Tutorial: Ermöglichen der Kontoentsperrung oder Kennwortzurücksetzung für Benutzer mit der Self-Service-Kennwortzurücksetzung von Azure Active Directory

Mit der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) von Azure Active Directory (Azure AD) können Benutzer ihr Kennwort ohne Beteiligung eines Administrators oder des Helpdesks ändern oder zurücksetzen. Wenn das Konto eines Benutzers von Azure AD gesperrt wird oder der Benutzer sein Kennwort vergessen hat, kann er die Schritte zum Entsperren ausführen und anschließend weiterarbeiten. Dies führt zu weniger Anrufen beim Helpdesk und Produktivitätsverlusten, wenn sich ein Benutzer nicht an seinem Gerät oder einer Anwendung anmelden kann. Wir empfehlen Ihnen dieses Video zum Aktivieren und Konfigurieren von SSPR in Azure AD. Außerdem bieten wir ein Video für IT-Administratoren zum Beheben der sechs häufigsten Fehlermeldungen für Endbenutzer mit SSPR.

Wichtig

In diesem Tutorial erfahren Sie, wie ein Administrator die Self-Service-Kennwortzurücksetzung aktivieren kann. Wenn Sie bereits als Endbenutzer für die Self-Service-Kennwortzurücksetzung registriert sind und den Zugriff auf Ihr Konto verloren haben, navigieren Sie zur Seite Microsoft Online-Kennwortzurücksetzung.

Wenn Ihr IT-Team die Möglichkeit zum Zurücksetzen Ihres eigenen Kennworts nicht aktiviert hat, wenden Sie sich an den Helpdesk, um weitere Unterstützung zu erhalten.

In diesem Tutorial lernen Sie Folgendes:

• Aktivieren der Self-Service-Kennwortzurücksetzung für eine Gruppe von Azure AD-Benutzern
• Einrichten von Authentifizierungsmethoden und Registrierungsoptionen
• Testen des SSPR-Prozesses als Benutzer

Videotutorial

Sie können auch in einem zugehörigen Video folgen: Aktivieren und Konfigurieren von SSPR in Azure AD.

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:

• Einen funktionierenden Azure AD-Mandanten mit mindestens einer aktivierten Azure Active Directory Free-Lizenz oder -Testlizenz. Im Free-Tarif funktioniert SSPR nur für Cloudbenutzer in Azure AD. Die Kennwortänderung wird im Free-Tarif unterstützt, die Kennwortzurücksetzung jedoch nicht.
  • Für spätere Tutorials in dieser Reihe ist eine Azure AD Premium P1-Lizenz oder -Testlizenz für das lokale Kennwortrückschreiben erforderlich.
  • Erstellen Sie bei Bedarf ein kostenloses Azure-Konto.
• Ein Konto mit globaler Administrator- oder Authentifizierungsrichtlinienadministrator-Berechtigungen.
• Ein Benutzer ohne Administratorrechte mit einem Ihnen bekannten Kennwort, etwa testuser. In diesem Tutorial testen Sie SSPR für Endbenutzer mit diesem Konto.
  • Wenn Sie einen Benutzer erstellen müssen, finden Sie weitere Informationen unter Schnellstart: Hinzufügen neuer Benutzer in Azure Active Directory weiter.
• Eine Gruppe, in der der Benutzer ohne Administratorrechte Mitglied ist, z. B. SSPR-Test-Group. In diesem Tutorial aktivieren Sie SSPR für diese Gruppe.
  • Wenn Sie eine Gruppe erstellen müssen, lesen Sie die Informationen unter Erstellen einer Basisgruppe und Hinzufügen von Mitgliedern mit Azure Active Directory.

Aktivieren der Self-Service-Kennwortzurücksetzung

Azure AD ermöglicht die Aktivierung von SSPR für keine, ausgewählte oder alle Benutzer. Dank dieser differenzierten Auswahloptionen können Sie eine Teilmenge von Benutzern zum Testen des SSPR-Registrierungsprozesses und -Workflows auswählen. Wenn Sie mit dem Prozess vertraut sind und der Zeitpunkt gekommen ist, die Anforderungen einer größeren Gruppe von Benutzern mitzuteilen, können Sie eine Benutzergruppe für die Aktivierung von SSPR auswählen. Alternativ können Sie SSPR für alle Benutzer im Azure AD-Mandanten aktivieren.

Hinweis

Derzeit können Sie mithilfe des Azure-Portals nur eine Azure AD-Gruppe für SSPR aktivieren. Im Rahmen einer umfassenderen Bereitstellung von SSPR unterstützt Azure AD geschachtelte Gruppen.

In diesem Tutorial richten Sie SSPR für eine Gruppe von Benutzern in einer Testgruppe ein. Verwenden Sie SSPR-Test-Group, und geben Sie bei Bedarf Ihre eigene Azure AD-Gruppe an:

1. Melden Sie sich mit einem Konto mit den Berechtigungen vom Typ Globaler Administrator oder Authentifizierungsrichtlinienadministrator beim Azure-Portal an.

2. Suchen Sie nach Azure Active Directory, wählen Sie den Eintrag aus, und wählen Sie dann im Menü auf der linken Seite Kennwortzurücksetzung aus.

3. Wählen Sie auf der Seite Eigenschaften unter Self-Service-Kennwortzurücksetzung aktiviert die Option Aktiviert aus.

4. Wenn Ihre Gruppe nicht angezeigt wird, wählen Sie Keine Gruppen ausgewählt aus, suchen Sie nach Ihrer Azure AD-Gruppe, z. B. SSPR-Test-Group, und wählen Sie dann Auswählen aus.

   

5. Wählen Sie zum Aktivieren von SSPR für die ausgewählten Benutzer Speichern aus.

Auswählen von Authentifizierungsmethoden und Registrierungsoptionen

Wenn Benutzer ihr Konto entsperren oder das Kennwort zurücksetzen müssen, werden sie zur Verwendung einer weiteren Bestätigungsmethode aufgefordert. Durch diesen zusätzlichen Authentifizierungsfaktor wird sichergestellt, dass Azure AD nur genehmigte SSPR-Ereignisse abgeschlossen hat. Basierend auf den vom Benutzer bereitgestellten Registrierungsinformationen können Sie auswählen, welche Authentifizierungsmethoden zugelassen werden sollen.

1. Legen Sie auf der Seite Authentifizierungsmethoden im linken Menü die Option Anzahl von Methoden, die zurückgesetzt werden müssen auf 2 fest.

   Zur Verbesserung der Sicherheit können Sie die Anzahl der für SSPR erforderlichen Authentifizierungsmethoden erhöhen.

2. Legen Sie unter Für Benutzer verfügbare Methoden fest, welche Methoden Ihre Organisation zulassen möchte. Aktivieren Sie für dieses Tutorial die Kontrollkästchen, um die folgenden Methoden zu aktivieren:

   • Benachrichtigung über eine mobile App
   • Code der mobilen App
   • E-Mail
   • Mobiltelefon

   Sie können je nach Ihren geschäftlichen Anforderungen zusätzliche Authentifizierungsmethoden, z. B. Bürotelefon oder Sicherheitsfragen, aktivieren.

3. Wählen Sie zum Anwenden der Authentifizierungsmethoden Speichern aus.

Bevor Benutzer ihr Konto entsperren oder das Kennwort ändern können, müssen sie ihre Kontaktinformationen registrieren. Diese Kontaktinformationen werden von Azure AD für die verschiedenen Authentifizierungsmethoden verwendet, die in den vorherigen Schritten eingerichtet wurden.

Ein Administrator kann diese Kontaktinformationen manuell angeben, oder Benutzer können die Informationen selbst in einem Registrierungsportal eingeben. In diesem Tutorial richten Sie Azure AD so ein, dass die Benutzer bei der nächsten Anmeldung zur Registrierung aufgefordert werden.

1. Wählen Sie auf der Seite Registrierung im linken Menü für Registrierung von Benutzern bei der Anmeldung verlangen? die Option Ja aus.

2. Legen Sie Anzahl der Tage, bevor Benutzer aufgefordert werden, ihre Authentifizierungsinformationen erneut zu bestätigen auf 180 fest.

   Es ist wichtig, dass die Kontaktinformationen auf dem neuesten Stand gehalten werden. Wenn beim Starten eines SSPR-Ereignisses veraltete Kontaktinformationen vorhanden sind, kann der Benutzer unter Umständen sein Konto nicht entsperren oder das Kennwort nicht zurücksetzen.

3. Wählen Sie zum Übernehmen der Registrierungseinstellungen Speichern aus.

Einrichten von Benachrichtigungen und Anpassungen

Um Benutzer über die Kontoaktivität auf dem Laufenden zu halten, können Sie Azure AD so einrichten, dass im Falle eines SSPR-Ereignisses E-Mail-Benachrichtigungen gesendet werden. Diese Benachrichtigungen können sowohl für reguläre Benutzerkonten als auch für Administratorkonten eingerichtet werden. Für Administratorkonten bieten diese Benachrichtigungen eine zusätzliche Information, wenn das Kennwort eines privilegierten Administratorkontos per SSPR zurückgesetzt wird. Azure AD benachrichtigt alle globalen Administratoren, wenn SSPR für ein Administratorkonto verwendet wird.

1. Richten Sie auf der Seite Benachrichtigungen im linken Menü die folgenden Optionen ein:

   • Legen Sie Benutzer über Kennwortzurücksetzungen benachrichtigen? auf Ja fest.
   • Legen Sie Sollen alle Administratoren benachrichtigt werden, wenn andere Administratoren ihr Kennwort zurücksetzen? auf Ja fest.

2. Wählen Sie zum Übernehmen der Benachrichtigungseinstellungen Speichern aus.

Wenn Benutzer zusätzliche Hilfe beim SSPR-Prozess benötigen, können Sie den Link „Wenden Sie sich an Ihren Administrator.“ anpassen. Der Benutzer kann diesen Link im SSPR-Registrierungsprozess und beim Entsperren des Kontos oder beim Zurücksetzen des Kennworts auswählen. Um sicherzustellen, dass Ihre Benutzer die erforderliche Unterstützung erhalten, wird empfohlen, eine benutzerdefinierte Helpdesk-E-Mail-Adresse oder -URL bereitzustellen.

1. Legen Sie auf der Seite Anpassung im linken Menü die Option Benutzerdefinierter Helpdesklink auf Ja fest.
2. Geben Sie im Feld Benutzerdefinierte Helpdesk-E-Mail oder -URL eine E-Mail-Adresse oder eine Webseiten-URL an, unter der Ihre Benutzer weitere Hilfe von Ihrer Organisation erhalten können, z. B. https://support.contoso.com/
3. Wählen Sie zum Übernehmen des benutzerdefinierten Links Speichern aus.

Testen der Self-Service-Kennwortzurücksetzung

Wenn SSPR aktiviert und eingerichtet ist, testen Sie den SSPR-Prozess mit einem Benutzer aus der Gruppe, die Sie im vorherigen Abschnitt ausgewählt haben, etwa Test-SSPR-Group. Im folgenden Beispiel wird das Konto testuser verwendet. Geben Sie Ihr eigenes Benutzerkonto an. Es ist Teil der Gruppe, für die Sie im ersten Abschnitt dieses Tutorials SSPR aktiviert haben.

Hinweis

Wenn Sie die Self-Service-Kennwortzurücksetzung testen, verwenden Sie ein Konto ohne Administratorrechte. Die Self-Service-Kennwortzurücksetzung wird von Azure AD für Administratoren standardmäßig aktiviert. Administratoren müssen zum Zurücksetzen ihres Kennworts zwei Authentifizierungsverfahren verwenden. Weitere Informationen finden Sie unter Unterschiede zu Richtlinien zum Zurücksetzen von Administratorkennwörtern.

1. Wenn Sie den manuellen Registrierungsvorgang anzeigen möchten, öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognitomodus, und navigieren Sie zu https://aka.ms/ssprsetup. Azure AD leitet Benutzer bei der nächsten Anmeldung zu diesem Registrierungsportal um.

2. Melden Sie sich als Testbenutzer ohne Administratorrechte (z. B. testuser) an, und registrieren Sie Ihre Kontaktinformationen für die Authentifizierungsmethoden.

3. Wählen Sie abschließend die Schaltfläche Sieht gut aus aus, und schließen Sie das Browserfenster.

4. Öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognito-Modus und navigieren Sie zu https://aka.ms/sspr.

5. Geben Sie die Kontoinformationen des Testbenutzers ohne Administratorrechte, z. B. testuser, und die CAPTCHA-Zeichen ein, und wählen Sie anschließend Weiter aus.

   

6. Führen Sie die Schritte für die Verifizierung aus, um Ihr Kennwort zurückzusetzen. Wenn Sie fertig sind, erhalten Sie eine E-Mail-Benachrichtigung, dass Ihr Kennwort zurückgesetzt wurde.

Bereinigen von Ressourcen

In einem späteren Tutorial dieser Reihe richten Sie das Kennwortrückschreiben ein. Diese Funktion schreibt Kennwortänderungen von Azure AD-SSPR zurück in eine lokale AD-Umgebung. Wenn Sie mit dieser Tutorialreihe zum Einrichten des Kennwortrückschreibens fortfahren möchten, deaktivieren Sie SSPR jetzt nicht.

Wenn Sie die im Rahmen dieses Tutorials eingerichtete SSPR-Funktionalität nicht mehr nutzen möchten, legen Sie wie folgt den Status für SSPR auf Keine fest:

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach Azure Active Directory, wählen Sie den Eintrag aus, und wählen Sie dann im Menü auf der linken Seite Kennwortzurücksetzung aus.
3. Wählen Sie auf der Seite Eigenschaften unter Self-Service-Kennwortzurücksetzung aktiviert die Option Keine aus.
4. Wählen Sie zum Übernehmen der SSPR-Änderung Speichern aus.

Häufig gestellte Fragen

In diesem Abschnitt werden häufig gestellte Fragen von Administratoren und Endbenutzern erläutert, die SSPR testen:

• Warum werden während der Self-Service-Kennwortzurücksetzung (SSPR) keine lokalen Kennwortrichtlinien angezeigt?

  Derzeit unterstützen Azure AD Connect und die Cloudsynchronisierung die Freigabe von Kennwortrichtliniendetails in der Cloud nicht. Bei der Self-Service-Kennwortzurücksetzung werden deshalb nur Details von Cloudkennwortrichtlinien angezeigt, aber nicht zu lokalen Richtlinien.

• Warum müssen Verbundbenutzer nach der Anzeige von Das Kennwort wurde zurückgesetzt. bis zu zwei Minuten warten, bevor sie lokal synchronisierte Kennwörter verwenden können?

  Für Verbundbenutzer, deren Kennwörter synchronisiert werden, ist die Autoritätsquelle für die Kennwörter lokal. Daher aktualisiert SSPR nur die lokalen Kennwörter. Die Kennworthashsynchronisierung zurück an Azure AD ist alle zwei Minuten geplant.

• Wenn ein neu erstellter Benutzer, der mit SSPR-Daten wie Telefon und E-Mail vorausgefüllt ist, die SSPR-Registrierungsseite besucht, erscheint Verliere nicht den Zugang zu deinem Konto! als Titel der Seite. Warum wird die Meldung anderen Benutzern, für die vorab SSPR-Daten aufgefüllt wurden, nicht angezeigt?

  Ein Benutzer, der Verliere nicht den Zugang zu deinem Konto! sieht, ist ein Mitglied von SSPR/kombinierten Registrierungsgruppen, die für den Mandanten konfiguriert sind. Benutzer, die nicht Verliere nicht den Zugang zu deinem Konto! sehen, waren nicht Teil der SSPR/kombinierten Registrierungsgruppen.

• Warum wird einigen Benutzern, die den SSPR-Prozess durchlaufen und ihr Kennwort zurücksetzen, nicht der Indikator für die Kennwortsicherheit angezeigt?

  Benutzer, denen keine Informationen zur Kennwortsicherheit angezeigt werden, haben das synchronisierte Kennwortrückschreiben aktiviert. Da SSPR die Kennwortrichtlinie der lokalen Umgebung des Kunden nicht ermitteln kann, kann die Kennwortsicherheit nicht überprüft werden.

Nächste Schritte

In diesem Tutorial haben Sie die Azure AD-Self-Service-Kennwortzurücksetzung für eine ausgewählte Gruppe von Benutzern aktiviert. Sie haben Folgendes gelernt:

• Aktivieren der Self-Service-Kennwortzurücksetzung für eine Gruppe von Azure AD-Benutzern
• Einrichten von Authentifizierungsmethoden und Registrierungsoptionen
• Testen des SSPR-Prozesses als Benutzer

Aktivieren von Azure AD Multi-Factor Authentication