В политике паролей Azure Active Directory определяются требования к паролям пользователей тенанта, такие как: сложность пароля, длина, срок действия паролей, настройки блокировки учетных записей и некоторые другие параметры. В этой статье мы рассмотрим, как управлять политикой паролей в Azure AD.
По умолчанию в Azure AD ко всем учетных, который созданы в облаке (не синхронизированы с on-premises Active Directory через Azure AD connect) уже действует парольная политика по-умолчанию.
В ней определены следующие настройки, которые администратор тенанта Azure/Microsoft 365 не может изменить:
A-Z
, a-z
, 0-9
, пробел
и служебные символы @ # $ % ^ & * – _ ! + = [ ] { } | : ‘ , . ? / ` ~ ” ( ) ;
По умолчанию в Azure AD (Microsoft 365) у пароля нет срока действия. Это означает, что срок действия пароля пользователя никогда не истекает. Но вы можете включить срок для паролей через Microsoft 365 Admin Center:
Вы можете изменить срок действия паролей пользователей с помощью PowerShell модуля MSOnline. Установите модуль (если нужно) и подключитесь к своему тенанту:
Install-Module MSOnline
Connect-MsolService
Выведите текущие параметры политики срока действия паролей в Azure:
Get-MsolPasswordPolicy -DomainName remontka.com
ExtensionData NotificationDays ValidityPeriod_x000D_------------- ---------------- --------------_x000D_System.Runtime.Serialization.ExtensionDataObject 14 2147483647
Вы можете изменить срок действия пароля и показа уведомлений в политики паролей Azure AD с помощью PowerShell:
Set-MsolPasswordPolicy -DomainName remontka.com -ValidityPeriod 180 -NotificationDays 21
Можно управлять настройками срока действия паролей для конкретного пользователя. Для этого используется модуль Azure AD .
Connect-AzureAD
Включить опцию Password never expires для конкретного пользователя:
Set-AzureADUser -ObjectId " [email protected] " -PasswordPolicies DisablePasswordExpiration
Вывести информацию о сроке действия пароля пользователя:
Get-AzureADUser -ObjectId " [email protected] "|Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
PasswordNeverExpires_x000D_--------------------_x000D_True
Включить срок действия пароля для пользователя:
Set-AzureADUser -ObjectId " [email protected] " -PasswordPolicies None
Другой параметр политики паролей пользователей в Azure, настройки которого может переопределить администратор – настройка правил блокировки пользователей при вводе неверного пароля.
По умолчанию учетная запись пользователя блокируется на 1 минуту после 10 неудачных попыток аутентификации с неверным паролем. При следующих неудачных попытках входа время блокировки увеличивается
Настройки параметров блокировки находятся в следующем разделе Azure Portal -> Azure Active Directory -> Security -> Authentication methods —> Password protection .
Здесь вы можете изменить:
При блокировке учетной записи пользователь Azure увидит сообщение:
Your account is temporarily locked to prevent unauthorized use. Try again later, and if you still have trouble, contact your admin.
В Azure AD есть отдельная функция Azure AD Password Protection , которая позволяет заблокировать использование слабых и общеизвестных паролей. Например, таких как P@ssw0rd или Pa$$word.
Вы можете задать список таких паролей в разделе Azure Active Directory -> Security -> Authentication methods —> Password protection . Включить опцию Enforce custom list в разделе Custom banned list и добавьте список паролей, которые вы хотите запретить (до 1000 паролей).
Если пользователь Azure AD попытается изменить свой пароль на один из запрещенного списка, появится уведомление:
Unfortunately, you can’t use that password because it contains words or characters that have been blocked by your administrator. Please try again with a different password.
Данные настройки по-умолчанию применяются только для облачных пользователей в Azure.
Если вы хотите использовать список запрещенных паролей для пользователей из on-premises Active Directory DS нужно:
AzureADPasswordProtectionProxySetup.msi
) на одном из on-premises серверов; AzureADPasswordProtectionDCAgentSetup.msi
) на всех контроллерах домена. Чтобы политика паролей Azure применялась для синхронизированных пользователей из AD DS через Azure AD Connect, нужно включить опцию EnforceCloudPasswordPolicyForPasswordSyncedUsers:
Set-MsolDirSyncFeature -Feature EnforceCloudPasswordPolicyForPasswordSyncedUsers -Enable $true
В этом случае при смене или сбросе пароле пользователя в локальной Active Directory , он будет проверяться со списком запрещенных паролей в Azure.
Также обратите внимание, что вы можете использовать собственные политики паролей из on-prem Active Directory и применять их к облачным пользователям, если у вас настроена синхронизацию через Azure AD Connect. Для этого нужно создать Fine Grained Security политику паролей в on-premises AD и назначить ее на контейнер и группу с облачными пользователями.
Как менялся логотип Apple на протяжении многих лет. Логотип Apple — это не просто символ,…
Security Boot Fail при загрузке Acer — решение проблемы При загрузке ноутбука Acer с флешки,…
Ноутбук не включается — варианты решения Если при попытке включить ноутбук вы обнаруживаете, что он…
The AC power adapter wattage and type cannot be determined — причины и решение При…
Свистит или звенит блок питания компьютера — причины и решения Некоторые владельцы ПК могут обратить…
Мигает Caps Lock на ноутбуке HP — почему и что делать? При включении ноутбука HP…