Entra ID（旧Azure Active Directory）のデフォルトのパスワード有効期限を変更及び無効にする方法

Azure Active Directory（現在のEntra ID）は、企業や組織においてユーザーの認証やID管理を行うクラウドベースのディレクトリサービスです。セキュリティポリシーとして、デフォルトでパスワードの有効期限が設定されています。本記事では、そのデフォルト設定と変更方法について詳しく解説します。

Entra IDのデフォルトのパスワード有効期限
パスワード有効期限のカスタマイズ方法
パスワード有効期限管理のベストプラクティス
まとめ

Entra IDのデフォルトのパスワード有効期限

Entra IDのデフォルトでは、ユーザーのパスワード有効期限は 90日間 に設定されています。特にカスタマイズしていない環境では、すべてのユーザーはパスワードを90日ごとに変更する必要があり、セキュリティを保つための重要なポリシーとなっています。

デフォルトのパスワードポリシー概要：

パスワードの有効期限： 90日
期限切れ警告のタイミング： 14日前からユーザーに通知
パスワードの最小有効期間： 1日（1日に複数回パスワードを変更することを防止）

この設定により、定期的にパスワードを更新することで、パスワードが流出した場合でも長期間悪用されるリスクを最小限に抑えます。

パスワード有効期限のカスタマイズ方法

組織によっては、デフォルトの90日という期間を変更したい場合もあるでしょう。例えば、より短期間で変更を求めることでセキュリティを強化する場合や、長期にわたって変更が不要な環境を構築したい場合などです。この設定変更には、Azure AD Premiumライセンスが必要です。

パスワード有効期限の変更手順

1. Microsoft 365 管理センターでの設定変更

Microsoft 365管理センターにサインイン
Microsoft 365管理センターにアクセスし、管理者アカウントでサインインします。
セキュリティ設定に移動
メニューから「設定」→「セキュリティとプライバシー」に移動し、「パスワードの有効期限ポリシー」を選択します。
ポリシーの変更
ここで、パスワードの有効期限を必要に応じて変更します。たとえば、無期限に設定したり、より短い期間に設定することが可能です。

2. PowerShellを使って設定変更

PowerShellを使用して、より柔軟にパスワードポリシーを変更することも可能です。

Azure AD PowerShellを使った手順

PowerShellをインストールし、接続する
Install-Module -Name AzureAD Connect-AzureAD
パスワード有効期限の設定を変更する
Set-MsolPasswordPolicy -ValidityPeriod <日数> -NotificationDays <通知日数>
- <日数>に設定したいパスワードの有効期限を入力します。
- <通知日数>には、期限切れ警告の通知を始める日数を設定します。

特定ユーザーに対するパスワード有効期限の無効化

場合によっては、特定のユーザーに対してパスワード有効期限を無効にする必要があります。その際は、次のPowerShellコマンドを使用します。

Set-AzureADUser -ObjectId <ユーザーのObjectId> -PasswordPolicies DisablePasswordExpiration

このコマンドを使うと、指定したユーザーのパスワード有効期限が無効化され、期限なしでパスワードを利用できるようになります。

パスワード有効期限管理のベストプラクティス

パスワード有効期限を管理する際は、組織のセキュリティポリシーに応じた期間設定が必要です。一般的な推奨事項は次のとおりです。

定期的な更新： パスワードの更新は、少なくとも90日ごとに行うことで、長期間の不正利用を防ぎます。
強力なパスワード： 定期的な変更と共に、強力で予測されにくいパスワードポリシーを採用することで、セキュリティを向上させます。
多要素認証（MFA）の利用： パスワードだけではなく、MFAを有効にすることで、さらに強固な保護が可能です。

まとめ

Entra ID（旧Azure AD）のデフォルト設定では、パスワードの有効期限は90日です。セキュリティリスクを軽減するため、定期的なパスワード変更を求めるこのポリシーは、組織のニーズに応じて柔軟にカスタマイズできます。PowerShellやMicrosoft 365管理センターを活用して、適切なパスワード管理を行いましょう。