Поделиться через


Управление паролями учетных записей пользователей Microsoft 365

Эта статья относится к Microsoft 365 корпоративный и Office 365 корпоративный.

Вы можете управлять паролями учетных записей пользователей Microsoft 365 несколькими разными способами в зависимости от конфигурации удостоверения. Вы можете управлять учетными записями пользователей в Центр администрирования Microsoft 365, в доменные службы Active Directory (AD DS) или в Центре администрирования Microsoft Entra.

Планирование того, где и как вы будете управлять паролями учетных записей пользователей

Где и как можно управлять учетными записями пользователей, зависит от модели удостоверений, которую вы хотите использовать для Microsoft 365. Две модели — только облачная и гибридная.

Только облако

Вы управляете паролями учетных записей пользователей в:

Гибридную

При использовании гибридного удостоверения пароли хранятся в AD DS, поэтому для управления паролями учетных записей пользователей необходимо использовать локальные средства AD DS. Даже при использовании синхронизации хэша паролей (PHS), в которой идентификатор Microsoft Entra хранит хэшированную версию уже хэшированных версий в AD DS, вы и пользователи должны управлять своими паролями в AD DS.

С помощью обратной записи паролей пользователи могут изменять пароли AD DS с помощью Microsoft Entra идентификатора.

Запрет слабых паролей

Все ваши пользователи должны применять Руководство по паролям корпорации Майкрософт для создания своих паролей учетных записей пользователей.

Чтобы запретить пользователям создавать легко определяемый пароль, используйте защиту Microsoft Entra паролем, которая использует как глобальный список запрещенных паролей, так и дополнительный настраиваемый список запрещенных паролей, указанный вами. Например, вы можете указать следующие термины, относящиеся к вашей организации:

  • Фирменные названия
  • Названия продуктов
  • Расположения (например, штаб-квартира компании)
  • Внутренние термины, относящиеся к компании
  • Сокращения с определенным значением в компании

Вы можете запретить недопустимые пароли в облаке и для локальных доменных служб Active Directory.

Упрощение входа пользователей

Microsoft Entra простой единый вход (Microsoft Entra простой единый вход) работает с проверкой подлинности PHS и Pass-Through (PTA), что позволяет пользователям входить в службы, использующие учетные записи Microsoft Entra пользователей, не вводя пароли и во многих случаях имена пользователей. Это упрощает доступ пользователей к облачным приложениям, например Office 365, без необходимости в дополнительных локальных компонентах, таких как серверы федерации удостоверений.

Вы настраиваете Microsoft Entra простой единый вход с помощью средства Microsoft Entra Connect. См. инструкции по настройке Microsoft Entra простого единого входа.

Упрощение обновления паролей в AD DS

С помощью обратной записи паролей можно разрешить пользователям сбрасывать свои пароли с помощью Microsoft Entra идентификатора, который затем реплицируется в AD DS. Пользователям не требуется доступ к локальным AD DS для обновления паролей. Это важно для роуминга и удаленных пользователей, у которых нет подключения к локальной сети для удаленного доступа.

Обратная запись паролей требуется для полного использования Защита идентификации Microsoft Entra возможностей, например требовать от пользователей изменять локальные пароли при обнаружении высокого риска компрометации учетной записи.

Дополнительные сведения и инструкции по настройке см. в разделе Microsoft Entra SSPR с обратной записью паролей.

Примечание.

Обновите Microsoft Entra Connect до последней версии, чтобы обеспечить наилучший интерфейс и новые функции по мере их выпуска. Дополнительные сведения см. в статье Настраиваемая установка Microsoft Entra Connect.

Упрощение процедуры сброса паролей

Самостоятельный сброс пароля (SSPR) позволяет пользователям сбрасывать или разблокировать свои пароли или учетные записи. Чтобы получать оповещения о неправильном или несанкционированном использовании, можно использовать подробные отчеты, которые позволяют отслеживать доступ пользователей к системе, а также уведомления. Перед развертыванием сбросов паролей необходимо включить обратную запись паролей.

См. инструкции по развертыванию функции сброса паролей.