Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit der Self-Service-Kennwortzurücksetzung (SSPR) von Microsoft Entra können Benutzer*innen ihr Kennwort ohne Beteiligung von Administrator*innen oder des Helpdesks ändern oder zurücksetzen. Wenn das Konto eines Benutzers gesperrt ist oder er sein Kennwort vergessen hat, kann er aufforderungen folgen, sich selbst zu entsperren und wieder zur Arbeit zurückzukehren. Durch diese Möglichkeit werden Helpdeskanrufe und Produktivitätsverluste reduziert, wenn sich ein Benutzer nicht bei ihrem Gerät oder einer Anwendung anmelden kann. Wir empfehlen dieses Video, um SSPR in Microsoft Entra ID zu aktivieren und zu konfigurieren.
Wichtig
In diesem konzeptionellen Artikel wird einem Administrator erläutert, wie die Self-Service-Kennwortzurücksetzung funktioniert. Wenn Sie bereits als Endbenutzer für die Self-Service-Kennwortzurücksetzung registriert sind und wieder zu Ihrem Konto zurückkehren müssen, gehen Sie zu https://aka.ms/sspr.
Wenn Ihr IT-Team die Möglichkeit zum Zurücksetzen Ihres eigenen Kennworts nicht aktiviert hat, wenden Sie sich an den Helpdesk, um weitere Unterstützung zu erhalten.
Wie funktioniert der Vorgang zur Kennwortzurücksetzung?
Ein Benutzer kann sein Kennwort über das SSPR-Portal zurücksetzen oder ändern. Sie müssen zuerst ihre gewünschten Authentifizierungsmethoden registrieren. Wenn ein Benutzer auf das SSPR-Portal zugreift, berücksichtigt die Microsoft Entra-Plattform die folgenden Faktoren:
- Wie sollte die Seite lokalisiert werden?
- Ist das Benutzerkonto gültig?
- Zu welcher Organisation gehört der Benutzer?
- Wo wird das Kennwort des Benutzers verwaltet?
Wenn ein Benutzer den Link " Auf Ihr Konto nicht von einer Anwendung oder Seite aus zugreifen kann" auswählt oder direkt angibt https://aka.ms/sspr, basiert die im SSPR-Portal verwendete Sprache auf den folgenden Optionen:
- Standardmäßig wird das Browsergebietsschema verwendet, um SSPR in der entsprechenden Sprache anzuzeigen. Die Erlebnis der Kennwortrücksetzung ist in dieselben Sprachen lokalisiert, die Microsoft 365 unterstützt.
- Wenn Sie eine Verknüpfung mit dem SSPR in einer bestimmten lokalisierten Sprache herstellen möchten, fügen Sie
?mkt=am Ende der Kennwortzurücksetzungs-URL zusammen mit der erforderlichen Lokale an.- Verwenden Sie z. B. zum Angeben des spanischen es-us Gebietsschemas
?mkt=es-us- https://passwordreset.microsoftonline.com/?mkt=es-us.
- Verwenden Sie z. B. zum Angeben des spanischen es-us Gebietsschemas
Nachdem das SSPR-Portal in der erforderlichen Sprache angezeigt wird, wird der Benutzer aufgefordert, eine Benutzer-ID einzugeben und eine Captcha zu übergeben. Die Microsoft Entra-ID überprüft nun, ob der Benutzer SSPR verwenden kann, indem die folgenden Prüfungen durchgeführt werden:
- Überprüft, ob der Benutzer SSPR aktiviert hat.
- Wenn der Benutzer für SSPR nicht aktiviert ist, wird der Benutzer aufgefordert, seinen Administrator zu kontaktieren, um sein Kennwort zurückzusetzen.
- Überprüft, ob der Benutzer über die richtigen Authentifizierungsmethoden verfügt, die für sein Konto gemäß der Administratorrichtlinie definiert sind.
- Wenn für die Richtlinie nur eine Methode erforderlich ist, überprüfen Sie, ob der Benutzer über die entsprechenden Daten verfügt, die für mindestens eine der von der Administratorrichtlinie aktivierten Authentifizierungsmethoden definiert sind.
- Wenn die Authentifizierungsmethoden nicht konfiguriert sind, wird dem Benutzer empfohlen, sich an den Administrator zu wenden, um sein Kennwort zurückzusetzen.
- Wenn für die Richtlinie zwei Methoden erforderlich sind, überprüfen Sie, ob der Benutzer die entsprechenden Daten für mindestens zwei der von der Administratorrichtlinie aktivierten Authentifizierungsmethoden definiert hat.
- Wenn die Authentifizierungsmethoden nicht konfiguriert sind, wird dem Benutzer empfohlen, sich an den Administrator zu wenden, um sein Kennwort zurückzusetzen.
- Wenn dem Benutzer eine Azure-Administratorrolle zugewiesen ist, wird die starke Kennwortrichtlinie mit zwei Toren erzwungen. Weitere Informationen finden Sie unter Unterschiede zu Richtlinien zum Zurücksetzen von Administratorkennwörtern.
- Wenn für die Richtlinie nur eine Methode erforderlich ist, überprüfen Sie, ob der Benutzer über die entsprechenden Daten verfügt, die für mindestens eine der von der Administratorrichtlinie aktivierten Authentifizierungsmethoden definiert sind.
- Überprüft, ob das Kennwort des Benutzers lokal verwaltet wird, z. B. wenn der Microsoft Entra-Mandant Verbundauthentifizierung, Pass-Through-Authentifizierung oder Kennworthashsynchronisierung verwendet:
- Wenn SSPR-Zurückschreiben konfiguriert ist und das Kennwort des Benutzers lokal verwaltet wird, kann der Benutzer mit der Authentifizierung fortfahren und sein Kennwort zurücksetzen.
- Wenn das Kennwortrückschreiben nicht für den SSPR aktiviert ist und das Benutzerkennwort lokal verwaltet wird, wird der Benutzer aufgefordert, sich zum Zurückzusetzen des Kennworts an den Administrator zu wenden.
Wenn alle vorherigen Prüfungen erfolgreich abgeschlossen wurden, wird der Benutzer durch den Prozess geführt, um sein Kennwort zurückzusetzen oder zu ändern.
Hinweis
SSPR kann E-Mail-Benachrichtigungen an Benutzer als Teil des Kennwortzurücksetzungsprozesses senden. Diese E-Mails werden mithilfe des SMTP-Relaydiensts gesendet, der in mehreren Regionen im aktiven Modus ausgeführt wird.
SMTP-Relaydienste empfangen und verarbeiten den E-Mail-Text, speichern sie jedoch nicht. Der Textkörper der SSPR-E-Mail, die möglicherweise vom Kunden bereitgestellte Informationen enthalten kann, wird nicht in den SMTP-Relaydienstprotokollen gespeichert. Die Protokolle enthalten nur Protokollmetadaten.
Nutzen Sie das folgende Tutorial, um sich mit SSPR vertraut zu machen:
Benutzer müssen sich registrieren, wenn sie sich anmelden
Sie können die Option aktivieren, dass ein Benutzer die SSPR-Registrierung abschließen muss, wenn er die moderne Authentifizierung oder den Webbrowser verwendet, um sich bei anwendungen mit Microsoft Entra ID anzumelden. Dieser Workflow enthält die folgenden Anwendungen:
- Microsoft 365
- Microsoft Entra Verwaltungszentrum
- Zugriffspanel
- Verbundanwendungen
- Benutzerdefinierte Anwendungen mit Microsoft Entra ID
Wenn Sie keine Registrierung benötigen, werden Benutzer während der Anmeldung nicht dazu aufgefordert, aber sie können sich manuell registrieren. Benutzer können entweder https://aka.ms/ssprsetup besuchen oder den Link "Für Kennwortzurücksetzung registrieren" unter der Registerkarte "Profil" im Access-Panel auswählen.
Hinweis
Benutzer können das SSPR-Registrierungsportal schließen, indem Sie "Abbrechen " auswählen oder das Fenster schließen. Sie werden jedoch aufgefordert, sich jedes Mal zu registrieren, wenn sie sich anmelden, bis sie ihre Registrierung abgeschlossen haben.
Durch diesen Interrupt für die Registrierung für SSPR wird die Verbindung des Benutzers nicht unterbrochen, wenn er bereits angemeldet ist.
Authentifizierungsinformationen erneut bestätigen
Sie können verlangen, dass Benutzer ihre Authentifizierungsinformationen nach einem bestimmten Zeitraum bestätigen. Diese Option ist nur verfügbar, wenn Sie die Registrierung von Benutzern bei der Anmeldung aktivieren.
Gültige Werte, um einen Benutzer zur Bestätigung seiner Authentifizierungsinformationen aufzufordern, reichen von 0 bis 730 Tage. Wenn Sie diesen Wert auf 0 festlegen, werden Benutzer nie aufgefordert, ihre Authentifizierungsinformationen zu bestätigen. Benutzer müssen sich anmelden, bevor sie ihre Informationen erneut bestätigen können.
Hinweis
Wenn SSPR mehr als eine Authentifizierungsmethode erfordert, muss ein Benutzer, der eine Methode löscht, seine Authentifizierungsinformationen nicht erneut bestätigen, bis die Anzahl von Tagen erreicht ist, bevor Benutzer aufgefordert werden, ihre Authentifizierungsinformationen erneut zu bestätigen.
Authentifizierungsmethoden
Wenn ein Benutzer für SSPR aktiviert ist, muss er mindestens eine Authentifizierungsmethode registrieren. Es wird dringend empfohlen, zwei oder mehr Authentifizierungsmethoden auszuwählen, damit Ihre Benutzer mehr Flexibilität haben, falls sie bei Bedarf nicht auf eine Methode zugreifen können. Weitere Informationen finden Sie unter Authentifizierungsmethoden.
Die folgenden Authentifizierungsmethoden sind für den SSPR verfügbar:
- Benachrichtigung über eine mobile App
- Code der mobilen App
- Hardware-OATH-Token
- Software OATH-Token
- Mobiltelefonnummer
- Office-Telefon (nur für Mandanten mit kostenpflichtigen Abonnements verfügbar)
- Sicherheitsfragen
Benutzer können ihr Kennwort nur zurücksetzen, wenn sie eine Authentifizierungsmethode registrieren, die der Administrator aktiviert hat.
Warnung
Konten, denen Azure-Administratorrollen zugewiesen wurden, müssen Methoden verwenden, wie im Abschnitt Administrator-Zurücksetzungs-Richtlinienunterschiede definiert.
Anzahl der erforderlichen Authentifizierungsmethoden
Sie können die Anzahl der verfügbaren Authentifizierungsmethoden konfigurieren, die ein Benutzer bereitstellen muss, um sein Kennwort zurückzusetzen oder zu entsperren. Dieser Wert kann auf ein oder zwei festgelegt werden.
Benutzer sollten mehrere Authentifizierungsmethoden registrieren, damit sie sich auf eine andere Weise anmelden können, wenn sie nicht auf eine Methode zugreifen können.
Wenn ein Benutzer die Mindestanzahl der erforderlichen Methoden nicht registriert, wird beim Versuch, SSPR zu verwenden, eine Fehlerseite angezeigt. Sie müssen anfordern, dass ein Administrator sein Kennwort zurücksetzt. Weitere Informationen finden Sie unter Ändern der Authentifizierungsmethoden.
Mobile App und SSPR
Bei der Verwendung einer mobilen App als Methode für die Kennwortzurücksetzung wie Microsoft Authenticator gelten die folgenden Überlegungen, wenn eine Organisation nicht zur Richtlinie für zentralisierte Authentifizierungsmethoden migriert wurde:
- Wenn Administratoren eine Methode zum Zurücksetzen eines Kennworts benötigen, ist der Überprüfungscode die einzige verfügbare Option.
- Wenn Administratoren zwei Methoden zum Zurücksetzen eines Kennworts benötigen, können Benutzer zusätzlich zu anderen aktivierten Methoden Benachrichtigungs- oder Überprüfungscode verwenden.
| Anzahl der Methoden, die zum Zurücksetzen erforderlich sind | Eins | Zwei |
|---|---|---|
| Verfügbare Features für mobile Apps | Code | Code oder Benachrichtigung |
Benutzer können ihre mobile App bei https://aka.ms/mfasetup oder in der kombinierten Sicherheitsinformationenregistrierung bei https://aka.ms/setupsecurityinfo registrieren.
Wichtig
Authentifikator kann nicht als einzige Authentifizierungsmethode ausgewählt werden, wenn nur eine Methode erforderlich ist. Ebenso können Authenticator und nur eine zusätzliche Methode nicht ausgewählt werden, wenn Sie zwei Methoden benötigen.
Beim Konfigurieren von SSPR-Richtlinien, die die Authenticator-App als Methode enthalten, sollten mindestens eine zusätzliche Methode ausgewählt werden, wenn eine Methode erforderlich ist, und mindestens zwei zusätzliche Methoden beim Konfigurieren von zwei Methoden erforderlich sind.
Ändern der Authentifizierungsmethoden
Was passiert, wenn Sie mit einer Richtlinie beginnen, bei der zum Zurücksetzen oder Entsperren nur eine erforderliche Authentifizierungsmethode registriert ist, und Sie dies in zwei Authentifizierungsmethoden ändern?
| Anzahl der registrierten Methoden | Anzahl der erforderlichen Methoden | Ergebnis |
|---|---|---|
| eins oder mehr | 1 | Kann zurücksetzen oder entsperren |
| 1 | 2 | Zurücksetzen oder Entsperren nicht möglich |
| 2 oder mehr | 2 | Kann zurücksetzen oder entsperren |
Das Ändern der verfügbaren Authentifizierungsmethoden kann auch probleme für Benutzer verursachen. Wenn Sie ändern, welche Authentifizierungsmethoden verfügbar sind, können Benutzer ohne die mindest verfügbare Datenmenge SSPR nicht verwenden.
Stellen Sie sich beispielsweise das folgende Szenario vor:
- Die ursprüngliche Richtlinie ist mit zwei erforderlichen Authentifizierungsmethoden konfiguriert. Es verwendet nur die Bürotelefonnummer und die Sicherheitsfragen.
- Der Administrator ändert die Richtlinie, um die Sicherheitsfragen nicht mehr zu verwenden, ermöglicht jedoch die Verwendung eines Mobiltelefons und einer alternativen E-Mail.
- Benutzer ohne Mobiltelefon oder alternative E-Mail-Felder, die jetzt ausgefüllt sind, können ihre Kennwörter nicht zurücksetzen.
Benachrichtigungen
Um das Bewusstsein für Kennwortereignisse zu verbessern, können Sie Benachrichtigungen für die Benutzer und Identitätsadministratoren konfigurieren.
Benutzende über Kennwortzurücksetzungen benachrichtigen
Wenn diese Option auf "Ja" festgelegt ist, erhalten Benutzer, die ihr Kennwort zurücksetzen, eine E-Mail, in der sie darüber informiert werden, dass ihr Kennwort geändert wurde. Die E-Mail wird über das SSPR-Portal an ihre primären und alternativen E-Mail-Adressen gesendet, die in microsoft Entra ID gespeichert sind. Wenn keine primäre oder alternative E-Mail-Adresse definiert ist, versucht SSPR eine E-Mail-Benachrichtigung über den Benutzerprinzipalnamen (User Principal Name, UPN). Niemand sonst wird über das Reset-Ereignis benachrichtigt.
Benachrichtigen aller Administratoren, wenn andere Administratoren ihre Kennwörter zurücksetzen
Wenn diese Option auf "Ja" festgelegt ist, erhalten globale Administratoren eine E-Mail an ihre primäre E-Mail-Adresse, die in der Microsoft Entra-ID gespeichert ist. Die E-Mail benachrichtigt sie, dass ein anderer Administrator sein Kennwort mithilfe von SSPR geändert hat.
Hinweis
E-Mail-Benachrichtigungen vom SSPR-Dienst werden von den folgenden Adressen basierend auf der Azure-Cloud gesendet, mit der Sie arbeiten:
- Öffentlich: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Microsoft Azure betrieben von 21Vianet (Azure in China): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure für US Government (US-Regierungsbehörden): msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Wenn Sie Probleme beim Empfangen von Benachrichtigungen beobachten, überprüfen Sie Bitte Ihre Spameinstellungen.
Wenn Sie möchten, dass benutzerdefinierte Administratoren die Benachrichtigungs-E-Mails erhalten, verwenden Sie SSPR-Anpassungen, und richten Sie einen benutzerdefinierten Helpdesk-Link oder eine E-Mail ein.
Lokale Integration
In einer Hybridumgebung können Sie die Microsoft Entra Connect-Cloudsynchronisierung konfigurieren, um Kennwortänderungsereignisse von Microsoft Entra ID in ein lokales Verzeichnis zu schreiben.
Die Microsoft Entra-ID überprüft Ihre aktuelle Hybridkonnektivität und stellt Nachrichten im Microsoft Entra Admin Center bereit. Hilfe zum Beheben möglicher Fehler finden Sie unter "Problembehandlung bei Microsoft Entra Connect".
Um mit SSPR-Writeback zu beginnen, führen Sie die folgende Anleitung aus:
Zurückschreiben von Kennwörtern in Ihr lokales Verzeichnis
Sie können das Kennwortrückschreiben über das Microsoft Entra Admin Center aktivieren. Sie können das Kennwortrückschreiben auch vorübergehend deaktivieren, ohne Microsoft Entra Connect neu konfigurieren zu müssen.
- Wenn die Option auf "Ja" festgelegt ist, ist "Writeback" aktiviert. Verbundbenutzende, Benutzende mit Passthrough-Authentifizierung oder Benutzende mit Kennworthashsynchronisierung können ihre Kennwörter zurücksetzen.
- Wenn die Option auf "Nein" festgelegt ist, ist der Rückschreibvorgang deaktiviert. Verbundbenutzer, Benutzer mit Pass-Through-Authentifizierung oder Benutzer mit Kennworthashsynchronisierung können ihre Kennwörter nicht zurücksetzen.
Zulassen, dass Benutzer Konten entsperren, ohne ihr Kennwort zurückzusetzen
Standardmäßig werden bei einer Kennwortzurücksetzung Konten von Microsoft Entra ID entsperrt. Um Flexibilität zu bieten, können Sie es Benutzern ermöglichen, ihre lokalen Konten zu entsperren, ohne ihr Kennwort zurücksetzen zu müssen. Verwenden Sie diese Einstellung, um diese beiden Vorgänge zu trennen.
- Wenn " Ja" festgelegt ist, erhalten Benutzer die Möglichkeit, ihr Kennwort zurückzusetzen und das Konto zu entsperren oder ihr Konto zu entsperren, ohne das Kennwort zurücksetzen zu müssen.
- Wenn " Nein" festgelegt ist, können Benutzer nur einen kombinierten Kennwortzurücksetzungs- und Kontoentsperrungsvorgang ausführen.
Lokale Active Directory-Kennwortfilter
SSPR führt das Äquivalent einer vom Administrator initiierten Kennwortzurücksetzung in Active Directory aus. Wenn Sie einen Drittanbieterkennwortfilter verwenden, um benutzerdefinierte Kennwortregeln zu erzwingen, und Sie erfordern, dass dieser Kennwortfilter während der Self-Service-Kennwortzurücksetzung von Microsoft Entra überprüft wird, stellen Sie sicher, dass die Kennwortfilterlösung von Drittanbietern für die Anwendung im Szenario zum Zurücksetzen des Administratorkennworts konfiguriert ist. Microsoft Entra-Kennwortschutz für Active Directory Domain Services wird standardmäßig unterstützt.
Kennwortzurücksetzung für B2B-Benutzer
Kennwortzurücksetzung und -änderung werden in allen Business-to-Business-Konfigurationen (B2B) vollständig unterstützt. Das Zurücksetzen von B2B-Benutzerkennwörtern wird in den folgenden drei Fällen unterstützt:
- Benutzer aus einer Partnerorganisation mit einem vorhandenen Microsoft Entra-Mandanten: Wenn Ihr Partner über einen Microsoft Entra-Mandanten verfügt, beachten wir, welche Kennwortzurücksetzungsrichtlinien für diesen Mandanten aktiviert sind. Damit die Kennwortzurücksetzung funktioniert, muss die Partnerorganisation lediglich sicherstellen, dass Microsoft Entra SSPR aktiviert ist. Für Microsoft 365-Kunden fallen keine weiteren Gebühren an.
- Benutzer, die sich über die Self-Service-Registrierung registrieren: Wenn Ihr Partner das Self-Service-Registrierungsfeature verwendet hat, um in einen Mandanten zu gelangen, lassen wir sie das Kennwort mit der E-Mail zurücksetzen, die sie registriert haben.
- B2B-Benutzer: Alle neuen B2B-Benutzer, die mit den neuen Microsoft Entra B2B-Funktionen erstellt wurden, können auch ihre Kennwörter mit der E-Mail zurücksetzen, die sie während des Einladungsprozesses registriert haben.
Um dieses Szenario zu testen, wechseln Sie zu https://passwordreset.microsoftonline.com mit einem dieser Partnerbenutzer. Wenn der Benutzer eine alternative E-Mail- oder Authentifizierungs-E-Mail definiert hat, funktioniert die Kennwortzurücksetzung wie erwartet.
Hinweis
Microsoft-Konten, denen Gastzugriff auf Ihren Microsoft Entra-Mandanten gewährt wird, z. B. von Hotmail.com, Outlook.com oder anderen persönlichen E-Mail-Adressen, können Microsoft Entra SSPR nicht verwenden. Weitere Informationen finden Sie unter "Wann Sie sich nicht bei Ihrem Microsoft-Konto anmelden können".
Nächste Schritte
Nutzen Sie das folgende Tutorial, um sich mit SSPR vertraut zu machen: