Condividi tramite

Criteri password e restrizioni per gli account in Microsoft Entra ID

  • Articolo

In Microsoft Entra ID è presente un criterio per le password che definisce impostazioni come la complessità, la lunghezza o l'anzianità delle password. Esistono anche criteri che definiscono caratteri e lunghezza accettabili per i nomi utente.

Quando la reimpostazione della password self-service (SSPR) viene usata per modificare o reimpostare una password in Microsoft Entra ID, i criteri della password vengono controllati. Se la password non soddisfa i requisiti dei criteri, all'utente viene richiesto di riprovare. Gli amministratori di Azure hanno alcune restrizioni sull'uso della reimpostazione della password self-service che sono diverse dagli account utente normali e ci sono eccezioni minime per le versioni di prova e gratuite di Microsoft Entra ID.

Questo articolo descrive le impostazioni dei criteri password e i requisiti di complessità associati agli account utente. Illustra anche come usare PowerShell per controllare o impostare le impostazioni di scadenza delle password.

Politiche sui nomi utente

Ogni account che accede a ID di Microsoft Entra deve avere un valore di attributo UPN (User Principal Name) univoco associato al proprio account. Negli ambienti ibridi con un ambiente di servizi di dominio Active Directory locale sincronizzato con l'ID Microsoft Entra con Microsoft Entra Connect, per impostazione predefinita l'UPN dell'ID Microsoft Entra è impostato sull'UPN locale.

Nella tabella seguente vengono descritti i criteri relativi al nome utente che si applicano sia agli account locali sincronizzati con Microsoft Entra ID che per gli account utente solo cloud creati direttamente in Microsoft Entra ID:

Proprietà Requisiti di UserPrincipalName
Caratteri consentiti A-Z
a-z
0-9
' . - _ ! # ^ ~
Caratteri non consentiti Qualsiasi carattere "@" che non separa il nome utente dal dominio.
Non può contenere un punto "." subito prima del simbolo "@"
Vincoli di lunghezza La lunghezza totale non deve superare i 113 caratteri
Prima del simbolo "@" possono esserci al massimo 64 caratteri
Dopo il simbolo "@" possono esserci al massimo 48 caratteri

Criteri password di Microsoft Entra

I criteri delle password vengono applicati a tutti gli account utente creati e gestiti direttamente in Microsoft Entra ID. Alcune di queste impostazioni dei criteri di password non possono essere modificate, anche se è possibile configurare password personalizzate escluse per la protezione delle password di Microsoft Entra o i parametri di blocco dell'account.

Per impostazione predefinita, un account viene bloccato dopo 10 tentativi di accesso non riusciti a causa della password errata. L'utente viene bloccato per un minuto. La durata del blocco aumenta dopo ulteriori tentativi di accesso non corretti. Il blocco intelligente tiene traccia degli ultimi tre hash delle password non validi per evitare l'incremento del contatore dei blocchi per la stessa password. Se qualcuno immette più volte la stessa password errata, l'account non viene bloccato. È possibile definire la soglia e la durata del blocco intelligente.

Le seguenti opzioni dei criteri password di Microsoft Entra sono definite. Se non specificato, non è possibile modificare queste impostazioni:

Proprietà Requisiti
Caratteri consentiti A-Z
a-z
0-9
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
Spazio vuoto
Caratteri non consentiti Caratteri Unicode
Restrizioni per le password Un numero di caratteri compreso tra 8 e 256.
Richiede tre dei quattro tipi di caratteri seguenti:
- Caratteri minuscoli
- Caratteri maiuscoli
- Numeri (da 0 a 9)
- Simboli (vedere le restrizioni per le password elencate sopra)
Durata scadenza password (validità massima password) Valore predefinito: Nessuna scadenza. Se il tenant è stato creato prima del 2021, per impostazione predefinita ha un valore di scadenza 90 giorno. È possibile controllare i criteri correnti con Get-MgDomain.
Il valore è configurabile usando il cmdlet Update-MgDomain del modulo Microsoft Graph per PowerShell.
Scadenza password (Validità illimitata password) Valore predefinito: false (indica che la password ha una data di scadenza).
Il valore può essere configurato per singoli account utente con il cmdlet Update-MgUser.
Cronologia delle modifiche della password Al cambio della password, l'utente non può usare di nuovo la password più recente.
Cronologia delle reimpostazioni della password Alla reimpostazione di una password dimenticata, l'utente può usare di nuovo la password più recente.

Se si abilita EnforceCloudPasswordPolicyForPasswordSyncedUsers, i criteri password di Microsoft Entra si applicano agli account utente sincronizzati dall'ambiente locale tramite Microsoft Entra Connect. Inoltre, se un utente modifica una password in locale per includere un carattere Unicode, la modifica della password può avere esito positivo in locale ma non in Microsoft Entra ID. Se la sincronizzazione dell'hash delle password è abilitata con Microsoft Entra Connect, l'utente può comunque ricevere un token di accesso per le risorse cloud. Tuttavia, se il tenant abilita la modifica della password basata sul rischio utente, la modifica della password viene segnalata come ad alto rischio.

All'utente viene chiesto di modificare nuovamente la password. Tuttavia, se il cambiamento include ancora un carattere Unicode, potrebbero essere bloccati se anche il blocco intelligente è abilitato.

Limitazioni dei criteri di reimpostazione delle password basate sui rischi

Se si abilita EnforceCloudPasswordPolicyForPasswordSyncedUsers, una modifica della password cloud è necessaria una volta identificato un rischio elevato. All'utente viene richiesto di modificare la password quando accede a Microsoft Entra ID. La nuova password deve essere conforme sia ai criteri cloud che alle password locali.

Se una modifica della password soddisfa i requisiti locali ma non soddisfa i requisiti cloud, la modifica della password ha esito positivo se la sincronizzazione dell'hash delle password è abilitata. Ad esempio, se la nuova password include un carattere Unicode, la modifica della password può essere aggiornata in locale ma non nel cloud.

Se la password non è conforme ai requisiti della password cloud, non viene aggiornata nel cloud e il rischio dell'account non diminuisce. L'utente riceve ancora un token di accesso per le risorse cloud, ma viene richiesto di modificare di nuovo la password al successivo accesso alle risorse cloud. L'utente non visualizza alcun errore o notifica che la password scelta non è riuscita a soddisfare i requisiti cloud.

Differenze nei criteri di reimpostazione dell'amministratore

Per impostazione predefinita, gli account amministratore sono abilitati pur la reimpostazione autonoma della password, e viene applicato un criterio di reimpostazione della password a due fattori sicuro. Questo criterio può essere diverso da quello definito per gli utenti e questo criterio non può essere modificato. È necessario verificare sempre la funzionalità di reimpostazione della password come utente senza ruoli di amministratore di Azure assegnati.

Il criterio a due gate richiede tre tipi di dati di autenticazione, ad esempio un indirizzo di posta elettronica, un'app di autenticazione o un numero di telefono e vieta le domande di sicurezza. Anche le chiamate vocali di Office e per dispositivi mobili sono vietate per le versioni di valutazione o gratuite di Microsoft Entra ID.

La politica dell'amministratore della reimpostazione della password self-service non dipende dai criteri del metodo di autenticazione. Ad esempio, se si disabilitano i token software di terze parti nel criterio metodi di autenticazione, gli account amministratore possono comunque registrare applicazioni token software di terze parti e usarle, ma solo per la reimpostazione della password self-service (SSPR).

Un criterio a due gate si applica nelle circostanze seguenti:

  • Sono interessati tutti i ruoli di amministratore di Azure seguenti:

    • Amministratore di applicazioni
    • Amministratore dell'autenticazione
    • Amministratore fatturazione
    • Amministratore di conformità
    • Amministratore dispositivo cloud
    • Account di sincronizzazione delle directory
    • Scrittori della Directory
    • Amministratore di Dynamics 365
    • Amministratore di Exchange
    • Amministratore globale
    • Amministratore supporto tecnico
    • Amministratore di Intune
    • Amministratore locale del dispositivo aggiunto a Microsoft Entra
    • Supporto di Livello 1 per Partner
    • Supporto di secondo livello per i partner
    • Amministratore delle password
    • Amministratore di Power Platform
    • Amministratore dell'autenticazione privilegiata
    • Amministratore di ruoli privilegiati
    • Amministratore della sicurezza
    • Amministratore servizio di supporto
    • Amministratore SharePoint
    • Amministratore di Skype for Business
    • Amministratore di Teams
    • Amministratore delle comunicazioni di Teams
    • Amministratore di dispositivi di Teams
    • Amministratore utenti

  • Se sono trascorsi 30 giorni in un abbonamento di prova

    Oppure

  • Un dominio personalizzato è configurato per il tenant di Microsoft Entra, ad esempio contoso.com

    Oppure

  • Microsoft Entra Connect sincronizza le identità dalla directory locale

È possibile disabilitare la reimpostazione della password self-service per gli account amministratore usando il cmdlet di PowerShell Update-MgPolicyAuthorizationPolicy. Il parametro -AllowedToUseSspr:$true|$false abilita/disabilita la reimpostazione della password self-service (SSPR) per gli amministratori. Le modifiche alle politiche per abilitare o disabilitare l'SSPR (reimpostazione della password self-service) per gli account amministratore possono richiedere fino a 60 minuti per avere effetto.

Eccezioni

Una politica a uno sportello richiede un singolo dato di autenticazione, ad esempio un indirizzo email o un numero di telefono. Un criterio "one-gate" si applica nelle circostanze seguenti:

  • Siamo ancora entro i primi 30 giorni di un abbonamento di prova.

    Oppure

  • Un dominio personalizzato non è configurato (il tenant usa il valore predefinito *.onmicrosoft.com, che non è consigliato per l'uso in produzione) e Microsoft Entra Connect non sincronizza le identità.

Criteri di scadenza delle password

Gli amministratori utenti possono usare Microsoft Graph per impostare le password utente che non scadono.

È inoltre possibile usare cmdlet PowerShell per rimuovere la configurazione senza scadenza o per vedere quali password utente vengono impostate in modo da non scadere mai.

Queste indicazioni si applicano ad altri provider, ad esempio Intune e Microsoft 365, che si basano sempre su Microsoft Entra ID per i servizi di identità e directory. La scadenza della password è l'unica parte dei criteri a poter essere modificata.

Nota

Per impostazione predefinita, solo le password per gli account utente non sincronizzati tramite Microsoft Entra Connect possono essere configurate per non scadere. Per altre informazioni sulla sincronizzazione delle directory, vedere Connettere AD con Microsoft Entra ID.

Impostare o verificare i criteri delle password tramite PowerShell

Per iniziare, scaricare e installare il modulo Microsoft Graph PowerShell e connetterlo al tenant di Microsoft Entra.

Dopo aver installato il modulo, seguire questa procedura per completare ogni attività in base alle esigenze.

Controllare i criteri di scadenza per una password

  1. Aprire un prompt di PowerShell e connettersi al tenant di Microsoft Entra con privilegi almeno di amministratore utente.

  2. Eseguire uno dei comandi seguenti per un singolo utente o per tutti gli utenti:

    • Per verificare se la password di un singolo utente è impostata per non scadere mai, eseguire il cmdlet seguente. Sostituire <user ID> con l'ID utente dell'utente che si vuole controllare:

      Get-MgUser -UserId <user ID> -Property UserPrincipalName, PasswordPolicies | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

    • Per visualizzare l'impostazione La password non scade mai per tutti gli utenti, eseguire il cmdlet seguente:

      Get-MgUser -All -Property UserPrincipalName, PasswordPolicies | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

Impostare una scadenza della password

  1. Aprire un prompt di PowerShell e connettersi al tenant di Microsoft Entra con privilegi almeno di amministratore utente.

  2. Eseguire uno dei comandi seguenti per un singolo utente o per tutti gli utenti:

    • Per impostare la password di un utente in modo che la password scada, eseguire il cmdlet seguente. Sostituire <user ID> con l'ID utente dell'utente che si vuole controllare:

      Update-MgUser -UserId <user ID> -PasswordPolicies None

    • Per impostare le password di tutti gli utenti dell'organizzazione in modo che scadano, usare il comando seguente:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }

Impostare una password senza scadenza

  1. Aprire un prompt di PowerShell e connettersi al tenant di Microsoft Entra con privilegi almeno di amministratore utente.

  2. Eseguire uno dei comandi seguenti per un singolo utente o per tutti gli utenti:

    • Per impostare la password di un utente senza scadenza, eseguire il cmdlet seguente. Sostituire <user ID> con l'ID utente dell'utente che si vuole controllare:

      Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration

    • Per impostare le password degli utenti in un'organizzazione in modo che non scadano mai, eseguire il cmdlet seguente:

      Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }

    Avviso

    Le password impostate su -PasswordPolicies DisablePasswordExpiration diventano comunque obsolete in base all'attributo LastPasswordChangeDateTime. In base all'attributo LastPasswordChangeDateTime, se si modifica la scadenza in -PasswordPolicies None, all'accesso successivo l'utente sarà tenuto a cambiare tutte le password che hanno un attributo LastPasswordChangeDateTime che risale a più di 90 giorni prima. Questa modifica può riguardare un numero elevato di utenti.

Passaggi successivi

Per iniziare a usare la reimpostazione della password self-service, vedere Esercitazione: Abilitare gli utenti a sbloccare il proprio account o reimpostare le password usando la reimpostazione della password self-service di Microsoft Entra.

Se tu o gli utenti riscontrate problemi con la SSPR, consultate Risoluzione dei problemi di reimpostazione della password self-service