AADクラウドユーザーのパスワード無期限化/確認方法

パスワードが失効すると困るサービス用のアカウントとかに

Azure AD上のクラウドユーザーのパスワードを無期限にする方法、無期限に設定されているか確認する方法のメモです。
オンプレミスのADだとユーザーのプロパティを開いてチェックボックスにチェックを入れるだけで無期限にできますが、365やAADからはできなそうなので手段はPowerShell (+ Azure AD PowerShellモジュール)です。

パスワード無期限化/パスワード無期限確認方法

AAD PowerShellモジュールのインストールについてはこちら

PowerShellモジュールのインストールが済んでいれば、まずはAADにつなぎます。
Connect-AzureAD
管理者の認証情報を入力後、以下cmdletで対象ユーザーのパスワードが無期限に設定されているか確認できます。

対象AADユーザーのパスワードが無期限に設定されているか確認する

実行cmdlet
Get-AzureADUser -ObjectId <対象ユーザーのUPN> | Select-Object UserprincipalName,@{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
結果
無期限に設定されている場合
UserPrincipalName                                     PasswordNeverExpires

-----------------                                     --------------------

<対象ユーザーのUPN>                                                      True
無期限に設定されていない場合
UserPrincipalName                  PasswordNeverExpires

-----------------                  --------------------

<対象ユーザーのUPN>                                  False
AzureADUserオブジェクトを取得して、PasswordPoliciesリストの中に”DisablePasswordExpiration”があるかないかで判定していますね。
他にどんな値がPasswordPolicies内に格納されうるのかは未確認です。

パスワードを無期限にする

Set-AzureADUser -ObjectId <対象ユーザーのUPN> -PasswordPolicies DisablePasswordExpiration

パスワード無期限を解除する

Set-AzureADUser -ObjectId <対象ユーザーのUPN> -PasswordPolicies None
無期限を解除した場合は組織全体のポリシーが適用されます。
365管理ポータルからはこんな画面。Org Settings (組織の設定)内にあります。
password policy setting screen

 

AADCでユーザー同期している場合はオンプレミスADのパスワードポリシーが優先されるので、その場合上記作業が必要になるのはAADのクラウドIDのみですね。

Reference

https://docs.microsoft.com/en-us/microsoft-365/admin/add-users/set-password-to-never-expire?view=o365-worldwide
Translate »