Políticas de senha e restrições de conta no Microsoft Entra ID

No Microsoft Entra ID, há uma política de senha que define configurações como a complexidade, o comprimento ou a idade da senha. Também há uma política que define os caracteres aceitáveis e o comprimento dos nomes de usuário.

Quando a SSPR (redefinição de senha self-service) é usada para alterar ou redefinir uma senha no Microsoft Entra ID, a política de senha é verificada. Se a senha não atender aos requisitos da política, o usuário será solicitado a tentar novamente. Os administradores do Azure têm algumas restrições quanto ao uso do SSPR que são diferentes das aplicadas às contas de usuário comuns, e existem pequenas exceções para as versões de avaliação e gratuitas do Microsoft Entra ID.

Este artigo descreve as configurações da política de senha e os requisitos de complexidade associados às contas de usuário. Também aborda como usar o PowerShell para verificar ou definir configurações de expiração de senha.

Políticas de nome de usuário

Toda conta que faz login no Microsoft Entra ID deve ter um valor exclusivo para o atributo nome principal de usuário (UPN) associado à conta. Em ambientes híbridos com um ambiente local do Active Directory Domain Services (AD DS) sincronizado com o Microsoft Entra ID usando o Microsoft Entra Connect, por padrão, o UPN do Microsoft Entra ID é definido como o UPN local.

A tabela a seguir descreve as políticas de nome de usuário que se aplicam às contas locais que são sincronizadas com o Microsoft Entra ID e às contas de usuário somente na nuvem criadas diretamente no Microsoft Entra ID:

Políticas de senha do Microsoft Entra

Uma política de senha é aplicada a todas as contas de usuário criadas e gerenciadas diretamente no Microsoft Entra ID. Algumas dessas configurações de política de senha não podem ser modificadas, embora você possa configurar senhas proibidas personalizadas para a proteção de senha do Microsoft Entra ou parâmetros de bloqueio de conta.

Por padrão, uma conta será bloqueada após 10 tentativas malsucedidas de conexão com a senha incorreta. O usuário é bloqueado por um minuto. A duração do bloqueio aumenta após outras tentativas de entrada incorretas. O bloqueio inteligente rastreia os últimos três hashes de senha incorreta para evitar o incremento do contador de bloqueio para a mesma senha. Se alguém digitar a mesma senha incorreta várias vezes, a pessoa não será bloqueada. Você pode definir o limite e a duração do bloqueio inteligente.

São definidas as seguintes opções de política de senha do Microsoft Entra. A menos que indicado, não é possível alterar essas configurações:

Se você habilitar EnforceCloudPasswordPolicyForPasswordSyncedUsers, a política de senha do Microsoft Entra se aplicará a contas de usuário sincronizadas no local usando o Microsoft Entra Connect. Além disso, se um usuário alterar uma senha local para incluir um caractere unicode, a alteração de senha poderá ser bem-sucedida localmente, mas não no Microsoft Entra ID. Se a sincronização de hash de senha estiver habilitada com o Microsoft Entra Connect, o usuário ainda poderá receber um token de acesso para recursos de nuvem. Mas se o locatário habilitar a alteração de senha baseada em risco do usuário, a alteração de senha será relatada como de alto risco.

Será solicitado que o usuário altere a senha novamente. Mas se a alteração ainda incluir um caractere unicode, o usuário podrá ficar bloqueado se o bloqueio inteligente também estiver ativado.

Limitações da política de redefinição de senha baseada em risco

Se você habilitar EnforceCloudPasswordPolicyForPasswordSyncedUsers, uma alteração de senha de nuvem será necessária quando um alto risco for identificado. Será solicitado que o usuário altere a senha quando entrar no Microsoft Entra ID. A nova senha deve estar em conformidade com as políticas de senha na nuvem e no local.

Se uma alteração de senha atender aos requisitos locais, mas não atender aos requisitos de nuvem, a alteração de senha ocorrerá se a sincronização de hash de senha estiver habilitada. Por exemplo, se a nova senha incluir um caractere unicode, a alteração de senha poderá ser atualizada no local, mas não na nuvem.

Se a senha não estiver em conformidade com os requisitos de senha na nuvem, ela não será atualizada na nuvem e o risco da conta não diminuirá. O usuário ainda receberá um token de acesso para recursos de nuvem, mas será solicitada a alteração da senha novamente ao acessar recursos de nuvem. O usuário não verá nenhum erro ou notificação de que a senha escolhida não atendeu aos requisitos de nuvem.

Diferenças da política de redefinição de senha do administrador

Por padrão, as contas de administrador são habilitadas para a redefinição de senha por autoatendimento, e uma forte política padrão de redefinição de senha de dois mecanismos é aplicada. Essa política pode ser diferente daquela que você definiu para seus usuários e essa política não pode ser alterada. Sempre teste a funcionalidade de redefinição de senha como um usuário sem funções de administrador do Azure atribuídas.

A política de duas portas requer duas partes de dados de autenticação, como um endereço de email, aplicativo autenticador ou um número de telefone e proíbe perguntas de segurança. As chamadas de voz móveis e do Office também são proibidas para versões de avaliação ou gratuitas do Microsoft Entra ID.

A política de administrador SSPR não depende da política de métodos de autenticação. Por exemplo, se você desabilitar tokens de software de terceiros na política de métodos de autenticação, as contas de administrador ainda poderão registrar aplicativos de token de software de terceiros e usá-los, mas apenas para SSPR.

Uma política de duas portas aplica-se nas seguintes circunstâncias:

• As seguintes funções de administrador são afetadas:

  Funções A–D	Funções D–N	Funções O–Y
  Administrador de Licenças Ad Hoc	Administrador do Dynamics 365	Administrador de Aplicativos do Office
  Administrador de Aplicativos	Administrador do Dynamics 365 Business Central	Administrador de identidade visual organizacional
  Administrador de Serviços do Proxy de Aplicativo	Administrador do Edge	Suporte de nível 1 para parceiros
  Administrador de Simulação de Ataque	Criador de Usuário Verificado por Email	Suporte de nível 2 para parceiros
  Administrador de atribuição de atributo	Administrador do Exchange	Administrador de senha
  Administrador de definição de atributo	Administrador de destinatários do Exchange	Administrador de Gerenciamento de Permissões
  Administrador de Log de Atributos	Administrador do Fluxo de Usuário para ID Externa	Administrador de Serviços do Power BI
  Administrador de Autenticação	ID Externa Administrador de Atributos do Fluxo de Usuário	Administrador do Power Platform
  Administrador de Extensibilidade de Autenticação	Administrador do Fornecedor de Identidade Externo	Administrador da Impressora
  Administrador de Política de Autenticação	Administrador Global	Administrador de Autenticação Privilegiada
  Administrador do Azure DevOps	Administrador global de acesso seguro	Administrador de Funções Privilegiadas
  Administrador da Proteção de Informações do Azure	Administrador de Grupos	Administrador de Pesquisa
  Administrador do conjunto de chaves IEF B2C	Administrador de Assistência Técnica	Administrador de segurança
  Administrador de Políticas do IEF B2C	Administrador de identidade híbrida	Administrador de suporte a serviço
  Administrador de cobrança	Administrador de gestão de identidade	Administrador do SharePoint
  Administrador do Cloud App Security	Administrador do Insights	Administrador do Skype for Business
  Administrador de dispositivo de nuvem	Administrador do Intune	Administrador de equipes
  Administrador de conformidade	Administrador de Conhecimento	Administrador de Comunicações do Teams
  Administrador de Dados de Conformidade	Administrador de Licenças	Administrador de dispositivos do Teams
  Administrador de Acesso Condicional	Administrador de Fluxos de Trabalho do Ciclo de Vida	Administrador de usuários
  Aprovador de acesso do Customer Lockbox	Administrador da caixa de correio	Administrador de visitas virtuais
  Administrador de Análise de Área de Trabalho	Administrador Local do Dispositivo associado ao Microsoft Entra	Administrador do Viva Goals
  Administradores de Dispositivos	Administrador de Garantia de Hardware da Microsoft	Administrador do Viva Pulse
  Contas de Sincronização de Diretórios	Administrador de Migração Microsoft 365	Administrador do Windows365
  Gravadores de diretório	Administrador de Comércio Moderno	Administrador de implantação do Windows Update
  Administrador de Nome de Domínio	Administrador de rede	Administrador do Yammer

• Se tiverem se passado 30 dias em uma assinatura de teste

  -Ou-

• Um domínio personalizado é configurado para o seu locatário do Microsoft Entra, como contoso.com

  -Ou-

• O Microsoft Entra Connect sincroniza identidades de seu diretório local

Você pode desabilitar o uso do SSPR para contas de administrador definindo o valor da AllowedToUseSspr propriedade na política de autorização do locatário como false. As alterações de política para habilitar ou desabilitar o SSPR em contas de administrador podem levar até 60 minutos para entrar em vigor.

Connect-MgGraph -Scopes Policy.ReadWrite.Authorization
Update-MgPolicyAuthorizationPolicy -AllowedToUseSspr:$false

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
  "allowedToUseSSPR":false
}

Exceções

Uma política de duas portas requer um tipo de dados de autenticação, como um endereço de email ou um número de telefone. Uma política de uma porta aplica-se nas seguintes circunstâncias:

• Está nos primeiros 30 dias de uma assinatura de teste

  -Ou-

• Um domínio personalizado não está configurado (o locatário está usando o *.onmicrosoft.com padrão, que não é recomendado para uso em produção) e o Microsoft Entra Connect não está sincronizando identidades.

Políticas de expiração de senha

Administradores de usuário podem usar o Microsoft Graph para definir que as senhas de usuários não expirem.

Você também pode usar os cmdlets do PowerShell para remover as configurações que nunca expiram ou para ver quais senhas de usuário são configuradas para não expirar.

Essas diretrizes se aplicam a outros provedores, como o Intune e o Microsoft 365, que também contam com o Microsoft Entra ID para serviços de identidade e diretório. A expiração da senha é a única parte da política que pode ser alterada.

Definir ou verificar políticas de senha usando o PowerShell

Para começar, faça o download e instale o módulo do Microsoft Graph PowerShell e conecte-o ao seu locatário do Microsoft Entra.

Depois que o módulo for instalado, use as etapas a seguir para concluir cada tarefa conforme necessário.

Verificar a política de expiração de uma senha

1. Abra um prompt do PowerShell e conecte-se ao locatário do Microsoft Entra com pelo menos a função de Administrador de usuários.

2. Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:

   • Para ver se a senha de um único usuário está definida para nunca expirar, execute o cmdlet a seguir. Substitua <user ID> pela ID do usuário que deseja verificar:

     Get-MgUser -UserId <user ID> -Property UserPrincipalName, PasswordPolicies | Select-Object @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
     

   • Para ver a configuração Senha nunca expira para todos os usuários, execute o seguinte cmdlet:

     Get-MgUser -All -Property UserPrincipalName, PasswordPolicies | Select-Object UserPrincipalName, @{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
     

Definir uma senha para expirar

1. Abra um prompt do PowerShell e conecte-se ao locatário do Microsoft Entra com pelo menos a função de Administrador de usuários.

2. Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:

   • Para definir a senha de um usuário para que ela expire, execute o cmdlet a seguir. Substitua <user ID> pela ID do usuário que deseja verificar:

     Update-MgUser -UserId <user ID> -PasswordPolicies None
     

   • Para definir as senhas de todos os usuários da organização de modo que elas expirem, use o seguinte comando:

     Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies None }
     

Definir uma senha para nunca expirar

1. Abra um prompt do PowerShell e conecte-se ao locatário do Microsoft Entra com pelo menos a função de Administrador de usuários.

2. Execute um dos seguintes comandos para um usuário individual ou para todos os usuários:

   • Para definir a senha de um usuário para que ela nunca expire, execute o cmdlet a seguir. Substitua <user ID> pela ID do usuário que deseja verificar:

     Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration
     

   • Para definir as senhas de todos os usuários de uma organização para nunca expirar, execute o seguinte cmdlet:

     Get-MgUser -All | foreach $_ { Update-MgUser -UserId $_.Id -PasswordPolicies DisablePasswordExpiration }
     

   Aviso

   Senhas definidas como -PasswordPolicies DisablePasswordExpiration ainda expiram com base no atributo LastPasswordChangeDateTime. Com base no atributo LastPasswordChangeDateTime, se você alterar a expiração para -PasswordPolicies None, todas as senhas que tenham um LastPasswordChangeDateTime com idade acima de 90 dias exigirão que o usuário as altere na próxima vez que entrarem. Essa alteração pode afetar um grande número de usuários.

Conteúdo relacionado

Para começar a usar a SSPR, confira Tutorial: Permitir que os usuários desbloqueiem suas contas ou redefinam senhas usando a redefinição de senha self-service do Microsoft Entra.

Se você ou os usuários tiverem problemas com a SSPR, consulte Solucionar problemas de redefinição de senha de autoatendimento.