Kombinierte Kennwortrichtlinie und Überprüfung auf schwache Kennwörter in Microsoft Entra ID
Ab Oktober 2021 enthält die Überprüfung auf Konformität mit Kennwortrichtlinien von Microsoft Entra auch eine Überprüfung auf bekannte schwache Kennwörter und deren Varianten. In diesem Artikel werden Details zu den Kriterien für Kennwortrichtlinien erläutert, die von Microsoft Entra ID überprüft werden.
Kennwortrichtlinien in Microsoft Entra
Eine Kennwortrichtlinie wird auf alle Benutzer- und Administratorkonten angewendet, die direkt in Microsoft Entra ID erstellt und verwaltet werden. Sie können schwache Kennwörter sperren und Parameter definieren, um nach wiederholten fehlerhaften Kennwortversuchen das Konto zu sperren. Andere Kennwortrichtlinieneinstellungen können nicht geändert werden.
Die Microsoft Entra-Kennwortrichtlinie gilt nicht für Benutzerkonten, die über Microsoft Entra Connect aus einer lokalen AD DS-Umgebung synchronisiert werden, sofern Sie nicht EnforceCloudPasswordPolicyForPasswordSyncedUsers aktivieren. Wenn EnforceCloudPasswordPolicyForPasswordSyncedUsers und das Kennwortrückschreiben aktiviert sind, gilt die Microsoft Entra-Richtlinie für den Ablauf von Kennwörtern, aber die lokale Kennwortrichtlinie hat Vorrang bei Länge, Komplexität usw.
Die folgenden Microsoft Entra-Kennwortrichtlinienanforderungen gelten für alle Kennwörter, die in Microsoft Entra ID erstellt, geändert oder zurückgesetzt werden. Die Anforderungen werden bei der Benutzerbereitstellung, der Kennwortänderung und bei Kennwortzurücksetzungsflows angewendet. Sie können diese Einstellungen nicht ändern, außer wie erwähnt.
| Eigenschaft | Requirements (Anforderungen) |
|---|---|
| Zulässige Zeichen | Großbuchstaben (A-Z) Kleinbuchstaben (a-z) Zahlen (0 bis 9) Sonderzeichen: - @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> - Leerzeichen |
| Unzulässige Zeichen | Unicode-Zeichen |
| Kennwortlänge | Kennwörter müssen enthalten Mindestens 8 Zeichen Maximal 256 Zeichen |
| Kennwortkomplexität | Kennwörter erfordern drei der folgenden vier Kategorien: Großbuchstaben Kleinbuchstaben Zahlen Sonderzeichen Hinweis: Für Education-Mandanten ist keine Kennwortkomplexitätsprüfung erforderlich. |
| Kennwort nicht kürzlich verwendet | Wenn ein Benutzer sein Kennwort ändert oder zurücksetzt, darf das neue Kennwort nicht mit dem aktuellen Kennwort identisch sein. |
| Kennwort ist nicht durch den Microsoft Entra-Kennwortschutz gesperrt | Das Kennwort darf nicht in der globalen Liste der gesperrten Kennwörter für den Microsoft Entra-Kennwortschutz oder in der anpassbaren Liste gesperrter Kennwörter enthalten sein, die spezifisch für Ihre Organisation ist. |
Richtlinien zum Kennwortablauf
Die Richtlinien zum Kennwortablauf bleiben unverändert, werden jedoch der Vollständigkeit halber in diesem Thema erwähnt. Diejenigen, denen mindestens die Rolle Benutzeradministrator zugewiesen wurde, können die Microsoft Graph PowerShell-Cmdlets verwenden, um Benutzerpasswörter nicht ablaufen zu lassen.
Hinweis
Standardmäßig können nur Kennwörter für Benutzerkonten, die nicht über Microsoft Entra Connect synchronisiert werden, so konfiguriert werden, dass sie nicht ablaufen. Weitere Informationen zur Verzeichnissynchronisierung finden Sie unter Verbinden von AD mit Microsoft Entra ID.
Sie können auch PowerShell verwenden, um die Konfiguration für niemals ablaufende Kennwörter zu entfernen oder um Benutzerkennwörter anzuzeigen, für die kein Ablauf festgelegt ist.
Die folgenden Ablaufanforderungen gelten für andere Anbieter, die Microsoft Entra ID für Identitäts- und Verzeichnisdienste wie Microsoft Intune und Microsoft 365 verwenden.
| Eigenschaft | Requirements (Anforderungen) |
|---|---|
| Zeitraum bis zum Ablauf des Kennworts (maximales Kennwortalter) | Standardwert: 90 Tage Der Wert kann jedoch im Microsoft Graph-PowerShell-Modul mit dem Cmdlet Update-MgDomain konfiguriert werden. |
| Kennwortablauf (Kennwort läuft nie ab) | Standardwert: false (gibt an, dass Kennwörter ein Ablaufdatum aufweisen). Der Wert kann für einzelne Benutzerkonten mithilfe des Cmdlets Update-MgUser konfiguriert werden. |