Política de contraseñas de Azure AD: guía completa

Las políticas de contraseñas de Azure AD lo ayudan a proteger su inquilino de Microsoft 365. La política define qué tan fuerte debe ser una contraseña cuando caduque y cuántos intentos de inicio de sesión puede hacer un usuario antes de que se bloquee.

Con cuentas solo en la nube, no puede cambiar la política de contraseñas. Pero cuando tiene un servidor de Windows unido a un dominio local, puede usar políticas locales para sobrescribir la política de Azure AD.

En este artículo, vamos a echar un vistazo a la política de contraseñas de Azure AD predeterminada. Y cómo puede instalar y usar las herramientas administrativas de Active Directory para crear una política personalizada.

Índice

Política de contraseñas de Azure AD predeterminada

Microsoft tiene una política de contraseñas predefinida que se usa para todas las cuentas de Office 365 solo en la nube. Solo en la nube significa que usted crea y administra sus cuentas de usuario desde el Centro de administración de Microsoft 365. La otra opción es un entorno híbrido, donde sincroniza sus cuentas de usuario entre Office 365 y su controlador de dominio local.

Los requisitos de la política de contraseñas de Aure Active Directory son:

PropiedadRequisitos
Longitud de la contraseñaMínimo 8 caracteres – máximo 256
Complejidad de la contraseñaTres de los cuatro siguientes:
- minúscula
– carácter en mayúscula
- número
- símbolo
Permitir caracteres– A – Z
– a – z
– 0 – 9
– @ # $ % ^ & * – _ ! + = [ ] { } | : ' , . ? / `~” ( ) ; < >
- espacio en blanco
La contraseña caducaNo (se puede cambiar)
Duración de la caducidad de la contraseña90 días (solo cuando la caducidad de la contraseña está habilitada)
Notificación de duración de caducidad de contraseña14 días antes de que caduque la contraseña
Historial de contraseñasLa última contraseña no se puede volver a utilizar
Historial de restablecimiento de contraseñaLa última contraseña se puede utilizar cuando el usuario ha olvidado la contraseña.
Umbral de bloqueo10 (la cuenta se bloquea después de 10 intentos fallidos de inicio de sesión)
Duración del bloqueo60 segundos
Política de contraseñas de Azure Ad

La mayor parte de la política de contraseñas no se puede cambiar cuando se usan cuentas solo en la nube. Solo puede habilitar la caducidad de la contraseña y cambiar la duración. Si tiene un plan Azure AD Premium en su licencia de Office 365, tiene un par de opciones más en lo que respecta a la protección con contraseña.

Nota

No se recomienda usar la caducidad de la contraseña. Dará como resultado usuarios que usan contraseñas predecibles y no brinda ningún beneficio de seguridad. Cuando se roban las contraseñas después de un intento exitoso de phishing, los ciberdelincuentes casi siempre las usan de inmediato.

Habilitar la caducidad de la contraseña de Azure AD

De forma predeterminada, la caducidad de la contraseña está deshabilitada en Office 365. Pero aunque no se recomienda, aún puede habilitar la caducidad de la contraseña para su inquilino. No hay requisitos de licencia para esto, solo necesita tener acceso al centro de administración de Microsoft 365.

  1. Abra el Centro de administración de Microsoft 365
  2. Abierto Ajustes > Configuración de la organización
  3. Haga clic en el Seguridad y Privacidad pestaña
  4. Abre el Política de caducidad de contraseña

Política de contraseñas de Azure Ad
  1. Habilite "Establecer contraseñas de usuario para que caduquen después de un número de días"
  2. Opcionalmente, cambie la cantidad de días antes de que caduque la contraseña y la notificación.
  3. Haga clic en Guardar para aplicar la configuración.

Uso de PowerShell para establecer la política de contraseñas

También podemos usar PowerShell para habilitar la caducidad de la contraseña en Microsoft 365. Para ello vamos a necesitar el módulo Msol en PowerShell, asegúrate de tenerlo instalado.

Para habilitar la caducidad de la contraseña necesitaremos configurar el validityperiod y notificationdays de la política de contraseñas:

# Connect to Msol services
Connect-MsolService

# Set and enable the password expiration policy
Set-MsolPasswordPolicy -DomainName lazydev.onmicrosoft.com -ValidityPeriod 180 -NotificationDays 30

Protección de contraseña de Azure

Azure Password Protection ayuda a mantener sus cuentas seguras. Determina después de cuántos intentos fallidos de inicio de sesión se bloquea una cuenta y le permite crear una lista personalizada de contraseñas prohibidas. Las palabras agregadas a la lista personalizada de contraseñas prohibidas no se pueden usar en la contraseña que crean los usuarios.

Consejo

Puede usar esta descripción general de Microsoft 365 para verificar si su licencia tiene un plan Azure AD Premium.

Para cambiar la configuración de Azure AD Password Protection necesitaremos abrir el portal de Azure AD:

  1. Ir a portal.azure.com
  2. Abre el Directorio activo de Azure
  3. Haga clic en Seguridad > Métodos de autenticación >Protección de contraseña

Protección con contraseña de Azure AD
Protección con contraseña de Azure AD
  1. Aquí puede cambiar el umbral de bloqueo, que define después de cuántos intentos se bloquea la cuenta
  2. La duración del bloqueo define cuánto tiempo se bloquea la cuenta de usuario en segundos
  3. Para usar una lista personalizada de contraseñas prohibidas, habilite la Lista personalizada de Enfore configuración y definir las palabras que desea prohibir.

Cambiar la política de contraseñas de Azure AD

No es posible cambiar la política de contraseñas de Azure AD si solo tiene cuentas de usuario basadas en la nube. Sin embargo, existe una opción para cambiar la política de contraseñas, pero para eso necesitará un servidor local, que esté sincronizado con Azure AD. Porque Azure Active Directory seguirá la política de contraseñas de su controlador de dominio local.

Antes de continuar, en el siguiente ejemplo, ya configuré un controlador de dominio que está sincronizado con Azure AD.

  1. En su controlador de dominio abierto Centro de administración de Active Directory
  2. Haga clic en su dominio local
  3. Abre el Contenedor de configuración de contraseña en el Sistema envase

  1. En el lado derecho, haga clic en Nuevo y seleccione Configuración de contraseña

  1. Ahora podemos cambiar la política de contraseñas. Asegúrese de configurar el precedencia a 1 para anular la política de contraseña predeterminada.

Nota

La configuración de bloqueo de cuenta solo se aplica al dominio local y no a Azure AD. Esto significa que se usará la configuración de bloqueo predeterminada de Azure AD para inicios de sesión fallidos en Office 365.


Cambiar política de contraseña
Cambiar política de contraseña
  1. Por debajo Se aplica directamente a haga clic en Agregar
  2. Seleccione un Grupo para aplicar la política a. he elegido todo Usuarios de dominio aquí

Aplicar política de contraseñas a un grupo
Aplicar política de contraseñas a un grupo
  1. Hacer clic OK para guardar y aplicar la política de contraseñas

La política de contraseñas se sincronizará automáticamente con Azure AD.

Terminando

La política de contraseñas predeterminada de Azure AD que se usa para las cuentas solo en la nube de Office 365 es lo suficientemente sólida para la mayoría de los casos de uso. Si realmente necesita cambiar la longitud mínima de la contraseña, su única opción es usar un controlador de dominio local y usar Azure AD Sync para sincronizar la configuración de la política.

Si tiene alguna pregunta, simplemente deje un comentario a continuación.


Si quieres conocer otros artículos similares a Política de contraseñas de Azure AD: guía completa puedes visitar la categoría Office 365.

Artículos de interés

Subir

Si continuas utilizando este sitio aceptas el uso de cookies. Más información