Directiva de contraseñas combinada y comprobación de si hay contraseñas no seguras en id. de Microsoft Entra
A partir de octubre de 2021, la validación de Microsoft Entra del cumplimiento de las directivas de contraseñas también incluye una comprobación de contraseñas no seguras conocidas y sus variantes. En este tema se explican los detalles de los criterios de directiva de contraseñas que id. de Microsoft Entra comprueba.
Directivas de contraseñas de Microsoft Entra
Una directiva de contraseñas se aplica a todas las cuentas de usuario y administrador que se crean y administran directamente en id. de Microsoft Entra. Puede prohibir las contraseñas no seguras y definir parámetros para bloquear una cuenta después de varios intentos de contraseña incorrecta. Otras opciones de configuración de directiva de contraseñas no se pueden modificar.
La directiva de contraseñas de Microsoft Entra no se aplica a las cuentas de usuario que se sincronizan desde un entorno de AD DS local mediante Microsoft Entra Connect, a menos que habilite EnforceCloudPasswordPolicyForPasswordSyncedUsers. Si se habilita EnforceCloudPasswordPolicyForPasswordSyncedUsers y la escritura diferida de contraseñas, se aplica la directiva de expiración de contraseñas de Microsoft Entra, pero la directiva de contraseñas local tiene prioridad para longitud, complejidad, etc.
Se aplican los siguientes requisitos de directiva de contraseñas de Microsoft Entra a todas las contraseñas que se crean, cambian o restablecen en id. de Microsoft Entra. Los requisitos se aplican durante el aprovisionamiento de usuarios, el cambio de contraseña y los flujos de restablecimiento de contraseña. No puede cambiar esta configuración, excepto como se indica.
Propiedad | Requisitos |
---|---|
Caracteres permitidos | Caracteres en mayúsculas (A - Z) Caracteres en minúsculas (a - z) Números (0 - 9) Símbolos: - @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> - espacio en blanco |
Caracteres no permitidos | Caracteres Unicode |
Longitud de la contraseña | Las contraseñas requieren lo siguiente - Una longitud mínima de ocho caracteres - 256 caracteres como máximo. |
Complejidad de la contraseña | Las contraseñas requieren tres de las cuatro categorías siguientes: - Caracteres en mayúsculas - Caracteres en minúsculas - Números - Símbolos Nota: La comprobación de complejidad de la contraseña no es necesaria para los inquilinos de Education. |
Contraseña no usada recientemente | Cuando un usuario cambie su contraseña, la nueva contraseña no debería ser la misma que la contraseña actual. |
La protección de contraseñas de Microsoft Entra no ha prohibido la contraseña | La contraseña no puede estar en la lista global de contraseñas prohibidas de la protección de contraseñas de Microsoft Entra ni en la lista personalizable de contraseñas prohibidas específicas de la organización. |
Directivas de expiración de contraseñas
Las directivas de expiración de contraseña no han cambiado, pero se incluyen en este tema para completarlo. Las personas que tengan asignado al menos el rol de Administrador de usuarios pueden utilizar los cmdlets de Microsoft Graph PowerShell para establecer que las contraseñas de los usuarios no caduquen.
Nota:
De forma predeterminada, solo las contraseñas de cuentas de usuario que no se sincronizan a través de Microsoft Entra Connect pueden configurarse para que no expiren. Para obtener más información sobre la sincronización de directorios, vea el artículo sobre cómo conectar AD con id. de Microsoft Entra.
También puede usar PowerShell para quitar la configuración sin expiración o consultar las contraseñas de usuario configuradas para no expirar nunca.
Los siguientes requisitos de expiración se aplican a otros proveedores que usan id. de Microsoft Entra para servicios de identidad y directorio, como Microsoft Intune y Microsoft 365.
Propiedad | Requisitos |
---|---|
Duración de la expiración de la contraseña (vigencia máxima de la contraseña) | Valor predeterminado: 90 días. El valor se puede configurar mediante el cmdlet Update-MgDomain del módulo de PowerShell de Microsoft Graph. |
Expiración de las contraseñas (permitir que las contraseñas no expiren nunca) | Valor predeterminado: falso (indica que las contraseñas tienen una fecha de expiración). El valor se puede configurar para cuentas de usuario individuales mediante el cmdlet Update-MgUser. |