Tutorial: Ermöglichen der Kontoentsperrung oder Kennwortzurücksetzung für Benutzer*innen mithilfe der Self-Service-Kennwortzurücksetzung von Microsoft Entra

Mit der Self-Service-Kennwortzurücksetzung (SSPR) von Microsoft Entra können Benutzer*innen ihr Kennwort ohne Beteiligung von Administrator*innen oder des Helpdesks ändern oder zurücksetzen. Wenn das Konto von Benutzer*innen durch Microsoft Entra ID gesperrt wird oder die Benutzer*innen ihr Kennwort vergessen haben, können sie die Schritte zum Entsperren ausführen und anschließend weiterarbeiten. Dies führt zu weniger Anrufen beim Helpdesk und Produktivitätsverlusten, wenn sich ein Benutzer nicht an seinem Gerät oder einer Anwendung anmelden kann. Wir empfehlen dieses Video über wie Sie SSPR in Microsoft Entra ID aktivieren und konfigurieren können. Darüber hinaus haben wir ein Video für IT-Administratoren, um die sechs häufigsten Endbenutzerfehlermeldungen mit SSPR aufzulösen.

Wichtig

In diesem Tutorial erfahren Sie, wie ein Administrator die Self-Service-Kennwortzurücksetzung aktivieren kann. Wenn Sie bereits für die Self-Service-Kennwortzurücksetzung registriert sind und wieder in Ihr Konto zugreifen müssen, wechseln Sie zur Microsoft Online-Kennwortzurücksetzungsseite .

Wenn Ihr IT-Team die Möglichkeit zum Zurücksetzen Ihres eigenen Kennworts nicht aktiviert hat, wenden Sie sich an den Helpdesk, um weitere Unterstützung zu erhalten.

In diesem Tutorial lernen Sie Folgendes:

• Aktivieren der Self-Service-Kennwortzurücksetzung für eine Gruppe von Microsoft Entra-Benutzer*innen
• Einrichten von Authentifizierungsmethoden und Registrierungsoptionen
• Testen des SSPR-Prozesses als Benutzer

Wichtig

Im März 2023 haben wir angekündigt, dass die Verwaltung von Authentifizierungsmethoden in den Richtlinien für die Legacy-Multi-Faktor-Authentifizierung und die Self-Service-Kennwortzurücksetzung (SSPR) eingestellt wird. Ab dem 30. September 2025 können keine Authentifizierungsmethoden mehr in diesen Legacy-Richtlinien für MFA und SSPR verwaltet werden. Wir empfehlen Kunden, die manuelle Migrationssteuerung zu verwenden, um bis zum Einstellungsdatum zur Richtlinie für Authentifizierungsmethoden zu migrieren.

Videotutorial

Sie können auch in einem verwandten Video folgen: Aktivieren und Konfigurieren von SSPR in Microsoft Entra ID.

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:

• Ein funktionierender Microsoft Entra-Mandant mit mindestens einer Microsoft Entra ID P1-Lizenz ist für die Kennwortzurücksetzung erforderlich. Weitere Informationen zu den Lizenzanforderungen für kennwortänderung und Kennwortzurücksetzung in der Microsoft Entra-ID finden Sie unter Lizenzierungsanforderungen für die Self-Service-Kennwortzurücksetzung von Microsoft Entra.
• Ein Konto mit mindestens der Rolle Authentifizierungsrichtlinienadministrator.
• Ein Nicht-Administrator-Benutzer mit einem Kennwort, das Sie kennen, z. B. Testbenutzer. In diesem Tutorial testen Sie SSPR für Endbenutzer mit diesem Konto.
  • Wenn Sie einen Benutzer erstellen müssen, lesen Sie "Schnellstart: Hinzufügen neuer Benutzer zur Microsoft Entra-ID".
• Eine Gruppe, in der der Nichtadministratorbenutzer Mitglied ist, z. B . SSPR-Test-Group. In diesem Tutorial aktivieren Sie SSPR für diese Gruppe.
  • Wenn Sie eine Gruppe erstellen müssen, lesen Sie "Erstellen einer einfachen Gruppe", und fügen Sie Mitglieder mithilfe der Microsoft Entra-ID hinzu.

Aktivieren der Self-Service-Kennwortzurücksetzung

Mit der Microsoft Entra-ID können Sie SSPR für "Keine", "Ausgewählt" oder "Alle Benutzer" aktivieren. Dank dieser differenzierten Auswahloptionen können Sie eine Teilmenge von Benutzern zum Testen des SSPR-Registrierungsprozesses und -Workflows auswählen. Wenn Sie mit dem Prozess vertraut sind und der Zeitpunkt gekommen ist, die Anforderungen einer größeren Gruppe von Benutzern mitzuteilen, können Sie eine Benutzergruppe für die Aktivierung von SSPR auswählen. Alternativ können Sie die Self-Service-Kennwortzurücksetzung für alle Benutzer*innen im Microsoft Entra ID-Mandanten aktivieren.

Hinweis

Derzeit können Sie über das Microsoft Entra Admin Center nur eine Microsoft Entra-Gruppe für die Self-Service-Kennwortzurücksetzung aktivieren. Im Rahmen einer umfassenderen Bereitstellung der Self-Service-Kennwortzurücksetzung unterstützt Microsoft Entra ID geschachtelte Gruppen.

In diesem Tutorial richten Sie SSPR für eine Gruppe von Benutzern in einer Testgruppe ein. Verwenden Sie die SSPR-Test-Group und stellen Sie Ihre eigene Microsoft Entra-Gruppe nach Bedarf bereit.

1. Melden Sie sich mindestens als Authentifizierungsrichtlinienadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie im Menü auf der linken Seite zuSchutz>Kennwortzurücksetzung.

3. Wählen Sie auf der Seite "Eigenschaften " unter der Option "Self-Service-Kennwortzurücksetzung aktiviert" die Option "Ausgewählt" aus.

4. Wenn Ihre Gruppe nicht sichtbar ist, wählen Sie "Keine Gruppen" aus, suchen Sie nach Ihrer Microsoft Entra-Gruppe, z. B. SSPR-Test-Group, und wählen Sie dann "Auswählen" aus.

   

5. Um SSPR für die ausgewählten Benutzer zu aktivieren, wählen Sie "Speichern" aus.

Auswählen von Authentifizierungsmethoden und Registrierungsoptionen

Wenn Benutzer ihr Konto entsperren oder das Kennwort zurücksetzen müssen, werden sie zur Verwendung einer weiteren Bestätigungsmethode aufgefordert. Durch diesen zusätzlichen Authentifizierungsfaktor wird sichergestellt, dass Microsoft Entra ID nur genehmigte SSPR-Ereignisse abgeschlossen hat. Basierend auf den vom Benutzer bereitgestellten Registrierungsinformationen können Sie auswählen, welche Authentifizierungsmethoden zugelassen werden sollen.

1. Legen Sie im Menü auf der linken Seite der Seite " Authentifizierungsmethoden " die Anzahl der Methoden fest, die zum Zurücksetzen auf 2 erforderlich sind.

   Zur Verbesserung der Sicherheit können Sie die Anzahl der für SSPR erforderlichen Authentifizierungsmethoden erhöhen.

2. Wählen Sie die Methoden aus, die Benutzern zur Verfügung stehen , die Ihre Organisation zulassen möchte. Aktivieren Sie für dieses Tutorial die Kontrollkästchen, um die folgenden Methoden zu aktivieren:

   • Benachrichtigung über mobile Apps
   • Mobiler App-Code
   • E-Mail
   • Mobiltelefon

   Sie können andere Authentifizierungsmethoden wie Office-Telefon oder Sicherheitsfragen nach Bedarf aktivieren, um Ihren Geschäftlichen Anforderungen gerecht zu werden.

3. Um die Authentifizierungsmethoden anzuwenden, wählen Sie "Speichern" aus.

Bevor Benutzer ihr Konto entsperren oder das Kennwort ändern können, müssen sie ihre Kontaktinformationen registrieren. Diese Kontaktinformationen werden von Microsoft Entra ID für die verschiedenen Authentifizierungsmethoden verwendet, die in den vorherigen Schritten eingerichtet wurden.

Ein Administrator kann diese Kontaktinformationen manuell angeben, oder Benutzer können die Informationen selbst in einem Registrierungsportal eingeben. In diesem Tutorial richten Sie Microsoft Entra ID so ein, dass die Benutzer*innen bei der nächsten Anmeldung zur Registrierung aufgefordert werden.

1. Wählen Sie im Menü auf der linken Seite der Registrierungsseite " Ja " aus, damit benutzer sich bei der Anmeldung registrieren müssen.

2. Legen Sie die Anzahl der Tage fest, bevor Benutzer aufgefordert werden, ihre Authentifizierungsinformationen auf180 zu bestätigen.

   Es ist wichtig, dass die Kontaktinformationen auf dem neuesten Stand gehalten werden. Wenn veraltete Kontaktinformationen vorhanden sind, wenn ein SSPR-Ereignis gestartet wird, kann der Benutzer sein Konto möglicherweise nicht entsperren oder sein Kennwort zurücksetzen.

3. Um die Registrierungseinstellungen anzuwenden, wählen Sie "Speichern" aus.

Hinweis

Die Unterbrechung der Registrierung von Kontaktinformationen während der Anmeldung tritt nur auf, wenn die für die Einstellungen konfigurierten Bedingungen erfüllt sind. Dies gilt nur für Benutzer und Administratorkonten, die für die Zurücksetzung von Kennwörtern mithilfe der Self-Service-Kennwortzurücksetzung von Microsoft Entra aktiviert sind.

Einrichten von Benachrichtigungen und Anpassungen

Um Benutzer*innen über die Kontoaktivität auf dem Laufenden zu halten, können Sie Microsoft Entra ID so einrichten, dass im Falle eines SSPR-Ereignisses E-Mail-Benachrichtigungen gesendet werden. Diese Benachrichtigungen können sowohl für reguläre Benutzerkonten als auch für Administratorkonten eingerichtet werden. Für Administratorkonten bieten diese Benachrichtigungen eine zusätzliche Information, wenn das Kennwort eines privilegierten Administratorkontos per SSPR zurückgesetzt wird. Microsoft Entra ID benachrichtigt alle globalen Administratoren, wenn die Self-Service-Kennwortzurücksetzung für ein Administratorkonto verwendet wird.

1. Richten Sie im Menü auf der linken Seite der Seite " Benachrichtigungen " die folgenden Optionen ein:

   • Benutzer bei Kennwortzurücksetzungen benachrichtigen? Option auf "Ja" festlegen.
   • Legen Sie "Alle Administratoren benachrichtigen" fest, wenn andere Administratoren ihr Kennwort zurücksetzen? Auf "Ja".

2. Um die Benachrichtigungseinstellungen anzuwenden, wählen Sie "Speichern" aus.

Wenn Benutzer weitere Hilfe beim SSPR-Prozess benötigen, können Sie den Link "Administrator kontaktieren" anpassen. Der Benutzer kann diesen Link im SSPR-Registrierungsprozess und beim Entsperren des Kontos oder beim Zurücksetzen des Kennworts auswählen. Um sicherzustellen, dass Ihre Benutzer die erforderliche Unterstützung erhalten, wird empfohlen, eine benutzerdefinierte Helpdesk-E-Mail-Adresse oder -URL bereitzustellen.

1. Legen Sie im Menü auf der linken Seite der Seite "Anpassung" den Link "Helpdesk anpassen" auf "Ja" fest.
2. Geben Sie im Feld "E-Mail oder URL des benutzerdefinierten Helpdesks " eine E-Mail-Adresse oder eine Webseiten-URL an, in der Ihre Benutzer weitere Hilfe von Ihrer Organisation erhalten können, z. B. https://support.contoso.com/
3. Um den benutzerdefinierten Link anzuwenden, wählen Sie "Speichern" aus.

Testen der Self-Service-Kennwortzurücksetzung

Wenn SSPR aktiviert und eingerichtet ist, testen Sie den SSPR-Prozess mit einem Benutzer, der Teil der Gruppe ist, die Sie im vorherigen Abschnitt ausgewählt haben, z. B. Test-SSPR-Group. Im folgenden Beispiel wird das Testbenutzerkonto verwendet. Geben Sie Ihr eigenes Benutzerkonto an. Es ist Teil der Gruppe, für die Sie im ersten Abschnitt dieses Tutorials SSPR aktiviert haben.

Hinweis

Wenn Sie die Self-Service-Kennwortzurücksetzung testen, verwenden Sie ein Konto ohne Administratorrechte. Standardmäßig aktiviert Microsoft Entra ID die Self-Service-Kennwortzurücksetzung für Administrator*innen. Administratoren müssen zum Zurücksetzen ihres Kennworts zwei Authentifizierungsverfahren verwenden. Weitere Informationen finden Sie unter Unterschiede bei den Richtlinien für das Zurücksetzen durch Administratoren.

1. Wenn Sie den manuellen Registrierungsvorgang anzeigen möchten, öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognitomodus, und navigieren Sie zu https://aka.ms/ssprsetup. Microsoft Entra ID leitet Benutzer beim nächsten Anmelden an dieses Registrierungsportal weiter.

2. Melden Sie sich mit einem Nicht-Administrator-Testbenutzer an, z. B. testuser, und registrieren Sie Ihre Authentifizierungsmethoden Kontaktinformationen.

3. Nachdem Sie fertig sind, wählen Sie die Schaltfläche aus, die als " Gut aussieht" gekennzeichnet ist , und schließen Sie das Browserfenster.

4. Öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognito-Modus und navigieren Sie zu https://aka.ms/sspr.

5. Geben Sie die Kontoinformationen Ihrer Nicht-Administrator-Testbenutzer ein, z. B. "Testbenutzer", die Zeichen aus dem CAPTCHA, und wählen Sie dann "Weiter" aus.

   

6. Führen Sie die Schritte für die Verifizierung aus, um Ihr Kennwort zurückzusetzen. Wenn Sie fertig sind, erhalten Sie eine E-Mail-Benachrichtigung, dass Ihr Kennwort zurückgesetzt wurde.

Bereinigen von Ressourcen

In einem späteren Tutorial dieser Reihe richten Sie das Passwort-Writeback ein. Dieses Feature schreibt Kennwortänderungen über die Self-Service-Kennwortzurücksetzung von Microsoft Entra zurück in eine lokale AD-Umgebung. Wenn Sie mit dieser Tutorialreihe zum Einrichten des Kennwortrückschreibens fortfahren möchten, deaktivieren Sie SSPR jetzt nicht.

Wenn Sie die SSPR-Funktionalität, die Sie im Rahmen dieses Lernprogramms eingerichtet haben, nicht mehr verwenden möchten, legen Sie den SSPR-Status auf "Keine" fest, indem Sie die folgenden Schritte ausführen:

1. Melden Sie sich mindestens als Authentifizierungsrichtlinienadministrator beim Microsoft Entra Admin Center an.
2. Gehen Sie zu Entra ID>Passwort zurücksetzen.
3. Wählen Sie auf der Seite "Eigenschaften" unter der Option "Self-Service-Kennwortzurücksetzung aktiviert" die Option "Keine" aus.
4. Um die SSPR-Änderung anzuwenden, wählen Sie "Speichern" aus.

Häufig gestellte Fragen

In diesem Abschnitt werden häufig gestellte Fragen von Administratoren und Endbenutzern erläutert, die SSPR testen:

• Warum werden während der Self-Service-Kennwortzurücksetzung (SSPR) keine lokalen Kennwortrichtlinien angezeigt?

  Derzeit unterstützen Microsoft Entra Connect und die Cloudsynchronisierung die Freigabe von Kennwortrichtliniendetails in der Cloud nicht. Bei der Self-Service-Kennwortzurücksetzung werden deshalb nur Details von Cloudkennwortrichtlinien angezeigt, aber nicht zu lokalen Richtlinien.

• Warum warten Verbundbenutzer bis zu 2 Minuten, nachdem ihr Kennwort zurückgesetzt wurde , bevor sie Kennwörter verwenden können, die lokal synchronisiert werden?

  Für Verbundbenutzer, deren Kennwörter synchronisiert werden, ist die Autoritätsquelle für die Kennwörter lokal. Daher aktualisiert SSPR nur die lokalen Kennwörter. Die Kennwort-Hashsynchronisierung zurück an Microsoft Entra ID ist alle zwei Minuten geplant.

• Wenn ein neu erstellter Benutzer, der bereits mit SSPR-Daten wie Telefon und E-Mail gefüllt ist, die SSPR-Registrierungsseite besucht, verlieren Sie keinen Zugriff auf Ihr Konto! wird als Titel der Seite angezeigt. Warum wird die Meldung anderen Benutzern, für die vorab SSPR-Daten aufgefüllt wurden, nicht angezeigt?

  Ein Benutzer, der "Verlieren Sie nicht den Zugang zu Ihrem Konto!" sieht, ist ein Mitglied von SSPR/kombinierten Registrierungsgruppen, die für den Mandanten konfiguriert sind. Benutzer, die Verlieren Sie keinen Zugriff auf Ihr Konto! nicht sehen, waren nicht Teil der SSPR/kombinierten Registrierungsgruppen.

• Warum wird einigen Benutzern, die den SSPR-Prozess durchlaufen und ihr Kennwort zurücksetzen, nicht der Indikator für die Kennwortsicherheit angezeigt?

  Benutzer, denen keine Informationen zur Kennwortsicherheit angezeigt werden, haben das synchronisierte Kennwortrückschreiben aktiviert. Da SSPR die Kennwortrichtlinie der lokalen Umgebung des Kunden nicht ermitteln kann, kann die Kennwortstärke oder -schwäche nicht überprüft werden.

Nächste Schritte

In diesem Tutorial haben Sie die Self-Service-Kennwortzurücksetzung von Microsoft Entra für eine ausgewählte Gruppe von Benutzer*innen aktiviert. Sie haben Folgendes gelernt:

• Aktivieren der Self-Service-Kennwortzurücksetzung für eine Gruppe von Microsoft Entra-Benutzer*innen
• Einrichten von Authentifizierungsmethoden und Registrierungsoptionen
• Testen des SSPR-Prozesses als Benutzer

Aktivieren der mehrstufigen Microsoft Entra-Authentifizierung