Aktivieren der Self-Service-Kennwortzurücksetzung für Microsoft Entra auf dem Windows-Anmeldebildschirm

Mit der Self-Service-Kennwortzurücksetzung (SSPR) in Microsoft Entra ID können Benutzer*innen ihr Kennwort ohne Beteiligung von Administrator*innen oder des Helpdesks ändern oder zurücksetzen. Normalerweise öffnen Benutzer einen Webbrowser auf einem anderen Gerät, um auf das SSPR-Portal zuzugreifen. Sie können Benutzer*innen das Zurücksetzen ihres Kennworts über den Windows-Anmeldebildschirm ermöglichen, um diesen Vorgang auf Computern mit Windows 7, Windows 8, Windows 8.1, Windows 10 oder Windows 11 zu vereinfachen.

Wichtig

In diesem Tutorial wird erläutert, wie Administratoren die SSPR für Windows-Geräte in einem Unternehmen aktivieren.

Wenn Ihr IT-Team die SSPR nicht auf Ihrem Windows-Gerät verwenden kann oder Sie Probleme mit der Anmeldung haben, sollten Sie sich an Ihren Helpdesk wenden.

Allgemeine Einschränkungen

Die folgenden Einschränkungen gelten für die Verwendung der SSPR auf dem Windows-Anmeldebildschirm:

• Die Kennwortzurücksetzung wird für Remotedesktopsitzungen oder erweiterte Hyper-V-Sitzungen derzeit nicht unterstützt.
• Einige Anmeldeinformationsanbieter (Drittanbieter) haben bekanntermaßen Probleme mit diesem Feature.
• Das Deaktivieren der Benutzerkontensteuerung durch die Änderung des Registrierungsschlüssels „EnableLUA“ verursacht bekanntermaßen Probleme.
• Dieses Feature funktioniert nicht bei Netzwerken mit 802.1x-Netzwerkauthentifizierung und der Option „Unmittelbar vor der Benutzeranmeldung ausführen“. In Netzwerken mit 802.1x-Netzwerkauthentifizierung empfiehlt es sich, die Computerauthentifizierung zu verwenden, um dieses Feature zu aktivieren.
• In Microsoft Entra hybrid eingebundene Computer müssen über eine direkte Netzwerkverbindung mit einem Domänencontroller verfügen, um das neue Kennwort verwenden und zwischengespeicherte Anmeldeinformationen aktualisieren zu können. Das heißt, die Geräte müssen sich im internen Unternehmensnetzwerk oder in einem VPN mit Netzwerkzugriff auf einen lokalen Domänencontroller befinden.
• Wenn Sie ein Image verwenden, stellen Sie vor dem Ausführen von Sysprep sicher, dass der Webcache für den integrierten Administrator vor der Durchführung des CopyProfile-Schritts gelöscht ist. Weitere Informationen zu diesem Schritt finden Sie im Supportartikel Schlechte Leistung bei Verwendung eines benutzerdefinierten Standardbenutzerprofils.
• Bei den folgenden Einstellungen ist bekannt, dass sie das Verwenden und Zurücksetzen von Kennwörtern auf Windows 10-Geräten beeinträchtigen:
  • Wenn Benachrichtigungen bei gesperrtem Bildschirm deaktiviert sind, funktioniert Kennwort zurücksetzen nicht.
  • HideFastUserSwitching ist auf „Aktiviert“ oder „1“ festgelegt.
  • DontDisplayLastUserName ist auf „Aktiviert“ oder auf „1“ festgelegt.
  • NoLockScreen ist auf „Aktiviert“ oder „1“ festgelegt.
  • BlockNonAdminUserInstall ist auf „Aktiviert“ oder „1“ festgelegt.
  • EnableLostMode ist auf dem Gerät festgelegt.
  • „Explorer.exe“ wird durch eine benutzerdefinierte Shell ersetzt.
  • Interaktive Anmeldung: „Smartcard erforderlich“ ist auf „Aktiviert“ oder „1“ festgelegt
• Die Kombination der folgenden drei Einstellungen kann dazu führen, dass dieses Feature fehlschlägt.
  • Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich = Deaktiviert (nur für Windows 10, Version 1710 und früher)
  • DisableLockScreenAppNotifications ist auf 1 oder „Aktiviert“ festgelegt.
  • Die Windows-SKU entspricht der Home Edition.

Hinweis

Diese Einschränkungen gelten auch für das Zurücksetzen der PIN für Windows Hello for Business über den Sperrbildschirm des Geräts.

Kennwortzurücksetzung für Windows 11 und Windows 10

Folgende Voraussetzungen und Konfigurationsschritte sind nötig, um ein Windows 11- oder Windows 10-Gerät auf dem Anmeldebildschirm für die SSPR zu konfigurieren.

Voraussetzungen für Windows 11 und Windows 10

• Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für Authentifizierungsrichtlinien an, und aktivieren Sie die Self-Service-Kennwortzurücksetzung von Microsoft Entra.
• Benutzer müssen sich unter https://aka.ms/ssprsetup für die SSPR registrieren, bevor sie dieses Feature verwenden können.
  • Alle Benutzer müssen die Kontaktinformationen für die Authentifizierung angeben, bevor sie ihr Kennwort zurücksetzen können (gilt nicht ausschließlich für die SSPR auf dem Windows-Anmeldebildschirm).
• Anforderungen an Netzwerkproxy:
  • Port 443 für passwordreset.microsoftonline.com und ajax.aspnetcdn.com
  • Windows 10-Geräte erfordern eine Proxykonfiguration auf Computerebene oder eine bereichsspezifische Proxykonfiguration für das temporäre Konto defaultuser1, das zum Ausführen von SSPR verwendet wird (weitere Informationen finden Sie im Abschnitt Problembehandlung).
• Es muss mindestens Windows 10 mit dem Update vom April 2018 (v1803) ausgeführt werden, und die Geräte müssen eine der folgenden Voraussetzungen erfüllen:
  • In Microsoft Entra eingebunden
  • Hybrid in Microsoft Entra eingebunden

Aktivieren für Windows 11 und Windows 10 mithilfe von Microsoft Intune

Die flexibelste Methode besteht darin, die Konfigurationsänderung für die Aktivierung der SSPR mithilfe von Microsoft Intune über den Anmeldebildschirm bereitzustellen. Mit Microsoft Intune können Sie die Konfigurationsänderung für eine bestimmte Gruppe von Computern bereitstellen, die Sie definieren. Diese Methode erfordert die Registrierung des Gerätes über Microsoft Intune.

Erstellen einer Gerätekonfigurationsrichtlinie in Microsoft Intune

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Erstellen Sie ein neues Profil für die Gerätekonfiguration, indem Sie zu Gerätekonfiguration>Profile navigieren und dann auf + Profil erstellen klicken.

   • Wählen Sie unter Plattform die Option Windows 10 und höher aus.
   • Wählen Sie unter Profiltyp die Option „Vorlagen“ aus, und wählen Sie dann unten die benutzerdefinierte Vorlage aus.

3. Wählen Sie Erstellen aus, und geben Sie dem Profil einen aussagekräftigen Namen wie SSPR auf Windows 11-Anmeldebildschirm.

   Geben Sie optional eine aussagekräftige Beschreibung des Profils an, und klicken Sie auf Weiter.

4. Klicken Sie unter Konfigurationseinstellungen auf Hinzufügen, und geben Sie folgende OMA-URI-Einstellung an, um den Link für die Kennwortzurücksetzung zu aktivieren:

   • Geben Sie einen aussagekräftigen Namen wie SSPR-Link hinzufügen an, um den Zweck der Einstellung zu verdeutlichen.
   • Geben Sie optional eine aussagekräftige Beschreibung der Einstellung an.
   • Festlegung von OMA-URI auf ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
   • Festlegung von Data type auf Integer
   • Festlegung von Value auf 1

   Klicken Sie auf Hinzufügen und dann auf Weiter.

5. Die Richtlinie kann bestimmten Benutzern, Geräten oder Gruppen zugewiesen werden. Weisen Sie das Profil Ihrer gewünschten Umgebung zu, idealerweise zunächst einer Testgerätegruppe, und klicken Sie dann auf Weiter.

   Weitere Informationen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen in Microsoft Intune.

6. Konfigurieren Sie die Anwendbarkeitsregeln wie für Ihre Umgebung gewünscht, zum Beispiel Assign profile if OS edition is Windows 10 Enterprise (Profil nur zuweisen, wenn das Betriebssystem Windows 10 Enterprise ist), und klicken Sie dann auf Weiter.

7. Überprüfen Sie Ihr Profil, und klicken Sie anschließend auf Erstellen.

Aktivieren für Windows 11 und Windows 10 mithilfe der Registrierung

Befolgen Sie diese Schritte, um die SSPR auf dem Anmeldebildschirm mithilfe eines Registrierungsschlüssels zu aktivieren:

1. Melden Sie sich mit Administratoranmeldeinformationen beim Windows-PC an.

2. Drücken Sie Windows-Taste + R, um das Dialogfeld Ausführen zu öffnen, und führen Sie dann regedit als Administrator aus.

3. Legen Sie den folgenden Registrierungsschlüssel fest:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Behandeln von Problemen bei der Kennwortzurücksetzung für Windows 11 und Windows 10

Wenn bei der Verwendung der SSPR über den Windows-Anmeldebildschirm Probleme auftreten, finden Sie im Microsoft Entra-Überwachungsprotokoll Informationen zur IP-Adresse und zum Clienttyp, auf der bzw. dem die Kennwortzurücksetzung versucht wurde. Das wird in der folgenden Beispielausgabe veranschaulicht:

Wenn Benutzer*innen ihr Kennwort über den Anmeldebildschirm eines Windows 11- oder Windows 10-Geräts zurücksetzen, wird das temporäre Konto defaultuser1 mit niedrigen Berechtigungen erstellt. Mit diesem Konto wird der Vorgang zur Kennwortzurücksetzung geschützt.

Das Konto selbst verfügt über ein zufällig generiertes Kennwort, das anhand einer Kennwortrichtlinie der Organisation überprüft, nicht bei der Geräteanmeldung angezeigt und automatisch entfernt wird, wenn der Benutzer sein Kennwort zurücksetzt. Unter Umständen sind mehrere Profile vom Typ defaultuser vorhanden, sie können jedoch ignoriert werden.

Proxykonfigurationen für Windows Kennwortzurücksetzung

Während der Kennwortzurücksetzung erstellt SSPR ein temporäres lokales Benutzerkonto, um eine Verbindung mit https://passwordreset.microsoftonline.com/n/passwordreset herzustellen. Wenn ein Proxy für die Benutzerauthentifizierung konfiguriert ist, tritt möglicherweise der Fehler "Es ist ein Fehler aufgetreten. Versuchen Sie es später noch mal." Dies liegt daran, dass das lokale Benutzerkonto nicht zur Verwendung des authentifizierten Proxys autorisiert ist.

In diesem Fall können Sie eine der folgenden Problemumgehungen verwenden:

• Konfigurieren Sie eine computerweite Proxyeinstellung, die nicht vom Typ des am Computer angemeldeten Benutzers abhängig ist. Sie können z. B. Gruppenrichtlinie Proxyeinstellungen pro Computer (und nicht pro Benutzer) für die Arbeitsstationen festlegen.

• Sie können auch die Per-User für SSPR verwenden, wenn Sie die Registrierungsvorlage für das Standardkonto ändern. Die Befehle lauten wie folgt:

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• Der Fehler "Etwas ist falsch gelaufen" kann auch auftreten, wenn eine Verbindung mit der URL unterbrochen wird https://passwordreset.microsoftonline.com/n/passwordreset. Dieser Fehler kann beispielsweise auftreten, wenn Antivirensoftware auf der Arbeitsstation ohne Ausschlüsse für URLs passwordreset.microsoftonline.com, ajax.aspnetcdn.comund ausgeführt wird ocsp.digicert.com. Deaktivieren Sie diese Software vorübergehend, um zu testen, ob das Problem behoben wurde.

Kennwortzurücksetzung für Windows 7, 8 und 8.1

Folgende Voraussetzungen und Konfigurationsschritte sind nötig, um ein Windows 7-, Windows 8- oder Windows 8.1-Gerät auf dem Anmeldebildschirm für die SSPR zu konfigurieren.

Voraussetzungen für Windows 7, 8 und 8.1

• Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für Authentifizierungsrichtlinien an, und aktivieren Sie die Self-Service-Kennwortzurücksetzung von Microsoft Entra.
• Benutzer müssen sich unter https://aka.ms/ssprsetup für die SSPR registrieren, bevor sie dieses Feature verwenden können.
  • Alle Benutzer müssen die Kontaktinformationen für die Authentifizierung angeben, bevor sie ihr Kennwort zurücksetzen können (gilt nicht ausschließlich für die SSPR auf dem Windows-Anmeldebildschirm).
• Anforderungen an Netzwerkproxy:
  • Port 443 für passwordreset.microsoftonline.com
• Gepatchtes Windows 7- oder Windows 8.1-Betriebssystem.
• TLS 1.2 wurde gemäß der Anleitung unter Registrierungseinstellungen für Transport Layer Security (TLS) aktiviert.
• Wenn auf Ihrem Computer mehrere Drittanbieter von Anmeldeinformationen aktiviert sind, werden Benutzern mehrere Benutzerprofile auf dem Anmeldebildschirm angezeigt.

Warnung

TLS 1.2 muss aktiviert sein, nicht nur auf „Automatische Aushandlung“ festgelegt.

Installieren

Bei Windows 7, Windows 8 und Windows 8.1 muss eine kleine Komponente auf dem Computer installiert werden, um die SSPR auf dem Anmeldebildschirm zu aktivieren. Befolgen Sie diese Schritte, um die SSPR-Komponente zu installieren:

1. Laden Sie das Installationsprogramm für die Windows-Version herunter, die Sie aktivieren möchten.

   Der Softwareinstaller ist im Microsoft Download Center unter https://aka.ms/sspraddin verfügbar.

2. Melden Sie sich auf dem Computer an, auf dem Sie installieren möchten, und führen Sie das Installationsprogramm aus.

3. Ein Neustart nach der Installation wird dringend empfohlen.

4. Nach dem Neustart wählen Sie auf dem Anmeldebildschirm einen Benutzer aus und wählen Sie "Passwort vergessen", um den Arbeitsablauf zum Zurücksetzen des Passworts zu starten.

5. Schließen Sie den Workflow mit den folgenden Schritten auf dem Bildschirm ab, um Ihr Kennwort zurückzusetzen.

Automatische Installation

Die SSPR-Komponente kann ohne Eingabeaufforderungen installiert oder deinstalliert werden, indem die folgenden Befehle verwendet werden:

• Verwenden Sie für die automatische Installation den Befehl „msiexec /i SsprWindowsLogon.PROD.msi /qn“.
• Verwenden Sie für die automatische Deinstallation den Befehl „msiexec /x SsprWindowsLogon.PROD.msi /qn“.

Behandeln von Problemen bei der Kennwortzurücksetzung für Windows 7, 8 und 8.1

Wenn bei der Verwendung der SSPR über den Windows-Anmeldebildschirm Probleme auftreten, werden die Ereignisse auf dem Computer und in Microsoft Entra ID protokolliert. Microsoft Entra-Ereignisse enthalten Informationen zur IP-Adresse und zum Clienttyp, für die bzw. den das Kennwort zurückgesetzt wurde. Das wird in der folgenden Beispielausgabe veranschaulicht:

Wenn zusätzliche Protokollierung erforderlich ist, kann ein Registrierungsschlüssel auf dem Computer geändert werden, um die ausführliche Protokollierung zu aktivieren. Aktivieren Sie die ausführliche Protokollierung nur für die Problembehandlung, indem Sie den folgenden Registrierungsschlüsselwert verwenden:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Zum Aktivieren der ausführlichen Protokollierung erstellen Sie den Eintrag REG_DWORD: "EnableLogging", und legen Sie ihn auf 1 fest.
• Um die ausführliche Protokollierung zu deaktivieren, ändern Sie REG_DWORD: "EnableLogging" in 0.
• Überprüfen Sie die Debugprotokollierung im Anwendungsereignisprotokoll unter der Quelle „AADPasswordResetCredentialProvider“.

Anzeige für Benutzer

Was ändert sich für Benutzer, nachdem die SSPR für Ihre Windows-Geräte konfiguriert wurde? Wie erfahren sie, dass sie ihr Kennwort über den Anmeldebildschirm zurücksetzen können? Auf den folgenden Beispielscreenshots werden die Optionen veranschaulicht, die Benutzern zusätzlich für die SSPR zur Verfügung stehen:

Wenn Benutzer versuchen, sich anzumelden, wird der Link Kennwort zurücksetzen oder Kennwort vergessen angezeigt. Mit diesen Links wird die Self-Service-Kennwortzurücksetzung auf dem Anmeldebildschirm geöffnet. Mit dieser Funktion können Benutzer ihr Kennwort zurücksetzen, ohne ein anderes Gerät für den Zugriff auf einen Webbrowser verwenden zu müssen.

Benutzer, die dieses Feature verwenden, finden weitere Informationen unter Zurücksetzen des Kennworts für Ihr Geschäfts-, Schul- oder Unikonto mithilfe von Sicherheitsinformationen.

Nächste Schritte

Sie können die Benutzerregistrierung vereinfachen, indem Sie die SSPR-Kontaktinformationen für die Benutzerauthentifizierung vorab auffüllen.