Stratégies de mot de passe et restrictions de compte dans Microsoft Entra ID

Dans Microsoft Entra ID, vous trouverez une stratégie de mot de passe qui définit des paramètres tels que la complexité, la longueur ou l’âge du mot de passe. Vous trouverez également une stratégie qui définit la longueur et les caractères acceptables pour les noms d’utilisateur.

Si la réinitialisation de mot de passe en libre-service (SSPR) est utilisée pour changer ou réinitialiser un mot de passe dans Microsoft Entra ID, la stratégie de mot de passe est vérifiée. Si le mot de passe ne répond pas aux exigences de la stratégie, l’utilisateur est invité à réessayer. Les administrateurs Azure sont soumis à certaines restrictions concernant l’utilisation du SSPR, qui diffèrent de celles applicables aux comptes d’utilisateur standard, et il existe quelques exceptions mineures pour les versions d’évaluation et gratuites de Microsoft Entra ID.

Cet article décrit les paramètres des stratégies de mot de passe et les exigences en matière de complexité associées aux comptes d’utilisateur. Il explique également comment utiliser PowerShell pour consulter ou définir les paramètres d’expiration des mots de passe.

Stratégies de nom d’utilisateur

Chaque compte se connectant à Microsoft Entra ID doit être associé à une valeur d’attribut de nom d’utilisateur principal (UPN) unique. Dans les environnements hybrides où un environnement Active Directory Domain Services (AD DS) local est synchronisé avec Microsoft Entra ID à l’aide de Microsoft Entra Connect, l’UPN Microsoft Entra ID est défini par défaut sur l’UPN local.

Le tableau suivant décrit les stratégies de nom d’utilisateur qui s’appliquent aussi bien aux comptes locaux synchronisés synchronisés avec Microsoft Entra ID qu'aux comptes cloud créés directement dans Microsoft Entra ID :

Propriété	Conditions requises pour UserPrincipalName
Caractères autorisés	A-Z a-z 0–9 ' . - _ ! # ^ ~
Caractères non autorisés	Tout caractère « @ » qui ne sépare pas le nom d’utilisateur du domaine. Ne peut pas contenir un point « . » précédant immédiatement le symbole « @ »
Contraintes de longueur	La longueur totale ne doit pas dépasser 113 caractères Jusqu’à 64 caractères avant le symbole « @ » Jusqu’à 48 caractères après le symbole « @ »

Stratégies de mot de passe Microsoft Entra

Une stratégie de mot de passe est appliquée à tous les comptes d’utilisateur qui sont créés et gérés directement dans Microsoft Entra ID. Certains de ces paramètres de stratégie de mot de passe ne peuvent pas être modifiés, bien que vous puissiez configurer des mots de passe interdits personnalisés pour la protection par mot de passe Microsoft Entra ou des paramètres de verrouillage de compte.

Par défaut, un compte est bloqué au bout de 10 tentatives de connexion infructueuses avec un mot de passe incorrect. L’utilisateur est verrouillé pendant une minute. La durée du verrouillage augmente en cas de nouvelles tentatives incorrectes. Le verrouillage intelligent suit les trois derniers hachages de mots de passe incorrects afin d'éviter d'incrémenter le compteur de verrouillages pour le même mot de passe. Si un utilisateur entre plusieurs fois le même mot de passe incorrect, il ne sera pas verrouillé. Vous pouvez définir le seuil et la durée du verrouillage intelligent.

Les options de stratégie de mot de passe Microsoft Entra suivantes sont définies. Sauf indication contraire, vous ne pouvez pas modifier ces paramètres :

Propriété	Spécifications
Caractères autorisés	A-Z a-z 0–9 @ # $ % ^ & * - _ ! + = [ ] { } \| \ : ' , . ? / ` ~ " ( ) ; <> Espace vide
Caractères non autorisés	Caractères Unicode
Restrictions de mot de passe	8 caractères minimum et 256 caractères maximum. Trois des quatre types de caractères suivants sont requis : - caractères en minuscules - caractères en majuscules - Chiffres (0-9) - Symboles (voir les restrictions de mot de passe précédentes)
Durée d’expiration du mot de passe (âge maximum du mot de passe)	Valeur par défaut : aucune expiration. Si le locataire a été créé avant 2021, il a une valeur d’expiration de 90 jours par défaut. Vous pouvez vérifier la stratégie actuelle avec Get-MgDomain. La valeur est configurable en utilisant l'applet de commande Update-MgDomain du module Microsoft Graph pour PowerShell.
Expiration du mot de passe (empêche le mot de passe d’expirer)	Valeur par défaut : false (indique que les mots de passe ont une date d’expiration). La valeur peut être configurée pour des comptes d’utilisateur individuels à l’aide de l'applet de commande Update-MgUser.
Historique de modification du mot de passe	Le dernier mot de passe ne peut pas être réutilisé lorsque l’utilisateur modifie un mot de passe.
Historique de réinitialisation du mot de passe	Le dernier mot de passe peut être réutilisé lorsque l’utilisateur réinitialise un mot de passe oublié.

Important

L’historique des modifications de mot de passe s’applique à la réécriture du mot de passe. Pour les utilisateurs cloud uniquement, la réinitialisation de mot de passe pour Microsoft Entra ID ne dispose pas de l’ancien mot de passe de l’utilisateur et ne peut ni vérifier ni empêcher la réutilisation d’un mot de passe.

Si vous activez EnforceCloudPasswordPolicyForPasswordSyncedUsers, la stratégie de mot de passe Microsoft Entra s’applique aux comptes d’utilisateur synchronisés à partir d’un environnement local avec Microsoft Entra Connect. De plus, si un utilisateur modifie son mot de passe en local et y inclut un caractère Unicode, la modification peut réussir localement mais échouer dans Microsoft Entra ID. Si la synchronisation du hachage du mot de passe est activée avec Microsoft Entra Connec, l’utilisateur peut toujours obtenir un jeton d’accès pour les ressources cloud. Toutefois, si le locataire active la modification du mot de passe en fonction du risque utilisateur, la modification du mot de passe est signalée comme étant à haut risque.

L’utilisateur est invité à modifier à nouveau son mot de passe. Toutefois, si la modification inclut toujours un caractère Unicode, il risque d'être verrouillé si le verrouillage intelligent est également activé.

Limitations de la stratégie de réinitialisation de mot de passe basée sur les risques

Si vous activez EnforceCloudPasswordPolicyForPasswordSyncedUsers, une modification de mot de passe cloud est requise une fois qu’un risque élevé est identifié. L’utilisateur est invité à modifier son mot de passe lorsqu’il se connecte à Microsoft Entra ID. Le nouveau mot de passe doit se conformer aux stratégies de mot de passe cloud et locale.

Si une modification de mot de passe répond aux exigences locales, mais ne répond pas à celles du cloud, la modification du mot de passe réussit si la synchronisation de hachage de mot de passe est activée. Par exemple, si le nouveau mot de passe inclut un caractère Unicode, la modification du mot de passe peut être mise à jour localement, mais pas dans le cloud.

Si le mot de passe ne répond pas aux critères de sécurité du cloud, il ne sera pas mis à jour dans le cloud, laissant le compte vulnérable. L’utilisateur obtient toujours un jeton d’accès aux ressources cloud, mais il devra modifier son mot de passe lors de sa prochaine connexion aux ressources cloud. Aucune erreur ou notification n’apparaît pour informer l’utilisateur que le mot de passe choisi ne correspond pas aux critères du cloud.

Différences en matière de stratégie de réinitialisation par l’administrateur

Par défaut, les comptes d’administrateur sont activés pour la réinitialisation de mot de passe en libre-service, et une stratégie de réinitialisation de mot de passe à deux portes renforcée par défaut est appliquée. Cette stratégie peut être différente de celle que vous avez définie pour vos utilisateurs, et cette stratégie ne peut pas être modifiée. Vous devez toujours tester la fonctionnalité de réinitialisation de mot de passe en tant qu’utilisateur, sans qu’un rôle d’administrateur Azure vous soit affecté.

La stratégie à deux verrous nécessite deux éléments de données d’authentification, par exemple une adresse e-mail, une application d’authentification ou un numéro de téléphone. Les questions de sécurité sont interdites. Les appels vocaux Office et mobiles sont également interdits pour les versions d’essai et gratuites de Microsoft Entra ID.

La stratégie d’administrateur SSPR ne dépend pas de la stratégie de méthodes d’authentification. Par exemple, si vous désactivez des jetons logiciels tiers dans la stratégie des méthodes d’authentification, les comptes d’administrateur peuvent toujours inscrire des applications de jetons logiciels tiers et les utiliser, mais uniquement pour la authentification unique.

Une stratégie à deux verrous s’applique dans les conditions suivantes :

Les rôles d’administrateur suivants sont affectés :


Administrateur de licences ad hoc	Administrateur Dynamics 365	Administrateur d’applications Office
Administrateur d’application	Administrateur Dynamics 365 Business Central	Administrateur de l'image de marque de l'organisation
administrateur de service Proxy d'application	Administrateur Edge	Prise en charge de niveau 1 de partenaire
Administrateur de simulation d'attaque	Créateur d’utilisateur vérifié par e-mail	Prise en charge de niveau 2 de partenaire
Administrateur de l’attribution d’attributs	Administrateur Exchange	Administrateur de mots de passe
Administrateur de définition d’attribut	Administrateur des destinataires Exchange	Administrateur de gestion des autorisations
Administrateur du Journal des attributs	Administrateur du Flux d'Utilisateur avec ID Externe	administrateur de service Power BI
Administrateur d’authentification	Administrateur des attributs du flux utilisateur d'ID externe	Administrateur de plateforme Power
Administrateur d’extensibilité de l’authentification	Administrateur du fournisseur d’identité externe	Administrateur d’imprimante
Administrateur de la stratégie d’authentification	Administrateur général	Administrateur d’authentification privilégié
Administrateur Azure DevOps	Administrateur général de l’accès sécurisé	Administrateur de rôle privilégié
Administrateur Azure Information Protection	Administrateur de groupes	Administrateur de recherche
Administrateur du jeu de clés IEF B2C	Administrateur du support technique	Administrateur de sécurité
Administrateur de stratégie IEF B2C	Administrateur d’identité hybride	Administrateur de support de service
Administrateur de facturation	Administrateur de la Gouvernance de l'Identité	Administrateur SharePoint
Administrateur de sécurité d’application cloud	Administrateur Insights	Administrateur Skype Entreprise
Administrateur d’appareil cloud	Administrateur Intune	Administrateur Teams
Administrateur de conformité	Administrateur des connaissances	Administrateur des communications Teams
Administrateur des données de conformité	Administrateur de licence	Administrateur d’appareils Teams
Administrateur de l’accès conditionnel	Administrateur de flux de travail de cycle de vie	Administrateur d'utilisateurs
Approbateur de l’accès au coffre-fort client	Administrateur de boîte aux lettres	Administrateur des visites virtuelles
Administrateur Analytique de bureau	Administrateur local de l’appareil joint à Microsoft Entra	Administrateur Viva Goals
Administrateurs d’appareils	Administrateur de la garantie du matériel Microsoft	Administrateur Viva Pulse
Comptes de synchronisation d’annuaires	Administrateur(-trice) de migration Microsoft 365	Administrateur Windows365
Enregistreurs de répertoire	Administrateur de Commerce moderne	Administrateur des déploiements de mise à jour Windows
Administrateur de nom de domaine	Administrateur réseau	Administrateur Yammer

Si 30 jours se sont écoulés dans un abonnement d’essai

-Ou-
Un domaine personnalisé est configuré pour votre locataire Microsoft Entra, par exemple contoso.com

-Ou-
Microsoft Entra Connect synchronise les identités à partir de votre annuaire local

Vous pouvez désactiver l’utilisation de SSPR pour les comptes d’administrateur en définissant la valeur de la propriété AllowedToUseSspr sur la politique d’autorisation du locataire à false. Les modifications de stratégie pour activer ou désactiver SSPR pour les comptes Administrateur peuvent prendre jusqu’à 60 minutes.

Important

Lorsque la stratégie de réinitialisation de mot de passe pour les administrateurs est désactivée, les administrateurs ne peuvent pas réinitialiser leurs mots de passe via SSPR, même s’ils sont dans l’étendue de la stratégie de réinitialisation de mot de passe pour les utilisateurs. Si l’inscription SSPR est activée et que les administrateurs sont inclus dans la stratégie de réinitialisation de mot de passe pour les utilisateurs, ils sont toujours invités à s’inscrire, mais voient un message indiquant qu’ils ne peuvent pas inscrire de méthodes. Pour éviter cette expérience, excluez explicitement les administrateurs de la stratégie de réinitialisation de mot de passe pour les utilisateurs lorsque la stratégie de réinitialisation de mot de passe pour les administrateurs est désactivée.

PowerShell
Microsoft Graph

Update-MgPolicyAuthorizationPolicy

Connect-MgGraph -Scopes Policy.ReadWrite.Authorization
Update-MgPolicyAuthorizationPolicy -AllowedToUseSspr:$false

Mettre à jour la politique d'autorisation

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
  "allowedToUseSSPR":false
}

Exceptions

Une stratégie à un verrou nécessite un élément de données d’authentification, par exemple une adresse de messagerie ou un numéro de téléphone. Une stratégie à un verrou s’applique dans les conditions suivantes :

Pendant les 30 premiers jours d’un abonnement d’essai

-Ou-
Un domaine personnalisé n’est pas configuré (le locataire utilise la valeur *.onmicrosoft.com par défaut, qui n’est pas recommandée pour une utilisation en production) et Microsoft Entra Connect ne synchronise pas les identités.

Stratégies d’expiration de mot de passe

Les administrateurs d'utilisateurs peuvent utiliser Microsoft Graph pour définir des mots de passe utilisateur sans date d’expiration.

Vous pouvez également utiliser des applets de commande PowerShell pour supprimer la configuration de non-expiration ou pour voir quels mots de passe utilisateur sont définis pour ne jamais expirer.

Ces conseils s’appliquent à d’autres fournisseurs, tels que Intune et Microsoft 365, qui s’appuient également sur Microsoft Entra ID pour les services d’identité et d’annuaire. L’expiration du mot de passe est la seule partie de la stratégie qui peut être modifiée.

Note

Par défaut, seuls les mots de passe de comptes d’utilisateur non synchronisés par le biais Microsoft Entra Connect peuvent être configurés pour ne pas expirer. Pour plus d’informations sur la synchronisation d’annuaires, consultez Connecter AD à Microsoft Entra ID.

Définir ou vérifier les stratégies de mot de passe à l’aide de PowerShell

Pour commencer, téléchargez et installez le module Microsoft Graph PowerShell, puis connectez-le à votre locataire Microsoft Entra.

Une fois le module installé, suivez les étapes ci-après pour effectuer chaque tâche en fonction des besoins.

Vérifier la stratégie d’expiration d’un mot de passe

Ouvrez une invite PowerShell et connectez-vous à votre locataire Microsoft Entra en tant qu’administrateur d'utilisateurs.
Exécutez l’une des commandes suivantes pour un utilisateur individuel ou tous les utilisateurs :
- Pour voir si le mot de passe d’un seul utilisateur est défini pour ne jamais expirer, exécutez l’applet de commande suivante. Remplacez <user ID> par l’ID de l'utilisateur utilisateur que vous souhaitez vérifier :
```
Get-MgUser -UserId <user ID> -Property UserPrincipalName, PasswordPolicies | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
```
- Pour afficher le paramètre Le mot de passe n’expire jamais pour tous les utilisateurs, exécutez la cmdlet suivante :
```
Get-MgUser -All -Property UserPrincipalName, PasswordPolicies | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
```

Définir un mot de passe pour qu’il expire

Ouvrez une invite PowerShell et connectez-vous à votre locataire Microsoft Entra en tant qu’administrateur d'utilisateurs.
Exécutez l’une des commandes suivantes pour un utilisateur individuel ou tous les utilisateurs :
- Pour définir le mot de passe d’un utilisateur afin qu’il expire, exécutez l’applet de commande suivante. Remplacez <user ID> par l’ID de l'utilisateur utilisateur que vous souhaitez vérifier :
```
Update-MgUser -UserId <user ID> -PasswordPolicies None
```
- Pour définir les mots de passe de tous les utilisateurs de l’organisation afin qu’ils expirent, utilisez la commande suivante :
```
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
```

Définir un mot de passe pour qu’il n’expire jamais

Ouvrez une invite PowerShell et connectez-vous à votre locataire Microsoft Entra en tant qu’administrateur d'utilisateurs.
Exécutez l’une des commandes suivantes pour un utilisateur individuel ou tous les utilisateurs :
- Pour définir le mot de passe d’un utilisateur afin qu’il n’expire jamais, exécutez l’applet de commande suivante : Remplacez <user ID> par l’ID de l'utilisateur utilisateur que vous souhaitez vérifier :
```
Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
```
- Pour définir les mots de passe de tous les utilisateurs de l’organisation afin qu’ils n’expirent jamais, utilisez la cmdlet suivante :
```
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
```
Warning

Les mots de passe définis sur -PasswordPolicies DisablePasswordExpiration le restent en fonction de l’attribut LastPasswordChangeDateTime. En fonction de l’attribut LastPasswordChangeDateTime, si vous définissez l’expiration sur -PasswordPolicies None, tous les mots dont LastPasswordChangeDateTime est supérieur à 90 jours doivent être modifiés par l’utilisateur lors de sa connexion suivante. Cette modification peut affecter un grand nombre d’utilisateurs.

Pour bien démarrer avec SSPR, consultez Tutoriel : Permettre aux utilisateurs de déverrouiller leur compte ou de réinitialiser des mots de passe à l’aide de la réinitialisation de mot de passe en libre-service Microsoft Entra.

Si vous ou les utilisateurs rencontrez des problèmes avec SSPR, consultez Résoudre les problèmes de réinitialisation de mot de passe en libre-service.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-05-20