管理使用者密碼

  • 9 分鐘

Microsoft 365 藉由要求使用者使用密碼登入,來協助提供安全存取。 它也包含各種密碼管理功能,包括:

  • 設定密碼到期日
  • 重設使用者和系統管理員密碼
  • 消除不良密碼

下列各節會檢查這些功能。 請記住,使用者必須具有下列其中一個角色,才能執行這些工作:

  • 全域管理員、安全性系統管理員和特殊權限角色管理員角色具有執行所有這些密碼管理工作所需的權限。
  • 使用者系統管理員和密碼管理員角色可以重設密碼。

設定密碼到期日

身為系統管理員,您可以將使用者密碼設為在定義的天數後過期,或將密碼設為永不過期。 Microsoft 365 中的預設密碼到期原則會將使用者的密碼設定為永不過期。 為什麼? 因為最新研究強烈指出強制密碼變更的弊大於利。 它們會讓使用者選擇較弱的密碼、重複使用密碼或以攻擊者容易猜到的方式更新舊密碼。 使用者通常會選取由彼此緊密相關的連續字詞和數字所組成的可預測密碼。 在這些情況下,網路犯罪者可以輕鬆地根據先前的密碼來預測下一個密碼。

提示

密碼到期要求不會提供任何控制優勢,因為網路罪犯總會在盜取憑證後立即使用憑證。 因此,Microsoft 建議啟用多重要素驗證,這是一種更有效的定期密碼變更的替代方式。

如果您的組織選擇實作密碼到期原則,它可以透過 Microsoft 365 系統管理中心來執行此動作。 若要變更預設密碼到期原則,您的 Microsoft 365 系統管理員應該完成下列步驟:

  1. 登入 Microsoft 365 系統管理中心,並視需要選取瀏覽窗格中的 [全部顯示]。
  2. 在瀏覽窗格中,選取 [設定],然後選取 [組織設定]
  3. 組織設定視窗中,預設會顯示服務索引標籤。 選取 [ 安全性 & 隱私權] 索 引標籤。
  4. 在 [ 安全性 & 隱私權 ] 索引標籤中,選取 [ 密碼到期原則]
  5. 在顯示的 [密碼到期原則] 窗格中,預設會選取 [將密碼設定為永不過期 (建議)] 選項。 選取此選項以清核取方塊。 這麼做可啟用 [密碼到期前的天數] 選項。
  6. [密碼到期前的天數] 欄位中,指定密碼到期的天數介於 14 到 730 之間。
  7. 選取 [儲存]

假設組織已變更其密碼到期原則,讓密碼在 60 天後到期。 如果使用者未在到期時間之前變更其密碼,會發生什麼事? 其中有兩個選項:

  • 使用者仍然可以使用下次登入時出現的 [密碼更新] 頁面自行變更。
  • 系統管理員可以為其重設其密碼。

重設使用者密碼

如有必要,Microsoft 365 系統管理員可以在 [作用中使用者] 頁面上重設一或多個使用者的密碼。 可以選擇下列選項:

  • 指派新的、隨機產生的密碼或您所選擇的密碼。
  • 選取使用者是否需要在下次登入時變更其密碼。

注意事項

Microsoft 365 也包含自助式密碼重設 (SSPR) 功能,可讓使用者重設自己的密碼,而不需要系統管理員介入。 SSPR 預設不會啟用。 相反地,Microsoft 365 系統管理員必須為所有使用者或特定群組啟用 SSPR。 本訓練課程模組稍後的單元將詳細說明這項功能。

重設系統管理員密碼

如果系統管理員忘記自己的密碼,有兩個可用的選項:

  • 要求另一位系統管理員為您重設密碼。 在此情況下,其他系統管理員必須是全域系統管理員、使用者管理系統管理員或密碼管理員。不過,如果忘記其密碼的系統管理員是全域系統管理員,則另一個全域系統管理員必須為其重設密碼。
  • 自行重設密碼。 在 Microsoft 365 的登入頁面上,「無法存取您的帳戶?」連結可讓使用者重設自己的密碼。 遵循連結中提供的指示之後,系統會傳送含有連結的電子郵件,以讓使用者重設其密碼。 如果使用者想要重設自己的密碼,則必須先在其帳戶設定中提供替代的電子郵件地址。 電子郵件地址不能是其 Microsoft 365 電子郵件地址。 此外,如果組織使用自訂網域名稱或目錄同步處理,則使用者必須使用可接收文字通知的電話號碼來更新其帳戶詳細資料。 接著,系統會將文字訊息中自動產生的代碼傳送至此電話號碼。 當使用者收到訊息後,他們必須在行動電話驗證頁面上輸入此代碼。

注意

自行重設密碼時,您必須在 10 分鐘內完成整個系統管理員密碼重設程序;否則,您必須重新開始此程序。

消除不良密碼

許多安全性指導方針文件都建議您:

  • 請勿在多個位置使用相同的密碼。
  • 讓密碼更複雜。
  • 避免使用「密碼」一詞的衍生字,例如 P@$$w0rd 或 Pa55word。
  • 避免使用像是 pw123 或您名字或姓氏的簡單密碼

組織可以為其使用者提供 如何選擇密碼的指導方針。 不過,許多使用者通常仍會使用弱式或不安全的密碼。 Microsoft Entra 密碼保護會偵測並封鎖已知的弱式密碼及其變體。 它也可以封鎖組織特有的其他弱式詞彙。

重要事項

Active Directory (Azure AD) 現在為 Microsoft Entra ID。 深入了解

Microsoft Entra 密碼保護會自動將預設全域禁用密碼清單套用至 Microsoft Entra 租用戶中的所有使用者。 若要支援您自己的商務和安全性需求,您也可以在自訂禁用密碼清單中定義項目。 使用者變更或重設其密碼時,Microsoft 365 會檢查這些禁用密碼清單,以強制使用強式密碼。 若要存取 Microsoft Entra 密碼保護,您必須獲指派下列其中一個角色:全域管理員、安全性系統管理員或特殊權限角色管理員。

提示

組織不應只依賴 Microsoft Entra 密碼保護所強制執行的強式密碼。 它們也應該使用其他功能,例如 Microsoft Entra 多重要素驗證。

全域禁用密碼清單

Microsoft 的 Microsoft Entra 身分識別保護團隊會持續分析 Microsoft Entra 安全性遙測資料,以尋找常用的弱式或遭入侵密碼。 在分析過程中,團隊會尋找使用者經常用來作為弱式密碼基礎的基礎詞彙。 當團隊發現弱式詞彙時,他們會將之新增至全域禁用密碼清單。 全域禁用密碼清單的內容不是以任何外部資料來源為基礎。 相反地,Microsoft Entra 安全性遙測和分析的結果會決定清單的內容。

Microsoft 365 會使用目前版本的全域禁用密碼清單來驗證任何已變更或重設密碼的強度。 此驗證檢查會為所有 Microsoft Entra ID 客戶產生更強的密碼。 Microsoft 365 會自動將全域禁用密碼清單套用至 Microsoft Entra 租用戶中的所有使用者。 沒有任何項目可啟用或設定,組織也無法停用該清單。

注意事項

網路犯罪也會在其攻擊中使用類似的策略,來識別常見的弱式密碼和變體。 為了改善安全性,Microsoft 不會發佈全域禁用密碼清單的內容。

自訂禁用密碼清單

有些組織想要改善安全性,並在全域禁用密碼清單上新增自己的自訂項目案。 若要新增您自己的項目,您可以使用自訂禁用密碼清單。 組織應該根據公司特定的詞彙,專注於其新增至其自訂禁用密碼清單的字詞。 例如:

  • 品牌名稱
  • 產品名稱
  • 位置,例如公司總部
  • 公司的特定內部條款
  • 具有特定公司意義的縮寫

例如,假設是名為 Fabrikam 的虛構組織。 該公司從倫敦運營。 Fabrikam 是一家塑膠製造商,其主要產品是全球知名的「Fabrikam Widget」。對於 Fabrikam 而言,封鎖這些詞彙的特定變體既浪費又較不安全:

  • 「Fabrikam!1」
  • 「Fabrikam@London」
  • 「FabrikamWidget」
  • 「!Fabrikam」
  • 「LondonHQ」

相反地,只封鎖關鍵基礎詞彙會更有效率且安全,例如:

  • 「Fabrikam」
  • 「London」
  • 「Widget」

密碼驗證演算法接著會自動封鎖弱式變體和組合。

當組織將詞彙新增至自訂禁用密碼清單時,Microsoft Entra 密碼保護會將該詞彙與全域禁用密碼清單中的詞彙結合。 接著,Microsoft 365 會根據這些禁用密碼清單組合來驗證密碼變更或重設事件。

Microsoft Entra ID 將自訂禁用密碼清單限制為最多 1,000 個詞彙。 Microsoft 並未設計封鎖大量密碼的清單。

提示

若要完整獲得自訂禁用密碼清單的優點,您應該先瞭解 系統評估密碼的方式,再將詞彙新增至自訂禁用清單。 這種方法可讓您有效率地偵測和封鎖大量弱式密碼及其變體。

若要啟用自訂禁用密碼清單並在其中新增項目,請在 Microsoft Entra 密碼保護完成下列步驟:

  1. 使用全域管理員、安全性系統管理員或特殊權限角色管理員帳戶登入 Microsoft 365 系統管理中心。

  2. Microsoft 365 系統管理中心的瀏覽窗格中,於 [系統管理中心] 群組下,選取 [身份識別]

  3. 在 [Microsoft Entra 系統管理中心] 中,選取瀏覽窗格中的 [保護] 展開群組,然後選取 [驗證方法]

  4. [驗證方法 | 原則] 頁面上,在 [管理] 區段下方的中間窗格中,選取 [密碼保護]。

  5. 在 [驗證方法 |密碼保護] 頁面,將 [強制自定義清單] 選項設定為 [是]

  6. 將字串新增至 [自訂禁用密碼清單],其中每行一個字串。 下列考慮和限制適用於自訂禁用密碼清單:

    • 自訂禁用密碼清單最多可以包含 1000 個詞彙。
    • 自訂禁用密碼清單不區分大小寫。
    • 自訂禁用密碼清單會考慮一般字元替代,例如「o」和「0」或「a」和「@」。
    • 字串長度下限為四個字元,上限為 16 個字元。

    指定要禁止的自訂密碼,如下列範例所示

    [密碼保護] 頁面的螢幕擷取畫面,其中顯示禁用密碼清單中的項目。

  7. [在 Windows Server Active Directory 上啟用密碼保護] 選項設定為 [是]

    注意

    如果您將此選項設定為 [否],則所有部署的 Microsoft Entra 密碼保護 DC 代理程式都會進入靜止模式,其中所有密碼都是以目前狀態接受。 系統不會執行任何驗證活動,也不會產生稽核事件。

  8. 若要啟用自訂禁用密碼和您的項目,請選取功能表列上的 [儲存]

警告

系統可能需要數小時的時間,才能將更新套用至自訂禁用密碼清單。

針對混合式環境,您也可以 將 Microsoft Entra 密碼保護部署至內部部署環境。 系統會針對雲端和內部部署密碼變更要求使用相同的全域和自訂禁用密碼清單。

密碼噴濺攻擊和第三方外洩的密碼清單

Microsoft Entra 密碼保護可協助組織防禦密碼噴濺攻擊。 大部分的密碼噴濺攻擊不會嘗試攻擊任何指定的個別帳戶超過數次。 否則,這類行為會透過帳戶鎖定或其他方式提高偵測的可能性。

相反地,大部分的密碼噴濺攻擊只會針對組織中的每個帳戶提交一些已知最弱的密碼。 這項技術可讓攻擊者快速搜尋容易遭入侵的帳戶,並避免潛在的偵測閾值。

Microsoft Entra 密碼保護可有效率地封鎖駭客可能在密碼噴濺攻擊中使用的所有已知弱式密碼。 其會以來自 Microsoft Entra ID 的實際安全性遙測資料作為此保護的基礎,以建置全域禁用密碼清單。

有第三方網站會列舉先前公開已知安全性缺口中數百萬個遭入侵的密碼。 第三方密碼驗證產品通常透過對數百萬個該類密碼進行暴力比對,來實現驗證。 不過,根據密碼噴濺攻擊者的一般策略,這些技術不是改善整體密碼強度的最佳方式。

注意事項

全域禁用密碼清單非以任何第三方資料來源為基礎,包括遭入侵的密碼清單。

相較於某些第三方大量清單,全域禁用密碼清單很小。 不過,Microsoft 會從實際密碼噴濺攻擊的實際安全性遙測中收集其內容。 此方法可改善整體安全性和有效性,而密碼驗證演算法也會使用智慧模糊比對技術。 因此,Microsoft Entra 密碼保護可有效率地偵測並封鎖數百萬個最常見的弱式密碼。

使用者看到的錯誤訊息

當使用者嘗試將密碼重設或變更為禁用值時,系統會顯示下列其中一個錯誤訊息:

  • 「很抱歉,您的密碼包含可輕鬆猜到的密碼的單字、片語或模式。 請使用不同的密碼,再試一次。」
  • 「很抱歉,您無法使用該密碼,因為它包含您的系統管理員已封鎖的單字或字元。 請使用不同的密碼,再試一次。」
  • 「我們之前已看過此密碼太多次。 請選擇難以猜到的密碼。」
  • 「請選擇其他人難以猜到的密碼。」

授權需求

使用者 Microsoft Entra 密碼保護與全域禁用密碼清單 Microsoft Entra 密碼保護與自訂禁用密碼清單
僅限雲端使用者 Microsoft Entra 免費版 Microsoft Entra 進階版 P1 或 P2
從內部部署 AD DS 同步處理的使用者 Microsoft Entra 進階版 P1 或 P2 Microsoft Entra 進階版 P1 或 P2

注意事項

如果組織有未同步處理至 Microsoft Entra ID 的內部部署 AD DS 使用者,他們也會根據同步處理使用者的現有授權,從 Microsoft Entra 密碼保護獲益。

知識檢查

為以下每個問題選擇最佳的答案。

檢定您的知識

1.

哪個 Microsoft 365 系統管理員角色可以變更指派給 Microsoft 365 全域系統管理員角色的使用者密碼?