Im Folgenden sind einige häufig gestellte Fragen (FAQ) rund um die Self-Service-Kennwortzurücksetzung aufgeführt.
Wenn Sie allgemeine Fragen zu Microsoft Entra ID und zur Self-Service-Kennwortzurücksetzung (SSPR) haben, die hier nicht beantwortet werden, können Sie die Community auf der Microsoft Q&A-Frageseite für Microsoft Entra ID um Unterstützung bitten. Zu den Mitgliedern der Community gehören Techniker, Produktmanager MVPs und andere IT-Experten.
Diese FAQ sind in folgende Abschnitte unterteilt:
- Fragen zum Registrieren für die Kennwortzurücksetzung
- Fragen zum Zurücksetzen des Kennworts
- Fragen zum Ändern des Kennworts
- Fragen zu Kennwortverwaltungsberichten
- Fragen zur Kennwortrückschreibung
Registrieren für die Kennwortzurücksetzung
Können meine Benutzer ihre eigenen Kennwortzurücksetzungsdaten registrieren?
Ja. Wenn die Kennwortzurücksetzung aktiviert ist und die Benutzer lizenziert sind, können diese das Portal zur Registrierung für die Kennwortzurücksetzung (https://aka.ms/ssprsetup) aufrufen und ihre Authentifizierungsdaten registrieren. Benutzer können sich auch über den Zugriffsbereich (https://myapps.microsoft.com) registrieren. Bei der Registrierung über den Zugriffsbereich müssen die Benutzer ihr Profilbild auswählen. Anschließend wählen sie Profil und dann die Option Für das Zurücksetzen des Kennworts registrieren aus.
Wenn Sie die kombinierte Registrierung aktivieren, können sich Benutzer*innen gleichzeitig für SSPR und die Microsoft Entra-Multi-Faktor-Authentifizierung registrieren.
Wenn ich Kennwortzurücksetzung für eine Gruppe aktiviere und mich anschließend entscheide, sie für alle zu aktivieren, müssen sich meine Benutzer dann erneut registrieren?
Nein. Benutzer mit aufgefüllten Authentifizierungsdaten müssen sich nicht erneut registrieren.
Kann ich für meine Benutzer Kennwortzurücksetzungsdaten definieren?
Ja, Sie können dies mit Microsoft Entra Connect, PowerShell, dem Microsoft Entra Admin Center oder dem Microsoft 365 Admin Center durchführen. Weitere Informationen finden Sie unter Von der Self-Service-Kennwortzurücksetzung in Microsoft Entra verwendete Daten.
Kann ich Daten für Sicherheitsfragen vom lokalen Standort aus synchronisieren?
Nein, dies ist zurzeit noch nicht möglich.
Können meine Benutzer Daten so registrieren, dass anderen Benutzern diese Daten nicht angezeigt werden?
Ja. Wenn Benutzer Daten über das Registrierungsportal für die Kennwortzurücksetzung registrieren, werden die Daten in privaten Authentifizierungsfeldern gespeichert, die nur für globale Administratoren und den Benutzer selbst sichtbar sind.
Müssen meine Benutzer registriert sein, bevor die Kennwortzurücksetzung verwenden können?
Nein. Wenn Sie genügend Authentifizierungsinformationen in ihrem Auftrag definieren, müssen Benutzer sich nicht registrieren. Das Zurücksetzen des Kennworts funktioniert, solange Sie in den entsprechenden Feldern im Verzeichnis ordnungsgemäß formatierte Daten gespeichert haben.
Kann ich die Felder „Telefon für Authentifizierung“, „E-Mail-Adresse zur Authentifizierung“ oder „Alternatives Telefon für Authentifizierung“ im Namen meiner Benutzer synchronisieren oder festlegen?
Die Felder, die von einem globalen Administrator festgelegt werden können, sind im Artikel mit den Datenanforderungen von SSPR definiert.
Wie bestimmt das Registrierungsportal, welche Optionen meinen Benutzern angezeigt werden sollen?
Das Registrierungsportal für die Kennwortzurücksetzung zeigt nur die Optionen an, die Sie für Ihre Benutzer aktiviert haben. Diese Optionen finden Sie im Abschnitt Richtlinie zum Zurücksetzen des Benutzerkennworts auf der Registerkarte Konfigurieren Ihres Verzeichnisses. Wenn Sie also z. B. die Sicherheitsfragen nicht aktivieren, können Benutzer sich für diese Option nicht registrieren.
Wenn gilt ein Benutzer als registriert?
Benutzer*innen gelten als für SSPR registriert, wenn sie mindestens die Anzahl von Methoden, die zum Zurücksetzen eines Kennworts erforderlich sind, registriert haben, die Sie im Microsoft Entra Admin Center festgelegt haben.
Zurücksetzen von Kennwörtern
Verhindern Sie, dass Benutzer in kurzer Zeit mehrfach versuchen, ein Kennwort zurückzusetzen?
Ja, es wurden Sicherheitsfeatures in die Kennwortzurücksetzung integriert, um Schutz vor Missbrauch zu bieten.
Benutzer können versuchen, ihre Informationen (z. B. ihre Telefonnummer) zu validieren, aber wenn sie ihre Identität innerhalb von 24 Stunden nicht fünfmal nachweisen können, werden sie für 24 Stunden gesperrt.
Benutzer*innen können innerhalb einer Stunde nur fünfmal versuchen, eine Telefonnummer zu validieren, eine Authentifizierungs-App zu nutzen, eine Textnachricht zu senden oder Sicherheitsfragen und -antworten zu validieren, bevor sie für 24 Stunden gesperrt werden.
Benutzer können eine E-Mail maximal 10 Mal innerhalb von 10 Minuten versenden, bevor sie für 24 Stunden gesperrt werden.
Die Zähler werden zurückgesetzt, sobald ein Benutzer sein Passwort zurücksetzt.
Wie lange muss ich warten, bis eine E-Mail, eine Textnachricht oder ein Anruf von der Kennwortzurücksetzung eintrifft?
E-Mails, Textnachrichten und Telefonanrufe sollten in weniger als einer Minute eingehen. Im Normalfall dauert es zwischen 5 und 20 Sekunden. Wenn Sie in diesem Zeitraum die Benachrichtigung nicht erhalten:
- Überprüfen Sie Ihren Ordner mit Junk-E-Mails.
- Überprüfen Sie, ob es sich bei der kontaktierten Nummer oder E-Mail-Adresse um die erwartete Nummer bzw. E-Mail-Adresse handelt.
- Überprüfen Sie, ob die Authentifizierungsdaten im Verzeichnis korrekt formatiert sind, z. B. „+1 4255551234“ oder „user@contoso.com“.
Welche Sprachen werden von Kennwortzurücksetzung unterstützt?
Die Benutzeroberfläche für die Kennwortzurücksetzung, Textnachrichten und Sprachanrufe wurden in dieselben Sprachen lokalisiert, die in Microsoft 365 unterstützt werden.
Welche Teile der Oberfläche zur Kennwortzurücksetzung erhalten ein Branding, wenn ich die organisationsspezifischen Brandingelemente auf der Registerkarte „Konfigurieren“ meines Verzeichnisses festlege?
Das Portal für die Kennwortzurücksetzung zeigt das Logo Ihrer Organisation und erlaubt Ihnen zudem, den Link „Wenden Sie sich an Ihren Administrator“ so zu konfigurieren, dass er auf eine benutzerdefinierte E-Mail-Adresse oder eine URL verweist. E-Mails, die von der Kennwortzurücksetzung gesendet werden, enthalten das Logo, die Farben sowie den Namen Ihrer Organisation im Nachrichtentext der E-Mail. Zudem werden sie über die Einstellungen für diesen bestimmten Namen angepasst.
Wie informiere ich meine Benutzer darüber, wo sie ihre Kennwörter zurücksetzen können?
Nutzen Sie die Vorschläge in unserem Artikel zur SSPR-Bereitstellung.
Kann ich diese Seite auf einem mobilen Gerät verwenden?
Ja, diese Seite funktioniert auf mobilen Geräten.
Wird das Entsperren lokaler Active Directory-Konten unterstützt, wenn Benutzer ihre Kennwörter zurücksetzen?
Ja. Wenn ein Benutzer sein Kennwort zurücksetzt und das Kennwortrückschreiben mit Microsoft Entra Connect bereitgestellt wurde, wird das Konto des Benutzers automatisch entsperrt, wenn das Kennwort zurückgesetzt wird.
Wie kann ich die Kennwortzurücksetzung direkt in die Anmeldeoberfläche auf den Desktops von Benutzern integrieren?
Wenn Sie eine Microsoft Entra ID P1 oder P2-Lizenz nutzen, können Sie Microsoft Identity Manager ohne zusätzliche Kosten installieren und die Lösung zur lokalen Kennwortzurücksetzung bereitstellen.
Kann ich für verschiedene Gebietsschemas unterschiedliche Sicherheitsfragen festlegen?
Nein, dies ist zurzeit noch nicht möglich.
Wie viele Fragen kann ich für die Authentifizierungsoption mit Sicherheitsfragen konfigurieren?
Sie können im Microsoft Entra Admin Center bis zu 20 benutzerdefinierte Sicherheitsfragen konfigurieren.
Wie lang können die Sicherheitsfragen sein?
Sicherheitsfragen können zwischen 3 und 200 Zeichen umfassen.
Wie lang können die Antworten auf Sicherheitsfragen sein?
Antworten können 3 bis 40 Zeichen lang sein.
Werden doppelte Antworten auf Sicherheitsfragen abgelehnt?
Ja, doppelte Antworten auf Sicherheitsfragen werden abgelehnt.
Kann ein Benutzer sich für dieselbe Sicherheitsfrage mehrmals registrieren?
Nein. Sobald ein Benutzer sich für eine bestimmte Frage registriert, kann er sich kein zweites Mal für dieselbe Frage registrieren.
Ist es möglich, eine Mindestanzahl von Sicherheitsfragen für Registrierung und Zurücksetzung festzulegen?
Ja, es kann ein Grenzwert für die Registrierung und ein anderer für die Zurücksetzung festgelegt werden. Für die Registrierung können drei bis fünf Sicherheitsfragen erforderlich sein. Für die Zurücksetzung können drei bis fünf Fragen erforderlich sein.
Ich konfigurierte meine Richtlinie so, dass Benutzer zum Zurücksetzen Sicherheitsfragen verwenden müssen, aber die Azure-Administratoren scheinen anders konfiguriert zu sein.**
Dies entspricht dem erwarteten Verhalten. Microsoft erzwingt eine starke standardmäßige Zwei-Tor-Kennwortzurücksetzungs-Richtlinie für jede Azure-Administratorrolle. Damit wird verhindert, dass Administratoren Sicherheitsfragen verwenden. Weitere Informationen zu dieser Richtlinie finden Sie im Artikel Kennwortrichtlinien und -einschränkungen in Microsoft Entra ID.
Wie werden die Sicherheitsfragen während der Zurücksetzung ausgewählt, wenn ein Benutzer mehr als die maximale Anzahl von Fragen registriert, die für die Zurücksetzung erforderlich sind?
Aus der Gesamtzahl von Fragen, für die sich ein Benutzer registriert hat, werden N Sicherheitsfragen nach dem Zufallsprinzip ausgewählt, wobei N für die Anzahl der für die Zurücksetzung erforderlichen Fragen steht. Wenn ein Benutzer z. B. fünf Sicherheitsfragen registriert hat, aber nur drei für das Zurücksetzen eines Kennworts erforderlich sind, werden drei der fünf Fragen zufällig ausgewählt und beim Zurücksetzen angezeigt. Wenn der Benutzer die Fragen falsch beantwortet, wird der Auswahlvorgang erneut durchgeführt, um eine wiederholte Fragestellung zu verhindern.
Wie lange sind Einmal-Passcodes per E-Mail und Textnachricht gültig?
Die Sitzungsdauer für die Kennwortzurücksetzung beträgt 15 Minuten. Ab dem Beginn des Vorgangs zur Kennwortzurücksetzung hat der Benutzer 15 Minuten Zeit, das Kennwort zurückzusetzen. Einmal-Passcodes sind während der Sitzung zur Kennwortzurücksetzung 5 Minuten lang gültig.
Kann ich das Zurücksetzen von Kennwörtern durch Benutzer blockieren?
Ja, wenn Sie eine Gruppe verwenden, um SSPR zu aktivieren, können Sie einen einzelnen Benutzer aus der Gruppe entfernen, die Benutzern erlaubt, ihr Kennwort zurückzusetzen. Wenn der Benutzer ein globaler Administrator ist, behält er die Möglichkeit, sein Kennwort zurückzusetzen, und dies kann nicht deaktiviert werden.
Kennwortänderung
Wo können meine Benutzer ihre Kennwörter ändern?
Benutzer können ihre Kennwörter überall dort ändern, wo ihr Profilbild oder -symbol angezeigt wird (beispielsweise im Office 365-Portal oder im Zugriffsbereich in der rechten oberen Ecke). Benutzer können ihre Kennwörter über die Profilseite des Zugriffsbereichs ändern. Außerdem werden Benutzer unter Umständen auf der Microsoft Entra-Anmeldeseite zum Ändern ihres Kennworts aufgefordert, falls ihr Kennwort abgelaufen ist. Und schließlich können Benutzer direkt zum Kennwortänderungsportal in Microsoft Entra navigieren, wenn sie ihr Kennwort ändern möchten.
Können meine Benutzer im Office-Portal benachrichtigt werden, wenn ihr lokales Kennwort abläuft?
Ja, das ist möglich, wenn Sie die Active Directory-Verbunddienste (AD FS) verwenden. Wenn Sie AD FS verwenden, befolgen Sie die Anweisungen im Artikel Senden von Kennwortrichtlinienansprüchen mit AD FS. Wenn Sie die Kennworthashsynchronisierung verwenden, ist dies derzeit nicht möglich. Da wir keine Kennwortrichtlinien aus lokalen Verzeichnissen synchronisieren, können wir auch keine Ablaufbenachrichtigungen in Cloudumgebungen veröffentlichen. In beiden Fällen können Sie Benutzer, deren Kennwörter demnächst ablaufen, auch über PowerShell benachrichtigen.
Kann ich das Ändern von Kennwörtern durch Benutzer blockieren?
Für reine Cloudbenutzer können Kennwortänderungen nicht blockiert werden. Für lokale Benutzer können Sie die Option Benutzer kann Kennwort nicht ändern festlegen. Die ausgewählten Benutzer können ihr Kennwort nicht ändern.
Berichte zur Kennwortverwaltung
Wie lange dauert es, bis Daten in den Kennwortverwaltungsberichten angezeigt werden?
Daten sollten innerhalb von 5 bis 10 Minuten in den Berichten zur Kennwortverwaltung angezeigt werden. In manchen Fällen kann es bis zu einer Stunde dauern.
Wie kann ich die Kennwortverwaltungsberichte filtern?
Wählen Sie die kleine Lupe ganz rechts neben den Spaltenbeschriftungen oben im Bericht aus, um Berichte zur Kennwortverwaltung zu filtern. Wenn Sie umfangreichere Filterfunktionen benötigen, können Sie den Bericht in Excel exportieren und eine Pivottabelle erstellen.
Wie hoch ist die maximale Anzahl der Ereignisse, die in den Kennwortverwaltungsberichten gespeichert werden?
In den Kennwortverwaltungsberichten werden bis zu 75.000 Kennwortzurücksetzungsereignisse oder Ereignisse im Zusammenhang mit der Registrierung für die Kennwortzurücksetzung für einen Zeitraum von bis zu 30 Tagen gespeichert. Eine Erweiterung dieser Anzahl der Ereignisse ist in Arbeit.
Wie weit zurück reichen die Kennwortverwaltungsberichte?
Die Berichte zur Kennwortverwaltung zeigen Vorgänge der letzten 30 Tage an. Wenn Sie diese Daten archivieren möchten, können Sie die Berichte in regelmäßigen Abständen herunterladen und an einem anderen Speicherort speichern.
Gibt es eine Begrenzung der maximalen Anzahl von Zeilen in Kennwortverwaltungsberichten?
Ja. Jeder der Berichte zur Kennwortverwaltung kann maximal 75.000 Zeilen umfassen, unabhängig davon, ob sie auf der Benutzeroberfläche angezeigt oder heruntergeladen werden.
Gibt es eine API, um auf die Daten der Kennwortzurücksetzung oder des Registrierens für die Kennwortzurücksetzung zuzugreifen?
Ja, Sie erhalten diese Informationen im Bericht mit der Aktivität für Authentifizierungsmethoden oder über die API zum Abrufen der Kennwortzurücksetzungsaktivität. Sie können auch die Überwachungsprotokoll-API verwenden und nach SSPR-Ereignissen filtern.
Kennwortrückschreiben
Wie funktioniert das Rückschreiben von Kennwörtern im Hintergrund?
Im Artikel Funktionsweise des Kennwortrückschreibens wird erläutert, was geschieht, wenn Sie das Kennwortrückschreiben aktivieren, und wie Daten durch das System wieder in Ihre lokale Umgebung übertragen werden.
Wie lange dauert es, bis das Kennwortrückschreiben funktioniert? Gibt es eine Synchronisierungsverzögerung wie bei der Kennworthashsynchronisierung?
Das Kennwortrückschreiben erfolgt sofort. Sie ist eine synchrone Pipeline, die grundlegend anders funktioniert als die Kennworthashsynchronisierung. Durch das Kennwortrückschreiben erhalten Benutzer in Echtzeit Feedback über den Erfolg der Kennwortzurücksetzung oder -änderung. Die durchschnittliche Zeit für das erfolgreiche Rückschreiben eines Kennworts liegt bei unter 500 ms.
Welchen Einfluss hat es auf mein Cloudkonto und meinen Cloudzugriff, wenn mein lokales Konto deaktiviert ist?
Wenn Ihre lokale ID deaktiviert ist, werden auch Ihre Cloud-ID und Ihr Zugriff beim nächsten Synchronisierungsintervall über Microsoft Entra Connect deaktiviert. Standardmäßig erfolgt diese Synchronisierung alle 30 Minuten.
Wenn mein lokales Konto von lokalen Active Directory-Kennwortrichtlinien eingeschränkt wird, beachtet SSPR diese Richtlinien bei meiner Kennwortänderung?
Ja. SSPR beachtet und befolgt die lokale Active Directory-Kennwortrichtlinie. Diese Richtlinie umfasst die typische Active Directory-Domänenkennwortrichtlinie sowie alle definierten Kennwortrichtlinien mit feiner Abstufung, die auf einen Benutzer ausgerichtet sind.
Bei welchen Arten von Konten funktioniert das Rückschreiben von Kennwörtern?
Das Kennwortrückschreiben kann für Benutzerkonten verwendet werden, die aus dem lokalen Active Directory mit Microsoft Entra ID synchronisiert werden. Dies schließt Verbundbenutzer*innen, Benutzer*innen mit Kennwort-Hashsynchronisierung und Benutzer*innen mit Passthrough-Authentifizierung ein.
Werden die Kennwortrichtlinien meiner Domäne durch die Kennwortrückschreibung durchgesetzt?
Ja. Die Kennwortrückschreibung setzt das Kennwortalter, den Verlauf, die Komplexität, Filter und alle anderen Einschränkungen durch, die Sie in Ihrer lokalen Domäne für Kennwörter festlegen können.
Ist die Kennwortrückschreibung sicher? Wie kann ich sicher sein, dass ich nicht gehackt werde?
Ja, das Kennwortrückschreiben ist sicher. Weitere Informationen zu den mehrere Sicherheitsstufen, die durch den Dienst zum Kennwortrückschreiben implementiert werden, finden Sie im Abschnitt Sicherheit für das Kennwortrückschreiben im Artikel Übersicht über die Kennwortrückschreibung.
Nächste Schritte
- Erfolgreiches Rollout der Self-Service-Kennwortzurücksetzung
- Zurücksetzen oder Ändern des Kennworts
- Registrieren für die Self-Service-Kennwortzurücksetzung
- Lizenzanforderungen für Azure AD-Self-Service-Kennwortzurücksetzung
- Bereitstellen der Kennwortzurücksetzung ohne erforderliche Endbenutzerregistrierung
- Authentifizierungsmethoden
- Kennwortrichtlinien und -einschränkungen in Azure Active Directory
- Übersicht über die Kennwortrückschreibung
- Berichterstellungsoptionen für die Kennwortverwaltung von Azure AD
- Welche Optionen sind für SSPR verfügbar, und was bedeuten sie?
- Anscheinend ist ein Fehler aufgetreten. Wie behebe ich Probleme mit SSPR?