ve hesap kısıtlamaları

  • Makale

Microsoft Entra Id'de parola karmaşıklığı, uzunluğu veya yaşı gibi ayarları tanımlayan bir parola ilkesi vardır. Kullanıcı adları için kabul edilebilir karakterleri ve uzunluğu tanımlayan bir ilke de vardır.

Microsoft Entra Id'de parolayı değiştirmek veya sıfırlamak için self servis parola sıfırlama (SSPR) kullanıldığında, parola ilkesi denetlenir. Parola ilke gereksinimlerini karşılamıyorsa kullanıcıdan yeniden denemesi istenir. Azure yöneticilerinin SSPR kullanımıyla ilgili normal kullanıcı hesaplarından farklı bazı kısıtlamaları vardır ve Microsoft Entra Id'nin deneme ve ücretsiz sürümleri için küçük özel durumlar vardır.

Bu makalede, kullanıcı hesaplarıyla ilişkili parola ilkesi ayarları ve karmaşıklık gereksinimleri açıklanmaktadır. Ayrıca, parola süre sonu ayarlarını denetlemek veya ayarlamak için PowerShell'in nasıl kullanılacağını da kapsar.

Kullanıcı adı ilkeleri

Microsoft Entra Kimlik'te oturum açan her hesabın, hesabıyla ilişkili benzersiz bir kullanıcı asıl adı (UPN) öznitelik değerine sahip olması gerekir. Şirket içi Active Directory Etki Alanı Hizmetleri ortamının Microsoft Entra Connect kullanılarak Microsoft Entra ID ile eşitlenmiş olduğu karma ortamlarda, varsayılan olarak Microsoft Entra Id UPN şirket içi UPN'ye ayarlanır.

Aşağıdaki tabloda, hem Microsoft Entra Kimliği ile eşitlenen şirket içi hesaplara hem de doğrudan Microsoft Entra Id'de oluşturulan yalnızca bulut kullanıcı hesaplarına uygulanan kullanıcı adı ilkeleri özetlenmiştir:

Özellik UserPrincipalName gereksinimleri
İzin verilen karakterler A-Z
a-z
0-9
' . - _ ! # ^ ~
Karakterlere izin verilmiyor Alan adından kullanıcı adını ayırmayan herhangi bir "@" karakteri.
"@" simgesinden hemen önce "." nokta karakteri içeremez
Uzunluk kısıtlamaları Toplam uzunluk 113 karakteri aşmamalıdır
"@" simgesinden önce en fazla 64 karakter olabilir
"@" simgesinden sonra en fazla 48 karakter olabilir

Microsoft Entra parola ilkeleri

Doğrudan Microsoft Entra Id'de oluşturulan ve yönetilen tüm kullanıcı hesaplarına bir parola ilkesi uygulanır. Bu parola ilkesi ayarlarından bazıları değiştirilemez, ancak Microsoft Entra parola koruması veya hesap kilitleme parametreleri için özel yasaklanmış parolalar yapılandırabilirsiniz.

Varsayılan olarak, 10 başarısız oturum açma girişiminden sonra yanlış parolayla bir hesap kilitlenir. Kullanıcı bir dakika boyunca kilitlenir. Daha fazla yanlış oturum açma girişiminden sonra kilitleme süresi artar. Akıllı kilitleme , aynı parola için kilitleme sayacının artırılmasını önlemek için son üç hatalı parola karmasını izler. Bir kişi aynı hatalı parolayı birden çok kez girerse, kilitlenmez. Akıllı kilitleme eşiğini ve süresini tanımlayabilirsiniz.

Aşağıdaki Microsoft Entra parola ilkesi seçenekleri tanımlanır. Not edilmediği sürece, şu ayarları değiştiremezsiniz:

Özellik Gereksinimler
İzin verilen karakterler A-Z
a-z
0-9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
Boşluk
Karakterlere izin verilmiyor Unicode karakterleri
Parola kısıtlamaları En az 8 karakter ve en fazla 256 karakter.
Aşağıdaki karakter türlerinden dörtte üçü gerekir:
- Küçük harfler
- Büyük harf karakterler
- Sayılar (0-9)
- Simgeler (önceki parola kısıtlamalarına bakın)
Parola süre sonu süresi (En fazla parola yaşı) Varsayılan değer: Süre sonuyok. Kiracı 2021'in öncesinde oluşturulduysa, varsayılan olarak 90 gün süre sonu değerine sahiptir. Get-MgDomain ile geçerli ilkeyi kontrol edebilirsiniz.
Değer, PowerShell için Microsoft Graph modülündeki Update-MgDomain cmdlet'i kullanılarak yapılandırılabilir.
Parola süre sonu (Parolaların süresinin hiç dolmasına izin verme) Varsayılan değer: false (parolaların son kullanma tarihi olduğunu gösterir).
Değer, Update-MgUser cmdlet'i kullanılarak tek tek kullanıcı hesapları için yapılandırılabilir.
Parola değiştirme geçmişi Kullanıcı parolayı değiştirdiğinde son parola yeniden kullanılamaz.
Parola sıfırlama geçmişi Son parola, kullanıcı unutulan bir parolayı sıfırladığında yeniden kullanılabilir .

EnforceCloudPasswordPolicyForPasswordSyncedUsers'ı etkinleştirirseniz, Microsoft Entra parola ilkesi Microsoft Entra Connect kullanılarak şirket içinden eşitlenen kullanıcı hesapları için geçerlidir. Buna ek olarak, kullanıcı şirket içi parolayı unicode karakter içerecek şekilde değiştirirse, parola değişikliği şirket içinde başarılı olabilir ancak Microsoft Entra Kimliği'nde başarılı olmayabilir. Microsoft Entra Connect ile parola karması eşitlemesi etkinleştirildiyse, kullanıcı bulut kaynakları için bir erişim belirteci almaya devam edebilir. Ancak kiracı Kullanıcı risk tabanlı parola değişikliğini etkinleştirirse, parola değişikliği yüksek riskli olarak bildirilir.

Kullanıcıdan parolasını yeniden değiştirmesi istenir. Ancak değişiklik yine de bir unicode karakter içeriyorsa ve akıllı kilitleme de etkinleştirilmişse, kilitlenebilirler.

Risk tabanlı parola sıfırlama ilkesi sınırlamaları

EnforceCloudPasswordPolicyForPasswordSyncedUsers'ı etkinleştirirseniz, yüksek risk belirlendikten sonra bulut parola değişikliği gerekir. Kullanıcıdan Microsoft Entra Id'de oturum açarken parolasını değiştirmesi istenir. Yeni parolanın hem bulut hem de şirket içi parola ilkeleriyle uyumlu olması gerekir.

Parola değişikliği şirket içi gereksinimleri karşılıyorsa ancak bulut gereksinimlerini karşılayamazsa, parola karması eşitlemesi etkinleştirildiğinde parola değişikliği başarılı olur. Örneğin, yeni parola bir Unicode karakteri içeriyorsa, parola değişikliği şirket içinde güncelleştirilebilir ancak bulutta güncelleştirilemez.

Parola bulut parola gereksinimleriyle uyumlu değilse, bulutta güncelleştirilmez ve hesap riski azalmaz. Kullanıcı bulut kaynakları için bir erişim belirteci almaya devam eder, ancak bulut kaynaklarına bir sonraki erişişinde parolasını yeniden değiştirmesi istenir. Kullanıcı, seçtiği parolanın bulut gereksinimlerini karşılayamadığından dolayı herhangi bir hata veya bildirim görmez.

Yönetici sıfırlama politikasındaki farklılıklar

Varsayılan olarak, yönetici hesapları self servis parola sıfırlama için etkinleştirilir ve güçlü bir varsayılan iki kapılı parola sıfırlama ilkesi uygulanır. Bu ilke, kullanıcılarınız için tanımladığınız ilkeden farklı olabilir ve bu ilke değiştirilemez. Herhangi bir Azure yönetici rolü atanmamış bir kullanıcı olarak parola sıfırlama işlevini her zaman test etmelisiniz.

İki kapılı ilke, e-posta adresi, kimlik doğrulayıcı uygulaması veya telefon numarası gibi iki kimlik doğrulama verisi gerektirir ve güvenlik sorularını yasaklar. Microsoft Entra ID'nin deneme sürümü veya ücretsiz sürümleri için Office ve mobil sesli aramaları da yasaklanmıştır.

SSPR yönetici ilkesi Kimlik Doğrulamaları yöntemi ilkesine bağlı değildir. Örneğin, Kimlik doğrulama yöntemleri ilkesinde üçüncü taraf yazılım belirteçlerini devre dışı bırakırsanız, yönetici hesapları yine de üçüncü taraf yazılım belirteci uygulamalarını kaydedebilir ve kullanabilir, ancak yalnızca SSPR için kullanabilir.

İki kapılı bir ilke aşağıdaki durumlarda geçerlidir:

  • Aşağıdaki tüm Azure yönetici rolleri etkilenir:

    • Uygulama Yöneticisi
    • Kimlik Doğrulama Yöneticisi
    • Faturalama Yöneticisi
    • Uyumluluk Yöneticisi
    • Bulut Cihazı Yöneticisi
    • Dizin Eşitleme Hesapları
    • Dizin Yazarları
    • Dynamics 365 Yöneticisi
    • Exchange Yöneticisi
    • Genel Yönetici
    • Yardım Masası Yöneticisi
    • Intune Yöneticisi
    • Microsoft Entra'ya Bağlı Cihaz Yerel Yöneticisi
    • İş Ortağı Seviye 1 Desteği
    • İş Ortağı Katman 2 Destek
    • Parola Yöneticisi
    • Power Platform Yöneticisi
    • Ayrıcalıklı Kimlik Doğrulama Yöneticisi
    • Ayrıcalıklı Rol Yöneticisi
    • Güvenlik Yöneticisi
    • Hizmet Desteği Yöneticisi
    • SharePoint Yöneticisi
    • Skype Kurumsal Yöneticisi
    • Teams Yöneticisi
    • Teams İletişim Yöneticisi
    • Teams Cihazları Yöneticisi
    • Kullanıcı Yöneticisi

  • Deneme aboneliğinde 30 gün geçtikten sonra

    -Veya-

  • Microsoft Entra kiracınıza, örneğin contoso.com gibi özel bir etki alanı yapılandırılmıştır.

    -Veya-

  • Microsoft Entra Connect, şirket içi dizininizdeki kimlikleri eşitler

Update-MgPolicyAuthorizationPolicy PowerShell cmdlet'ini kullanarak yönetici hesapları için SSPR kullanımını devre dışı bırakabilirsiniz. -AllowedToUseSspr:$true|$false parametresi, yöneticiler için SSPR'yi etkinleştirir/devre dışı bırakır. Yönetici hesapları için SSPR'yi etkinleştirmek veya devre dışı bırakmak için yapılan ilke değişikliklerinin geçerlilik kazanması 60 dakika kadar sürebilir.

Özel durumlar

Tek kapılı ilke, e-posta adresi veya telefon numarası gibi tek bir kimlik doğrulama verisi gerektirir. Tek kapılı ilke aşağıdaki durumlarda geçerlidir:

  • Deneme aboneliğinin ilk 30 günü içindedir

    -Veya-

  • Özel bir etki alanı yapılandırılmamış (kiracı, üretim kullanımı için önerilmeyen varsayılan *.onmicrosoft.com adresini kullanıyor) ve Microsoft Entra Connect kimlikleri eşitlemiyor.

Parola süre sonu ilkeleri

Kullanıcı Yöneticileri, kullanıcı parolalarınınsüresinin dolmaması için Microsoft Graph'ı kullanabilir.

PowerShell cmdlet'lerini, süresi hiç dolmayan yapılandırmayı kaldırmak veya hangi kullanıcı parolalarının hiçbir zaman dolmak üzere ayarlandığını görmek için de kullanabilirsiniz.

Bu kılavuz, Intune ve Microsoft 365 gibi kimlik ve dizin hizmetleri için Microsoft Entra Id kullanan diğer sağlayıcılar için de geçerlidir. İlkenin değiştirilebilen tek bölümü parola süre sonudur.

Not

Varsayılan olarak yalnızca Microsoft Entra Connect aracılığıyla eşitlenmemiş kullanıcı hesaplarının parolaları süresi dolmayacak şekilde yapılandırılabilir. Dizin eşitlemesi hakkında daha fazla bilgi için bkz. AD'yi Microsoft Entra Kimliğine bağlama.

PowerShell kullanarak parola ilkelerini ayarlama ve denetleme

Başlamak için Microsoft Graph PowerShell modülünü indirip yükleyin ve Microsoft Entra kiracınıza bağlayın.

Modül yüklendikten sonra, her görevi gerektiği gibi tamamlamak için aşağıdaki adımları kullanın.

Parola için süre sonu ilkesini denetleyin

  1. Bir PowerShell istemi açın ve Microsoft Entra kiracınıza en az bir kullanıcı yöneticisi olarak bağlanın.

  2. Tek bir kullanıcı veya tüm kullanıcılar için aşağıdaki komutlardan birini çalıştırın:

    • Tek bir kullanıcının parolasının süresi hiç dolmak üzere ayarlı olup olmadığını görmek için aşağıdaki cmdlet'i çalıştırın. Kontrol etmek istediğiniz kullanıcının kullanıcı kimliğini <user ID> ile değiştirin.

      Get-MgUser -UserId <user ID> -Property UserPrincipalName, PasswordPolicies | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

    • Tüm kullanıcılar için Parola süresi hiç dolmaz ayarını görmek için aşağıdaki cmdlet'i çalıştırın:

      Get-MgUser -All -Property UserPrincipalName, PasswordPolicies | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

Parolayı süresi dolacak şekilde ayarlama

  1. Bir PowerShell istemi açın ve en az bir Kullanıcı Yöneticisi olarak Microsoft Entra kiracınıza bağlanmalısınız.

  2. Tek bir kullanıcı veya tüm kullanıcılar için aşağıdaki komutlardan birini çalıştırın:

    • Parolanın süresinin dolması için bir kullanıcının parolasını ayarlamak için aşağıdaki cmdlet'i çalıştırın. Değiştirmek istediğiniz kullanıcının kullanıcı kimliğiyle <user ID> değiştirin:

      Update-MgUser -UserId <user ID> -PasswordPolicies None

    • Kuruluştaki tüm kullanıcıların parolalarını süresi dolacak şekilde ayarlamak için aşağıdaki komutu kullanın:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }

Parolanın süresini asla sona ermeyecek şekilde ayarla

  1. Bir PowerShell istemi açın ve Microsoft Entra kiracınıza en az Bir Kullanıcı Yöneticisi olarak bağlanın.

  2. Tek bir kullanıcı veya tüm kullanıcılar için aşağıdaki komutlardan birini çalıştırın:

    • Bir kullanıcının parolasını süresi hiç dolmak üzere ayarlamak için aşağıdaki cmdlet'i çalıştırın. Kontrol etmek istediğiniz kullanıcının kullanıcı kimliğini <user ID> ile değiştirin:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration

    • Bir kuruluştaki tüm kullanıcıların parolalarını hiçbir zaman sona ermeyecek şekilde ayarlamak için aşağıdaki cmdlet'i çalıştırın:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }

    Uyarı

    -PasswordPolicies DisablePasswordExpiration olarak ayarlanmış parolalar, yine de LastPasswordChangeDateTime özniteliği temelinde yaşlanır. LastPasswordChangeDateTime özniteliğine bağlı olarak, süre sonunu -PasswordPolicies None olarak değiştirirseniz, LastPasswordChangeDateTime 90 günden eski olan tüm parolalar, kullanıcının bir sonraki oturum açışında değiştirmesini gerektirir. Bu değişiklik çok sayıda kullanıcıyı etkileyebilir.

Sonraki adımlar

SSPR'yi kullanmaya başlamak için Öğretici: Microsoft Entra self-servis parola sıfırlamayı kullanarak kullanıcıların hesabının kilidini açmalarını veya parolaları sıfırlamalarını sağlama.

Sizin veya kullanıcıların SSPR ile ilgili sorunları varsa Self servis parola sıfırlama sorunlarını giderme'ye bakın.