Funktionsweise: Microsoft Entra Self-Service-Kennwortzurücksetzung (SSPR)
Mit der Self-Service-Kennwortzurücksetzung (SSPR) von Microsoft Entra können Benutzer*innen ihr Kennwort ohne Beteiligung von Administrator*innen oder des Helpdesks ändern oder zurücksetzen. Wenn das Konto eines Benutzers gesperrt ist oder dieser sein Kennwort vergessen hat, kann er die Schritte zum Entsperren ausführen und anschließend weiterarbeiten. Dies führt zu weniger Anrufen beim Helpdesk und Produktivitätsverlusten, wenn sich ein Benutzer nicht an seinem Gerät oder einer Anwendung anmelden kann. Sehen Sie sich dieses Video zum Aktivieren und Konfigurieren der Self-Service-Kennwortzurücksetzung in Microsoft Entra ID an.
Wichtig
In diesem Konzeptartikel erfahren Administratoren, wie die Self-Service-Kennwortzurücksetzung funktioniert. Wenn Sie bereits als Endbenutzer für die Self-Service-Kennwortzurücksetzung registriert sind und wieder zu Ihrem Konto zurückkehren müssen, gehen Sie zu https://aka.ms/sspr.
Wenn Ihr IT-Team die Möglichkeit zum Zurücksetzen Ihres eigenen Kennworts nicht aktiviert hat, wenden Sie sich an den Helpdesk, um weitere Unterstützung zu erhalten.
Wie funktioniert der Vorgang zur Kennwortzurücksetzung?
Ein Benutzer kann sein Kennwort über das SSPR-Portal zurücksetzen oder ändern. Dazu müssen jedoch zunächst die gewünschten Authentifizierungsmethoden registriert werden. Wenn Benutzer*innen auf das SSPR-Portal zugreifen, berücksichtigt die Microsoft Entra-Plattform Folgendes:
- Wie soll die Seite lokalisiert werden?
- Ist das Benutzerkonto gültig?
- Zu welcher Organisation gehört der Benutzer?
- Wo wird das Kennwort des Benutzers verwaltet?
Wenn ein Benutzer in einer Anwendung oder auf einer Seite auf den Link Zugriff auf Ihr Konto nicht möglich klickt oder direkt zu https://aka.ms/sspr navigiert, wird die im SSPR-Portal angezeigte Sprache nach folgenden Kriterien ausgewählt:
- Standardmäßig wird das Gebietsschema des Browsers verwendet, um die Self-Service-Kennwortzurücksetzung in der richtigen Sprache anzuzeigen. Die Benutzeroberfläche für die Kennwortzurücksetzung wurde in alle Sprachen lokalisiert, die Microsoft 365 unterstützt.
- Wenn Sie das SSPR-Portal in einer bestimmten Sprache verlinken möchten, müssen Sie
?mkt=
zusammen mit dem gewünschten Gebietsschema an die URL für die Kennwortzurücksetzung anfügen.- Wenn Sie beispielsweise das spanische Gebietsschema es-us angeben möchten, verwenden Sie
?mkt=es-us
- https://passwordreset.microsoftonline.com/?mkt=es-us.
- Wenn Sie beispielsweise das spanische Gebietsschema es-us angeben möchten, verwenden Sie
Wenn das SSPR-Portal in der gewünschten Sprache angezeigt wird, wird der Benutzer aufgefordert, eine Benutzer-ID einzugeben und eine CAPTCHA-Prüfung abzulegen. Microsoft Entra überprüft anschließend wie folgt, ob der Benutzer das SSPR-Feature verwenden kann:
- Überprüft, ob SSPR für den Benutzer aktiviert ist.
- Wenn das Feature nicht für den Benutzer aktiviert ist, wird der Benutzer aufgefordert, sich zum Zurücksetzen des Kennworts an den Administrator zu wenden.
- Es wird überprüft, ob der Benutzer in seinem Konto die richtigen Authentifizierungsmethoden definiert hat, die der Administratorrichtlinie entsprechen.
- Wenn die Richtlinie nur eine Methode erfordert, wird sichergestellt, dass der Benutzer für mindestens eine durch die Administratorrichtlinie festgelegte Authentifizierungsmethode geeignete Daten definiert hat.
- Wenn die Authentifizierungsmethoden nicht konfiguriert sind, wird der Benutzer aufgefordert, sich an den Administrator zu wenden, um sein Kennwort zurückzusetzen.
- Wenn die Richtlinie zwei Methoden erfordert, wird sichergestellt, dass der Benutzer für mindestens zwei durch die Administratorrichtlinie festgelegte Authentifizierungsmethoden geeignete Daten definiert hat.
- Wenn die Authentifizierungsmethoden nicht konfiguriert sind, wird der Benutzer aufgefordert, sich an den Administrator zu wenden, um sein Kennwort zurückzusetzen.
- Wenn einem Benutzer eine Azure-Administratorrolle zugewiesen wird, wird dadurch auch die sichere Zwei-Wege-Kennwortrichtlinie erzwungen. Weitere Informationen finden Sie unter Unterschiede zu Richtlinien zum Zurücksetzen von Administratorkennwörtern.
- Wenn die Richtlinie nur eine Methode erfordert, wird sichergestellt, dass der Benutzer für mindestens eine durch die Administratorrichtlinie festgelegte Authentifizierungsmethode geeignete Daten definiert hat.
- Es wird überprüft, ob das Benutzerkennwort lokal verwaltet wird, d. h., ob der Microsoft Entra-Mandant die Verbundauthentifizierung, die Pass-Through-Authentifizierung oder die Kennworthashsynchronisierung verwendet:
- Wenn das Kennwortrückschreiben für den SSPR konfiguriert ist und das Benutzerkennwort lokal verwaltet wird, kann der Benutzer mit der Authentifizierung fortfahren und sein Kennwort zurücksetzen.
- Wenn das Kennwortrückschreiben nicht für den SSPR aktiviert ist und das Benutzerkennwort lokal verwaltet wird, wird der Benutzer aufgefordert, sich zum Zurückzusetzen des Kennworts an den Administrator zu wenden.
Wenn alle vorherigen Überprüfungen erfolgreich abgeschlossen wurden, wird der Benutzer durch die Kennwortzurücksetzung oder -änderung geführt.
Hinweis
SSPR sendet im Rahmen des Vorgangs zur Kennwortzurücksetzung möglicherweise E-Mail-Benachrichtigungen an Benutzer. Diese E-Mails werden mithilfe des SMTP-Relaydiensts gesendet, der in mehreren Regionen in einem Aktiv/Aktiv-Modus betrieben wird.
SMTP-Relaydienste empfangen und verarbeiten den E-Mail-Text, speichern ihn aber nicht. Der Text der SSPR-E-Mail, der möglicherweise vom Kunden bereitgestellte Informationen enthält, wird in den SMTP-Relaydienstprotokollen nicht gespeichert. Die Protokolle enthalten nur Protokollmetadaten.
Nutzen Sie das folgende Tutorial, um sich mit SSPR vertraut zu machen:
Erzwingen der Registrierung für Benutzer bei der Anmeldung
Sie können diese Option aktivieren, damit Benutzer die SSPR-Registrierung abschließen müssen, wenn sie sich mit der modernen Authentifizierung oder einem Webbrowser bei Anwendungen, die Microsoft Entra verwenden, anmelden. Dieser Workflow schließt die folgenden Anwendungen ein:
- Microsoft 365
- Microsoft Entra Admin Center
- Anpassung des Zugriffsbereichs
- Verbundanwendungen
- Benutzerdefinierte Anwendungen mit Microsoft Entra ID
Wenn die Registrierung nicht erzwungen wird, werden Benutzer nicht während der Anmeldung dazu aufgefordert. Sie können sich jedoch manuell registrieren. Dazu können Benutzer entweder https://aka.ms/ssprsetup aufrufen oder im Zugriffsbereich auf der Registerkarte Profil auf den Link Für das Zurücksetzen des Kennworts registrieren klicken.
Hinweis
Benutzer können das Registrierungsportal für den SSPR durch Klicken auf Abbrechen oder durch Schließen des Fensters schließen. Sie werden jedoch bei jeder Anmeldung zur Registrierung aufgefordert, bis die Registrierung durchgeführt wurde.
Durch diese Aufforderung zur Registrierung für den SSPR wird die Verbindung eines Benutzers nicht unterbrochen, wenn er bereits angemeldet ist.
Erneute Bestätigung der Authentifizierungsinformationen
Sie können erzwingen, dass Benutzer ihre registrierten Informationen nach einem bestimmten Zeitraum bestätigen müssen, um sicherzustellen, dass die Authentifizierungsmethoden im Falle einer Kennwortzurücksetzung oder -änderung korrekt sind. Diese Option ist nur verfügbar, wenn Sie die Option Registrierung von Benutzern bei der Anmeldung verlangen? aktivieren.
Gültige Werte für die Aufforderung zur Bestätigung der registrierten Authentifizierungsmethoden reichen von 0 bis 730 Tagen. Wenn Sie den Wert auf 0 festlegen, werden Benutzer nie aufgefordert, ihre Authentifizierungsinformationen zu bestätigen. Bei Verwendung der kombinierten Registrierung müssen Benutzer ihre Identität bestätigen, bevor sie ihre Informationen erneut bestätigen.
Authentifizierungsmethoden
Wenn der SSPR für einen Benutzer konfiguriert ist, muss der Benutzer mindestens eine Authentifizierungsmethode registrieren. Es wird jedoch dringend empfohlen, mindestens zwei Authentifizierungsmethoden auszuwählen, damit Ihre Benutzer ausweichen können, falls auf eine der Methoden kein Zugriff besteht. Weitere Informationen finden Sie unter Authentifizierungsmethoden.
Die folgenden Authentifizierungsmethoden sind für den SSPR verfügbar:
- Benachrichtigung über eine mobile App
- Code der mobilen App
- Mobiltelefon
- Geschäftliche Rufnummer (nur für Mandanten mit kostenpflichtigen Abonnements verfügbar)
- Sicherheitsfragen
Benutzer können ihr Kennwort nur zurücksetzen, wenn sie eine Authentifizierungsmethode registriert haben, die vom Administrator freigegeben wurde.
Warnung
Konten, denen eine Azure-Administratorrolle zugewiesen wurde, müssen Methoden nutzen, die im Abschnitt Unterschiede zu Richtlinien zum Zurücksetzen von Administratorkennwörtern definiert sind.
Anzahl erforderlicher Authentifizierungsmethoden
Sie können die Anzahl der verfügbaren Authentifizierungsmethoden konfigurieren, die ein Benutzer bereitstellen muss, um sein Kennwort zurückzusetzen oder freizuschalten. Dieser Wert kann auf 1 oder 2 festgelegt werden.
Benutzer sollten mehrere Authentifizierungsmethoden registrieren, damit sie sich auf eine andere Weise anmelden können, wenn sie nicht auf eine Methode zugreifen können.
Wenn ein Benutzer nicht die Mindestanzahl der erforderlichen Methoden registriert, wird beim Versuch, SSPR zu verwenden, eine Fehlerseite angezeigt. Sie müssen anfordern, dass ein Administrator ihr Kennwort zurücksetzt. Weitere Informationen finden Sie unter Ändern von Authentifizierungsmethoden.
Mobile App und SSPR
Wenn Sie eine mobile App als Methode für die Kennwortzurücksetzung wie Microsoft Authenticator verwenden, gelten die folgenden Überlegungen, wenn eine Organisation nicht zur Richtlinie für zentralisierte Authentifizierungsmethoden migriert wurde:
- Wenn Administratoren eine Methode zum Zurücksetzen von Kennwörtern erzwingen, steht als einzige Option der Prüfcode zur Verfügung.
- Wenn Administratoren zwei Methoden für die Kennwortzurücksetzung voraussetzen, können Benutzer zusätzlich zu anderen aktivierten Methoden Benachrichtigungen ODER Prüfcodes verwenden.
Anzahl von erforderlichen Methoden zum Zurücksetzen | Eine | Zwei |
---|---|---|
Verfügbare Funktionen der mobilen App | Code | Code oder Benachrichtigung |
Die Benutzer haben die Möglichkeit, ihre mobile App unter https://aka.ms/mfasetup oder bei der kombinierten Registrierung von Sicherheitsinformationen unter https://aka.ms/setupsecurityinfo zu registrieren.
Wichtig
Authenticator kann nicht als Authentifizierungsmethode ausgewählt werden, wenn nur eine einzige Methode erforderlich ist. Ebenso können nicht Authenticator und nur eine zusätzliche Methode ausgewählt werden, wenn Sie zwei Methoden benötigen.
Wenn Sie SSPR-Richtlinien konfigurieren, die die Authenticator-App als Methode vorsehen, sollten bei einer oder zwei erforderlichen Methoden jeweils eine bzw. zwei zusätzliche Methoden konfiguriert werden.
Ändern der Authentifizierungsmethoden
Was passiert, wenn Sie mit einer Richtlinie beginnen, bei der zum Zurücksetzen oder Entsperren der Registrierung nur eine einzelne Authentifizierungsmethode erforderlich ist, und Sie dies in zwei Authentifizierungsmethoden ändern?
Anzahl der registrierten Methoden | Anzahl der erforderlichen Methoden | Ergebnis |
---|---|---|
Mindestens 1 | 1 | Kann zurücksetzen oder entsperren |
1 | 2 | Kann nicht zurücksetzen oder entsperren |
2 oder mehr | 2 | Kann zurücksetzen oder entsperren |
Eine Änderung der verfügbaren Authentifizierungsmethoden kann ebenso Probleme für Ihre Benutzer verursachen. Wenn Sie ändern, welche Authentifizierungsmethoden verfügbar sind, können Benutzer ohne die verfügbare Mindestdatenmenge SSPR nicht verwenden.
Betrachten Sie das folgende Beispielszenario:
- Die ursprüngliche Richtlinie wird mit zwei erforderlichen Authentifizierungsmethoden konfiguriert. Sie verwendet nur die Bürotelefonnummer und die Sicherheitsfragen.
- Der Administrator ändert die Richtlinie so, dass anstelle von Sicherheitsfragen ein Mobiltelefon und eine alternative E-Mail-Adresse verwendet werden.
- Benutzer, für die das Feld zum Mobiltelefon oder der alternativen E-Mail-Adresse nicht aufgefüllt wurde, können ihre Kennwörter jetzt nicht mehr zurücksetzen.
Benachrichtigungen
Mit dem SSPR können Sie sowohl für Benutzer als auch für Identitätsadministratoren Benachrichtigungen konfigurieren, um das Augenmerk auf Kennwortereignisse zu stärken.
Benutzer über Kennwortzurücksetzungen benachrichtigen?
Ist diese Option auf Ja festgelegt, erhalten Benutzer, die ihr Kennwort zurücksetzen, eine E-Mail mit dem Hinweis, dass ihr Kennwort geändert wurde. Die E-Mail wird über das SSPR-Portal an die in Microsoft Entra hinterlegte primäre und alternative E-Mail-Adresse gesendet. Wenn keine primäre oder alternative E-Mail-Adresse definiert ist, versucht SSPR eine E-Mail-Benachrichtigung über den Benutzerprinzipalnamen (User Principal Name, UPN) des Benutzers zu senden. Niemand sonst wird über das Zurücksetzen informiert.
Sollen alle Administratoren benachrichtigt werden, wenn andere Administratoren ihr Kennwort zurücksetzen?
Wenn diese Option auf Ja festgelegt ist, erhalten alle globalen Administrator und Administratorinnen eine E-Mail an ihre in Microsoft Entra ID hinterlegte primäre E-Mail-Adresse. In dieser E-Mail werden sie darüber informiert, dass ein anderer Administrator ihr Kennwort mithilfe von SSPR geändert hat.
Hinweis
E-Mail-Benachrichtigungen vom SSPR-Dienst werden von den folgenden Adressen gesendet, je nachdem, mit welcher Azure-Cloud Sie arbeiten:
- Öffentlich: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Microsoft Azure betrieben von 21Vianet (Azure in China): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure für US Government (US-Regierungsbehörden): msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Wenn Sie Probleme beim Empfangen von Benachrichtigungen feststellen, überprüfen Sie Ihre Spameinstellungen.
Wenn Sie möchten, dass benutzerdefinierte Administrator*innen die Benachrichtigungs-E-Mails erhalten, verwenden Sie SSPR-Anpassungen und richten Sie eine benutzerdefinierte Helpdesk-URL oder -E-Mail ein.
Lokale Integration
In einer Hybridumgebung können Sie Microsoft Entra Connect-Cloudsynchronisierung so konfigurieren, dass Kennwortänderungsereignisse aus Microsoft Entra zurück in ein lokales Verzeichnis geschrieben werden.
Microsoft Entra ID überprüft Ihre aktuelle Hybridverbindung und zeigt Nachrichten im Microsoft Entra Admin Center an. Hilfe zum Beheben möglicher Fehler finden Sie unter Problembehandlung von Microsoft Entra Connect.
Nutzen Sie das folgende Tutorial, um sich mit dem SSPR-Rückschreiben vertraut zu machen:
Kennwörter in Ihr lokales Verzeichnis zurückschreiben?
Sie können das Kennwortrückschreiben über das Microsoft Entra Admin Center aktivieren. Sie können dieses Feature auch vorübergehend deaktivieren, ohne Microsoft Entra Connect neu zu konfigurieren.
- Ist die Option auf Ja festgelegt, ist das Rückschreiben aktiviert. Verbundbenutzer, Benutzer mit Pass-Through-Authentifizierung oder Benutzer mit Kennworthashsynchronisierung können ihre Kennwörter zurücksetzen.
- Ist die Option auf Nein festgelegt, ist das Rückschreiben deaktiviert. Verbundbenutzer, Benutzer mit Pass-Through-Authentifizierung oder Benutzer mit Kennworthashsynchronisierung können ihre Kennwörter nicht zurücksetzen.
Benutzern das Entsperren von Konten ohne Zurücksetzen des Kennworts erlauben
Standardmäßig werden bei einer Kennwortzurücksetzung Konten von Microsoft Entra ID entsperrt. Zur Steigerung de Flexibilität können Sie auch zulassen, dass Benutzer ihre lokalen Konten entsperren können, ohne das Kennwort zurückzusetzen. Mit dieser Einstellung können Sie die folgenden beiden Vorgänge trennen.
- Bei der Einstellung Ja erhalten Benutzer die Option, das Kennwort zurückzusetzen und ihre Konto zu entsperren oder das Konto zu entsperren, ohne dass das Kennwort zurückgesetzt werden muss.
- Bei der Einstellung Nein können Benutzer das Entsperren des Kontos nur in Kombination mit dem Zurücksetzen des Kennworts vornehmen.
Lokale Active Directory-Kennwortfilter
Der SSPR ist äquivalent zu einer vom Administrator ausgelösten Kennwortzurücksetzung in Active Directory. Wenn Sie einen Kennwortfilter eines Drittanbieters verwenden, um benutzerdefinierte Kennwortrichtlinien durchzusetzen, und die Überprüfung dieses Kennwortfilters während des Microsoft Entra-SSPR erzwingen, müssen Sie sicherstellen, dass dieser Kennwortfilter so konfiguriert ist, dass er auch bei einer Kennwortzurücksetzung durch den Administrator angewendet wird. Der Microsoft Entra-Kennwortschutz für Active Directory Domain Services wird standardmäßig unterstützt.
Kennwortzurücksetzung für B2B-Benutzer
Das Zurücksetzen und Ändern von Kennwörtern wird von allen B2B-Konfigurationen (Business-to-Business) uneingeschränkt unterstützt. Das Zurücksetzen von B2B-Benutzerkennwörtern wird in den folgenden drei Fällen unterstützt:
- Benutzer aus einer Partnerorganisation mit einem vorhandenen Microsoft Entra-Mandanten: Wenn Ihr Partner über einen Microsoft Entra-Mandanten verfügt, berücksichtigen wir, welche Kennwortzurücksetzungsrichtlinien für diesen Mandanten aktiviert sind. Damit die Kennwortzurücksetzung funktioniert, muss die Partnerorganisation nur sicherstellen, dass Microsoft Entra SSPR aktiviert ist. Für Microsoft 365-Kunden fallen keine weiteren Gebühren an.
- Benutzer, die sich über die Self-Service-Registrierung registrieren: Wenn Ihr Partner das Self-Service-Registrierung-Feature verwendet hat, um in einen Mandanten zu gelangen, lassen wir ihn das Kennwort mit der E-Mail zurücksetzen, die sie registriert haben.
- B2B-Benutzer: Alle neuen B2B-Benutzer, die mithilfe der neuen Microsoft Entra-B2B-Funktionen erstellt werden, können ihre Kennwörter unter Verwendung der E-Mail-Adresse zurücksetzen, mit der sie sich im Rahmen des Einladungsprozesses registriert haben.
Um dieses Szenario zu testen, wechseln Sie mit einem der Partnerbenutzer zu https://passwordreset.microsoftonline.com
. Wenn der Benutzer eine alternative E-Mail- oder Authentifizierungs-E-Mail definiert hat, funktioniert die Kennwortzurücksetzung wie erwartet.
Hinweis
Microsoft-Konten (etwa Hotmail.com, Outlook.com oder eine andere persönliche E-Mail-Adresse), denen der Gastzugriff auf Ihren Microsoft Entra-Mandanten gewährt wird, können den Microsoft Entra-SSPR nicht nutzen. Weitere Informationen finden Sie unter Wann Sie sich nicht bei Ihrem Microsoft-Konto anmelden können.
Nächste Schritte
Nutzen Sie das folgende Tutorial, um sich mit SSPR vertraut zu machen: