Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In Microsoft Entra ID è presente un criterio per le password che definisce impostazioni come la complessità, la lunghezza o l'anzianità delle password. Esistono anche criteri che definiscono caratteri e lunghezza accettabili per i nomi utente.
Quando la reimpostazione della password self-service (SSPR) viene usata per modificare o reimpostare una password in Microsoft Entra ID, i criteri della password vengono controllati. Se la password non soddisfa i requisiti dei criteri, all'utente viene richiesto di riprovare. Gli amministratori di Azure hanno alcune restrizioni relative all’uso di SSPR diverse da quelle previste per i normali account utente e sono previste alcune eccezioni minori per le versioni di valutazione e gratuite di Microsoft Entra ID.
Questo articolo descrive le impostazioni dei criteri password e i requisiti di complessità associati agli account utente. Illustra anche come usare PowerShell per controllare o impostare le impostazioni di scadenza delle password.
Politiche sui nomi utente
Ogni account che accede a ID di Microsoft Entra deve avere un valore di attributo UPN (User Principal Name) univoco associato al proprio account. Negli ambienti ibridi con un ambiente di servizi di dominio Active Directory locale sincronizzato con l'ID Microsoft Entra con Microsoft Entra Connect, per impostazione predefinita l'UPN dell'ID Microsoft Entra è impostato sull'UPN locale.
Nella tabella seguente vengono descritti i criteri relativi al nome utente che si applicano sia agli account locali sincronizzati con Microsoft Entra ID che per gli account utente solo cloud creati direttamente in Microsoft Entra ID:
| Proprietà | Requisiti di UserPrincipalName |
|---|---|
| Caratteri consentiti | A-Z a - z 0-9 ' . - _ ! # ^ ~ |
| Caratteri non consentiti | Qualsiasi carattere "@" che non separa il nome utente dal dominio. Non può contenere un punto "." subito prima del simbolo "@" |
| Vincoli di lunghezza | La lunghezza totale non deve superare i 113 caratteri Prima del simbolo "@" possono esserci al massimo 64 caratteri Dopo il simbolo "@" possono esserci al massimo 48 caratteri |
Criteri password di Microsoft Entra
I criteri delle password vengono applicati a tutti gli account utente creati e gestiti direttamente in Microsoft Entra ID. Alcune di queste impostazioni dei criteri di password non possono essere modificate, anche se è possibile configurare password personalizzate escluse per la protezione delle password di Microsoft Entra o i parametri di blocco dell'account.
Per impostazione predefinita, un account viene bloccato dopo 10 tentativi di accesso non riusciti a causa della password errata. L'utente viene bloccato per un minuto. La durata del blocco aumenta dopo ulteriori tentativi di accesso non corretti. Il blocco intelligente tiene traccia degli ultimi tre hash delle password non validi per evitare l'incremento del contatore dei blocchi per la stessa password. Se qualcuno immette più volte la stessa password errata, l'account non viene bloccato. È possibile definire la soglia e la durata del blocco intelligente.
Le seguenti opzioni dei criteri password di Microsoft Entra sono definite. Se non specificato, non è possibile modificare queste impostazioni:
| Proprietà | Requisiti |
|---|---|
| Caratteri consentiti | A-Z a - z 0-9 @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <> Spazio vuoto |
| Caratteri non consentiti | Caratteri Unicode |
| Restrizioni per le password | Un numero di caratteri compreso tra 8 e 256. Richiede tre dei quattro tipi di caratteri seguenti: - Caratteri minuscoli - Caratteri maiuscoli - Numeri (da 0 a 9) - Simboli (vedere le restrizioni per le password elencate sopra) |
| Durata scadenza password (validità massima password) | Valore predefinito: Nessuna scadenza. Se il tenant è stato creato prima del 2021, per impostazione predefinita ha un valore di scadenza 90 giorno. È possibile controllare i criteri correnti con Get-MgDomain. Il valore è configurabile usando il cmdlet Update-MgDomain del modulo Microsoft Graph per PowerShell. |
| Scadenza password (Validità illimitata password) | Valore predefinito: false (indica che la password ha una data di scadenza). Il valore può essere configurato per singoli account utente con il cmdlet Update-MgUser. |
| Cronologia delle modifiche della password | Al cambio della password, l'utente non può usare di nuovo la password più recente. |
| Cronologia delle reimpostazioni della password | Alla reimpostazione di una password dimenticata, l'utente può usare di nuovo la password più recente. |
Importante
La cronologia delle modifiche della password si applica al ripristino della password. Per gli utenti solo cloud, la reimpostazione della password di Microsoft Entra ID non dispone della password precedente dell'utente e non può controllare né impedire il riutilizzo della password.
Se si abilita EnforceCloudPasswordPolicyForPasswordSyncedUsers, i criteri password di Microsoft Entra si applicano agli account utente sincronizzati dall'ambiente locale tramite Microsoft Entra Connect. Inoltre, se un utente modifica una password in locale per includere un carattere Unicode, la modifica della password può avere esito positivo in locale ma non in Microsoft Entra ID. Se la sincronizzazione dell'hash delle password è abilitata con Microsoft Entra Connect, l'utente può comunque ricevere un token di accesso per le risorse cloud. Tuttavia, se il tenant abilita la modifica della password basata sul rischio utente, la modifica della password viene segnalata come ad alto rischio.
All'utente viene chiesto di modificare nuovamente la password. Tuttavia, se il cambiamento include ancora un carattere Unicode, potrebbero essere bloccati se anche il blocco intelligente è abilitato.
Limitazioni dei criteri di reimpostazione delle password basate sul rischio
Se si abilita EnforceCloudPasswordPolicyForPasswordSyncedUsers, una modifica della password cloud è necessaria una volta identificato un rischio elevato. All'utente viene richiesto di modificare la password quando accede a Microsoft Entra ID. La nuova password deve essere conforme sia ai criteri cloud che alle password locali.
Se una modifica della password soddisfa i requisiti locali ma non soddisfa i requisiti cloud, la modifica della password ha esito positivo se la sincronizzazione dell'hash delle password è abilitata. Ad esempio, se la nuova password include un carattere Unicode, la modifica della password può essere aggiornata in locale ma non nel cloud.
Se la password non è conforme ai requisiti della password cloud, non viene aggiornata nel cloud e il rischio dell'account non diminuisce. L'utente riceve ancora un token di accesso per le risorse cloud, ma viene richiesto di modificare di nuovo la password al successivo accesso alle risorse cloud. L'utente non visualizza alcun errore o notifica che la password scelta non è riuscita a soddisfare i requisiti cloud.
Differenze nei criteri di reimpostazione dell'amministratore
Per impostazione predefinita, gli account amministratore sono abilitati pur la reimpostazione autonoma della password, e viene applicato un criterio di reimpostazione della password a due fattori sicuro. Questo criterio potrebbe essere diverso da quello definito per gli utenti e questo criterio non può essere modificato. È necessario verificare sempre la funzionalità di reimpostazione della password come utente senza ruoli di amministratore di Azure assegnati.
Il criterio a due gate richiede tre tipi di dati di autenticazione, ad esempio un indirizzo di posta elettronica, un'app di autenticazione o un numero di telefono e vieta le domande di sicurezza. Anche le chiamate vocali di Office e per dispositivi mobili sono vietate per le versioni di valutazione o gratuite di Microsoft Entra ID.
I criteri per gli amministratori della reimpostazione self-service della password non dipendono dai criteri dei metodi di autenticazione. Ad esempio, se si disabilitano i token software di terze parti nei criteri relativi ai metodi di autenticazione, gli account amministratore possono comunque registrare applicazioni di token software di terze parti e usarle, ma solo per la reimpostazione self-service della password.
Un criterio a due gate si applica nelle circostanze seguenti:
Sono interessati i ruoli di amministratore seguenti:
Ruoli A-D Ruoli D-N Ruoli O-Y Amministratore di licenze ad hoc Amministratore di Dynamics 365 Amministratore delle app di Office Amministratore di applicazioni Amministratore di archiviazione su disco Amministratore del branding dell'organizzazione amministratore del servizio Application Proxy Amministratore Edge Supporto di Livello 1 per Partner Amministratore della simulazione di attacchi Creatore di utenti con email verificata Supporto di secondo livello per i partner Amministratore dell'assegnazione degli attributi Amministratore di Exchange Amministratore delle password Amministratore delle definizioni di attributo Amministratore dei destinatari di Exchange Amministratore gestione autorizzazioni Amministratore del registro degli attributi Amministratore del flusso utenti ID esterno amministratore del servizio Power BI Amministratore dell'autenticazione ID esterno amministratore degli attributi del flusso utente Amministratore di Power Platform Amministratore dell'estendibilità dell'autenticazione Amministratore del provider di identità esterno Amministratore stampante Amministratore dei criteri di autenticazione Amministratore globale Amministratore dell'autenticazione privilegiata Amministratore di Azure DevOps Amministratore globale dell'accesso sicuro Amministratore di ruoli privilegiati Amministratore di Information Protection di Azure Amministratore di gruppi Amministratore ricerca Amministratore del set di chiavi IEF B2C Amministratore supporto tecnico Amministratore della sicurezza Amministratore dei criteri IEF B2C Amministratore dell’identità ibrida Amministratore servizio di supporto Amministratore fatturazione Amministratore di Identity Governance Amministratore SharePoint Amministratore di Cloud App Security Amministratore di Insights Amministratore di Skype for Business Amministratore dispositivo cloud Amministratore di Intune Amministratore di Teams Amministratore di conformità Amministratore delle conoscenze Amministratore delle comunicazioni di Teams Amministratore dei dati sulla conformità Amministratore licenze Amministratore di dispositivi di Teams Amministratore dell'accesso condizionale Amministratore dei flussi di lavoro dei cicli di vita Amministratore utenti Responsabile dell’approvazione dell’accesso a Customer Lockbox Amministratore della casella di posta L'amministratore delle visite virtuali Amministratore Desktop Analytics Amministratore locale del dispositivo aggiunto a Microsoft Entra amministratore di Viva Goals Amministratori dei dispositivi Amministratore della garanzia hardware di Microsoft Amministratore di Viva Pulse Account di sincronizzazione delle directory Amministratore della migrazione di Microsoft 365 Amministratore di Windows365 Scrittori della Directory Amministratore di Commerce moderno Amministratore della distribuzione di Windows Update Amministratore dei nomi di dominio Amministratore di rete Amministratore di Yammer Se sono trascorsi 30 giorni in un abbonamento di prova
Oppure
Un dominio personalizzato è configurato per il tenant di Microsoft Entra, ad esempio contoso.com
Oppure
Microsoft Entra Connect sincronizza le identità dalla directory locale
È possibile disabilitare l'uso di SSPR per gli account amministratore impostando il valore della AllowedToUseSspr proprietà nei criteri di autorizzazione del tenant su false. Le modifiche alle politiche per abilitare o disabilitare l'SSPR (reimpostazione della password self-service) per gli account amministratore possono richiedere fino a 60 minuti per avere effetto.
Importante
Quando il criterio di reimpostazione della password per gli amministratori è disabilitato, gli amministratori non possono reimpostare la password tramite SSPR, anche se rientrano nell'ambito del criterio di reimpostazione della password per gli utenti. Se la registrazione per la reimpostazione self-service della password è abilitata e gli amministratori sono inclusi nel criterio di reimpostazione della password per gli utenti, viene comunque chiesto loro di registrarsi, ma viene visualizzato un messaggio che indica che non possono registrare alcun metodo. Per evitare questa esperienza, escludere esplicitamente gli amministratori dai criteri di reimpostazione della password per gli utenti quando i criteri di reimpostazione della password per gli amministratori sono disabilitati.
Update-MgPolicyAuthorizationPolicy
Connect-MgGraph -Scopes Policy.ReadWrite.Authorization
Update-MgPolicyAuthorizationPolicy -AllowedToUseSspr:$false
Eccezioni
Una politica a uno sportello richiede un singolo dato di autenticazione, ad esempio un indirizzo email o un numero di telefono. Un criterio "one-gate" si applica nelle circostanze seguenti:
Siamo ancora entro i primi 30 giorni di un abbonamento di prova.
Oppure
Un dominio personalizzato non è configurato (il tenant usa il valore predefinito *.onmicrosoft.com, che non è consigliato per l'uso in produzione) e Microsoft Entra Connect non sincronizza le identità.
Criteri di scadenza delle password
Gli amministratori utenti possono usare Microsoft Graph per impostare le password utente che non scadono.
È inoltre possibile usare cmdlet PowerShell per rimuovere la configurazione senza scadenza o per vedere quali password utente vengono impostate in modo da non scadere mai.
Queste indicazioni si applicano ad altri provider, ad esempio Intune e Microsoft 365, che si basano sempre su Microsoft Entra ID per i servizi di identità e directory. La scadenza della password è l'unica parte dei criteri a poter essere modificata.
Nota
Per impostazione predefinita, solo le password per gli account utente non sincronizzati tramite Microsoft Entra Connect possono essere configurate per non scadere. Per altre informazioni sulla sincronizzazione delle directory, vedere Connettere AD con Microsoft Entra ID.
Impostare o verificare i criteri delle password tramite PowerShell
Per iniziare, scaricare e installare il modulo Microsoft Graph PowerShell e connetterlo al tenant di Microsoft Entra.
Dopo aver installato il modulo, seguire questa procedura per completare ogni attività in base alle esigenze.
Controllare i criteri di scadenza per una password
Aprire un prompt di PowerShell e connettersi al tenant di Microsoft Entra con privilegi almeno di amministratore utente.
Eseguire uno dei comandi seguenti per un singolo utente o per tutti gli utenti:
Per verificare se la password di un singolo utente è impostata per non scadere mai, eseguire il cmdlet seguente. Sostituire
<user ID>con l'ID utente dell'utente che si vuole controllare:Get-MgUser -UserId <user ID> -Property UserPrincipalName, PasswordPolicies | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}Per visualizzare l'impostazione La password non scade mai per tutti gli utenti, eseguire il cmdlet seguente:
Get-MgUser -All -Property UserPrincipalName, PasswordPolicies | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
Impostare una scadenza della password
Aprire un prompt di PowerShell e connettersi al tenant di Microsoft Entra con privilegi almeno di amministratore utente.
Eseguire uno dei comandi seguenti per un singolo utente o per tutti gli utenti:
Per impostare la password di un utente in modo che la password scada, eseguire il cmdlet seguente. Sostituire
<user ID>con l'ID utente dell'utente che si vuole controllare:Update-MgUser -UserId <user ID> -PasswordPolicies NonePer impostare le password di tutti gli utenti dell'organizzazione in modo che scadano, usare il comando seguente:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
Impostare una password senza scadenza
Aprire un prompt di PowerShell e connettersi al tenant di Microsoft Entra con privilegi almeno di amministratore utente.
Eseguire uno dei comandi seguenti per un singolo utente o per tutti gli utenti:
Per impostare la password di un utente senza scadenza, eseguire il cmdlet seguente. Sostituire
<user ID>con l'ID utente dell'utente che si vuole controllare:Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpirationPer impostare le password degli utenti in un'organizzazione in modo che non scadano mai, eseguire il cmdlet seguente:
Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
Avviso
Le password impostate su
-PasswordPolicies DisablePasswordExpirationdiventano comunque obsolete in base all'attributoLastPasswordChangeDateTime. In base all'attributoLastPasswordChangeDateTime, se si modifica la scadenza in-PasswordPolicies None, all'accesso successivo l'utente sarà tenuto a cambiare tutte le password che hanno un attributoLastPasswordChangeDateTimeche risale a più di 90 giorni prima. Questa modifica può riguardare un numero elevato di utenti.
Contenuti correlati
Per iniziare a usare la reimpostazione della password self-service, vedere Esercitazione: Abilitare gli utenti a sbloccare il proprio account o reimpostare le password usando la reimpostazione della password self-service di Microsoft Entra.
Se tu o gli utenti avete problemi con la reimpostazione della password self-service, vedere Risolvere i problemi di reimpostazione della password self-service.