Self-Service Password Reset-Bereitstellungsoptionen

Wichtig

Im September 2022 hat Microsoft angekündigt, dass die Unterstützung von Microsoft Azure Multi-Factor Authentication-Server eingestellt wird. Ab dem 30. September 2024 werden Bereitstellungen von Azure Multi-Factor Authentication Server-Bereitstellungen keine mehrstufigen Authentifizierungsanforderungen (Multifactor Authentication, MFA) mehr unterstützt. Kunden von Azure Multi-Factor Authentication Server müssen stattdessen entweder benutzerdefinierte MFA-Anbieter mit MIM SSPR oder Microsoft Entra SSPR anstelle von MIM SSPR verwenden.

Für neue Kunden, die für Microsoft Entra ID P1 oder P2 lizenziert sind, empfehlen wir die Verwendung der Self-Service-Kennwortzurücksetzung von Microsoft Entra, um die Endbenutzerumgebung bereitzustellen. Die Self-Service-Kennwortzurücksetzung von Microsoft Entra bietet sowohl eine webbasierte als auch windows-integrierte Benutzeroberfläche für einen Benutzer, um ihr eigenes Kennwort zurückzusetzen, und unterstützt viele der gleichen Funktionen wie MIM, einschließlich alternativer E-Mail- und Q&A-Gates. Beim Bereitstellen der Self-Service-Kennwortzurücksetzung von Microsoft Entra können Sie Microsoft Entra Connect so konfigurieren, dass die neuen Kennwörter in AD DS zurückgeschrieben werden, und der MIM-Kennwortänderungsbenachrichtigungsdienst kann verwendet werden, um die Kennwörter an andere Systeme weiterzuleiten, z. B. den Verzeichnisserver eines anderen Anbieters. Die Bereitstellung von MIM für die Kennwortverwaltung erfordert nicht, dass der MIM-Dienst oder die SELF-Service-Kennwortzurücksetzung oder Registrierungsportale bereitgestellt werden. Stattdessen können Sie die folgenden Schritte ausführen:

• Wenn Sie Kennwörter an andere Verzeichnisse als Microsoft Entra ID und AD DS senden müssen, stellen Sie miM-Synchronisierung mit Connectors für Active Directory-Domäne Services und alle zusätzlichen Zielsysteme bereit, konfigurieren Sie MIM für die Kennwortverwaltung und stellen den Kennwortänderungsbenachrichtigungsdienst bereit.
• Wenn Sie dann Kennwörter an andere Verzeichnisse als die Microsoft Entra-ID senden müssen, konfigurieren Sie Microsoft Entra Connect, um die neuen Kennwörter wieder in AD DS zu schreiben.
• Optional können Benutzer vorab registriert werden.
• Stellen Sie schließlich die Self-Service-Kennwortzurücksetzung von Microsoft Entra für Ihre Endbenutzer bereit.

Für Forefront Identity Manager (FIM) oder MIM-Kunden, die für Microsoft Entra ID P1 oder P2 lizenziert sind, empfehlen wir, den Umstieg auf die Self-Service-Kennwortzurücksetzung von Microsoft Entra zu planen. Sie können Endbenutzer auf die Self-Service-Kennwortzurücksetzung von Microsoft Entra umstellen, ohne sie erneut registrieren zu müssen, indem Sie die alternative E-Mail-Adresse oder Mobiltelefonnummer eines Benutzers synchronisieren oder festlegen. Nachdem Benutzer für die Self-Service-Kennwortzurücksetzung von Microsoft Entra registriert wurden, kann das FIM-Kennwortzurücksetzungsportal außer Betrieb genommen werden.

MIM 2016-Bereitstellungen, die Microsoft Entra MFA verwenden, sollten entweder mithilfe von MIM SSPR mit einem benutzerdefinierten MFA-Anbieter oder der Self-Service-Kennwortzurücksetzung von Microsoft Entra verschoben werden. Neue Bereitstellungen sollten entweder einen benutzerdefinierten MFA-Anbieter oder die Self-Service-Kennwortzurücksetzung von Microsoft Entra verwenden.

Bereitstellen des MIM Self-Service Password Reset Portal mit einem benutzerdefinierten Anbieter für die mehrstufige Authentifizierung

Im folgenden Abschnitt wird beschrieben, wie Sie das SELF-Service-Kennwortzurücksetzungsportal von MIM mithilfe eines Anbieters für die mehrstufige Authentifizierung bereitstellen. Diese Schritte sind nur für Kunden erforderlich, die keine Microsoft Entra Self-Service-Kennwortzurücksetzung für ihre Benutzer verwenden.

Bei MFA authentifizieren sich Benutzer über den externen Anbieter, um ihre Identität zu überprüfen und gleichzeitig den Zugriff auf ihr Konto und ihre Ressourcen wieder zu erlangen. Eine Authentifizierung kann per SMS oder per Telefonanruf erfolgen. Je stärker die Authentifizierung ist, desto höher ist das Vertrauen, dass die Person, die versucht, Zugriff zu erlangen, tatsächlich der echte Benutzer ist, der die Identität besitzt. Sobald der Benutzer authentifiziert ist, kann er ein neues Kennwort wählen, durch das das alte ersetzt wird.

Voraussetzungen zum Einrichten der Self-Service-Kontosperrung und Kennwortzurücksetzung mithilfe von MFA

In diesem Abschnitt wird davon ausgegangen, dass Sie die Bereitstellung der Microsoft Identity Manager 2016 MIM Sync-, MIM-Dienst- und MIM-Portalkomponenten einschließlich der folgenden Komponenten und Dienste heruntergeladen und abgeschlossen haben:

• Ein Active Directory-Domäne Controller mit einer bestimmten Domäne (eine Unternehmensdomäne)

• Es ist eine Gruppenrichtlinie für Kontosperrungen definiert.

• DER MIM 2016-Synchronisierungsdienst (Sync) wird auf einem Server installiert und ausgeführt, der der AD-Domäne beigetreten ist.

• MIM 2016 Service & Portal, einschließlich des SSPR-Registrierungsportals und des SSPR Reset Portal, werden auf einem Server installiert und ausgeführt (kann mit Sync ko-located sein)

• MIM-Synchronisierung ist für die AD-MIM-Identitätssynchronisierung konfiguriert, einschließlich:

  • Konfigurieren des Active Directory-Verwaltungs-Agents (ADMA) für die Konnektivität mit AD DS und Ausführen von Profilen zum Importieren von Identitätsdaten aus und Exportieren in Active Directory.

  • Konfigurieren des MIM-Verwaltungs-Agents (MIM MA) für die Verbindung mit der FIM-Dienstdatenbank und Ausführen von Profilen zum Importieren von Identitätsdaten aus und Exportieren in die FIM-Datenbank.

  • Konfigurieren von Synchronisierungsregeln im MIM-Portal, um für den MIM-Dienst Synchronisierung von Benutzerdaten sowie synchronisierungsbasierte Aktivitäten zu ermöglichen.

• MIM 2016-Add-Ins & Erweiterungen, einschließlich des integrierten SSPR-Windows-Anmeldeclients, werden auf dem Server oder auf einem separaten Clientcomputer bereitgestellt.

Vorbereiten von MIM für die Arbeit mit MFA

Konfigurieren Sie MIM Sync so, dass Kennwortzurücksetzung und Kontoentsperrung unterstützt werden. Weitere Informationen finden Sie unter Installing the FIM Add-ins and Extensions, Installing FIM SSPR, SSPR Authentication Gates, and the SSPR Test Lab Guide.

Konfigurieren des Telefongates oder des SMS-Gates für das Einmalkennwort

1. Starten Sie Internet Explorer, und navigieren Sie zum MIM-Portal, und authentifizieren Sie sich als MIM-Administrator, und klicken Sie dann in der linken Navigationsleiste auf Workflows .

   

2. Überprüfen Sie den AuthN-Workflow für die Kennwortzurücksetzung.

   

3. Klicken Sie auf die Registerkarte "Aktivitäten ", und scrollen Sie dann nach unten, um Aktivität hinzuzufügen.

4. Wählen Sie "Telefontor" oder "Einmaliges Kennwort SMS Gate" aus, und klicken Sie dann auf "Auswählen" und dann auf "OK".

   Hinweis

   Wenn Sie einen anderen Anbieter verwenden, der das einmalige Kennwort selbst generiert, stellen Sie sicher, dass das vom MFA-Anbieter generierte Längenfeld dieselbe Länge aufweist wie das vom MFA-Anbieter generierte Feld.

Benutzer in Ihrer Organisation können sich jetzt für das Zurücksetzen von Kennwörtern registrieren. Im Verlauf dieses Vorgangs müssen sie ihre Telefonnummer oder Mobiltelefonnummer eingeben, damit das System weiß, wie es sie anrufen oder ihnen SMS-Nachrichten senden kann.

Registrieren von Benutzern für das Zurücksetzen von Kennwörtern

1. Ein Benutzer startet einen Webbrowser und navigiert zum MIM-Kennwortzurücksetzungsregistrierungsportal. (In der Regel wird dieses Portal mit Windows-Authentifizierung konfiguriert). Im Portal geben sie ihren Benutzernamen und ihr Kennwort an, um ihre Identität zu bestätigen.

   Sie müssen das Portal für die Kennwortregistrierung öffnen und sich mithilfe ihres Benutzernamens und dem zugehörigen Kennwort authentifizieren.

2. Im Feld "Telefonnummer" oder "Mobiltelefon" müssen sie eine Ländervorwahl, ein Leerzeichen und die Telefonnummer eingeben und auf "Weiter" klicken.

   

   

Wie funktioniert dies für die Benutzer?

Nachdem die Konfiguration abgeschlossen und das Gate aktiv ist, möchten Sie möglicherweise wissen, welche Schritte die Benutzer durchlaufen müssen, wenn sie ihre Kennwörter direkt vor dem Urlaub zurücksetzen, um dann zurückzukehren und festzustellen, dass sie ihre Kennwörter vollständig vergessen haben.

Es gibt zwei Möglichkeiten, wie ein Benutzer die Funktionen zum Zurücksetzen von Kennwörtern und zum Entsperren von Konten verwenden kann, entweder über den Windows-Anmeldebildschirm oder über das Self-Service-Portal.

Indem Sie die MIM-Add-Ins und -Erweiterungen auf einem zur Domäne gehörigen Computer installieren, der über das Netzwerk Ihrer Organisation mit dem MIM-Dienst verbunden ist, können Benutzer ein vergessenes Kennwort in der Desktop-Anmeldungsumgebung wiederherstellen. Die folgenden Schritte führen Sie durch den Prozess.

In die Windows-Desktopanmeldung integrierte Kennwortzurücksetzung

1. Wenn Ihr Benutzer mehrmals das falsche Kennwort eingibt, hat er im Anmeldebildschirm die Möglichkeit, auf Probleme bei der Anmeldung zu klicken?

   

   Wenn Sie auf diesen Link klicken, gelangen sie zum MIM-Kennwortzurücksetzungsbildschirm, auf dem sie ihr Kennwort ändern oder ihr Konto entsperren können.

   

2. Der Benutzer wird aufgefordert, sich zu authentifizieren. Wenn MFA konfiguriert wurde, erhält der Benutzer einen Telefonanruf.

3. Im Hintergrund geschieht, dass der MFA-Anbieter dann einen Telefonanruf an die Nummer platziert, die der Benutzer angegeben hat, wenn sich dieser Benutzer für den Dienst registriert hat.

4. Wenn ein Benutzer das Telefon antwortt, wird er möglicherweise aufgefordert, zu interagieren, z. B. um die Nummerntaste # auf dem Telefon zu drücken. Anschließend klickt der Benutzer im Portal auf "Weiter ".

   Wenn Sie auch andere Gates eingerichtet haben, wird der Benutzer in den nachfolgenden Bildschirmen aufgefordert, weitere Informationen bereitzustellen.

   Hinweis

   Wenn der Benutzer ungeduldig ist und auf "Weiter" klickt, bevor die Rautetaste #gedrückt wird, schlägt die Authentifizierung fehl.

5. Nach erfolgreicher Authentifizierung hat der Benutzer zwei Optionen: Er kann sein Konto entsperren und sein aktuelles Kennwort beibehalten oder ein neues Kennwort festlegen.

6. Der Benutzer muss dann ein neues Kennwort zweimal eingeben, damit das Kennwort zurückgesetzt wird.

Zugreifen aus dem Self-Service-Portal

1. Benutzer können einen Webbrowser öffnen, zum Portal zur Kennwortzurücksetzung navigieren und ihren Benutzernamen eingeben und auf "Weiter" klicken.

   Wenn MFA konfiguriert wurde, erhält der Benutzer einen Telefonanruf. Im Hintergrund geschieht, dass die mehrstufige Authentifizierung von Microsoft Entra dann einen Telefonanruf an die Nummer platziert, die der Benutzer beim Anmelden für den Dienst angegeben hat.

   Wenn der Benutzer den Anruf annimmt, wird er aufgefordert, auf dem Telefon die Rautetaste (#) zu drücken. Anschließend klickt der Benutzer im Portal auf "Weiter ".

2. Wenn Sie auch andere Gates eingerichtet haben, wird der Benutzer in den nachfolgenden Bildschirmen aufgefordert, weitere Informationen bereitzustellen.

   Hinweis

   Wenn der Benutzer ungeduldig ist und auf "Weiter" klickt, bevor die Rautetaste #gedrückt wird, schlägt die Authentifizierung fehl.

3. Der Benutzer muss auswählen, ob er sein Kennwort zurücksetzen oder sein Konto entsperren möchte. Wenn sie sich dafür entscheiden, ihr Konto zu entsperren, wird das Konto entsperrt.

   

4. Nach erfolgreicher Authentifizierung erhält der Benutzer zwei Optionen, um sein aktuelles Kennwort beizubehalten oder ein neues Kennwort festzulegen.

5. 

6. Wenn der Benutzer sein Kennwort zurücksetzt, muss er zweimal ein neues Kennwort eingeben und auf "Weiter" klicken, um das Kennwort zu ändern.