你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在开始之前，可以使用“选择策略类型”选择器来选择要设置的策略类型。 Azure Active Directory B2C 提供了两种定义用户如何与应用程序交互的方法：通过预定义的用户流，或者通过可完全配置的自定义策略。 对于每种方法，本文中所需的步骤都不同。

Azure Active Directory B2C (Azure AD B2C) 支持更改由最终用户在创建帐户时提供的密码复杂性要求。 默认情况下，Azure AD B2C 使用“强”密码。 此外，Azure AD B2C 还支持用于控制客户可以使用的密码复杂性的配置选项。

在注册或密码重置期间，最终用户必须提供符合复杂性规则的密码。 根据用户流要求，需强制实施密码复杂性规则。 可能有一个用户流在注册期间需要一个四位数的 PIN，而另一个用户流在注册期间需要一个八字符的字符串。 例如，可以使用针对成人（而非儿童）的不同密码复杂性的用户流。

在登录期间绝不会强制实施密码复杂性。 登录时不会提示用户更改密码，因为它不符合当前的复杂性要求。

可在以下类型的用户流中配置密码复杂性：

如果使用自定义策略，可以在自定义策略中配置密码复杂性。

允许你接受仅为数字 (pin) 或完整的字符集。

允许你控制密码的长度要求。

允许你控制密码中使用的不同字符类型。

4 选 2：小写字符、大写字符、数字 (0-9)、符号确保密码包含至少两种字符类型。 例如，数字和小写字符。

4 选 3：小写字符、大写字符、数字 (0-9)、符号确保密码包含至少三种字符类型。 例如，数字、小写字符和大写字符。

全部 4 个：小写字符、大写字符、数字 (0-9)、符号确保密码包含所有字符类型。

注意

要求“全部 4 个” 可能会对最终用户造成困扰。 某些研究表明此要求不会改善密码熵。 请参阅 NIST 密码指南

若要配置密码复杂性，请使用对谓词验证的引用替代 newPassword 和 reenterPassword 声明类型。 PredicateValidations 元素对一组谓词进行分组，以形成可应用于声明类型的用户输入验证。 打开策略的扩展文件， 例如 SocialAndLocalAccounts/TrustFrameworkExtensions.xml。

搜索 BuildingBlocks 元素。 如果该元素不存在，请添加该元素。

找到 ClaimsSchema 元素。 如果该元素不存在，请添加该元素。

将 newPassword 和 reenterPassword 声明添加到 ClaimsSchema 元素。

谓词定义基本验证，用以检查声明类型的值并返回 true 或 false。 可通过使用指定的方法元素和与该方法相关的一组参数来完成验证。 将以下谓词添加到 BuildingBlocks 元素中，紧跟在 元素结束之后：

将以下谓词验证添加到 BuildingBlocks 元素中，紧跟在 元素结束之后：

以下技术配置文件是 Active Directory 技术配置文件，它们会在 Microsoft Entra ID 中读写数据。 在扩展文件中覆盖这些技术配置文件。 使用 PersistedClaims 禁用强密码策略。 找到 ClaimsProviders 元素。 添加以下声明提供程序，如下所示：

如果使用基于用户名的登录策略，请使用 DisableStrongPassword 策略更新 AAD-UserWriteUsingLogonEmail、AAD-UserWritePasswordUsingObjectId 和 LocalAccountWritePasswordUsingObjectId 技术配置文件。

保存策略文件。