Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В идентификаторе Microsoft Entra есть политика паролей, которая определяет такие параметры, как сложность пароля, длина или возраст. Существует также политика, которая определяет допустимые символы и длину имен пользователей.
Если функция самостоятельного сброса пароля (SSPR) используется для изменения или сброса пароля в Microsoft Entra ID, проверяется политика пароля. Если пароль не соответствует требованиям политики, пользователю предлагается повторить попытку. Для администраторов Azure действуют некоторые ограничения на использование SSPR, отличающиеся от ограничений для обычных учетных записей пользователей, а также предусмотрены незначительные исключения для пробных и бесплатных версий Microsoft Entra ID.
В этой статье описываются параметры политики паролей и требования к сложности, связанные с учетными записями пользователей. В этой статье также описывается, как использовать PowerShell для проверки или задания параметров истечения срока действия пароля.
Политики имен пользователей
Все учетные записи, с которыми выполнен вход в Microsoft Entra ID, должны иметь уникальное значение атрибута имени субъекта-пользователя (UPN), связанное с этой учетной записью. В гибридных средах с локальной средой доменных служб Active Directory, синхронизированной с Microsoft Entra ID с помощью Microsoft Entra Connect, по умолчанию UPN в Microsoft Entra ID устанавливается на основе локального UPN.
В следующей таблице описаны политики имени пользователя, которые применяются как к локальным учетным записям, которые синхронизируются с идентификатором Microsoft Entra ID, так и для учетных записей пользователей, созданных непосредственно в идентификаторе Microsoft Entra.
| Свойство | Требования UserPrincipalName |
|---|---|
| Допустимые символы | А-Я a-z 0–9 '. - _ ! # ^ ~ |
| Недопустимые символы | Любой знак "@", который не отделяет имя пользователя от домена. Не может содержать знак точки "." непосредственно перед знаком "@". |
| Ограничения длины | Общая длина не должна превышать 113 знаков. Перед знаком "@" может быть до 64 знаков. После знака "@" может быть до 48 знаков. |
Политики паролей Microsoft Entra
Политика паролей применяется ко всем учетным записям пользователей, созданным и управляемым непосредственно в идентификаторе Microsoft Entra. Некоторые из этих параметров политики паролей нельзя изменить, хотя можно настроить настраиваемые запрещенные пароли для защиты паролей Microsoft Entra или параметров блокировки учетных записей.
По умолчанию после 10 неудачных попыток входа с неправильным паролем учетная запись блокируется. Пользователь блокируется на одну минуту. Длительность блокировки увеличивается после дальнейших неправильных попыток входа. Смарт-блокировка отслеживает хэши последних трех попыток неправильного ввода пароля во избежание повторного увеличения счетчика блокировки для того же пароля. Если кто-то вводит один и тот же неправильный пароль несколько раз, они не заблокированы. Можно определить пороговое значение и длительность смарт-блокировки.
Определены следующие параметры политики паролей Microsoft Entra. Если не указано иное, эти параметры изменить нельзя.
| Свойство | Требования |
|---|---|
| Допустимые символы | А-Я a-z 0–9 @ # $ % ^ и * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> Пустое пространство |
| Недопустимые символы | Символы Юникода |
| Ограничения для пароля | От 8 до 256 знаков. Требуется три из четырех из следующих типов символов: — Строчные буквы — Прописные буквы - Числа (0-9) — Символы (см. предыдущие ограничения паролей) |
| Длительность срока действия пароля (максимальный срок существования пароля) | Значение по умолчанию: Без срока действия. Если тенант был создан до 2021 года, по умолчанию у него значение срока действия составляет 90 дней. Вы можете проверить текущую политику с помощью Get-MgDomain. Это значение можно настроить с помощью командлета Update-MgDomain из модуля Microsoft Graph для PowerShell. |
| Срок действия пароля истекает (пароли можно сделать бессрочными) | Значение по умолчанию: false (указывает, что пароли имеют дату окончания срока действия). Значение можно настроить для отдельных учетных записей пользователей с помощью командлета Update-MgUser . |
| Журнал изменения пароля | Последний пароль невозможно использовать повторно, когда пользователь изменяет пароль. |
| Журнал сброса пароля | Пользователь может снова использовать последний пароль при сбросе забытого пароля. |
Это важно
История изменения паролей относится к обратной записи паролей. Только для облачных пользователей: функция сброса пароля в Microsoft Entra ID не хранит прежний пароль пользователя и не может проверить, не используется ли пароль повторно, или предотвратить повторное использование пароля.
Если включить EnforceCloudPasswordPolicyForPasswordSyncedUsers, политика паролей Microsoft Entra применяется к учетным записям пользователей, синхронизированным из локальной среды с помощью Microsoft Entra Connect. Кроме того, если пользователь изменяет пароль локально, чтобы включить символ юникода, изменение пароля может завершиться локально, но не в идентификаторе Microsoft Entra. Если синхронизация хэша паролей включена с помощью Microsoft Entra Connect, пользователь по-прежнему может получить маркер доступа для облачных ресурсов. Но если арендатор включает смену пароля, основанную на риске пользователя, смена пароля оценивается как высокий риск.
Пользователю будет предложено снова изменить пароль. Но если изменение по-прежнему содержит символ юникода, они могут быть заблокированы, если смарт-блокировка также включена.
Ограничения политики сброса пароля на основе рисков
Если включить EnforceCloudPasswordPolicyForPasswordSyncedUsers, необходимо изменить пароль в облаке, как только будет выявлен высокий риск. Пользователю предлагается изменить пароль при входе в идентификатор Microsoft Entra. Новый пароль должен соответствовать как облачным, так и локальным политикам паролей.
Если изменение пароля соответствует локальным требованиям, но не соответствует требованиям облака, изменение пароля завершается успешно, если включена синхронизация хэша паролей. Например, если новый пароль содержит символ Юникода, изменение пароля может быть обновлено локально, но не в облаке.
Если пароль не соответствует требованиям к облачному паролю, он не обновляется в облаке, а риск учетной записи не уменьшается. Пользователь по-прежнему получает маркер доступа для облачных ресурсов, но вам будет предложено снова изменить пароль при следующем доступе к облачным ресурсам. Пользователь не видит никаких ошибок или уведомлений о том, что выбранный пароль не соответствует требованиям облака.
Различия в политике сброса администратора
По умолчанию учетные записи администратора поддерживают самостоятельный сброс пароля, и принудительно применяется стандартная строгая политика сброса паролей с двумя шлюзами. Эта политика может отличаться от той, которую вы определили для пользователей, и эта политика не может быть изменена. Всегда следует тестировать функции сброса пароля от имени пользователя, которому не назначена какая-либо роль администратора Azure.
Политика с двумя шлюзами требует двух частей данных проверки подлинности, таких как адрес электронной почты, приложение authenticator или номер телефона, и запрещает вопросы безопасности. Офисные и мобильные голосовые звонки также запрещены для пробной или бесплатной версии Microsoft Entra ID.
Политика администратора SSPR не зависит от политики методов проверки подлинности. Например, если вы отключите сторонние маркеры программного обеспечения в политике методов проверки подлинности, учетные записи администраторов по-прежнему могут регистрировать сторонние приложения маркеров программного обеспечения и использовать их, но только для SSPR.
Политика двух пунктов пропуска применяется в следующих случаях:
Затронуты следующие роли администратора:
Роли A–D Роли D–N Роли O–Y Администратор отдельных лицензий Администратор Dynamics 365 Администратор приложений Office Администратор приложений Администратор Dynamics 365 Business Central Администратор фирменной символики организации Администратор службы Application Proxy Администратор Edge Поддержка партнеров уровня 1 Администратор симуляции атаки Создатель проверенного пользователя электронной почты Поддержка партнеров уровня 2 Администратор назначения атрибутов Администратор Exchange Администратор паролей Администратор определения атрибутов Администратор получателей в Exchange Администратор управления разрешениями Администратор журнала атрибутов Администратор пользовательских потоков для внешних идентификаторов Администратор службы Power BI Администратор проверки подлинности Администратор атрибутов потока пользователей для Внешнего ID Администратор Power Platform Администратор расширения проверки подлинности Администратор внешнего поставщика удостоверяющих данных Администратор принтера Администратор политики проверки подлинности Глобальный администратор Привилегированный администратор проверки подлинности Администратор Azure DevOps Глобальный администратор безопасного доступа Администратор привилегированных ролей Администратор Azure Information Protection Администратор групп Администратор поиска Администратор набора ключей IEF B2C Администратор службы технической поддержки Администратор безопасности Администратор политики IEF B2C Администратор гибридных идентичностей Администратор службы поддержки администратора выставления счетов; Администратор управления удостоверениями Администратор SharePoint Администратор безопасности облачных приложений Администратор Аналитики Администратор Skype для бизнеса Администратор облачных устройств Администратор Intune Администратор Teams Администратор соответствия требованиям Администратор знаний Администратор коммуникаций Teams Администратор данных соответствия требованиям Администратор лицензий Администратор устройств Teams Администратор условного доступа Администратор рабочих процессов жизненного цикла Администратор пользователей Утверждающий доступ к Customer Lockbox Администратор почтовых ящиков Администратор виртуальных посещений Администратор Аналитики рабочего стола Локальный администратор устройства, присоединенного к Microsoft Entra Администратор Viva Goals Администраторы устройств Администратор гарантии оборудования Майкрософт Администратор Viva Pulse Учетные записи синхронизации каталогов Администратор миграции Microsoft 365 Администратор Windows365 Редакторы каталогов Администратор современной коммерческой платформы Администратор развертывания Центра обновления Windows Администратор доменных имен Администратор сети Администратор Yammer Если с начала пробной подписки прошло 30 дней
-или-
Личный домен настроен для клиента Microsoft Entra, например contoso.com
-или-
Microsoft Entra Connect синхронизирует идентичности из локальной директории.
Вы можете отключить использование SSPR для учетных записей администратора, задав значение AllowedToUseSspr свойства в политике falseавторизации клиента. Изменения политики для включения или отключения SSPR для учетных записей администратора могут занять до 60 минут.
Это важно
Если политика сброса пароля для администраторов отключена, администраторы не могут сбрасывать пароли через SSPR, даже если они находятся в области политики сброса пароля для пользователей. Если регистрация SSPR включена и администраторы включены в политику сброса пароля для пользователей, им по-прежнему предлагается зарегистрироваться, но они видят сообщение о том, что не могут зарегистрировать какие-либо способы. Чтобы избежать этого, явным образом исключите администраторов из политики сброса пароля для пользователей при отключении политики сброса пароля для администраторов.
Update-MgPolicyAuthorizationPolicy
Connect-MgGraph -Scopes Policy.ReadWrite.Authorization
Update-MgPolicyAuthorizationPolicy -AllowedToUseSspr:$false
Исключения
Однофакторная политика требует ввода одного фрагмента данных для аутентификации, такого как адрес электронной почты или номер телефона. Политика одного прохода применяется в следующих случаях:
Это в пределах первых 30 дней пробной подписки.
-или-
Личный домен не настроен (клиент использует значение по умолчанию *.onmicrosoft.com, которое не рекомендуется для использования в рабочей среде) и Microsoft Entra Connect не синхронизирует удостоверения.
Политики истечения срока действия пароля
Администраторы пользователей могут использовать Microsoft Graph для установки паролей пользователей, которые не будут истекать.
Можно также использовать командлеты PowerShell, чтобы удалить бессрочную конфигурацию или просмотреть, какие пароли пользователей имеют неограниченный срок действия.
Это руководство относится к другим поставщикам, таким как Intune и Microsoft 365, которые также используют идентификатор Microsoft Entra для служб удостоверений и каталогов. Срок действия пароля — это единственное, что может быть изменено в политике.
Примечание.
По умолчанию только для паролей учетных записей пользователей, которые не синхронизированы с помощью Microsoft Entra Connect, можно настроить параметр не истекания. Дополнительные сведения о синхронизации каталогов см. в статье Интеграция локальных каталогов с Microsoft Entra ID.
Установить или проверить политики паролей с помощью PowerShell.
Чтобы приступить к работе, скачайте и установите модуль Microsoft Graph PowerShell и подключите его к клиенту Microsoft Entra.
После установки модуля придерживайтесь приведенных ниже инструкций, чтобы при необходимости выполнить все следующие задачи.
Проверка политики срока действия пароля
Откройте запрос PowerShell и подключитесь к вашему клиенту Microsoft Entra в роли администратора пользователей.
Выполните одну из следующих команд для отдельного пользователя или всех пользователей сразу.
Чтобы узнать, обозначен ли пароль отдельного пользователя как бессрочный, воспользуйтесь следующим командлетом. Замените
<user ID>идентификатор пользователя, который вы хотите проверить:Get-MgUser -UserId <user ID> -Property UserPrincipalName, PasswordPolicies | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}Чтобы просмотреть параметр Пароль никогда не истекает для всех пользователей, выполните следующий командлет:
Get-MgUser -All -Property UserPrincipalName, PasswordPolicies | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Установить срок действия пароля
Откройте запрос PowerShell и подключитесь к вашему клиенту Microsoft Entra в роли администратора пользователей.
Выполните одну из следующих команд для отдельного пользователя или всех пользователей сразу.
Чтобы установить для пароля отдельного пользователя конечный срок действия, воспользуйтесь следующим командлетом. Замените
<user ID>идентификатор пользователя, который вы хотите проверить:Update-MgUser -UserId <user ID> -PasswordPolicies NoneЧтобы задать пароли всех пользователей в организации, чтобы срок их действия истек, используйте следующую команду:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
Установка бессрочного пароля
Откройте запрос PowerShell и подключитесь к вашему клиенту Microsoft Entra в роли администратора пользователей.
Выполните одну из следующих команд для отдельного пользователя или всех пользователей сразу.
Чтобы установить бессрочный пароль для отдельного пользователя, воспользуйтесь следующим командлетом. Замените
<user ID>идентификатор пользователя, который вы хотите проверить:Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpirationЧтобы задать пароли всех пользователей в организации, которые никогда не истекают, выполните следующий командлет:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Предупреждение
Пароли, для которых задано
-PasswordPolicies DisablePasswordExpiration, по-прежнему имеют срок использования, определяемый атрибутомLastPasswordChangeDateTime. В зависимости от атрибутаLastPasswordChangeDateTime, если задать срок действия, указав-PasswordPolicies None, то всем пользователям, у паролей которых значениеLastPasswordChangeDateTimeпревышает 90 дней, будет необходимо сменить пароль при следующем входе. Это изменение может повлиять на большое количество пользователей.
Связанный контент
Чтобы начать работу с SSPR, см. руководство по разблокировке учетной записи или сбросу паролей с помощью самостоятельного сброса пароля в Microsoft Entra.
Если у вас или пользователей возникли проблемы с SSPR, см. статью "Устранение неполадок самостоятельного сброса пароля".