确保 Office 365 密码策略设置安全的 2 条规则

Office 365 中的密码政策比本地应用程序的密码政策更严格、更安全，因此您无需再担心为用户设置和实施不同的身份验证政策。但是，您仍然应该使 Office365 安全设置与您的整体企业安全配置文件和状态保持一致。

在这篇博文中，我将重点介绍一些在确保 Office 365 密码策略安全时对 IT 管理员有所帮助的规则。

规则 #1：随时关注密码过期情况

默认情况下，密码有效期设置为 90 天。有效期最多可延长至 730 天，但不建议这样做，因为这可能会对业务关键数据造成严重的安全风险。

以下是更改到期日值的方法：

1. 登录 Office 365 管理中心并转到“设置/安全和隐私”。
2. 单击编辑。
3. 输入密码的有效天数。对于大多数组织，我建议该时间不要超过 90 天，但如果您启用了两因素身份验证，则可以使用更长的时间，而不会过多影响您的整体安全配置文件。
4. 可以选择配置何时通知用户其密码即将过期。
5. 单击保存以保留设置。

对于某些帐户，例如服务帐户或多功能设备用于发送电子邮件和保存扫描或传真的文档副本的登录名，您可能希望这些密码永不过期。这些通常是非常受限制的帐户，只能执行一两件事。

要进行配置，您需要启动 PowerShell 并连接到 Office 365。请确保您拥有适用于 IT 专业人员 RTW 的 Microsoft Online Services 登录助手软件包以及适用于 Windows PowerShell 的 Azure Active Directory 模块。这两个软件包都可以从 Microsoft 下载中心获取。然后，使用 Connect-Msolservice cmdlet 连接到您的租户并使用您的凭据进行身份验证。

最后，发出以下命令：

Set-Msoluser –UserPrincipalName [email protected] -PasswordNeverExpires $true

接下来，您可以使用以下命令获取密码永不过期的用户列表：

Get-Msoluser | Select-Object UserPrincipalName, PasswordNeverExpires

注意！ 请注意，对于基于本地 Active Directory 安装和部署同步到云的帐户，您在本地设置和执行的策略将延续到云中，并且不会受到您在云中所做的任何更改的影响。只有云发起用户才能在云中修改其设置。

规则 #2：采用双因素身份验证 (2FA)

2FA 的好处之一是即使密码被黑客攻击也可以保护用户的帐户。如果用户的设备丢失，黑客仍然没有账户密码，因此丢失的影响会大大降低。考虑到这一点，公司需要将 2FA 应用于 Office 365 密码策略设置。 方法如下：

1. 在 Office 365 管理中心中，转到用户/活动用户，然后单击“更多”菜单
2. 选择“设置”天蓝色多重身份验证
3. 选择“设置多重身份验证要求”旁边的“设置”链接，然后选中要启用 2FA 的用户
4. 选择右侧的“启用”。

对于使用 Outlook 2013 或更早版本或其他应用程序的用户，您需要建立一个绕过 2FA 的应用程序密码，因为这些应用程序不知道如何读取 2FA 提示或将一次性代码传递给 Microsoft Azure。

1. 转到 2FA 设置页面上的“服务设置”链接
2. 选择“允许用户创建应用程序密码以登录非浏览器应用程序”
3. 用户必须生成自己的应用程序密码，以便在 Outlook 2013 及更早版本以及使用 Office 365 帐户的任何其他应用程序中使用。

Office 2016 支持 2FA，因此不需要应用程序密码。

请记住，密码复杂性和定期更改密码有助于保护您的数据免受安全风险。