Microsoft Entra ID 中的组合密码策略和弱密码检查
自 2021 年 10 月开始,Microsoft Entra 密码策略合规性验证还包括检查已知弱密码及其变体。 本主题详细说明了 Microsoft Entra ID 检查的密码策略条件。
Microsoft Entra 密码策略
密码策略应用于直接在 Microsoft Entra ID 中创建和管理的所有用户和管理员帐户。 可以禁止弱密码并定义参数,以在多次错误密码尝试后锁定帐户。 不能修改其他密码策略设置。
除非启用 EnforceCloudPasswordPolicyForPasswordSyncedUsers,否则 Microsoft Entra 密码策略不适用于使用 Microsoft Entra Connect 从本地 AD DS 环境同步的用户帐户。 如果已启用 EnforceCloudPasswordPolicyForPasswordSyncedUsers 和密码写回,则 Microsoft Entra 密码过期策略适用,但本地密码策略优先于长度、复杂性等。
以下 Microsoft Entra 密码策略要求适用于在 Microsoft Entra ID 中创建、更改或重置的所有密码。 在用户预配、密码更改和密码重置流中应用这些要求。 不能更改这些设置,除非另有说明。
| 属性 | 要求 |
|---|---|
| 允许的字符 | 大写字符 (A - Z) 小写字符 (a - z) 数字 (0-9) 符号: - @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> - 空格 |
| 不允许的字符 | Unicode 字符 |
| 密码长度 | 密码需要 - 至少 8 个字符 - 最多 256 个字符 |
| 密码复杂性 | 密码需满足以下 4 类要求中的 3 类: - 大写字符 - 小写字符 - 数字 - 符号 注意:无需对教育租户进行密码复杂性检查。 |
| 最近未使用的密码 | 用户更改密码时,新密码不能与当前的密码相同。 |
| 密码没有被 Microsoft Entra 密码保护禁用 | 密码不能在 Microsoft Entra 密码保护的全局受禁密码列表中,也不能在特定于你的组织的可自定义受禁密码列表中。 |
密码过期策略
密码过期策略未做更改,但出于完整性考虑,本主题包含了这些策略。 至少分配有用户管理员角色的那些用户可以使用 Microsoft Graph PowerShell cmdlet 将用户密码设置为不过期。
注意
默认情况下,只有未通过 Microsoft Entra Connect 进行同步的用户帐户的密码才能配置为不过期。 有关目录同步的详细信息,请参阅将 AD 与 Microsoft Entra ID 连接。
还可以使用 PowerShell 删除永不过期配置,或者查看设置为永不过期的用户密码。
以下过期要求适用于其他使用 Microsoft Entra ID 提供标识和目录服务的提供程序,例如 Microsoft Intune 和 Microsoft 365。
| properties | 要求 |
|---|---|
| 密码过期期限(最长密码期限) | 默认值:“90”天。 可以使用 Microsoft Graph PowerShell 模块中的 Update-MgDomain cmdlet 来配置该值。 |
| 密码过期(让密码永不过期) | 默认值:false(指示密码有到期日期)。 可使用 Update-MgUser cmdlet 配置单个用户帐户的值。 |