Genau wie ein Active Directory on-premise beherrscht natürlich auch Microsofts Azure AD die bekannten Kennwortrichtlinien, um eine gewissse Komplexität von neuen Kennwörtern zu erzwingen und sie nach einer gewissen Anzahl von Tagen ablaufen zu lassen. Standardmäßig laufen Kennwörter gemäß der Azure-AD-Richtlinie nach 90 Tagen ab.
Genauso selbstverständlich wird das Azure AD mit dem bestehenden AD on-premise synchronisiert. So lassen sich dieselben Benutzerkonten auch für Online-Dienste verwenden: Die Anwender müssen sich keine weiteren Anmeldeinformationen merken, und die Administration wird erleichtert. Man könnte erwarten, dass in diesem Fall auch alle Kennwortrichtlinien des AD on-premise respektiert werden. Tatsächlich wendet Azure AD seine eigenen Kennwortrichtlinien nicht an und übernimmt auch die Komplexitätsanforerungen des AD on-premise. Benutzer, deren Kennwort oder gar Konto abgelaufen ist, können sich allerdings weiterhin gegen das Azure AD bei allen Online-Diensten wie Office 365 oder Intune authentifizieren. (Keine Sorge, das trifft nicht auf deaktivierte Benutzerkonten zu.)
Um das zu vermeiden, deaktiviert man im Azure-Portal in den Azure-AD-Einstellungen unter AAD Connect die Kennwort-Hash-Synchronisation: Benutzerkonten werden weiterhin synchronisiert, nicht aber die Hashs über die Kennwörter. Aktiviert man nun Passthrough-Authentifizierung, authentifizieren sich Benutzer nicht gegen das Azure AD, sondern gegen einen Domaincontroller on-premise: Sollte das Kennwort oder das Konto abgelaufen sein, wäre keine Anmeldung mehr möglich.
AD Federation Services für die Benutzeranmeldung zu verwenden, wäre ebenfalls eine Lösung für das Problem, allerdings deutlich aufwendiger einzurichten und nicht unbedingt sinnvoll für kleine Unternehmen.
