Home Konfiguration af adgangskodepolitik i Microsoft Entra ID

Konfiguration af adgangskodepolitik i Microsoft Entra ID

Azure Active Directory-adgangskodepolitikken definerer adgangskodekravene for lejerbrugere, herunder adgangskodekompleksitet, længde, adgangskodeudløb, kontolåsindstillinger og nogle andre parametre. I denne artikel tager vi et kig på, hvordan man administrerer en adgangskodepolitik i Azure AD.

Azure AD har en standardadgangskodepolitik, der anvendes på alle konti, der er oprettet i skyen (ikke synkroniseret fra lokale Active Directory via Azure AD Connect).

Den definerer følgende indstillinger, som ikke kan ændres af Azure/Microsoft 365-lejeradministratoren:

  • Tilladte tegn:A-Z,a-z,0-9,spaceog specielle symboler@ # $ % ^ & * – _ ! + = [ ] { } | : ‘ , . ? / ` ~ ” ( )
  • Adgangskodekompleksitet: mindst 3 ud af 4 tegngrupper (store bogstaver, små bogstaver, tal og symboler)
  • Adgangskodelængde: minimum 8, maksimum 256 tegn
  • Brugeren kan ikke bruge den tidligere adgangskode

Indhold:

Sådan ændres politik for udløb af adgangskode i Azure AD

Som standard udløber en brugers adgangskode aldrig i Azure AD (Microsoft 365). Men du kan aktivere adgangskodens udløb gennem Microsoft 365 Admin Center:

  1. Gå tilMicrosoft 365 Admin Center->Indstillinger->Sikkerhed og privatliv->Adgangskodeudløbspolitik;
  2. Deaktiver indstillingenIndstil adgangskoden til aldrig at udløbe (anbefales);
  3. I dette tilfælde:
    Adgangskodeudløb indstillet til90 dage
    Meddelelsen om at ændre din adgangskode vil begynde at blive vist14 dage førudløbsdatoen.

Microsoft anbefaler, at du ikke aktiverer udløb af adgangskode, hvis dine Azure-brugere bruger Multi-Factor Authentication (MFA).

Du kan bruge MSOnline PowerShell-modulet til at ændre indstillinger for brugeradgangskodeudløb. Du skal bare installere modulet (hvis nødvendigt) og oprette forbindelse til din lejer:

Install-Module MSOnline
Connect-MsolService

Tjek de aktuelle indstillinger for udløb af adgangskode i Azure AD:

Get-MsolPasswordPolicy -DomainName woshub.com

ExtensionData NotificationDays ValidityPeriod
System.Runtime.Serialization.ExtensionDataObject 14 2147483647

Du kan ændre adgangskodeudløbspolitikken og meddelelsesindstillingerne i Azure AD med PowerShell:

Set-MsolPasswordPolicy -DomainName woshub.com -ValidityPeriod 180 -NotificationDays 21

Se også:Konfiguration af RemoteApps hostet på Windows 10/11 (uden Windows Server)

Du kan administrere indstillinger for udløb af adgangskode for en bestemt bruger ved hjælp af Azure AD-modulet:

Connect-AzureAD

AktiverAdgangskoden udløber aldrigmulighed for en bestemt bruger:

Set-AzureADUser -ObjectId "[email protected]" -PasswordPolicies DisablePasswordExpiration

Se brugerens udløbsdato for adgangskode:

Get-AzureADUser -ObjectId "[email protected]"|Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

PasswordNeverExpires
--------------------
True

Aktiver adgangskodeudløb for brugeren:

Set-AzureADUser -ObjectId "[email protected]" -PasswordPolicies None

Indstillinger for kontolåsning i Azure AD

En yderligere parameter i Azure-adgangskodepolitikken, som administratoren kan konfigurere, er reglerne for brugerlåsning i tilfælde af at indtaste en forkert adgangskode. Som standard er en konto låst i 1 minut efter 10 mislykkede forsøg på at godkende ved hjælp af en forkert adgangskode. Bemærk, at lockout-tiden forlænges efter hvert næste mislykkede loginforsøg.

Du kan konfigurere lockout-indstillingerne i det følgende afsnit af Azure Portal ->Azure Active Directory->Sikkerhed->Godkendelsesmetoder —> Adgangskodebeskyttelse.

De muligheder, du kan ændre, er:

  • Lockout-tærskel– antallet af mislykkede loginforsøg, før kontoen låses ud (10 som standard);
  • Lockout-varighed i sekunder– 60 sekunder som standard.

Hvis deres konto er låst ude, vil en Azure-bruger se følgende meddelelse:

Your account is temporarily locked to prevent unauthorized use. Try again later, and if you still have trouble, contact your admin.

Lær, hvordan du kontrollerer brugerlogonlogfiler i Azure AD.

Undgå brug af svage og populære adgangskoder i Azure AD

Der er en separatAzure AD Adgangskodebeskyttelsefunktion, der giver dig mulighed for at blokere brugen af ​​svage og populære adgangskoder (såsom P@ssw0rd, Pa$$word osv.).

Du kan bruge DSInternals PowerShell-modulet til at kontrollere det lokale Active Directory for svage brugeradgangskoder.

Du kan definere din egen liste over svage adgangskoder iAzure Active Directory->Sikkerhed->Godkendelsesmetoder —> Adgangskodebeskyttelse. Aktiver indstillingenGennemtving tilpasset listeog tilføj en liste over adgangskoder, du vil forbyde (op til 1000 adgangskoder).

Når en Azure AD-bruger forsøger at ændre deres adgangskode til en af ​​de forbudte lister, vises en meddelelse:

Unfortunately, you can’t use that password because it contains words or characters that have been blocked by your administrator. Please try again with a different password.

Disse indstillinger anvendes som standard kun for cloud-brugere i Azure.

Hvis du vil anvende en forbudt adgangskodeliste til de lokale Active Directory DS-brugere, er det her, du skal gøre:

  1. Sørg for, at du har Azure AD Premium P1- eller P2-abonnement;
  2. Aktiver indstillingenAktiver adgangskodebeskyttelse på Windows Server Active Directory;
  3. Standardkonfigurationen muliggør kun revision af den forbudte adgangskodebrug. Så efter testen skal du skifte tilModemulighed for atHåndhæves;
  4. Implementer Azure AD Password Protection Proxy Service (AzureADPasswordProtectionProxySetup.msi) på en af ​​de lokale værter;
  5. Installer Azure AD Password Protection (AzureADPasswordProtectionDCAgentSetup.msi) på alle ADDS-domænecontrollere.

Hvis du ønsker, at Azure-adgangskodepolitikken skal anvendes på brugere, der er synkroniseret fra AD DS via Azure AD Connect, skal du aktivere indstillingen EnforceCloudPasswordPolicyForPasswordSyncedUsers:

Set-MsolDirSyncFeature -Feature EnforceCloudPasswordPolicyForPasswordSyncedUsers -Enable $true

Sørg for, at du har konfigureret en tilstrækkelig stærk domæneadgangskodepolitik i dit lokale Active Directory. Ellers kan synkroniserede brugere indstille enhver adgangskode, inklusive dem, der er svage og usikre.

I dette tilfælde, når en brugers adgangskode ændres eller nulstilles i det lokale Active Directory, kontrolleres brugeren mod listen over forbudte adgangskoder i Azure.

Hvis du har Azure AD Connect-synkronisering aktiveret, kan du bruge dine egne adgangskodepolitikker fra det lokale Active Directory til at anvende på cloud-brugere. For at gøre dette skal du oprette en Fine Grained Security-adgangskodepolitik i den lokale AD og linke den til en gruppe, der indeholder brugerne, der er synkroniseret med skyen. I dette tilfælde vil Azure Active Directory følge adgangskodepolitikken for dit lokale domæne.

Related Posts

Unlocktool dybtgående: Lås op Samsung, Xiaomi, Huawei & andre mærker

Unlocktool dybtgående: Lås op Samsung, Xiaomi, Huawei & andre mærker

2025-05-19
4 måder at starte internet explorer i Windows 10

4 måder at starte internet explorer i Windows 10

2025-05-08
Sådan deaktiveres automatisk genstart på systemfejl i Windows 11

Sådan deaktiveres automatisk genstart på systemfejl i Windows 11

2025-04-10
Min kærestes eks-kæreste forfølger mig

Min kærestes eks-kæreste forfølger mig

2023-04-20
Hvordan man overfører data fra en SSD til en anden

Hvordan man overfører data fra en SSD til en anden

2025-04-30
Sådan parrer du Spotify med https Spotify.com Par tv-kodelogin

Sådan parrer du Spotify med https Spotify.com Par tv-kodelogin

2023-12-26
Help Desk-artikler

Help Desk-artikler

2024-12-23
Sådan installeres og køres software i Sandbox på Windows 11

Sådan installeres og køres software i Sandbox på Windows 11

2025-01-16
Kunstig intelligens

Kunstig intelligens

2024-12-26
Tekniske tip, tricks og guider

Tekniske tip, tricks og guider

2025-01-31
Sådan fremskyndes dit websted: Google PageSpeed Insights

Sådan fremskyndes dit websted: Google PageSpeed Insights

2023-11-30
IT-administrationstjenester til enhver virksomhedsstørrelse

IT-administrationstjenester til enhver virksomhedsstørrelse

2025-02-17
Sådan rettes en frosset eller ikke reagerer på skrivebordet i Windows 11

Sådan rettes en frosset eller ikke reagerer på skrivebordet i Windows 11

2025-03-26
TunnelBear Review

TunnelBear Review

2025-08-06
Navigation the Future of Startup Funding: Insights from Crunchbase Data Analysis

Navigation the Future of Startup Funding: Insights from Crunchbase Data Analysis

2025-12-19