檢視次數:

密碼過期限制了安全威脅行為者在密碼更改前猜測或破解密碼的風險。

沒有密碼過期要求的帳戶可以無限期使用(除非帳戶被刪除)。隨著時間的推移,不變的密碼變得越來越容易被安全威脅行為者破解。Active Directory 和 Microsoft Entra ID 管理員(全域管理員或使用者管理員)可以移除或暫時關閉要求使用者定期更改密碼的規定。然而,這應該僅適用於緊急存取帳戶。
您可以通過以下方法解決此問題:
系統
步驟
Active Directory
  • 在群組原則物件中為所有帳戶定義密碼到期期限。
  • 不要為網域控制站中的所有帳戶啟用「密碼永不過期」。
Microsoft Entra ID
使用 PowerShell 配置密碼過期政策。
  1. 打開 PowerShell 提示符,並使用全域管理員或使用者管理員帳戶連接到您的 Microsoft Entra ID 租戶:
    Connect-AzureAD -Confirm
  2. 通過執行以下其中一個命令來要求密碼過期:
    • 單一使用者(您必須指定帳戶擁有者的使用者 ID。)
      Set-AzureADUser -ObjectId <user ID> -PasswordPolicies None
    • 組織中的所有使用者
      Get-AzureADUser -All $true | Set-AzureADUser -PasswordPolicies None
如需詳細資訊,請參閱 https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-sspr-policy
根據您組織的獨特設置,您可能無法對所有帳戶強制執行密碼過期。您可以將此問題添加到例外清單中,以排除相關風險事件資料,從而不計入您公司風險指數的計算。
以下表格概述了您可以利用例外清單並應用替代解決方案的情況。
情況
處理行動
同時使用 Microsoft Entra ID 和 Active Directory(混合環境)
將「密碼過期已停用」問題添加到例外清單。
使用第三方身份和存取管理 (IAM) 系統
  • 在您的 IAM 系統中啟用密碼過期政策。
  • 將「密碼過期已停用」問題添加到例外清單。
群組原則物件的使用
  • 通過 GPO 啟用密碼過期策略。
  • 將「密碼過期已停用」問題添加到例外清單。
重要
重要
  • 將問題添加到例外清單中,將永久排除風險洞察應用程式中的相關風險事件資料。
  • 如果有必要,您最終可以從列表中移除問題,但被排除的風險事件資料無法恢復。
  • 對例外清單的變更僅適用於新的風險事件。