如何在 Azure Active Directory 中创建密码策略

与在本地 Active Directory 中使用的密码策略相比，Azure AD 中的密码策略的工作方式略有不同，因为无法直接控制复杂性要求。但是，与 Active Directory 类似，密码策略仍然允许您定义密码长度和锁定条件，并提供其他功能，包括自定义禁止密码列表。

在本教程中，我将向您展示如何修改 Azure Active Directory 中的密码策略并提高其安全性。

默认的 Azure AD 密码策略是什么？

应用于所有基于云的用户帐户的默认密码策略不能修改超出我将在本教程中向您介绍的可编辑选项。您可以在下面看到内置 Azure AD 密码策略的默认设置。

A - Z
a - z
0 - 9
@ # $% ^& * - _ ! +=[ ] { } |\: ' , . ？ /`~”();
空格

统一码字符

最少 8 个字符，最多 256 个字符。
需要以下四个字符中的三个：
- 小写字符
- 大写字符
- 数字 (0-9)
- 符号（参见前面的密码限制）

默认值：90 天。如果租户是在 2021 年之后创建的，则它没有默认到期值。您可以使用 Get-MsolPasswordPolicy 检查当前策略。
可以使用 Windows PowerShell 的 Azure Active Directory 模块中的 Set-MsolPasswordPolicy cmdlet 配置该值。

默认值：false（表示密码有过期日期）。
可以使用 Set-MsolUser cmdlet 为各个用户帐户配置该值。

当用户更改密码时，不能再次使用最后一个密码。

当用户重置忘记的密码时，可以再次使用上次的密码。

默认情况下，上面应用的设置与通过 Azure AD Connect 同步到 Azure Active Directory 的帐户无关，因为本地目录中的密码策略优先。但是，您可以强制执行 Azure AD Connect 密码策略以使其生效...查看我的教程，将 Azure AD 密码策略与本地 AD 同步。

如何在 Azure AD 中更改密码过期时间

更改 Azure AD 中所有用户的密码过期时间。转到 Microsoft 365 管理中心 > 设置 > 组织设置 > 安全和隐私 > 密码过期政策。您可以在此处将密码设置为永不过期或定义过期期限。

为了防止使用简单或可预测的密码，建议将密码设置为永不过期，并鼓励或指导用户设置仅用于 Azure AD 的安全密码。这样做以及实施基本的安全控制（例如多因素身份验证）比启用密码过期安全得多。如果你想了解如何在整个组织中实施多重身份验证，请查看我的关于如何在 Azure Active Directory 中创建条件访问策略的教程。

在 Azure AD 中启用密码保护

Azure AD 中的密码保护为用户的密码设置和锁定条件提供了额外的安全性和控制。这些功能配置快速、简单，可以提供有效的管理，防止密码被轻易猜到。

要访问 Azure AD 中的密码保护功能，请选择 Azure Active Directory > 安全。

在管理标题下，选择身份验证方法。

然后选择密码保护。

在“密码保护”页面上，您可以选择配置锁定阈值，该阈值确定在帐户更改为锁定状态之前登录尝试失败的次数。 锁定持续时间决定您的帐户将保持锁定状态的时间，并且您可以选择实施自定义禁止密码列表以防止密码被轻易猜出。

尽管我不会在本教程中介绍 WIndows Server Active Directory 的密码保护，但要启用此功能，您需要在域控制器上安装 Azure AD 密码保护 DC 代理或 Azure AD 密码保护代理。

当您实施禁止密码列表时会发生什么？

自定义禁止密码列表是一种有效阻止用户设置简单且易于猜测的密码的简单方法，例如他们的姓名、公司名称或两者的类似变体。自定义禁止密码列表最多只允许 1000 个列表项，因此有效使用它非常重要。

当您实施密码保护（包括禁止的密码列表）时，如果用户已经拥有列出的密码，则不会对该用户产生影响，他们可以继续工作而不会中断。但是，如果用户随后将其密码更改为禁止密码列表中列出的密码，则会出现以下错误。

创建有效的自定义禁止密码列表

由于自定义禁止密码列表中的密码限制，有效地定义列表非常重要，而不是仅仅从互联网上复制和粘贴其他人的列表。您列表中的密码应以某种方式与您的员工或组织相关，一些示例包括：

• 公司名称
• 公司或员工所在地
• 建筑物或办公室名称
• 公司使用的特定术语、口号或对话
• 公司提供的产品或服务的名称

正常化

当评估列表中的密码时，会发生规范化过程以检测是否在列表中找到输入的密码。这意味着列表中的密码变体也会被自动检测和阻止。

例如，如果您的禁止密码列表中有短语ourcloudnetwork，而有人使用了密码0urC10udN3w0rk，则该短语将被自动阻止。这极大地扩展了 Azure AD 中禁止密码列表提供的覆盖范围。

字符替换可以在下表中找到。

哦

我

s

A

模糊匹配

还使用称为模糊匹配的过程来确定是否应允许或禁止密码。它通过基于字符方差 1 评估是否在禁止密码列表中找到规范化密码来实现此目的。

例如，如果短语 ourcloudnetwork 列在禁止密码列表中，则以下每个密码也将被禁止：

• 0urC10udN3w0rp - 最后一个字母“k”已替换为“p”
• 0urC10udN3w0rk6 -“6”已附加到末尾。
• TurC10udN3w0rk - 第一个字符“0”已替换为“T”
• 0urC10udN3w0r - 最后一个字母“k”已被删除
• L0urC10udN3w0rk - “L”已附加到开头

子串匹配

对规范化密码使用子字符串匹配来检测密码中是否找到用户的名字、姓氏或租户名称，无论是否在自定义禁止密码列表中找到该信息。

例如，我在 Azure Active Directory 中的名字是 Daniel Bradley，如果我尝试将密码重置为 D@ni31network5，一旦标准化，它就会变成 Danielnetwork5 并且密码将被阻止使用。

结论

当迁移到纯云或“勉强度日”时保留默认设置时，修改密码设置和实施密码保护常常被忽视。如果你有 Azure AD Premium P1 或 P2，我强烈建议你查看 Azure AD 中的密码保护设置，并立即提高密码安全性。这些都是影响很大的变化，且生产零中断。