Microsoft 365: Kennwort für Benutzer soll nicht ablaufen

    Passwort-EingabeFür bestimmte Be­nutzer macht es sowohl im lokalen Active Directory als auch in Office 365 Sinn, dass sie ihr Kenn­wort nicht regel­mäßig er­neuern müssen. In der Cloud kann man aber die ent­sprechende Ein­stellung für einzelne User nicht auf der GUI ändern. Deshalb muss man auch dafür zu PowerShell greifen.

    Eine solche Ausnahme von den gängigen Passwort­regeln betrifft meistens Service-Benutzer oder bestimmte Dienstkonten, bei denen nach einer Kennwort­änderung die Applikation dahinter ausfallen würde oder andere Services nicht richtig funktionieren.

    Kein Ablaufdatum für Break Glass User

    In Office365 ist ein weiteres wichtiges Konto, für den man auf einen erzwungenen Passwort­wechsel verzichten kann, der so genannte Break Glass User. Darunter versteht man einen Benutzer mit globalen Admin-Rechten, den man von Restriktionen wie beispielsweise Multifaktor-Authenti­fizierung ausnimmt.

    Wenn nichts mehr geht und sich kein Benutzer mehr an Office 365 anmelden kann, dann soll dieser User dadurch, dass er nicht den normalen Richtlinien unterliegt, weiterhin die Anmeldung an und die Administration von Office 365 garantieren.

    Attribut über PowerShell konfigurieren

    In Active Directory Benutzer und Computer (ADUC) deaktiviert man das Ablaufen des Passworts, indem man in den Eigen­schaften des jeweiligen Benutzers unter dem Reiter Konto ein Häkchen bei Kennwort läuft nie ab setzt.

    Ablaufdatum für Kennwörter in Active Directory-Benutzer und -Computer entfernen

    In Office 365 gestaltet sich dies etwas schwieriger. Hier scheint es aktuell keine Möglichkeit zu geben, diese Einstellungen in der GUI vorzunehmen. Daher ist PowerShell das Mittel der Wahl.

    Damit die Verbindung zu Office 365 hergestellt werden kann, muss natürlich das erforderliche PowerShell-Modul installiert sein (siehe dazu: PowerShell-Module für Azure installieren, Verbindung herstellen).

    Zuerst kann man mit folgendem Befehl kontrollieren, ob die Kennwort­richtlinie für ein bestimmtes Konto bereits ausgesetzt wurde:

    Get-MsolUser -UserPrincipalName (UPN) | Select PasswordNeverExpires

    Status der Kennwortrichtlinie für das Ablaufdatum in PowerShell abfragen.

    Das Ergebnis lautet hier False, also läuft das Passwort weiterhin ab. Mit dem folgendem Kommando setzt man diese Eigenschaft auf True:

    Set-MsolUser -UserPrincipalName (UPN) -PasswordNeverExpires $true

    Ablaufdatum des Kennworts für ein bestimmtes Konto in Office 365 deaktivieren

    Eine erneute Prüfung zeigt, dass der Wert gespeichert wurde.

    Kennwortrichtlinie ändern

    Die Kennwortrichtlinie selbst ist in Office 365 im Admin-Portal (admin.microsoft.com) in der linken Leiste unter Einstellungen => Einstellungen => Sicherheit und Datenschutz und dann unter Kennwort­ablauf­richtlinie zu finden.

    Das Ablaufdatum für Kennwörter kann man über die GUI pauschal für alle User deaktivieren.

    Hier kann man über die Option Kennwörter festlegen, sodass sie nach einer Anzahl von Tagen ablaufen dafür sorgen, dass die Passwörter für alle User nie ablaufen. Ob man sich dafür entscheidet, hängt auch davon ab, welche zusätzlichen Mittel zur Absicherung der Konten man nutzt, etwa MFA.

    Microsoft selbst ist davon abgekommen, den regelmäßig erzwungenen Wechsel der Kennwörter zu empfehlen. Das betrifft sowohl das Ablaufdatum von O365-Passwörtern als auch die Security Baseline für Windows 10, die seit 1903 keine regelmäßige Änderung von Kennwörtern mehr vorsieht.

    2 Kommentare

    Hubert sagt:
    20. Mai 2020 - 8:48

    Danke für diesen hilfreichen Tipp!
    So einfach geht das - wenn man weiß wie...

    Hier hab ich noch weitere Befehle für die O365 Benutzer gefunden:
    https://www.itnator.net/office-365-benutzer-verwalten-mit-powershell/

    Gruß und schönen Tag
    Hubert

    Roland sagt:
    20. Mai 2020 - 21:25

    Guten Abend Hubert,
    vielen Dank für deinen Post.
    Grüße
    Roland