配置 Azure AD 密码策略

Azure Active Directory 密码策略定义租户用户的密码要求，包括密码复杂性、长度、密码过期、帐户锁定设置和一些其他参数。在本文中，我们将了解如何在 Azure AD 中管理密码策略。

Azure AD 具有应用于在云中创建的所有帐户（未通过 Azure AD Connect 从本地 Active Directory 同步）的默认密码策略。

它定义了 Azure/Microsoft 365 租户管理员无法更改的以下设置：

• 允许的字符：

  A-Z

  ,

  a-z

  ,

  0-9

  ,

  space 

  和特殊符号

  @ # $ % ^ & * - _ ! + = [ ] { } | \ : ‘ , . ? / ` ~ ” ( )

• 密码复杂性：4个字符组中至少有3个（大写、小写、数字和符号）

• 密码长度：最小8个字符，最大256个字符

• 用户不能使用之前的密码

如何更改 Azure AD 中的密码过期策略

默认情况下，Azure AD (Microsoft 365) 中用户的密码永不过期。但您可以通过 Microsoft 365 管理中心启用密码过期：

1. 转到Microsoft 365 管理中心 -> 设置 -> 安全和隐私 -> 密码过期策略；

2. 禁用选项将密码设置为永不过期（推荐）；

   

3. 在这种情况下：
   密码有效期设置为90 天
   更改密码的通知将在到期日期14 天之前开始显示。

如果您的 Azure 用户使用多重身份验证 (MFA)，Microsoft 建议您不要启用密码过期功能。

您可以使用 MSOnline PowerShell 模块更改用户密码过期设置。只需安装模块（如果需要）并连接到您的租户：

Install-Module MSOnline
Connect-MsolService

检查 Azure AD 中当前的密码过期策略设置：

Get-MsolPasswordPolicy -DomainName a-d.site

ExtensionData NotificationDays ValidityPeriod
System.Runtime.Serialization.ExtensionDataObject 14 2147483647

您可以使用 PowerShell 更改 Azure AD 中的密码过期策略和通知设置：

Set-MsolPasswordPolicy -DomainName a-d.site -ValidityPeriod 180 -NotificationDays 21

您可以使用 Azure AD 模块管理特定用户的密码过期设置：

Connect-AzureAD

为特定用户启用密码永不过期选项：

Set-AzureADUser -ObjectId "[email " -PasswordPolicies DisablePasswordExpiration

查看用户的密码过期日期：

Get-AzureADUser -ObjectId "[email "|Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

PasswordNeverExpires
--------------------
True

为用户启用密码过期：

Set-AzureADUser -ObjectId "[email " -PasswordPolicies None

Azure AD 中的帐户锁定设置

Azure 密码策略的另一个可供管理员配置的参数是输入错误密码时的用户锁定规则。默认情况下，如果使用不正确的密码尝试进行 10 次身份验证失败，帐户将被锁定 1 分钟。请注意，每次登录尝试失败后，锁定时间都会延长。

您可以在 Azure 门户的以下部分配置锁定设置 -> Azure Active Directory -> 安全 -> 身份验证方法 —> 密码保护。

可供您更改的选项有：

• 锁定阈值 - 帐户被锁定之前尝试登录失败的次数（默认为 10）；

• 锁定持续时间（以秒为单位） - 默认为 60 秒。

如果他们的帐户被锁定，Azure 用户将看到以下通知：

Your account is temporarily locked to prevent unauthorized use. Try again later, and if you still have trouble, contact your admin.

了解如何在 Azure AD 中检查用户登录日志。

防止在 Azure AD 中使用弱密码和流行密码

有一个单独的Azure AD 密码保护功能，允许您阻止使用弱密码和流行密码（例如[email 、Pa$$word等）。

您可以使用 DSInternals PowerShell 模块检查本地 Active Directory 是否存在弱用户密码。

您可以在 Azure Active Directory -> 安全性 -> 身份验证方法 —> 密码保护中定义自己的弱密码列表。启用强制执行自定义列表选项并添加要禁止的密码列表（最多 1000 个密码）。

当 Azure AD 用户尝试将其密码更改为禁止列表之一时，会显示一条通知：

Unfortunately, you can’t use that password because it contains words or characters that have been blocked by your administrator. Please try again with a different password.

默认情况下，这些设置仅应用于 Azure 中的云用户。

如果您想将禁止密码列表应用于本地 Active Directory DS 用户，您需要执行以下操作：

1. 确保您有 Azure AD Premium P1 或 P2 订阅；

2. 启用选项在 Windows Server Active Directory 上启用密码保护；

3. 默认配置仅启用对禁止密码使用的审核。所以，测试结束后，将Mode选项切换为Enforced；

4. 部署 Azure AD 密码保护代理服务 (

   AzureADPasswordProtectionProxySetup.msi

   ) 在其中一台本地主机上；

5. 安装 Azure AD 密码保护 (

   AzureADPasswordProtectionDCAgentSetup.msi

   ) 在所有 ADDS 域控制器上。

如果您希望将 Azure 密码策略应用于通过 Azure AD Connect 从 AD DS 同步的用户，则必须启用选项EnforceCloudPasswordPolicyForPasswordSyncedUsers：

Set-MsolDirSyncFeature -Feature EnforceCloudPasswordPolicyForPasswordSyncedUsers -Enable $true

确保您已在本地 Active Directory 中配置足够强的域密码策略。否则，同步用户可以设置任何密码，包括弱密码和不安全的密码。

在这种情况下，当用户的密码在本地 Active Directory 中更改或重置时，系统会根据 Azure 中的禁止密码列表检查该用户。

如果启用了 Azure AD Connect 同步，则可以使用本地 Active Directory 中您自己的密码策略来应用于云用户。为此，您需要在本地 AD 中创建细粒度安全密码策略，并将其链接到包含与云同步的用户的组。在这种情况下，Azure Active Directory 将遵循本地域的密码策略。