Chính sách mật khẩu và hạn chế tài khoản trong Azure Active Directory

Trong Azure Active Directory (Azure AD), có một chính sách mật khẩu xác định các cài đặt như độ phức tạp, độ dài hoặc độ tuổi của mật khẩu. Ngoài ra còn có một chính sách xác định các ký tự và độ dài được chấp nhận cho tên người dùng.

Khi đặt lại mật khẩu tự phục vụ (SSPR) được sử dụng để thay đổi hoặc đặt lại mật khẩu trong Azure AD, chính sách mật khẩu sẽ được chọn. Nếu mật khẩu không đáp ứng các yêu cầu chính sách, người dùng sẽ được nhắc thử lại. Quản trị viên Azure có một số hạn chế về việc sử dụng SSPR khác với tài khoản người dùng thông thường.

Bài viết này mô tả cài đặt chính sách mật khẩu và các yêu cầu phức tạp được liên kết với tài khoản người dùng trong Azure AD của bạn và cách bạn có thể sử dụng PowerShell để kiểm tra hoặc đặt cài đặt hết hạn mật khẩu.

Chính sách tên người dùng

Mọi tài khoản đăng nhập vào Azure AD phải có giá trị thuộc tính tên chính người dùng (UPN) duy nhất được liên kết với tài khoản của họ. Trong môi trường kết hợp với môi trường Active Directory Domain Services (AD DS) tại chỗ được đồng bộ hóa với Azure AD bằng Azure AD Connect, theo mặc định Azure AD UPN được đặt thành UPN tại chỗ.

Bảng sau đây phác thảo các chính sách tên người dùng áp dụng cho cả tài khoản AD DS tại chỗ được đồng bộ hóa với Azure AD và cho các tài khoản người dùng chỉ trên đám mây được tạo trực tiếp trong Azure AD:

Đặc điểmUserPrincipalName yêu cầu
Mô tả cho phépA – Za – z0 – 9′ . – _ ! # ^ ~
Mô tả không cho phép allowedBất kỳ ký tự “@” nào không tách tên người dùng khỏi miền. Không được chứa ký tự dấu chấm “.” ngay trước biểu tượng “@”
Hạn chế về độ dàiTổng độ dài không được vượt quá 113 ký tự Có thể có tối đa 64 ký tự trước ký hiệu “@” Có thể có tối đa 48 ký tự sau ký hiệu “@”

Chính sách mật khẩu Azure AD

Chính sách mật khẩu được áp dụng cho tất cả các tài khoản người dùng được tạo và quản lý trực tiếp trong Azure AD. Không thể sửa đổi một số cài đặt chính sách mật khẩu này, mặc dù bạn có thể định cấu hình mật khẩu bị cấm tùy chỉnh để bảo vệ mật khẩu Azure AD hoặc các thông số khóa tài khoản.

Theo mặc định, tài khoản bị khóa sau 10 lần đăng nhập không thành công với mật khẩu sai. Người dùng bị khóa trong một phút. Các nỗ lực đăng nhập không chính xác khác sẽ khóa người dùng trong khoảng thời gian ngày càng tăng. Khóa thông minh theo dõi ba lần băm mật khẩu xấu cuối cùng để tránh tăng bộ đếm khóa cho cùng một mật khẩu. Nếu ai đó nhập cùng một mật khẩu xấu nhiều lần, hành vi này sẽ không khiến tài khoản bị khóa. Bạn có thể xác định ngưỡng và thời lượng khóa thông minh.

Chính sách mật khẩu Azure AD không áp dụng cho các tài khoản người dùng được đồng bộ hóa từ môi trường AD DS tại chỗ bằng Azure AD Connect, trừ khi bạn bật EnforceCloudPasswordPolicyForPasswordSyncedUsers.

Các tùy chọn chính sách mật khẩu Azure AD cần chú ý:

Đặc điểmYêu cầu
Mô tả cho phépA – Za – z0 – 9@ # $ % ^ & * – _ ! + = [ ] { } | \ : ‘ , . ? / ` ~ ” ( ) ;khoảng trắng.
Mô tả không cho phépKý tự Unicode.
Mật khẩu hạn chếTối thiểu 8 ký tự và tối đa 256 ký tự. Yêu cầu ba trong bốn ký tự sau: Ký tự chữ thường, ký tự chữ hoa. Số (0-9). Biểu tượng (xem các hạn chế mật khẩu trước đó).
Thời hạn hết hạn của mật khẩu (Tuổi mật khẩu tối đa)Giá trị mặc định: 90 ngày. Giá trị có thể định cấu hình bằng cách sử dụng lệnh ghép ngắn Set-MsolPasswordPolicy từ Mô-đun Azure Active Directory cho Windows PowerShell.
Thông báo hết hạn mật khẩu (Khi người dùng được thông báo về việc hết hạn mật khẩu)Giá trị mặc định: 14 ngày (trước khi mật khẩu hết hạn). Giá trị này có thể định cấu hình bằng cách sử dụng lệnh ghép ngắn Set-MsolPasswordPolicy.
Hết hạn mật khẩu (Để mật khẩu không bao giờ hết hạn)Giá trị mặc định: false (cho biết mật khẩu có ngày hết hạn). Giá trị này có thể được cấu hình cho các tài khoản người dùng cá nhân bằng cách sử dụng lệnh ghép ngắn Set-MsolUser.
Lịch sử thay đổi mật khẩuKhông thể sử dụng lại mật khẩu cuối cùng khi người dùng thay đổi mật khẩu.
Lịch sử đặt lại mật khẩuMật khẩu cuối cùng có thể được sử dụng lại khi người dùng đặt lại mật khẩu đã quên.

Quản trị viên đặt lại sự khác biệt về chính sách

Theo mặc định, tài khoản quản trị viên được bật để đặt lại mật khẩu tự phục vụ và chính sách đặt lại mật khẩu hai cổng mặc định mạnh mẽ được thực thi. Chính sách này có thể khác với chính sách bạn đã xác định cho người dùng của mình và bạn không thể thay đổi chính sách này. Bạn phải luôn kiểm tra chức năng đặt lại mật khẩu với tư cách là người dùng mà không cần bất kỳ vai trò quản trị viên Azure nào được chỉ định.

Với chính sách hai cổng, quản trị viên không có khả năng sử dụng các câu hỏi bảo mật.

Chính sách hai cổng yêu cầu hai phần dữ liệu xác thực, chẳng hạn như địa chỉ email, ứng dụng xác thực hoặc số điện thoại. Chính sách hai cổng áp dụng trong các trường hợp sau:

Tất cả các vai trò quản trị viên Azure sau đây đều bị ảnh hưởng:

  • Quản trị viên bộ phận trợ giúp
  • Quản trị viên hỗ trợ dịch vụ
  • Quản trị viên thanh toán
  • Hỗ trợ cấp đối tác 1
  • Hỗ trợ đối tác cấp 2
  • Quản trị viên Exchange
  • Quản trị viên Hộp thư
  • Quản trị viên Skype for Business
  • Quản trị viên người dùng
  • Người viết thư mục
  • Quản trị viên toàn cầu hoặc quản trị viên công ty
  • Quản trị viên SharePoint
  • Quản trị viên tuân thủ
  • Quản trị viên ứng dụng
  • Quản trị viên bảo mật
  • Quản trị viên vai trò đặc quyền
  • Quản trị viên Intune
  • Quản trị viên cục bộ thiết bị tham gia Azure AD
  • Quản trị viên dịch vụ proxy ứng dụng
  • Quản trị viên Dynamics 365
  • Quản trị viên dịch vụ Power BI
  • Quản trị viên xác thực
  • Quản trị viên mật khẩu
  • Quản trị viên Xác thực Đặc quyền

Ngoại lệ

Chính sách một cổng yêu cầu một phần dữ liệu xác thực, chẳng hạn như địa chỉ email hoặc số điện thoại. Chính sách một cửa áp dụng trong các trường hợp sau:

  • Đó là trong vòng 30 ngày đầu tiên kể từ ngày đăng ký dùng thử.
  • Miền tùy chỉnh chưa được định cấu hình cho đối tượng thuê Azure AD của bạn, do đó, đang sử dụng * .onmicrosoft.com mặc định. Miền * .onmicrosoft.com mặc định không được khuyến nghị sử dụng trong sản xuất; và
  • Azure AD Connect không đồng bộ hóa danh tính

Chính sách hết hạn mật khẩu

Quản trị viên toàn cầu hoặc quản trị viên người dùng có thể sử dụng moldun Microsoft Azure AD cho Windows PowerShell để đặt mật khẩu người dùng không hết hạn.

Bạn cũng có thể sử dụng lệnh ghép ngắn PowerShell để xóa cấu hình không bao giờ hết hạn hoặc để xem mật khẩu người dùng nào được đặt để không bao giờ hết hạn.

Đội kỹ thuật VinSEP | Theo Microsoft.com

Was this article helpful?