Angiv en brugers adgangskode til aldrig at udløbe i Azure Active Directory

Med Microsoft 365 kan administratorer angive, at Azure AD-adgangskoden aldrig skal udløbe. Det blev tidligere betragtet at udløb af adgangskoder var afgørende for en organisations sikkerhed, men NIST's seneste retningslinjer understreger, at det øger sikkerheden at indstille adgangskoder til aldrig at udløbe.

Som følge heraf kan det være nødvendigt at ændre organisationens politikker, således at deres adgangskoder i henhold til deres politik for domæneadgangskoder er angivet til aldrig at udløbe, uanset om det drejer sig om lokalt AD eller Azure AD.

Dette kan ikke gøres via Azure AD-administrationsportalen. Du skal bruge Microsoft 365-administrationscentret eller PowerShell til at angive, at Azure AD-brugernes adgangskoder aldrig udløber. Du skal også bruge en global Azure AD-administratorkonto for at kunne gøre dette. I dette dokument beskriver vi, hvordan du indstiller en brugers adgangskode samt hele domænets brugeradgangskoder til aldrig at udløbe.

Vigtigt: Du skal have rettigheder som global administrator eller administrator af adgangskoder i Azure AD for at foretage denne handling.

Sådan angiver du en brugers adgangskode til aldrig at udløbe i Azure AD:

• Åbn Windows PowerShell med administrative rettigheder.
• Kør følgende cmdlet:

  Update-MgUser -UserId <user ID> -PasswordPolicies DisablePasswordExpiration

• Indtast den pågældende brugers brugernavn eller UPN-nummer i stedet for <user ID> i ovenstående cmdlet.

Sådan angiver du hele domænets brugeradgangskoder til aldrig at udløbe i Azure AD:

• I Microsoft 365-administrationscentret skal du gå til Indstillinger → Organisationens indstillinger.
• Gå til siden Sikkerhed og databeskyttelse. (Hvis du ikke er global Azure AD-administrator, kan du ikke se indstillingen Sikkerhed og databeskyttelse).
• Vælg Politik for udløb af adgangskode.
• Fjern markeringen i afkrydsningsfeltet ud for Angiv brugeradgangskoder til at udløbe efter et antal dage.
• Nu udløber dine domænebrugeres adgangskoder ikke.

NIST anbefaler også, at organisationer bruger lange adgangskoder på otte til 64 tegn. Organisationens politikker fastsætter adgangskodernes sværhedsgrad. Adgangskoder med sekvenser af sammenhængende ord anbefales også, eftersom de ikke kun er vanskelige at knække, men også er nemmere at huske.

En nemmere måde, hvorpå du kan anvende komplekse politikker for adgangskoder i hele organisationen, er via ManageEngine ADSelfService Plus, der er en løsning til identitetssikkerhed med MFA, selvbetjent administration af adgangskoder og funktioner til enkeltlogon. Med dens funktion til synkronisering af adgangskoder kan brugerne ændre deres Microsoft 365-adgangskode og synkronisere den med alle forbundne konti, herunder AD, Salesforce og Zendesk.

Med ADSelfService Plus' funktion til håndhævelse af politik for adgangskode kan organisationer angive avancerede politikker for adgangskoder, der er mere sikre end standardpolitikkerne for adgangskoder til AD-domæner og for detaljerede adgangskoder. Denne funktion muliggør en høj sværhedsgrad for adgangskoder eller komplekse adgangskoder med sekvenser af sammenhængende ord, hvilket giver ro i sindet, selv når adgangskoder er angivet til aldrig at udløbe i Azure AD og andre virksomhedsapplikationer med enkeltlogon.

Hvis organisationens politikker fastslår, at udløb af adgangskoder skal bibeholdes, hjælper ADSelfService Plus' værktøj til meddelelse om udløb af adgangskoder IT-administratorer med at give brugerne besked om, at deres adgangskoder til AD-domæner udløber.

IT-administratorer får mulighed for at vælge meddelelser via e-mail, sms eller push og kan angive frekvensen af meddelelser i henhold til organisationens krav.