azure 密码过期

huwehgph  于 2022-11-17  发布在  其他
关注(0)|答案(1)|浏览(244)

我们在我们的解决方案中利用Azure AD B2C,并采用“注册或登录”策略。定期(我没有计算确切的天数),当我尝试登录时,我会得到:“无效的用户名或密码”。我必须重置我的密码才能使其工作。
所以我有两个问题:

*是否有默认密码过期策略?Azure B2C Connect上的功能请求之一是启用此类自定义过期策略的定义,但我在文档中未发现存在默认过期策略。是否有任何方法可以删除此默认行为(即无过期)?

    • “用户名或密码无效”的消息是误导性的*,应该是“您的密码已过期”。有什么办法可以改变吗?

谢谢!

qacovj5a

qacovj5a1#

是否有默认的密码过期策略?

对于B2C本地账户:

  • 注意:只能通过注册或AAD图形API创建本地帐户。您不能通过在AAD(B2C租户)中单击“新建用户”来创建。*
    默认情况下,本地帐户没有密码过期策略。Azure AD B2C的注册、登录或登录和密码重置策略使用“强”密码强度,并且不会使Azure AD B2C中本地帐户的任何密码过期。您可以在此常见问题解答中看到这一点。

然而,也有一些条件,你可能会遇到B2C本地帐户用户密码过期.

  • 默认情况下,如果本地账户是通过内置密码策略创建的,则该策略会将passwordPolicies属性设置为DisablePasswordExpiration,这样B2C本地用户的密码就不会过期。
  • 但是,如果本地帐户是由自定义策略或Azure AD Graph API创建的,则必须手动将passwordPolicies属性设置为DisablePasswordExpiration

因此,如果您不将密码策略的属性设置为DisablePasswordExpiration,本地用户的密码可能会在90天后过期而不通知。
有没有办法删除这种默认行为(iidoEe. no expiration)?消息“无效的用户名或密码”是误导的,应该是“您的密码已过期”。有没有办法改变这一点?

本地帐户的解析:

1.您可以参考此示例,通过AAD Graph API创建密码不过期的B2C本地用户:

POST https://graph.windows.net/contosob2c.onmicrosoft.com/users?api-version=1.6
Authorization: Bearer eyJhbGciOiJSUzI1NiIsIng1dCI6IjdkRC1nZWNOZ1gxWmY3R0xrT3ZwT0IyZGNWQSIsInR5cCI6IkpXVCJ9.eyJhdWQiOiJod...
Content-Type: application/json
Content-Length: 338
{
// All of these properties are required to create consumer users.
"accountEnabled": true,
"signInNames": [                            // controls which identifier the user uses to sign in to the account
    {
        "type": "emailAddress",             // can be 'emailAddress' or 'userName'
        "value": "joeconsumer@gmail.com"
    }
],
"creationType": "LocalAccount",            // always set to 'LocalAccount'
"displayName": "Joe Consumer",                // a value that can be used for displaying to the end user
"mailNickname": "joec",                        // an email alias for the user
"passwordProfile": {
    "password": "P@ssword!",
    "forceChangePasswordNextLogin": false   // always set to false
},
"passwordPolicies": "DisablePasswordExpiration"
}

1.通过AAD图形API使用**PATCH**方法将受影响用户的密码策略属性更新为DisablePasswordExpiration,您可以参考此文档来更新您的b2c用户。
1.要求所有受影响的B2C用户更改其密码。

对于社交帐户:

密码过期时间取决于身份提供者的密码策略。AAD can also be an identity provider in AAD B2C
仅适用于工作或学校帐户的AAD密码过期策略。可应用于在Azure AD中创建和管理的用户帐户的可用密码策略设置。
因此,如果您将AAD设置为AAD B2C的社交帐户,则密码过期策略将影响这些社交帐户。

AAD社交账户的解决方案:

如果你的帐户是Azure AD中的社交帐户,请使用你的公司管理员凭据连接到该租户。执行以下命令之一:
1.要将某个用户的密码设置为永不过期,请使用用户的用户主体名称(UPN)或用户ID运行以下cmdlet:Set-MsolUser -UserPrincipalName <user ID> -PasswordNeverExpires $true
1.要将组织中所有用户的密码设置为永不过期,请运行以下cmdlet:Get-MSOLUser | Set-MsolUser -PasswordNeverExpires $true
您可以在this document中查看有关Azure AD中密码策略的更多详细信息。

相关问题