Tutorials: Aktivieren der Cloudsynchronisierung für das Rückschreiben der Self-Service-Kennwortzurücksetzung für eine lokale Umgebung
Die Microsoft Entra Connect-Cloudsynchronisierung kann Microsoft Entra-Kennwortänderungen in Echtzeit zwischen Benutzern in getrennten lokalen Active Directory Domain Services-Domänen (AD DS) synchronisieren. Die Microsoft Entra Connect-Cloudsynchronisierung kann zusammen mit Microsoft Entra Connect auf Domänenebene ausgeführt werden, um das Kennwortrückschreiben für zusätzliche Szenarien zu vereinfachen, z. B. für Benutzer, die sich aufgrund einer Unternehmensteilung oder -fusion in nicht verbundenen Domänen befinden. Sie können jeden Dienst in unterschiedlichen Domänen so konfigurieren, dass je nach Bedarf verschiedene Benutzergruppen als Ziel festgelegt werden. Die Microsoft Entra Connect-Cloudsynchronisierung nutzt den schlanken Microsoft Entra-Agent für die Cloudbereitstellung, um die Einrichtung für das Rückschreiben von Self-Service-Kennwortzurücksetzungen (Self-Service Password Reset, SSPR) zu vereinfachen und eine sichere Möglichkeit zu bieten, Kennwortänderungen in der Cloud an ein lokales Verzeichnis zurückzusenden.
Voraussetzungen
- Ein Microsoft Entra-Mandant, für den mindestens eine P1-Lizenz oder eine Testlizenz für Microsoft Entra ID aktiviert ist. Erstellen Sie ggf. ein kostenloses Konto.
- Ein Hybrididentitäts-Administratorkonto
- Für Self-Service-Kennwortzurücksetzung konfigurierte Microsoft Entra ID-Instanz Absolvieren Sie bei Bedarf dieses Tutorial zum Aktivieren der Self-Service-Kennwortzurücksetzung in Microsoft Entra.
- Eine lokale AD DS-Umgebung, die mit Microsoft Entra Connect-Cloudsynchronisierung Version 1.1.977.0 oder höher konfiguriert ist. Erfahren Sie, wie Sie die aktuelle Version des Agents ermitteln. Konfigurieren Sie die Microsoft Entra Connect-Cloudsynchronisierung bei Bedarf mithilfe der Anweisungen in diesem Tutorial.
Bereitstellungsschritte
- Konfigurieren von Kontoberechtigungen für den Microsoft Entra Connect-Cloudsynchronisierungsdienst
- Aktivieren des Kennwortrückschreibens in der Cloudsynchronisierung von Microsoft Entra Connect
- Aktivieren des Kennwortrückschreibens für Self-Service-Kennwortzurücksetzung
Konfigurieren von Kontoberechtigungen für den Microsoft Entra Connect-Cloudsynchronisierungsdienst
Berechtigungen für die Cloudsynchronisierung sind standardmäßig konfiguriert. Wenn Berechtigungen zurückgesetzt werden müssen, finden Sie unter Problembehandlung weitere Informationen zu den spezifischen Berechtigungen, die für das Kennwortrückschreiben erforderlich sind, und zum Festlegen dieser Berechtigungen mithilfe von PowerShell.
Aktivieren des Kennwortrückschreibens in SSPR
Sie können die Bereitstellung der Cloudsynchronisierung von Microsoft Entra Connect direkt im Microsoft Entra Admin Center oder in PowerShell aktivieren.
Aktivieren des Kennwortrückschreibens im Microsoft Entra Admin Center
Nachdem das Kennwortrückschreiben in der Microsoft Entra Connect-Cloudsynchronisierung aktiviert wurde, überprüfen und konfigurieren Sie Microsoft Entra SSPR für das Kennwortrückschreiben. Wenn Sie SSPR für die Nutzung des Kennwortrückschreibens aktivieren, wird für Benutzer, die ihr Kennwort ändern oder zurücksetzen, dieses aktualisierte Kennwort ebenfalls wieder mit der lokalen AD DS-Umgebung synchronisiert.
Führen Sie zum Überprüfen und Aktivieren des Kennwortrückschreibens in SSPR die folgenden Schritte aus:
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.
Navigieren Sie zu Schutz>Kennwortzurücksetzung, und wählen Sie dann Lokale Integration aus.
Aktivieren Sie die Option Kennwortrückschreiben für synchronisierte Benutzer aktivieren.
(Optional) Wenn Microsoft Entra Connect-Bereitstellungs-Agents erkannt werden, können Sie zusätzlich die Option zum Schreiben von Kennwörtern mit Microsoft Entra Connect-Cloudsynchronisierung aktivieren.
Legen Sie die Option Benutzern das Entsperren von Konten ohne Zurücksetzen des Kennworts erlauben auf Ja fest.
Wählen Sie Speichern aus, wenn Sie so weit sind.
PowerShell
Mit PowerShell können Sie die Microsoft Entra Connect-Cloudsynchronisierung aktivieren, indem Sie das Cmdlet „Set-AADCloudSyncPasswordWritebackConfiguration“ auf den Servern mit den Bereitstellungs-Agents verwenden.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Bereinigen von Ressourcen
Wenn Sie die SSPR-Schreibfunktionalität, die Sie im Rahmen dieses Lernprogramms konfiguriert haben, nicht mehr verwenden möchten, führen Sie die folgenden Schritte aus:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.
- Navigieren Sie zu Schutz>Kennwortzurücksetzung, und wählen Sie dann Lokale Integration aus.
- Deaktivieren Sie die Option Kennwortrückschreiben für synchronisierte Benutzer aktivieren.
- Deaktivieren Sie die Option Zurückschreiben von Kennwörtern mit Microsoft Entra Connect-Cloudsynchronisierung.
- Deaktivieren Sie die Option Benutzern das Entsperren von Konten ohne Zurücksetzen des Kennworts erlauben.
- Wählen Sie Speichern aus, wenn Sie so weit sind.
Wenn Sie die Microsoft Entra Connect-Cloudsynchronisierung für die SSPR-Rückschreiben-Funktion nicht mehr verwenden möchten, jedoch den Microsoft Entra Connect-Synchronisierungs-Agent für Schreibvorgänge weiternutzen möchten, führen Sie die folgenden Schritte aus:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.
- Navigieren Sie zu Schutz>Kennwortzurücksetzung, und wählen Sie dann Lokale Integration aus.
- Deaktivieren Sie die Option Zurückschreiben von Kennwörtern mit Microsoft Entra Connect-Cloudsynchronisierung.
- Wählen Sie Speichern aus, wenn Sie so weit sind.
Sie können auch PowerShell verwenden, um die Microsoft Entra Connect-Cloudsynchronisierung für SSPR-Schreibzugriffsfunktionen aus Ihrem Microsoft Entra Connect-Cloudsynchronisierungsserver zu deaktivieren. Führen Sie dazu Set-AADCloudSyncPasswordWritebackConfiguration mit den Anmeldeinformationen des Hybrid Identity Administrators aus, um die Kennwortrückschreibung mit der Microsoft Entra Connect-Cloudsynchronisierung zu deaktivieren.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Unterstützte Vorgänge
Kennwörter werden in den folgenden Situationen für Endbenutzer und Administratoren zurückgeschrieben.
| Konto | Unterstützte Vorgänge |
|---|---|
| Endbenutzer | Jegliche freiwillige Self-Service-Kennwortänderung durch einen Endbenutzer Jegliche erzwungene Self-Service-Kennwortänderung durch einen Endbenutzer, beispielsweise bei Ablauf des Kennworts Jegliche Self-Service-Kennwortzurücksetzung durch Endbenutzer*innen über die Option zur Kennwortzurücksetzung. |
| Administrators | Jegliche freiwillige Self-Service-Kennwortänderung durch einen Administrator Jegliche erzwungene Self-Service-Kennwortänderung durch einen Administrator, beispielsweise bei Ablauf des Kennworts Jegliche Self-Service-Kennwortzurücksetzung durch Administrator*innen über die Option zur Kennwortzurücksetzung. Jegliche administratorseitig initiierte Zurücksetzung von Endbenutzerkennwörtern über das Microsoft Entra Admin Center. Jegliche durch einen Administrator initiierte Endbenutzerkennwortzurücksetzung über Microsoft Graph-API. |
Nicht unterstützte Vorgänge
Kennwörter werden in folgenden Situationen nicht zurückgeschrieben:
| Konto | Nicht unterstützte Vorgänge |
|---|---|
| Endbenutzer | Jede Zurücksetzung des eigenen Kennworts durch einen Endbenutzer über ein PowerShell-Cmdlet oder die Microsoft Graph-API |
| Administrators | Jede vom Administrator ausgelöste Kennwortzurücksetzung für Endbenutzer über ein PowerShell-Cmdlet Jegliche durch einen Administrator initiierte Kennwortzurücksetzung durch den Endbenutzer über das Microsoft 365 Admin Center Kein Administrator kann das Tool zur Kennwortzurücksetzung verwenden, um sein eigenes oder das Kennwort eines anderen Administrators in Microsoft Entra ID für das Zurückschreiben von Passwörtern zurückzusetzen. |
Validierungsszenarios
Nutzen Sie die folgenden Verfahren, um Szenarien mit Kennwortrückschreibung zu prüfen. Alle Validierungsszenarien erfordern, dass die Cloudsynchronisierung installiert ist und der Benutzer sich im Geltungsbereich für das Kennwortrückschreiben befindet.
| Szenario | Details |
|---|---|
| Zurücksetzen des Kennworts auf der Anmeldeseite | Lassen Sie zwei Benutzer aus nicht verbundenen Domänen und Gesamtstrukturen eine Self-Service-Kennwortzurücksetzung durchführen. Sie könnten Microsoft Entra Connect und Cloudsynchronisierung auch parallel bereitstellen und einen Benutzer im Geltungsbereich der Cloudsynchronisierungskonfiguration und einen anderen Benutzer im Geltungsbereich von Microsoft Entra Connect anweisen, ihr Kennwort zurückzusetzen. |
| Erzwingen der Änderung abgelaufener Kennwörter | Lassen Sie zwei Benutzer aus getrennten Domänen und Gesamtstrukturen abgelaufene Kennwörter ändern. Sie könnten Microsoft Entra Connect und Cloudsynchronisierung auch parallel bereitstellen und einen Benutzer im Geltungsbereich der Cloudsynchronisierungskonfiguration und einen anderen Benutzer im Geltungsbereich von Microsoft Entra Connect haben. |
| Reguläre Kennwortänderung | Lassen Sie zwei Benutzer aus nicht verbundenen Domänen und Gesamtstrukturen eine routinemäßige Kennwortänderung durchführen. Sie könnten Microsoft Entra Connect und Cloudsynchronisierung auch parallel laufen lassen und einen Benutzer im Geltungsbereich der Cloudsynchronisierungskonfiguration und einen anderen Benutzer im Geltungsbereich von Microsoft Entra Connect haben. |
| Administratorzurücksetzung des Benutzerkennworts | Lassen Sie zwei Benutzer aus nicht verbundenen Domänen und Gesamtstrukturen eine Kennwortzurücksetzung über das Microsoft Entra Admin Center oder das Portal für Mitarbeiter*innen in Service und Produktion durchführen. Sie könnten Microsoft Entra Connect und Cloudsynchronisierung auch parallel laufen lassen und einen Benutzer im Geltungsbereich der Cloudsynchronisierungskonfiguration und einen anderen Benutzer im Geltungsbereich von Microsoft Entra Connect haben |
| Self-Service-Kontoentsperrung | Lassen Sie zwei Benutzer aus nicht verbundenen Domänen und Gesamtstrukturen Konten im SSPR-Portal entsperren, um das Kennwort zurückzusetzen. Sie könnten Microsoft Entra Connect und Cloudsynchronisierung auch parallel laufen lassen und einen Benutzer im Geltungsbereich der Cloudsynchronisierungskonfiguration und einen anderen Benutzer im Geltungsbereich von Microsoft Entra Connect haben. |
Problembehandlung
Das verwaltete Dienstkonto für die Microsoft Entra Connect-Cloudsynchronisierungsgruppe sollte standardmäßig über die folgenden Berechtigungen für das Kennwortrückschreiben verfügen:
- Kennwort zurücksetzen
- Schreibberechtigungen für „lockoutTime“
- Schreibberechtigungen für „pwdLastSet“
- Erweiterte Rechte für „Abgelaufenes Kennwort wiederherstellen“ für das Stammobjekt jeder Domäne in dieser Gesamtstruktur, sofern noch nicht festgelegt.
Wenn diese Berechtigungen nicht festgelegt sind, können Sie die PasswordWriteBack-Berechtigung auf dem Dienstkonto festlegen, indem Sie das Cmdlet Set-AADCloudSyncPermissions verwenden und die Anmeldeinformationen eines lokalen Unternehmensadministrators eingeben.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Nachdem Sie die Berechtigungen aktualisiert haben, kann es bis zu einer Stunde dauern, bis diese Berechtigungen auf alle Objekte in Ihrem Verzeichnis repliziert werden.
Wenn Kennwörter für einige Benutzerkonten nicht in das lokale Verzeichnis zurückgeschrieben werden, stellen Sie sicher, dass die Vererbung für das Konto in der lokalen AD DS-Umgebung nicht deaktiviert ist. Schreibberechtigungen für Kennwörter müssen auf Nachfolgerobjekte angewendet werden, damit die Funktion ordnungsgemäß funktioniert.
Kennwortrichtlinien in der lokalen AD DS-Umgebung können verhindern, dass Kennwortzurücksetzungen ordnungsgemäß verarbeitet werden. Wenn Sie dieses Feature testen und das Kennwort für Benutzer mehrmals pro Tag zurücksetzen möchten, muss die Gruppenrichtlinie für das Mindestkennwortalter auf 0 festgelegt sein. Diese Einstellung ist zu finden unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie in gpmc.msc.
Warten Sie beim Aktualisieren der Gruppenrichtlinie, bis die aktualisierte Richtlinie repliziert wurde, oder verwenden Sie den Befehl „gpupdate /force“.
Damit Kennwörter sofort geändert werden können, muss für Mindestalter für Kennwörter die Einstellung „0“ festgelegt werden. Wenn Benutzer jedoch den lokalen Richtlinien entsprechen und das Mindestkennwortalter auf einen Wert größer als 0 festgelegt ist, funktioniert das Kennwortrückschreiben nach der Auswertung der lokalen Richtlinien nicht.
Weitere Informationen zum Überprüfen oder Einrichten der geeigneten Berechtigungen finden Sie unter Konfigurieren der Kontoberechtigungen für Microsoft Entra Connect.
Nächste Schritte
- Weitere Informationen zur Cloudsynchronisierung und einen Vergleich zwischen Microsoft Entra Connect und Cloudsynchronisierung finden Sie unter Worum handelt es sich bei der Microsoft Entra Connect-Cloudsynchronisierung?
- Ein Tutorial zum Einrichten des Kennwortrückschreibens mithilfe von Microsoft Entra Connect finden Sie unter Tutorial: Aktivieren des Rückschreibens von Self-Service-Kennzurücksetzungen von Microsoft Entra in eine lokale Umgebung.