В политике паролей Azure Active Directory определяются требования к паролям пользователей тенанта, такие как: сложность пароля, длина, срок действия паролей, настройки блокировки учетных записей и другие параметры. В этой статье мы рассмотрим, как управлять политикой паролей в Azure AD.
По умолчанию в Azure AD на все учетные записи, которые созданы в облаке (не синхронизированы с on-premises Active Directory через Azure AD Connect), уже действует стандартная политика паролей.
Основные настройки политики паролей по умолчанию:
1. Разрешенные символы: A-Z, a-z, 0-9, пробел и служебные символы @ # $ % ^ & * – _ ! + = [ ] { } | \ : ‘ , . ? / ` ~ » ( ) ;
2. Сложность пароля: минимум 3 группы символов из четырех (символы в верхнем регистре, нижнем регистре, цифры, спец. символы)
3. Длина пароля: минимум 8 символов, максимум 256 символов
4. Невозможность использования предыдущего пароля
Содержание:
1. Срок действия пароля пользователя в Azure AD
2. Блокировка пользователей в Azure AD
3. Запрет использования стандартных (популярных) паролей в Azure AD
Срок действия пароля пользователя в Azure AD
По умолчанию в Azure AD (Microsoft 365) у пароля нет срока действия. Это означает, что срок действия пароля пользователя никогда не истекает. Однако, вы можете включить срок для паролей через Microsoft 365 Admin Center:
1. Перейдите в Microsoft 365 Admin Center > Settings > Security & Privacy > Password expiration policy.
2. Отключите опцию Set password to never expire (recommended).
Политика срока действия пароля в Azure AD:
— Срок действия пароля — 90 дней.
— Уведомление о необходимости смены пароля начинается за 14 дней до истечения срока.
Microsoft рекомендует не включать срок действия для паролей, если пользователи Azure используют MFA-аутентификацию.
Вы можете изменить срок действия паролей пользователей с помощью модуля PowerShell MSOnline:
1. Установите модуль (если нужно) и подключитесь к своему тенанту:
Install-Module MSOnline
Connect-MsolService
2. Выведите текущие параметры политики срока действия паролей в Azure:
Get-MsolPasswordPolicy -DomainName softcomputers.com
3. Измените срок действия пароля и время уведомления в политике паролей Azure AD:
Set-MsolPasswordPolicy -DomainName softcomputers.org -ValidityPeriod 180 -NotificationDays 21
Вы также можете управлять настройками срока действия паролей для конкретного пользователя через модуль Azure AD:
1. Подключитесь к Azure AD:
Connect-AzureAD
2. Включите опцию Password never expires для конкретного пользователя:
Set-AzureADUser -ObjectId "DimovS@softcomputers.org" -PasswordPolicies DisablePasswordExpiration
Вывести информацию о сроке действия пароля пользователя:
Get-AzureADUser -ObjectId "DimovS@winitpro.ru"|Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
3. Включите срок действия пароля для пользователя:
Set-AzureADUser -ObjectId "DimovS@softcomputers.org" -PasswordPolicies None
Блокировка пользователей в Azure AD
Другой параметр политики паролей в Azure — настройка блокировки пользователей при вводе неверного пароля.
По умолчанию учетная запись блокируется на 1 минуту после 10 неудачных попыток аутентификации с неверным паролем. Время блокировки увеличивается при каждой следующей неудачной попытке входа.
Настройки блокировки находятся в Azure Portal -> Azure Active Directory -> Security -> Authentication methods -> Password protection.
Параметры настройки:
1. Lockout threshold — количество неудачных попыток ввода пароля, после которых учетная запись блокируется (по умолчанию 10).
2. Lockout duration in seconds — длительность блокировки (по умолчанию 60 секунд).
При блокировке учетной записи пользователь Azure увидит сообщение:
Your account is temporarily locked to prevent unauthorized use. Try again later, and if you still have trouble, contact your admin.
Запрет использования стандартных (популярных) паролей в Azure AD
В Azure AD есть функция Azure AD Password Protection, которая позволяет заблокировать использование слабых и общеизвестных паролей, например таких как P@ssw0rd или Pa$$word.
Чтобы настроить эту функцию:
1. Перейдите в Azure Active Directory -> Security -> Authentication methods -> Password protection.
2. Включите опцию Enforce custom list в разделе Custom banned list и добавьте список паролей, которые вы хотите запретить (до 1000 паролей).
Если пользователь Azure AD попытается изменить свой пароль на один из запрещенных, появится уведомление о невозможности использования этого пароля:
Unfortunately, you can’t use that password because it contains words or characters that have been blocked by your administrator. Please try again with a different password.
Для on-premises Active Directory DS:
1. Требуется подписка Azure AD Premium P1 или P2.
2. Включите опцию Enable password protection on Windows Server Active Directory.
3. Установите службу Azure AD Password Protection и агент на всех контроллерах домена.
4. Включите опцию EnforceCloudPasswordPolicyForPasswordSyncedUsers для применения политики паролей Azure к синхронизированным пользователям из AD DS.
Azure AD предоставляет гибкие и мощные инструменты для управления паролями пользователей, включая политику блокировки, настройку срока действия паролей и запрет использования слабых паролей. Использование этих инструментов поможет обеспечить безопасность и предотвратить несанкционированный доступ к корпоративным ресурсам.
