Tutorials: Aktivieren des Rückschreibens von Microsoft Entra-Self-Service-Kennwortzurücksetzungen für eine lokale Umgebung
Mit der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) in Microsoft Entra können Benutzer über einen Webbrowser ihre Kennwörter aktualisieren oder ihre Konten entsperren. Sehen Sie sich dieses Video zum Aktivieren und Konfigurieren der Self-Service-Kennwortzurücksetzung in Microsoft Entra ID an. In einer Hybridumgebung, in der Microsoft Entra ID mit einer lokalen Active Directory Domain Services-Umgebung (AD DS) verbunden ist, kann dieses Szenario dazu führen, dass sich Kennwörter zwischen den beiden Verzeichnissen unterscheiden.
Das Kennwortrückschreiben kann genutzt werden, um Kennwortänderungen in Microsoft Entra mit Ihrer lokalen AD DS-Umgebung zu synchronisieren. Microsoft Entra Connect bietet einen sicheren Mechanismus zum Zurücksenden dieser Kennwortänderungen in ein vorhandenes lokales Verzeichnis aus Microsoft Entra ID.
Wichtig
In diesem Tutorial wird erläutert, wie ein Administrator die Self-Service-Kennwortzurücksetzung wieder in einer lokalen Umgebung aktiviert. Wenn Sie bereits als Endbenutzer für die Self-Service-Kennwortzurücksetzung registriert sind und wieder zu Ihrem Konto zurückkehren müssen, gehen Sie zu https://aka.ms/sspr.
Wenn Ihr IT-Team die Möglichkeit zum Zurücksetzen Ihres eigenen Kennworts nicht aktiviert hat, wenden Sie sich an den Helpdesk, um weitere Unterstützung zu erhalten.
In diesem Tutorial lernen Sie Folgendes:
- Konfigurieren der erforderlichen Berechtigungen für das Kennwortrückschreiben
- Aktivieren der Option „Kennwortrückschreiben“ in Microsoft Entra Connect
- Aktivieren des Kennwortrückschreibens im Microsoft Entra-SSPR
Voraussetzungen
Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:
- Funktionierender Microsoft Entra-Mandant, für den mindestens eine P1-Lizenz oder eine Testlizenz für Microsoft Entra ID aktiviert ist.
- Erstellen Sie ggf. ein kostenloses Konto.
- Weitere Informationen finden Sie unter Lizenzanforderungen für Microsoft Entra-SSPR.
- Ein Konto mit Hybrididentitätsadministrator.
- Für Self-Service-Kennwortzurücksetzung konfigurierte Microsoft Entra ID-Instanz
- Absolvieren Sie bei Bedarf das Tutorial zum Aktivieren der Microsoft Entra-SSPR.
- Eine vorhandene lokale AD DS-Umgebung, die mit einer aktuellen Version von Microsoft Entra Connect konfiguriert ist
- Konfigurieren Sie ggf. Microsoft Entra Connect unter Verwendung der Express-Einstellungen oder der benutzerdefinierten Einstellungen.
- Zur Verwendung des Kennwortrückschreibens können Domänencontroller eine beliebige unterstützte Version von Windows Server ausführen.
Konfigurieren der Kontoberechtigungen für Microsoft Entra Connect
Mithilfe von Microsoft Entra Connect können Sie Benutzer, Gruppen und Anmeldeinformationen zwischen einer lokalen AD DS-Umgebung und Microsoft Entra ID synchronisieren. In der Regel installieren Sie Microsoft Entra Connect auf einem Computer mit Windows Server 2016 oder höher, der in die lokale AD DS-Domäne eingebunden ist.
Damit Sie das SSPR-Rückschreiben ordnungsgemäß verwenden können, müssen für das in Microsoft Entra Connect angegebene Konto die entsprechenden Berechtigungen und Optionen festgelegt sein. Wenn Sie nicht sicher sind, welches Konto derzeit verwendet wird, öffnen Sie Microsoft Entra Connect, und wählen Sie die Option Aktuelle Konfiguration anzeigen aus. Das Konto, dem Sie Berechtigungen hinzufügen müssen, wird unter Synchronisierte Verzeichnisse angezeigt. Für das Konto müssen die folgenden Berechtigungen und Optionen festgelegt werden:
- Zurücksetzen des Kennworts
- Kennwort ändern
- Schreibberechtigungen auf
lockoutTime
- Schreibberechtigungen auf
pwdLastSet
- Erweiterte Rechte für „Abgelaufenes Kennwort wiederherstellen“ für das Stammobjekt jeder Domäne in dieser Gesamtstruktur, sofern noch nicht festgelegt.
Wenn Sie diese Berechtigungen nicht zuweisen, ist das Rückschreiben scheinbar ordnungsgemäß konfiguriert, Benutzer erhalten jedoch Fehler bei dem Versuch, ihre lokalen Kennwörter über die Cloud zu verwalten. Bei der Einstellung von „Passwort aufheben“ in Active Directory muss es auf Dieses Objekt und alle untergeordneten Objekte, Nur dieses Objekt oder Alle untergeordneten Objekte angewendet werden, oder die „Passwort aufheben“-Berechtigung kann nicht angezeigt werden.
Tipp
Wenn Kennwörter für einige Benutzerkonten nicht in das lokale Verzeichnis zurückgeschrieben werden, stellen Sie sicher, dass die Vererbung für das Konto in der lokalen AD DS-Umgebung nicht deaktiviert ist. Schreibberechtigungen für Kennwörter müssen auf Nachfolgerobjekte angewendet werden, damit die Funktion ordnungsgemäß funktioniert.
Um die entsprechenden Berechtigungen für das Kennwortrückschreiben einzurichten, führen Sie die folgenden Schritte aus:
- Öffnen Sie in Ihrer lokalen AD DS-Umgebung Active Directory-Benutzer und -Computer mit einem Konto, das geeignete Domänenadministratorberechtigungen hat.
- Vergewissern Sie sich, dass im Menü Ansicht die Option Erweiterte Features aktiviert ist.
- Klicken Sie im linken Bereich mit der rechten Maustaste auf das Objekt, das den Stamm der Domäne repräsentiert, und wählen Sie Eigenschaften>Sicherheit>Erweitert aus.
- Wählen Sie auf der Registerkarte Berechtigungen die Option Hinzufügen aus.
- Wählen Sie unter Prinzipal das Konto aus, auf das die Berechtigungen angewendet werden sollen (das von Microsoft Entra Connect verwendete Konto).
- Wählen Sie in der Dropdownliste Gilt für den Eintrag Nachfolgerbenutzerobjekte aus.
- Aktivieren Sie unter Berechtigungen das Kontrollkästchen für die folgende Option:
- Zurücksetzen des Kennworts
- Aktivieren Sie unter Eigenschaften die Kontrollkästchen für folgende Optionen. Scrollen Sie durch die Liste, um zu diesen Optionen zu gelangen. Möglicherweise sind sie bereits standardmäßig festgelegt:
- Wählen Sie abschließend Übernehmen/OK aus, um die Änderungen zu übernehmen.
- Wählen Sie auf der Registerkarte Berechtigungen die Option Hinzufügen aus.
- Wählen Sie unter Prinzipal das Konto aus, auf das die Berechtigungen angewendet werden sollen (das von Microsoft Entra Connect verwendete Konto).
- Wählen Sie im Dropdownmenü Gilt fürDieses Objekt und alle Nachfolgeobjekte aus.
- Aktivieren Sie unter Berechtigungen das Kontrollkästchen für die folgende Option:
- Abgelaufenes Kennwort wiederherstellen
- Wählen Sie abschließend Übernehmen/OK aus, um die Änderungen zu übernehmen und alle geöffneten Dialogfelder zu schließen.
Wenn Sie Berechtigungen aktualisieren, kann es bis zu einer Stunde oder länger dauern, bis diese Berechtigungen an alle Objekte in Ihrem Verzeichnis repliziert wurden.
Kennwortrichtlinien in der lokalen AD DS-Umgebung verhindern unter Umständen, dass Kennwortzurücksetzungen ordnungsgemäß verarbeitet werden. Damit Kennwortrückschreiben möglichst effizient funktioniert, muss die Gruppenrichtlinie für Minimales Kennwortalter auf „0“ festgelegt werden. Diese Einstellung finden Sie in gpmc.msc
unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien.
Warten Sie beim Aktualisieren der Gruppenrichtlinie, bis die aktualisierte Richtlinie repliziert wurde, oder verwenden Sie den Befehl gpupdate /force
.
Hinweis
Wenn Sie Benutzern erlauben müssen, Kennwörter mehr als einmal täglich zu ändern oder zurückzusetzen, muss Mindestalter für Kennwörter auf 0 festgelegt werden. Das Kennwortrückschreiben funktioniert, nachdem lokale Kennwortrichtlinien erfolgreich ausgewertet wurden.
Aktivieren des Kennwortrückschreibens in Microsoft Entra Connect
Eine Konfigurationsoption in Microsoft Entra Connect ist das Kennwortrückschreiben. Wenn diese Option aktiviert ist, führen Kennwortänderungsereignisse dazu, dass Microsoft Entra Connect die aktualisierten Anmeldeinformationen wieder mit der lokalen AD DS-Umgebung synchronisiert.
Aktivieren Sie zum Aktivieren der SSPR zunächst die Rückschreiboption in Microsoft Entra Connect. Führen Sie auf dem Microsoft Entra Connect-Server die folgenden Schritte aus:
- Melden Sie sich bei Ihrem Microsoft Entra Connect-Server an, und starten Sie den Microsoft Entra Connect-Konfigurations-Assistenten.
- Wählen Sie auf der Seite Willkommen die Option Konfigurieren aus.
- Wählen Sie auf der Seite Weitere Aufgaben die Option Synchronisierungsoptionen anpassen aus, und wählen Sie dann Weiter aus.
- Geben Sie auf der Seite Mit Microsoft Entra ID verbinden die Anmeldeinformationen eines Hybridadministrators für Ihren Azure-Mandanten ein, und wählen Sie dann Weiter aus.
- Wählen Sie auf den Seiten Verzeichnisse verbinden und Domänen-/OE-Filterung die Schaltfläche Weiter aus.
- Aktivieren Sie auf der Seite Optionale Features das Kontrollkästchen neben Kennwortrückschreiben, und wählen Sie Weiter aus.
- Wählen Sie auf der Seite Verzeichniserweiterungen die Option Weiter aus.
- Wählen Sie auf der Seite Bereit zur Konfiguration die Option Konfigurieren aus, und warten Sie, bis der Vorgang abgeschlossen ist.
- Wenn Sie sehen, dass die Konfiguration beendet ist, wählen Sie Beenden aus.
Hinweis
Das Aktualisieren von PasswordWritebackEnabled
von OnPremDirectorySynchronization-Dienstfeatures wird nicht unterstützt, da dieses Featureflag nicht verwendet wird.
Aktivieren des Kennwortrückschreibens für Self-Service-Kennwortzurücksetzung
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Sobald Sie das Kennwortrückschreiben in Microsoft Entra Connect aktiviert haben, konfigurieren Sie Microsoft Entra-SSPR für das Rückschreiben. SSPR kann konfiguriert werden, um über Synchronisierungs- und Bereitstellungs-Agents von Microsoft Entra Connect (Cloudsynchronisierung) zurückzuschreiben. Wenn Sie SSPR für die Nutzung des Kennwortrückschreibens aktivieren, wird für Benutzer, die ihr Kennwort ändern oder zurücksetzen, dieses aktualisierte Kennwort ebenfalls wieder mit der lokalen AD DS-Umgebung synchronisiert.
Führen Sie zum Aktivieren des Kennwortrückschreibens in SSPR die folgenden Schritte aus:
- Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.
- Navigieren Sie zu Schutz>Kennwortzurücksetzung, und wählen Sie dann Lokale Integration aus.
- Aktivieren Sie die Option Kennwörter in Ihr lokales Verzeichnis zurückschreiben.
- (Optional) Wenn Microsoft Entra Connect-Bereitstellungs-Agents erkannt werden, können Sie zusätzlich die Option Kennwörter mit der Microsoft Entra Connect-Cloudsynchronisierung zurückschreiben aktivieren.
- Legen Sie die Option Benutzern das Entsperren von Konten ohne Zurücksetzen des Kennworts erlauben auf Ja fest.
- Wählen Sie Speichern aus, wenn Sie so weit sind.
Bereinigen von Ressourcen
Wenn Sie die im Rahmen dieses Tutorials konfigurierte Funktionalität für SSPR-Rückschreiben nicht mehr nutzen möchten, gehen Sie wie folgt vor:
- Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.
- Navigieren Sie zu Schutz>Kennwortzurücksetzung, und wählen Sie dann Lokale Integration aus.
- Deaktivieren Sie die Option Kennwörter in Ihr lokales Verzeichnis zurückschreiben.
- Deaktivieren Sie die Option Zurückschreiben von Kennwörtern mit Microsoft Entra Connect-Cloudsynchronisierung.
- Deaktivieren Sie die Option Benutzern das Entsperren von Konten ohne Zurücksetzen des Kennworts erlauben.
- Wählen Sie Speichern aus, wenn Sie so weit sind.
Wenn Sie die Microsoft Entra Connect-Cloudsynchronisierung für die SSPR-Rückschreiben-Funktion nicht mehr verwenden möchten, jedoch den Microsoft Entra Connect-Synchronisierungs-Agent für Schreibvorgänge weiternutzen möchten, führen Sie die folgenden Schritte aus:
- Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.
- Navigieren Sie zu Schutz>Kennwortzurücksetzung, und wählen Sie dann Lokale Integration aus.
- Deaktivieren Sie die Option Zurückschreiben von Kennwörtern mit Microsoft Entra Connect-Cloudsynchronisierung.
- Wählen Sie Speichern aus, wenn Sie so weit sind.
Wenn Sie keine Kennwortfunktionalität mehr nutzen möchten, führen Sie auf dem Microsoft Entra Connect-Server die folgenden Schritte aus:
- Melden Sie sich bei Ihrem Microsoft Entra Connect-Server an, und starten Sie den Microsoft Entra Connect-Konfigurations-Assistenten.
- Wählen Sie auf der Seite Willkommen die Option Konfigurieren aus.
- Wählen Sie auf der Seite Weitere Aufgaben die Option Synchronisierungsoptionen anpassen aus, und wählen Sie dann Weiter aus.
- Geben Sie auf der Seite Mit Microsoft Entra ID verbinden die Anmeldeinformationen eines Hybridadministrators ein, und wählen Sie dann Weiter aus.
- Wählen Sie auf den Seiten Verzeichnisse verbinden und Domänen-/OE-Filterung die Schaltfläche Weiter aus.
- Deaktivieren Sie auf der Seite Optionale Features das Kontrollkästchen neben Kennwortrückschreiben, und wählen Sie Weiter aus.
- Wählen Sie auf der Seite Bereit zur Konfiguration die Option Konfigurieren aus, und warten Sie, bis der Vorgang abgeschlossen ist.
- Wenn Sie sehen, dass die Konfiguration beendet ist, wählen Sie Beenden aus.
Wichtig
Das erstmalige Aktivieren des Kennwortrückschreibens kann auch dann die Kennwortänderungsereignisse 656 und 657 auslösen, wenn keine Kennwortänderung vorgenommen wurde. Dies liegt daran, dass alle Kennworthashes erneut synchronisiert werden, nachdem ein Kennwort-Hashsynchronisierungszyklus ausgeführt wurde.
Nächste Schritte
In diesem Tutorial haben Sie das Microsoft Entra-SSPR-Rückschreiben für eine lokale AD DS-Umgebung aktiviert. Sie haben Folgendes gelernt:
- Konfigurieren der erforderlichen Berechtigungen für das Kennwortrückschreiben
- Aktivieren der Option „Kennwortrückschreiben“ in Microsoft Entra Connect
- Aktivieren des Kennwortrückschreibens im Microsoft Entra-SSPR
Tutorial: Use risk events to trigger Multi-Factor Authentication and password changes (Tutorial: Auslösen von Multi-Factor Authentication und Kennwortänderungen mithilfe von Risikoereignissen)