Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I Microsoft Entra-ID finns det en lösenordsprincip som definierar inställningar som lösenordskomplexitet, längd eller ålder. Det finns också en princip som definierar acceptabla tecken och längd för användarnamn.
När självbetjäningsåterställning av lösenord (SSPR) används för att ändra eller återställa ett lösenord i Microsoft Entra ID, kontrolleras lösenordspolicyn. Om lösenordet inte uppfyller principkraven uppmanas användaren att försöka igen. Azure administratörer har vissa begränsningar för att använda SSPR som skiljer sig från vanliga användarkonton, och det finns mindre undantag för utvärderingsversioner och kostnadsfria versioner av Microsoft Entra ID.
I den här artikeln beskrivs inställningar för lösenordsprinciper och komplexitetskrav som är associerade med användarkonton. Den beskriver också hur du använder PowerShell för att kontrollera eller ange inställningar för lösenordets giltighetstid.
Användarnamnsprinciper
Varje konto som loggar in på Microsoft Entra ID måste ha ett unikt UPN-attributvärde (användarhuvudnamn) som är associerat med deras konto. I hybridmiljöer med en lokal Doménové služby Active Directory-miljö som synkroniserats med Microsoft Entra-ID med Microsoft Entra Connect är Som standard Microsoft Entra ID UPN inställt på det lokala UPN:t.
I följande tabell beskrivs de användarnamnsprinciper som gäller för både lokala konton som synkroniseras med Microsoft Entra-ID och för endast molnbaserade användarkonton som skapats direkt i Microsoft Entra-ID:
| Egendom | Krav för UserPrincipalName |
|---|---|
| Tillåtna tecken | A-Z a-z 0-9 ' . - _ ! # ^ ~ |
| Tecken är inte tillåtna | Alla "@"-tecken som inte separerar användarnamnet från domänen. Det går inte att innehålla punkttecknet "." omedelbart före "@"-symbolen |
| Längdbegränsningar | Den totala längden får inte överstiga 113 tecken Det kan finnas upp till 64 tecken före "@"-symbolen Det kan finnas upp till 48 tecken efter "@"-symbolen |
Microsoft Entra-lösenordsprinciper
En lösenordsprincip tillämpas på alla användarkonton som skapas och hanteras direkt i Microsoft Entra-ID. Vissa av dessa inställningar för lösenordsprinciper kan inte ändras, men du kan konfigurera anpassade förbjudna lösenord för Microsoft Entra-lösenordsskydd eller kontoutelåsningsparametrar.
Som standard är ett konto utelåst efter 10 misslyckade inloggningsförsök med fel lösenord. Användaren är utelåst i en minut. Varaktigheten för lockout-tiden ökar efter ytterligare felaktiga inloggningsförsök. Smart utelåsning spårar de tre senaste felaktiga lösenordshasharna för att undvika att utelåsningsräknaren ökar för samma lösenord. Om någon anger samma felaktiga lösenord flera gånger är de inte utelåst. Du kan definiera tröskelvärdet för smart utelåsning och varaktighet.
Följande lösenordsprincipalternativ för Microsoft Entra definieras. Om inget anges kan du inte ändra de här inställningarna:
| Egendom | Krav |
|---|---|
| Tillåtna tecken | A-Z a-z 0-9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> Tomt utrymme |
| Tecken är inte tillåtna | Unicode-tecken |
| Lösenordsbegränsningar | Minst 8 tecken och högst 256 tecken. Kräver tre av fyra av följande teckentyper: – Gemener tecken - Versaler - Tal (0-9) - Symboler (se tidigare lösenordsbegränsningar) |
| Varaktighet för förfallotid för lösenord (högsta lösenordsålder) | Standardvärde: Ingen förfallotid. Om klientorganisationen skapades före 2021 har den som standard ett förfallovärde på 90 dag. Du kan kontrollera den aktuella policyn med Get-MgDomain. Värdet kan konfigureras med hjälp av cmdleten Update-MgDomain från Microsoft Graph-modulen för PowerShell. |
| Lösenordet upphör att gälla (låt lösenord aldrig upphöra) | Standardvärde: false (anger att lösenord har ett förfallodatum). Värdet kan konfigureras för enskilda användarkonton med hjälp av cmdleten Update-MgUser . |
| Historik för lösenordsändring | Det sista lösenordet kan inte användas igen när användaren ändrar ett lösenord. |
| Historik för lösenordsåterställning | Det sista lösenordet kan användas igen när användaren återställer ett bortglömt lösenord. |
Viktigt!
Historiken för lösenordsändring gäller tillbakaskrivning av lösenord. För användare som endast finns i molnet har lösenordsåterställning för Microsoft Entra ID inte tillgång till användarens gamla lösenord och kan inte kontrollera om lösenord återanvänds eller förhindra återanvändning av lösenord.
Om du aktiverar EnforceCloudPasswordPolicyForPasswordSyncedUsers gäller Microsoft Entra-lösenordsprincipen för användarkonton som synkroniserats lokalt med Hjälp av Microsoft Entra Connect. Om en användare dessutom ändrar ett lösenord lokalt för att inkludera ett unicode-tecken kan lösenordsändringen lyckas lokalt men inte i Microsoft Entra-ID. Om synkronisering av lösenordshash är aktiverat med Microsoft Entra Connect kan användaren fortfarande ta emot en åtkomsttoken för molnresurser. Men om klientorganisationen aktiverar användarriskbaserad lösenordsändring rapporteras lösenordsändringen som hög risk.
Användaren uppmanas att ändra sitt lösenord igen. Men om ändringen fortfarande innehåller ett unicode-tecken kan de bli utelåsta om smart utelåsning också är aktiverat.
Principbegränsningar för riskbaserad lösenordsåterställning
Om du aktiverar EnforceCloudPasswordPolicyForPasswordSyncedUsers krävs en ändring av molnlösenordet när en hög risk har identifierats. Användaren uppmanas att ändra sitt lösenord när de loggar in på Microsoft Entra-ID. Det nya lösenordet måste uppfylla både moln- och lokala lösenordsprinciper.
Om en lösenordsändring uppfyller lokala krav men inte uppfyller molnkraven lyckas lösenordsändringen om synkronisering av lösenordshash är aktiverad. Om det nya lösenordet till exempel innehåller ett Unicode-tecken kan lösenordsändringen uppdateras lokalt men inte i molnet.
Om lösenordet inte uppfyller kraven för molnlösenord uppdateras det inte i molnet och kontorisken minskar inte. Användaren får fortfarande en åtkomsttoken för molnresurser, men de uppmanas att ändra sitt lösenord igen nästa gång de får åtkomst till molnresurser. Användaren ser inga fel eller meddelanden om att det valda lösenordet inte uppfyllde molnkraven.
Skillnader i återställningspolicyer för administratörer
Som standard är administratörskonton aktiverade för självbetjäning av lösenordsåterställning och en stark standardprincip för lösenordsåterställning med två portar tillämpas. Den här principen kan skilja sig från den som du har definierat för dina användare och den här principen kan inte ändras. Du bör alltid testa funktionen för lösenordsåterställning som användare utan tilldelade Azure-administratörsroller.
Principen med två portar kräver två delar av autentiseringsdata, till exempel en e-postadress, en autentiseringsapp eller ett telefonnummer, och den förbjuder säkerhetsfrågor. Office- och mobilsamtal är också förbjudna för utvärderingsversioner eller kostnadsfria versioner av Microsoft Entra ID.
SSPR-administratörsprincipen är inte beroende av principen för autentiseringsmetoder. Om du till exempel inaktiverar programtoken från tredje part i principen Autentiseringsmetoder kan administratörskonton fortfarande registrera program för programvarutoken från tredje part och använda dem, men bara för SSPR.
En tvågrindsprincip gäller under följande omständigheter:
Följande administratörsroller påverkas:
AdHoc-licensadministratör Dynamics 365-administratör Administratör för Office-appar Appadministratör Dynamics 365 Business Central-administratör Organisationsvarumärkesadministratör proxy aplikácií tjänstadministratör Edge-administratör Stöd för partnernivå 1 Administratör för attacksimulering Användarskapare med verifierad e-postadress Partnerstöd nivå 2 Attributtilldelningsadministratör Exchange-administratör Lösenordsadministratör Attributdefinitionsadministratör Exchange-mottagaradministratör Administratör för behörighetshantering Administratör för attributlogg Administratör för användarflöde med extern ID Power BI tjänstadministratör Autentiseringsadministratör Attributadministratör för användarflöde med extern ID Power Platform-administratör Utökningsbarhetsadministratör för autentisering Administratör för extern identitetsprovider Skrivaradministratör Administratör av autentiseringsprincip Global administratör Administratör av privilegierad autentisering Azure DevOps-administratör Global administratör för säker åtkomst Administratör för privilegierad roll Azure Information Protection-administratör Gruppadministratör Sökadministratör B2C IEF-nyckeluppsättningsadministratör Supportadministratör Säkerhetsadministratör B2C IEF-policyadministratör Hybrididentitetsadministratör Tjänstsupportadministratör Faktureringsadministratör Administratör för identitetsstyrning SharePoint-administratör Cloud App Security-administratör Insights-administratör Skype för företag administratör Molnenhetsadministratör Intune-administratör Teams-administratör Efterlevnadsadministratör Kunskapsadministratör Teams kommunikationsadministratör Administratör för efterlevnadsdata Licensadministratör Administratör för Teams-enheter Administratör för villkorsstyrd åtkomst Administratör för livscykelarbetsflöden Användaradministratör Customer Lockbox Access-godkännare Postlådeadministratör Administratör för virtuella besök Administratör för Skrivbordsanalys Lokal administratör för Microsoft Entra-ansluten enhet Viva Goals-administratör Enhetsadministratörer Microsofts administratör för maskinvarugaranti Viva Pulse-administratör Katalogsynkroniseringskonton Microsoft 365-migreringsadministratör Windows365-administratör Katalogförfattare Administratör för modern handel Distributionsadministratör för Windows Update Domännamnsadministratör Nätverksadministratör Yammer-administratör Efter att 30 dagar har förflutit i en provprenumeration
-eller-
En anpassad domän konfigureras för din Microsoft Entra-klientorganisation, till exempel contoso.com
-eller-
Microsoft Entra Connect synkroniserar identiteter från din lokala katalog
Du kan inaktivera användningen av SSPR för administratörskonton genom att ange värdet AllowedToUseSspr för egenskapen i klientauktoriseringsprincipen till false. Principändringar för att aktivera eller inaktivera SSPR för administratörskonton kan ta upp till 60 minuter att börja gälla.
Viktigt!
När principen för lösenordsåterställning för administratörer är inaktiverad kan administratörer inte återställa sina lösenord via SSPR, även om de omfattas av principen för lösenordsåterställning för användare. Om SSPR-registrering är aktiverat och administratörer ingår i principen för lösenordsåterställning för användare uppmanas de fortfarande att registrera sig men ser ett meddelande som anger att de inte kan registrera några metoder. Undvik den här upplevelsen genom att uttryckligen undanta administratörer från principen för lösenordsåterställning för användare när principen för lösenordsåterställning för administratörer är inaktiverad.
Update-MgPolicyAuthorizationPolicy
Connect-MgGraph -Scopes Policy.ReadWrite.Authorization
Update-MgPolicyAuthorizationPolicy -AllowedToUseSspr:$false
Undantag
En princip med en grind kräver en del av autentiseringsdata, till exempel en e-postadress eller ett telefonnummer. En engrindsprincip gäller under följande omständigheter:
Det är inom de första 30 dagarna efter en utvärderingsprenumeration
-eller-
En anpassad domän är inte konfigurerad (klientorganisationen använder standardinställningen *.onmicrosoft.com, som inte rekommenderas för produktionsanvändning) och Microsoft Entra Connect synkroniserar inte identiteter.
Principer för förfallodatum för lösenord
Användaradministratörer kan använda Microsoft Graph för att ange att användarlösenord inte ska upphöra att gälla.
Du kan också använda PowerShell-cmdletar för att ta bort konfigurationen som aldrig upphör att gälla eller för att se vilka användarlösenord som aldrig upphör att gälla.
Den här vägledningen gäller för andra leverantörer, till exempel Intune och Microsoft 365, som också förlitar sig på Microsoft Entra-ID för identitets- och katalogtjänster. Lösenordets giltighetstid är den enda del av principen som kan ändras.
Anteckning
Som standard kan endast lösenord för användarkonton som inte synkroniseras via Microsoft Entra Connect konfigureras så att de inte upphör att gälla. Mer information om katalogsynkronisering finns i Connect AD med Microsoft Entra ID.
Ange eller kontrollera lösenordsprinciper med hjälp av PowerShell
Kom igång genom att ladda ned och installera Microsoft Graph PowerShell-modulen och ansluta den till din Microsoft Entra-klientorganisation.
När modulen har installerats använder du följande steg för att slutföra varje uppgift efter behov.
Kontrollera lösenordets utgångspolicy
Öppna en PowerShell-prompt och anslut till din Microsoft Entra-klientorganisation som minst en användaradministratör.
Kör något av följande kommandon för en enskild användare eller för alla användare:
Kör följande cmdlet för att se om en enskild användares lösenord är inställt på att aldrig upphöra att gälla. Ersätt
<user ID>med användar-ID:t för den användare som du vill kontrollera:Get-MgUser -UserId <user ID> -Property UserPrincipalName, PasswordPolicies | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}Om du vill se inställningen Lösenord upphör aldrig att gälla för alla användare kör du följande cmdlet:
Get-MgUser -All -Property UserPrincipalName, PasswordPolicies | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Ange att ett lösenord ska upphöra att gälla
Öppna en PowerShell-prompt och anslut till din Microsoft Entra-klientorganisation som minst en användaradministratör.
Kör något av följande kommandon för en enskild användare eller för alla användare:
Om du vill ange lösenordet för en användare så att lösenordet upphör att gälla kör du följande cmdlet. Ersätt
<user ID>med användar-ID:t för den användare som du vill kontrollera:Update-MgUser -UserId <user ID> -PasswordPolicies NoneOm du vill ange lösenord för alla användare i organisationen så att de upphör att gälla använder du följande kommando:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
Ange att ett lösenord aldrig ska upphöra att gälla
Öppna en PowerShell-prompt och anslut till din Microsoft Entra-klientorganisation som minst en användaradministratör.
Kör något av följande kommandon för en enskild användare eller för alla användare:
Kör följande cmdlet för att ange att lösenordet för en användare aldrig ska upphöra att gälla. Ersätt
<user ID>med användar-ID:t för den användare som du vill kontrollera:Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpirationKör följande cmdlet för att ange att lösenorden för alla användare i en organisation aldrig ska upphöra att gälla:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Varning
Lösenord som är inställda på
-PasswordPolicies DisablePasswordExpirationåldras fortfarande baserat på attributetLastPasswordChangeDateTime.LastPasswordChangeDateTimeOm du ändrar förfallodatumet till-PasswordPolicies Nonekräver alla lösenord som har äldreLastPasswordChangeDateTimeän 90 dagar att användaren ändrar dem nästa gång de loggar in. Den här ändringen kan påverka ett stort antal användare.
Relaterat innehåll
Information om hur du kommer igång med SSPR finns i Självstudie: Gör det möjligt för användare att låsa upp sitt konto eller återställa lösenord med Microsoft Entra självbetjäningslösenordsåterställning.
Om du eller användarna har problem med SSPR kan du se Felsökningsguide för självbetjänad lösenordsåterställning.