Freigeben über


Einrichten eines Prozesses zur erzwungenen Kennwortzurücksetzung in Azure Active Directory B2C

Von Bedeutung

Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.

Bevor Sie beginnen, verwenden Sie die Auswahl eines Richtlinientyps oben auf dieser Seite, um den Typ der Richtlinie auszuwählen, die Sie einrichten. Azure Active Directory B2C bietet zwei Methoden zum Definieren der Benutzerinteraktion mit Ihren Anwendungen: vordefinierte Benutzerflows oder vollständig konfigurierbare benutzerdefinierte Richtlinien. Die Schritte, die in diesem Artikel erforderlich sind, unterscheiden sich für jede Methode.

Überblick

Als Administrator können Sie das Kennwort eines Benutzers zurücksetzen , wenn der Benutzer sein Kennwort vergessen hat. Oder Sie möchten sie erzwingen, das Kennwort zurückzusetzen. In diesem Artikel erfahren Sie, wie Sie in diesen Szenarien eine Kennwortzurücksetzung erzwingen.

Wenn ein Administrator das Kennwort eines Benutzers über das Azure-Portal zurücksetzt, wird der Wert des attributs forceChangePasswordNextSignIn auf festgelegt true. Die Anmelde- und Registrierungsreise überprüft den Wert dieses Attributs. Nachdem der Benutzer die Anmeldung abgeschlossen hat, muss er sein Kennwort zurücksetzen, wenn das Attribut auf true festgelegt ist. Anschließend wird der Wert des Attributs auf "zurück false" festgelegt.

Flow zum Erzwingen der Kennwortzurücksetzung

Der Ablauf der Kennwortzurücksetzung gilt für lokale Konten in Azure AD B2C, die eine E-Mail-Adresse oder einen Benutzernamen mit einem Kennwort für die Anmeldung verwenden.

Voraussetzungen

Konfigurieren des Benutzerflusses

Gehen Sie wie folgt vor, um die Einstellung Erzwungene Kennwortzurücksetzung in einem Flow für die Registrierung oder Anmeldung zu aktivieren:

  1. Melden Sie sich beim Azure-Portal an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
  3. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
  4. Wählen Sie Benutzerflüsse aus.
  5. Wählen Sie den Registrierungs- und Anmelde- oder Anmeldebenutzerablauf (vom Typ Empfohlen) aus, den Sie anpassen möchten.
  6. Wählen Sie im linken Menü unter Einstellungen die Option Eigenschaften aus.
  7. Wählen Sie unter "Kennwortkonfiguration" die Option "Erzwungene Kennwortzurücksetzung" aus.
  8. Wählen Sie Speichern aus.

Testen des Benutzerflows

  1. Melden Sie sich beim Azure-Portal als Benutzeradministrator oder Kennwortadministrator an. Weitere Informationen zu den verfügbaren Rollen finden Sie unter Zuweisen von Administratorrollen in der Microsoft Entra-ID.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
  3. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
  4. Wählen Sie Benutzer aus. Suchen Sie nach dem Benutzer, den Sie zum Testen der Kennwortzurücksetzung verwenden, und wählen Sie dann "Kennwort zurücksetzen" aus.
  5. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
  6. Wählen Sie Benutzerflüsse aus.
  7. Wählen Sie einen Registrierungs- oder Anmeldebenutzerablauf (vom Typ "Empfohlen") aus, den Sie testen möchten.
  8. Wählen Sie Benutzerflow ausführen aus.
  9. Wählen Sie für Anwendung die Webanwendung webapp1 aus, die Sie zuvor registriert haben. Als Antwort-URL sollte https://jwt.ms angezeigt werden.
  10. Wählen Sie Benutzerflow ausführen aus.
  11. Melden Sie sich mit dem Benutzerkonto an, für das Sie das Kennwort zurücksetzen.
  12. Jetzt müssen Sie das Kennwort für den Benutzer ändern. Ändern Sie das Kennwort, und wählen Sie "Weiter" aus. Das Token wird an https://jwt.ms zurückgegeben und Ihnen angezeigt.

Konfigurieren Sie Ihre benutzerdefinierte Richtlinie

Rufen Sie auf GitHub das Beispiel für die Richtlinie zur Kennwortzurücksetzung ab. Ersetzen Sie in jeder Datei die Zeichenfolge yourtenant durch den Namen Ihres Azure AD B2C-Mandanten. Wenn der Name Ihres B2C-Mandanten beispielsweise contosob2c ist, werden alle Instanzen von yourtenant.onmicrosoft.com zu contosob2c.onmicrosoft.com.

Hochladen und Testen der Richtlinie

  1. Melden Sie sich beim Azure-Portal an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
  3. Wählen Sie "Alle Dienste " in der oberen linken Ecke des Azure-Portals aus, und suchen Sie dann nach Azure AD B2C, und wählen Sie sie aus.
  4. Wählen Sie "Identity Experience Framework" aus.
  5. Wählen Sie in benutzerdefinierten Richtlinien " Uploadrichtlinie" aus.
  6. Wählen Sie die dateiTrustFrameworkExtensionsCustomForcePasswordReset.xml aus.
  7. Wählen Sie die Option Hochladen.
  8. Wiederholen Sie die Schritte 6 bis 8 für die Datei der vertrauenden Partei TrustFrameworkExtensionsCustomForcePasswordReset.xml.

Ausführen der Richtlinie

  1. Öffnen Sie die Richtlinie, die Sie hochgeladen haben: B2C_1A_TrustFrameworkExtensions_custom_ForcePasswordReset.
  2. Wählen Sie für "Anwendung" die Anwendung aus, die Sie zuvor registriert haben. Um das Token zu sehen, sollte die Antwort-URLhttps://jwt.ms angezeigt werden.
  3. Wählen Sie Jetzt ausführen aus.
  4. Melden Sie sich mit dem Benutzerkonto an, für das Sie das Kennwort zurücksetzen.
  5. Jetzt müssen Sie das Kennwort für den Benutzer ändern. Ändern Sie das Kennwort, und wählen Sie "Weiter" aus. Das Token wird an https://jwt.ms zurückgegeben und Ihnen angezeigt.

Erzwingen des Kennwortzurücksetzens beim nächsten Anmelden

Um das Zurücksetzen des Kennworts bei der nächsten Anmeldung zu erzwingen, aktualisieren Sie das Kontokennwortprofil mithilfe des MS Graph Update-Benutzervorgangs . Dazu müssen Sie Ihre Microsoft Graph-Anwendung der Rolle "Benutzeradministrator " zuweisen. Führen Sie die Schritte in " Benutzeradministratorrolle erteilen " aus, um Ihrer Microsoft Graph-Anwendung eine Benutzeradministratorrolle zuzuweisen.

Im folgenden Beispiel wird das Kennwortprofil-Attribut forceChangePasswordNextSignIn auf true aktualisiert, was den Benutzer dazu zwingt, sein Kennwort bei der nächsten Anmeldung zurückzusetzen.

PATCH https://graph.microsoft.com/v1.0/users/<user-object-ID>
Content-type: application/json

{
    "passwordProfile": {
      "forceChangePasswordNextSignIn": true
    }
}

Nachdem das Kontokennwortprofil festgelegt wurde, müssen Sie auch den Flow zum Erzwingen der Kennwortzurücksetzung konfigurieren. Dies ist in diesem Artikel beschrieben.

Erzwingen eines Passwortwechsels nach 90 Tagen

Als Administrator können Sie den Ablauf des Kennworts eines Benutzers auf 90 Tage festlegen, indem Sie MS Graph verwenden. Nach 90 Tagen wird der Wert des Attributes forceChangePasswordNextSignIn automatisch auf true gesetzt. Um eine Kennwortzurücksetzung nach 90 Tagen zu erzwingen, entfernen Sie den DisablePasswordExpiration Wert aus dem Profilkennwortrichtlinien-Attribut des Benutzers.

Im folgenden Beispiel wird die Kennwortrichtlinie auf None aktualisiert, wodurch eine Kennwortzurücksetzung nach 90 Tagen erzwungen wird:

PATCH https://graph.microsoft.com/v1.0/users/<user-object-ID>
Content-type: application/json

{
  "passwordPolicies": "None"
}

Wenn Sie die Komplexität des starken Kennworts deaktiviert haben, aktualisieren Sie die Kennwortrichtlinie auf "DisableStrongPassword":

Hinweis

Nachdem der Benutzer sein Kennwort zurückgesetzt hat, werden die passwordPolicies wieder in DisablePasswordExpiration geändert.

PATCH https://graph.microsoft.com/v1.0/users/<user-object-ID>
Content-type: application/json

{
  "passwordPolicies": "DisableStrongPassword"
}

Nachdem eine Kennwortablaufrichtlinie festgelegt wurde, müssen Sie auch den Flow zum Erzwingen der Kennwortzurücksetzung konfigurieren. Dies ist in diesem Artikel beschrieben.

Zeitraum bis zum Ablauf des Kennworts

Standardmäßig ist das Kennwort so eingestellt, dass es nicht abläuft. Der Wert kann jedoch mithilfe des Cmdlets Update-MgDomain aus dem Microsoft Graph PowerShell-Modul konfiguriert werden. Mit diesem Befehl wird der Mandant aktualisiert, sodass die Kennwörter aller Benutzenden nach der von Ihnen konfigurierten Anzahl von Tagen ablaufen. Beispiel:

Import-Module Microsoft.Graph.Identity.DirectoryManagement

Connect-MgGraph  -Scopes 'Domain.ReadWrite.All'

$domainId = "contoso.com"
$params = @{
	passwordValidityPeriodInDays = 90
}

Update-MgDomain -DomainId $domainId -BodyParameter $params
  • passwordValidityPeriodInDays ist die Zeitdauer in Tagen, in denen ein Kennwort gültig bleibt, bevor es geändert werden muss.

Richten Sie eine Self-Service-Kennwortzurücksetzung ein.