合併的密碼原則並在 Microsoft Entra ID 中檢查弱式密碼
從 2021 年 10 月開始,Microsoft Entra 密碼原則合規性驗證也包括檢查已知弱式密碼和其變異。 本主題說明 Microsoft Entra ID 所檢查密碼原則準則的詳細資料。
Microsoft Entra 密碼原則
密碼原則會套用至直接在 Microsoft Entra ID 中建立和管理的所有使用者和管理員帳戶。 您可以禁用弱式密碼以及定義參數,以在重複的錯誤密碼嘗試後鎖定帳戶。 無法修改其他密碼原則設定。
除非您啟用 EnforceCloudPasswordPolicyForPasswordSyncedUsers,否則不會將 Microsoft Entra 密碼原則套用至使用 Microsoft Entra Connect 從內部部署 AD DS 環境同步的使用者帳戶。 如果已啟用 EnforceCloudPasswordPolicyForPasswordSyncedUsers 和密碼回寫,則 Microsoft Entra 會套用密碼到期原則,但內部部署密碼原則的優先順序為長度、複雜度等等。
下列 Microsoft Entra 密碼原則需求適用於 Microsoft Entra ID 中所建立、變更或重設的所有密碼。 在使用者佈建、密碼變更和密碼重設流程期間,會套用需求。 除非另有說明,否則您無法變更這些設定。
| 屬性 | 需求 |
|---|---|
| 允許的字元 | 大寫字元 (A - Z) 小寫字元 (a - z) 數字 (0 - 9) 符號: ? - 空白 |
| 不允許的字元 | Unicode 字元 |
| 密碼長度 | 密碼需要 - 至少有八個字元 - 最多 256 個字元 |
| 密碼複雜性 | 密碼需要下列四個類別中的其中三項: - 大寫字元 - 小寫字元 - 數字 - 符號 注意:Education 租用戶不需要密碼複雜度檢查。 |
| 最近未使用的密碼 | 使用者變更密碼時,新的密碼應不能與目前的密碼相同。 |
| Microsoft Entra 密碼保護未禁用密碼 | 密碼不能在 Microsoft Entra 密碼保護的全域禁用密碼清單中,或是您組織專屬禁用密碼的可自訂清單中。 |
密碼到期原則
密碼到期原則未變更,但包含在本主題中,以確保完整性。 獲得至少指派使用者系統管理員角色的人員可以使用 Microsoft Graph PowerShell Cmdlet,將使用者密碼設定為不會過期。
注意
依預設,只有未透過 Microsoft Entra Connect 同步處理的使用者帳戶密碼,才可設定為不會過期。 如需目錄同步作業的詳細資訊,請參閱 Connect AD 與 Microsoft Entra ID。
您也可以使用 PowerShell 移除永不過期設定,或是查看哪些使用者密碼設定為永不過期。
下列到期需求適用於將 Microsoft Entra ID 用於身分識別和目錄服務 (例如 Microsoft Intune 和 Microsoft 365) 的其他提供者。
| 屬性 | 需求 |
|---|---|
| 密碼到期持續時間 (密碼最長使用期限) | 預設值:90 天。 您可以使用 Microsoft Graph PowerShell 模組中的 Update-MgDomain Cmdlet 來設定此值。 |
| 密碼到期 (讓密碼永遠不會過期) | 預設值:false (指出密碼具有到期日)。 可以使用 Update-MgUser Cmdlet 針對個別使用者帳戶設定該值。 |