Políticas de palavra-passe e restrições de conta no Microsoft Entra ID
No Microsoft Entra ID, há uma política de senha que define configurações como a complexidade, o comprimento ou a idade da senha. Há também uma política que define caracteres e comprimentos aceitáveis para nomes de usuário.
Quando a redefinição de senha de autoatendimento (SSPR) é usada para alterar ou redefinir uma senha no Microsoft Entra ID, a diretiva de senha é verificada. Se a senha não atender aos requisitos da política, o usuário será solicitado a tentar novamente. Os administradores do Azure têm algumas restrições no uso do SSPR que são diferentes das contas de usuário comuns, e há pequenas exceções para versões de avaliação e gratuitas do Microsoft Entra ID.
Este artigo descreve as configurações de diretiva de senha e os requisitos de complexidade associados às contas de usuário. Ele também aborda como usar o PowerShell para verificar ou definir configurações de expiração de senha.
Políticas de nome de utilizador
Cada conta que inicie sessão no Microsoft Entra ID tem de ter um valor de atributo de nome principal de utilizador (UPN) exclusivo associado à respetiva conta. Em ambientes híbridos com um ambiente de Serviços de Domínio Ative Directory local sincronizado com o Microsoft Entra ID usando o Microsoft Entra Connect, por padrão, o UPN do Microsoft Entra ID é definido como o UPN local.
A tabela a seguir descreve as políticas de nome de usuário que se aplicam a contas locais sincronizadas com a ID do Microsoft Entra e para contas de usuário somente na nuvem criadas diretamente na ID do Microsoft Entra:
Property | Requisitos de UserPrincipalName |
---|---|
Caracteres permitidos | A – Z a - z 0 – 9 ' . - _ ! # ^ ~ |
Caracteres não permitidos | Qualquer caractere "@" que não esteja separando o nome de usuário do domínio. Não é possível conter um caractere de ponto "." imediatamente anterior ao símbolo "@" |
Restrições de comprimento | O comprimento total não deve exceder 113 caracteres Pode haver até 64 caracteres antes do símbolo "@" Pode haver até 48 caracteres após o símbolo "@" |
Políticas de senha do Microsoft Entra
Uma política de senha é aplicada a todas as contas de usuário criadas e gerenciadas diretamente no Microsoft Entra ID. Algumas dessas configurações de política de senha não podem ser modificadas, embora você possa configurar senhas proibidas personalizadas para proteção por senha do Microsoft Entra ou parâmetros de bloqueio de conta.
Por predefinição, uma conta é bloqueada após 10 tentativas de início de sessão sem sucesso com a palavra-passe errada. O usuário é bloqueado por um minuto. A duração do bloqueio aumenta após novas tentativas de início de sessão incorretas. O bloqueio inteligente rastreia os três últimos hashes de senha incorretos para evitar incrementar o contador de bloqueio para a mesma senha. Se alguém digitar a mesma senha incorreta várias vezes, ela não será bloqueada. Você pode definir o limite e a duração do bloqueio inteligente.
As seguintes opções de política de senha do Microsoft Entra são definidas. A menos que indicado, você não pode alterar estas configurações:
Property | Requisitos |
---|---|
Caracteres permitidos | A – Z a - z 0 – 9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> Espaço em branco |
Caracteres não permitidos | Caracteres Unicode |
Restrições de palavra-passe | Um mínimo de 8 caracteres e um máximo de 256 caracteres. Requer três dos quatro tipos de caracteres a seguir: - Caracteres minúsculos - Caracteres maiúsculos - Números (0-9) - Símbolos (veja as restrições de senha anteriores) |
Duração da expiração da palavra-passe (Idade máxima da palavra-passe) | Valor predefinido: 90 dias. Se o locatário foi criado após 2021, ele não tem valor de expiração padrão. Você pode verificar a política atual com Get-MgDomain. O valor é configurável usando o cmdlet Update-MgDomain do módulo Microsoft Graph para PowerShell. |
Expiração da palavra-passe (Permitir que as palavras-passe nunca expirem) | Valor padrão: false (indica que as senhas têm uma data de validade). O valor pode ser configurado para contas de usuário individuais usando o cmdlet Update-MgUser . |
Histórico de alterações de palavra-passe | A última senha não pode ser usada novamente quando o usuário altera uma senha. |
Histórico de redefinição de senha | A última senha pode ser usada novamente quando o usuário redefine uma senha esquecida. |
Se você habilitar EnforceCloudPasswordPolicyForPasswordSyncedUsers, a política de senha do Microsoft Entra se aplicará a contas de usuário sincronizadas no local usando o Microsoft Entra Connect. Além disso, se um usuário alterar uma senha local para incluir um caractere unicode, a alteração de senha poderá ser bem-sucedida no local, mas não na ID do Microsoft Entra. Se a sincronização de hash de senha estiver habilitada com o Microsoft Entra Connect, o usuário ainda poderá receber um token de acesso para recursos de nuvem. Mas se o locatário habilitar a alteração de senha baseada em risco do usuário, a alteração de senha será relatada como de alto risco.
O usuário é solicitado a alterar sua senha novamente. Mas se a alteração ainda incluir um caractere unicode, eles podem ser bloqueados se o bloqueio inteligente também estiver habilitado.
Limitações da política de redefinição de senha com base em risco
Se você habilitar EnforceCloudPasswordPolicyForPasswordSyncedUsers, uma alteração de senha na nuvem será necessária assim que um alto risco for identificado. O usuário é solicitado a alterar sua senha quando entrar no Microsoft Entra ID. A nova senha deve estar em conformidade com as políticas de senha na nuvem e no local.
Se uma alteração de senha atender aos requisitos locais, mas não atender aos requisitos de nuvem, a alteração de senha será bem-sucedida se a sincronização de hash de senha estiver habilitada. Por exemplo, se a nova senha incluir um caractere Unicode, a alteração de senha poderá ser atualizada localmente, mas não na nuvem.
Se a palavra-passe não estiver em conformidade com os requisitos de palavra-passe na nuvem, não é atualizada na nuvem e o risco da conta não diminui. O usuário ainda recebe um token de acesso para recursos de nuvem, mas ele é solicitado a alterar sua senha novamente na próxima vez que acessar recursos de nuvem. O usuário não vê nenhum erro ou notificação de que a senha escolhida não atendeu aos requisitos de nuvem.
Administrator reset policy differences (Diferenças da política de reposição de administrador)
Por padrão, as contas de administrador são habilitadas para redefinição de senha de autoatendimento e uma política de redefinição de senha de duas portas padrão forte é imposta. Esta política pode ser diferente da que definiu para os seus utilizadores e não pode ser alterada. Você sempre deve testar a funcionalidade de redefinição de senha como um usuário sem nenhuma função de administrador do Azure atribuída.
A política de duas portas requer duas partes de dados de autenticação, como um endereço de e-mail, aplicativo autenticador ou um número de telefone, e proíbe perguntas de segurança. As chamadas de voz móveis e do Office também são proibidas para as versões de avaliação ou gratuitas do Microsoft Entra ID.
A política de administrador do SSPR não depende da política do método Authentications. Por exemplo, se você desabilitar tokens de software de terceiros na política de Métodos de autenticação, as contas de administrador ainda poderão registrar aplicativos de token de software de terceiros e usá-los, mas apenas para SSPR.
Uma política de duas portas aplica-se nas seguintes circunstâncias:
Todas as seguintes funções de administrador do Azure são afetadas:
- Administrador da Aplicação
- Administrador de Autenticação
- Administrador de Faturação
- Administrador de conformidade
- Administrador de dispositivos na nuvem
- Contas de sincronização de diretórios
- Escritores de Diretórios
- Administrador do Dynamics 365
- Administrador do Exchange
- Administrador Global
- Administrador do Helpdesk
- Administrador do Intune
- Administrador Local de Dispositivo Ingressado no Microsoft Entra
- Suporte de nível 1 do parceiro
- Suporte de nível 2 do parceiro
- Administrador de senha
- Administrador da Power Platform
- Administrador de Autenticação Privilegiada
- Administrador de Funções com Privilégios
- Administrador de Segurança
- Administrador de Suporte de Serviços
- Administrador do SharePoint
- Administrador do Skype for Business
- Administrador de Equipas
- Administrador de Comunicações do Teams
- Administrador de dispositivos do Teams
- Administrador de Utilizadores
Se tiverem decorrido 30 dias numa subscrição de avaliação
-Ou-
Um domínio personalizado é configurado para seu locatário do Microsoft Entra, como contoso.com
-Ou-
O Microsoft Entra Connect sincroniza identidades do diretório local
Você pode desabilitar o uso de SSPR para contas de administrador usando o cmdlet Update-MgPolicyAuthorizationPolicy PowerShell. O -AllowedToUseSspr:$true|$false
parâmetro habilita/desabilita SSPR para administradores. As alterações de política para habilitar ou desabilitar o SSPR para contas de administrador podem levar até 60 minutos para entrar em vigor.
Exceções
Uma política de porta única requer uma parte dos dados de autenticação, como um endereço de e-mail ou número de telefone. Uma política de porta única aplica-se nas seguintes circunstâncias:
Está nos primeiros 30 dias de uma subscrição de avaliação
-Ou-
Um domínio personalizado não está configurado (o locatário está usando o padrão *.onmicrosoft.com, que não é recomendado para uso em produção) e o Microsoft Entra Connect não está sincronizando identidades.
Políticas de expiração de senha
Os administradores de usuário podem usar o Microsoft Graph para definir senhas de usuário para não expirar.
Você também pode usar cmdlets do PowerShell para remover a configuração que nunca expira ou para ver quais senhas de usuário estão definidas para nunca expirar.
Esta orientação aplica-se a outros fornecedores, como o Intune e o Microsoft 365, que também dependem do Microsoft Entra ID para serviços de identidade e diretório. A expiração das palavras-passe é a única parte da política que pode ser alterada.
Nota
Por padrão, apenas senhas para contas de usuário que não são sincronizadas por meio do Microsoft Entra Connect podem ser configuradas para não expirar. Para obter mais informações sobre a sincronização de diretórios, veja Connect AD com o Microsoft Entra ID.
Set or check the password policies by using PowerShell (Utilizar o PowerShell para definir ou verificar as políticas de palavras-passe)
Para começar, baixe e instale o módulo Microsoft Graph PowerShell e conecte-o ao locatário do Microsoft Entra.
Depois que o módulo for instalado, use as etapas a seguir para concluir cada tarefa conforme necessário.
Verifique se há uma senha na política de expiração
Abra um prompt do PowerShell e conecte-se ao locatário do Microsoft Entra como pelo menos um Administrador de Usuário.
Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:
Para ver se a senha de um único usuário está definida para nunca expirar, execute o cmdlet a seguir. Substitua
<user ID>
pelo ID de usuário do usuário que você deseja verificar:Get-MgUser -UserId <user ID> | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Para ver a configuração Senha nunca expira para todos os usuários, execute o seguinte cmdlet:
Get-MgUser -All | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Definir uma palavra-passe para expirar
Abra um prompt do PowerShell e conecte-se ao locatário do Microsoft Entra como pelo menos um Administrador de Usuário.
Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:
Para definir a senha de um usuário para que a senha expire, execute o cmdlet a seguir. Substitua
<user ID>
pelo ID de usuário do usuário que você deseja verificar:Update-MgUser -UserId <user ID> -PasswordPolicies None
Para definir as senhas de todos os usuários na organização para que expirem, use o seguinte comando:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
Definir uma palavra-passe para nunca expirar
Abra um prompt do PowerShell e conecte-se ao locatário do Microsoft Entra como pelo menos um Administrador de Usuário.
Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:
Para definir a senha de um usuário para nunca expirar, execute o cmdlet a seguir. Substitua
<user ID>
pelo ID de usuário do usuário que você deseja verificar:Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
Para definir as senhas de todos os usuários em uma organização para nunca expirarem, execute o seguinte cmdlet:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Aviso
As senhas são definidas como
-PasswordPolicies DisablePasswordExpiration
idade estática com base noLastPasswordChangeDateTime
atributo. Com base noLastPasswordChangeDateTime
atributo, se você alterar a expiração para-PasswordPolicies None
, todas as senhas com mais deLastPasswordChangeDateTime
90 dias exigirão que o usuário as altere na próxima vez que entrar. Essa alteração pode afetar um grande número de usuários.
Próximos passos
Para começar a usar o SSPR, consulte Tutorial: Permitir que os usuários desbloqueiem suas contas ou redefinissem senhas usando a redefinição de senha de autoatendimento do Microsoft Entra.
Se você ou os usuários tiverem problemas com o SSPR, consulte Solucionar problemas de redefinição de senha de autoatendimento