Azure Active Directory 密码策略完整指南

使用 Azure Active Directory (Azure AD) 的好处之一是它在管理密码方面为你提供了灵活性。大多数公司选择部署 Azure AD 作为其现有本地 Active Directory 的扩展。他们这样做是为了为 Salesforce 和 Docusign 等在线应用程序添加单点登录和联合功能。 Azure AD 还允许用户自助管理或重置密码，而无需联系服务台。

Azure 密码策略的基础知识是什么？如何完成这一切设置？这就是我将在这篇文章中解决的问题。

基本密码策略限制

Microsoft Azure AD 最基本的密码策略包括简单的复杂性和历史记录限制。您可以使用简单的字母字符（A 到 Z），包括大写和小写字母；数字 0 到 9；和标准键盘符号 (@ # $% ^& * - _ ! +=[ ] { } | : ‘ , . ?/` ~ “ ( ) ;)。您不得在密码中使用 Unicode 字符或空格。密码长度设置为最少 8 个字符，最多 16 个字符。要被认为是强密码，密码不得在 at 符号 (@) 之前紧接点 (.)，并且还必须包含任意三 (1) 个小写字符、(2) 个大写字符、(3) 个数字和 (4) 个允许的密码符号。默认情况下，密码每 90 天过期，并会在过期前 14 天通知用户更改密码。从密码历史记录的角度来看，系统限制了最后使用的密码，因此用户必须想出一个新密码，而不是一遍又一遍地循环使用相同的密码。可以使用 Set-MsolPasswordPolicy cmdlet（可以在 Azure AD 模块中找到）通过 PowerShell 配置过期时间和通知。

如果用户连续 10 次错误输入密码，Azure AD 将锁定帐户一分钟。如果继续输入不正确的密码，系统将再次锁定用户，然后增加每个锁定期的持续时间，作为转移和减轻暴力攻击的方法。

与 Azure 密码管理功能集成

使用 Azure AD 的最大优势之一是用户能够管理自己的密码。这意味着用户可以通过自助服务门户设置和重置密码，而不是提交帮助台票证并等待委派管理员来处理请求。如果您是完全基于云的组织（可能不是大多数组织，特别是如果您对单点登录感兴趣），则 Azure AD 密码管理工具可以使用，或者如果您已将 Azure AD 租户同步到本地 Active Directory，这使得该解决方案特别有吸引力。

实施激活这些自助密码管理功能所需的策略需要执行几个步骤。开始：

1. 打开 Azure 经典门户（可在 https://manage.windowsazure.com 找到），然后单击屏幕左侧的“Active Directory”
2. 单击要配置的目录，然后在下一个屏幕上单击“配置”选项卡
3. 向下滚动并针对“启用密码重置的用户”选项单击“是”，然后自定义：显示访问限制的其他策略控件、执行密码重置的组以及想要重置密码的用户可用的其他身份验证方法

接下来，您需要指定所有用户的联系信息，以便可以将其用于密码重置。如果通过 Azure AD Connect 启用了目录同步，并且本地 Active Directory 上的用户属性已正确配置部署，则这些联系人详细信息将自动写入 Azure AD 租户。否则，您将需要在 Azure 门户、Office 365 中编辑用户，或者通过 PowerShell 编辑用户的属性。您需要添加备用电子邮件地址和手机号码，以便接收包含一次性密码的短信，以进行多重身份验证。

您还可以进行设置，以便用户可以通过将其发送到 http://aka.ms/ssprsetup 并在登录 http://myapps.microsoft.com 的访问面板时提供自己的详细信息（如果这是一部分）用户的工作流程）。如果您选择“是”以“要求用户在登录访问门户时进行注册”，他们也可能被迫提供详细信息。

完成这项工作的一个重要部分是正确设置 Azure AD Connect 并配置防火墙，我们将在另一部分中解决这个问题。

如果您需要有关 Azure AD 密码安全的更多提示，请查看 Russell Smith 的另一个博客。