Funktionsweise: Microsoft Entra Self-Service-Kennwortzurücksetzung (SSPR)

Mit der Self-Service-Kennwortzurücksetzung (SSPR) von Microsoft Entra können Benutzer*innen ihr Kennwort ohne Beteiligung von Administrator*innen oder des Helpdesks ändern oder zurücksetzen. Wenn das Konto eines Benutzers gesperrt ist oder dieser sein Kennwort vergessen hat, kann er die Schritte zum Entsperren ausführen und anschließend weiterarbeiten. Dies führt zu weniger Anrufen beim Helpdesk und Produktivitätsverlusten, wenn sich ein Benutzer nicht an seinem Gerät oder einer Anwendung anmelden kann. Sehen Sie sich dieses Video zum Aktivieren und Konfigurieren der Self-Service-Kennwortzurücksetzung in Microsoft Entra ID an.

Wichtig

In diesem Konzeptartikel erfahren Administratoren, wie die Self-Service-Kennwortzurücksetzung funktioniert. Wenn Sie bereits als Endbenutzer für die Self-Service-Kennwortzurücksetzung registriert sind und wieder zu Ihrem Konto zurückkehren müssen, gehen Sie zu https://aka.ms/sspr.

Wenn Ihr IT-Team die Möglichkeit zum Zurücksetzen Ihres eigenen Kennworts nicht aktiviert hat, wenden Sie sich an den Helpdesk, um weitere Unterstützung zu erhalten.

Wie funktioniert der Vorgang zur Kennwortzurücksetzung?

Ein Benutzer kann sein Kennwort über das SSPR-Portal zurücksetzen oder ändern. Dazu müssen jedoch zunächst die gewünschten Authentifizierungsmethoden registriert worden sein. Wenn Benutzer*innen auf das SSPR-Portal zugreifen, berücksichtigt die Microsoft Entra ID-Plattform Folgendes:

  • Wie soll die Seite lokalisiert werden?
  • Ist das Benutzerkonto gültig?
  • Zu welcher Organisation gehört der Benutzer?
  • Wo wird das Kennwort des Benutzers verwaltet?

Wenn ein Benutzer in einer Anwendung oder auf einer Seite auf den Link Zugriff auf Ihr Konto nicht möglich klickt oder direkt zu https://aka.ms/sspr navigiert, wird die im SSPR-Portal angezeigte Sprache nach folgenden Kriterien ausgewählt:

  • Standardmäßig wird das Gebietsschema des Browsers verwendet, um die Self-Service-Kennwortzurücksetzung in der richtigen Sprache anzuzeigen. Die Benutzeroberfläche für die Kennwortzurücksetzung wurde in alle Sprachen lokalisiert, die Microsoft 365 unterstützt.
  • Wenn Sie das SSPR-Portal in einer bestimmten Sprache verlinken möchten, müssen Sie ?mkt= zusammen mit dem gewünschten Gebietsschema an die URL für die Kennwortzurücksetzung anfügen.

Wenn das SSPR-Portal in der gewünschten Sprache angezeigt wird, wird der Benutzer aufgefordert, eine Benutzer-ID einzugeben und eine CAPTCHA-Prüfung abzulegen. Microsoft Entra überprüft anschließend wie folgt, ob der Benutzer das SSPR-Feature verwenden kann:

  • Überprüft, ob SSPR für den Benutzer aktiviert ist.
    • Wenn das Feature nicht für den Benutzer aktiviert ist, wird der Benutzer aufgefordert, sich zum Zurücksetzen des Kennworts an den Administrator zu wenden.
  • Es wird überprüft, ob der Benutzer in seinem Konto die richtigen Authentifizierungsmethoden definiert hat, die der Administratorrichtlinie entsprechen.
    • Wenn die Richtlinie nur eine Methode erfordert, wird sichergestellt, dass der Benutzer für mindestens eine durch die Administratorrichtlinie festgelegte Authentifizierungsmethode geeignete Daten definiert hat.
      • Wenn die Authentifizierungsmethoden nicht konfiguriert sind, wird der Benutzer aufgefordert, sich an den Administrator zu wenden, um sein Kennwort zurückzusetzen.
    • Wenn die Richtlinie zwei Methoden erfordert, wird sichergestellt, dass der Benutzer für mindestens zwei durch die Administratorrichtlinie festgelegte Authentifizierungsmethoden geeignete Daten definiert hat.
      • Wenn die Authentifizierungsmethoden nicht konfiguriert sind, wird der Benutzer aufgefordert, sich an den Administrator zu wenden, um sein Kennwort zurückzusetzen.
    • Wenn einem Benutzer eine Azure-Administratorrolle zugewiesen wird, wird dadurch auch die sichere Zwei-Wege-Kennwortrichtlinie erzwungen. Weitere Informationen finden Sie unter Unterschiede zu Richtlinien zum Zurücksetzen von Administratorkennwörtern.
  • Es wird überprüft, ob das Benutzerkennwort lokal verwaltet wird, d. h., ob der Microsoft Entra-Mandant die Verbundauthentifizierung, die Pass-Through-Authentifizierung oder die Kennworthashsynchronisierung verwendet:
    • Wenn das Kennwortrückschreiben für den SSPR konfiguriert ist und das Benutzerkennwort lokal verwaltet wird, kann der Benutzer mit der Authentifizierung fortfahren und sein Kennwort zurücksetzen.
    • Wenn das Kennwortrückschreiben nicht für den SSPR aktiviert ist und das Benutzerkennwort lokal verwaltet wird, wird der Benutzer aufgefordert, sich zum Zurückzusetzen des Kennworts an den Administrator zu wenden.

Wenn alle vorherigen Überprüfungen erfolgreich abgeschlossen wurden, wird der Benutzer durch die Kennwortzurücksetzung oder -änderung geführt.

Hinweis

SSPR sendet im Rahmen des Vorgangs zur Kennwortzurücksetzung möglicherweise E-Mail-Benachrichtigungen an Benutzer. Diese E-Mails werden mithilfe des SMTP-Relaydiensts gesendet, der in mehreren Regionen in einem Aktiv/Aktiv-Modus betrieben wird.

SMTP-Relaydienste empfangen und verarbeiten den E-Mail-Text, speichern ihn aber nicht. Der Text der SSPR-E-Mail, der möglicherweise vom Kunden bereitgestellte Informationen enthält, wird in den SMTP-Relaydienstprotokollen nicht gespeichert. Die Protokolle enthalten nur Protokollmetadaten.

Nutzen Sie das folgende Tutorial, um sich mit SSPR vertraut zu machen:

Erzwingen der Registrierung für Benutzer bei der Anmeldung

Sie können diese Option aktivieren, damit Benutzer die SSPR-Registrierung abschließen müssen, wenn sie sich mit der modernen Authentifizierung oder einem Webbrowser bei Anwendungen, die Microsoft Entra verwenden, anmelden. Dieser Workflow schließt die folgenden Anwendungen ein:

  • Microsoft 365
  • Microsoft Entra Admin Center
  • Anpassung des Zugriffsbereichs
  • Verbundanwendungen
  • Benutzerdefinierte Anwendungen mit Microsoft Entra ID

Wenn die Registrierung nicht erzwungen wird, werden Benutzer nicht während der Anmeldung dazu aufgefordert. Sie können sich jedoch manuell registrieren. Dazu können Benutzer entweder https://aka.ms/ssprsetup aufrufen oder im Zugriffsbereich auf der Registerkarte Profil auf den Link Für das Zurücksetzen des Kennworts registrieren klicken.

![Registrierungsoptionen für SSPR im Microsoft Entra Admin Center][Registrierung]

Hinweis

Benutzer können das Registrierungsportal für den SSPR durch Klicken auf Abbrechen oder durch Schließen des Fensters schließen. Sie werden jedoch bei jeder Anmeldung zur Registrierung aufgefordert, bis die Registrierung durchgeführt wurde.

Durch diese Aufforderung zur Registrierung für den SSPR wird die Verbindung eines Benutzers nicht unterbrochen, wenn er bereits angemeldet ist.

Erneute Bestätigung der Authentifizierungsinformationen

Sie können erzwingen, dass Benutzer ihre registrierten Informationen nach einem bestimmten Zeitraum bestätigen müssen, um sicherzustellen, dass die Authentifizierungsmethoden im Falle einer Kennwortzurücksetzung oder -änderung korrekt sind. Diese Option ist nur verfügbar, wenn Sie die Option Registrierung von Benutzern bei der Anmeldung verlangen? aktivieren.

Gültige Werte für die Aufforderung zur Bestätigung der registrierten Authentifizierungsmethoden reichen von 0 bis 730 Tagen. Wenn Sie den Wert auf 0 festlegen, werden Benutzer nie aufgefordert, ihre Authentifizierungsinformationen zu bestätigen. Bei Verwendung der kombinierten Registrierung müssen Benutzer ihre Identität bestätigen, bevor sie ihre Informationen erneut bestätigen.

Authentifizierungsmethoden

Wenn der SSPR für einen Benutzer konfiguriert ist, muss der Benutzer mindestens eine Authentifizierungsmethode registrieren. Es wird jedoch dringend empfohlen, mindestens zwei Authentifizierungsmethoden auszuwählen, damit Ihre Benutzer ausweichen können, falls auf eine der Methoden kein Zugriff besteht. Weitere Informationen finden Sie unter Authentifizierungsmethoden.

Die folgenden Authentifizierungsmethoden sind für den SSPR verfügbar:

  • Benachrichtigung über eine mobile App
  • Code der mobilen App
  • Email
  • Mobiltelefon
  • Geschäftliche Rufnummer (nur für Mandanten mit kostenpflichtigen Abonnements verfügbar)
  • Sicherheitsfragen

Benutzer können ihr Kennwort nur zurücksetzen, wenn sie eine Authentifizierungsmethode registriert haben, die vom Administrator freigegeben wurde.

Warnung

Konten, denen eine Azure-Administratorrolle zugewiesen wurde, müssen Methoden nutzen, die im Abschnitt Unterschiede zu Richtlinien zum Zurücksetzen von Administratorkennwörtern definiert sind.

![Auswahl der Authentifizierungsmethoden im Microsoft Entra Admin Center][Authentifizierung]

Anzahl erforderlicher Authentifizierungsmethoden

Sie können die Anzahl der verfügbaren Authentifizierungsmethoden konfigurieren, die ein Benutzer bereitstellen muss, um sein Kennwort zurückzusetzen oder freizuschalten. Dieser Wert kann auf 1 oder 2 festgelegt werden.

Benutzer können (und sollten) mehrere Authentifizierungsmethoden registrieren. Es wird dringend empfohlen, mindestens zwei Authentifizierungsmethoden auszuwählen, damit Ihre Benutzer ausweichen können, falls auf eine der Methoden kein Zugriff besteht.

Versucht ein Benutzer, den SSPR zu nutzen, ohne die erforderliche Mindestanzahl von Methoden registriert zu haben, wird eine Fehlerseite angezeigt, die ihn auffordert, einen Administrator um die Kennwortzurücksetzung zu bitten. Gehen Sie beim Heraufsetzen der Anzahl der erforderlichen Methoden von eins auf zwei sehr vorsichtig vor, wenn einige Ihrer bestehenden Benutzer für den SSPR registriert sind und das Feature nicht verwenden können. Weitere Informationen finden Sie im Abschnitt zum Ändern von Authentifizierungsmethoden.

Mobile App und SSPR

Wenn Sie eine mobile App als Methode für die Kennwortzurücksetzung wie die Microsoft Authenticator-App verwenden, gelten die folgenden Überlegungen, wenn eine Organisation nicht zur Richtlinie für zentralisierte Authentifizierungsmethoden migriert wurde:

  • Wenn Administratoren eine Methode zum Zurücksetzen von Kennwörtern erzwingen, steht als einzige Option der Prüfcode zur Verfügung.
  • Wenn Administratoren zwei Methoden für die Kennwortzurücksetzung voraussetzen, können Benutzer zusätzlich zu anderen aktivierten Methoden Benachrichtigungen ODER Prüfcodes verwenden.
Anzahl von erforderlichen Methoden zum Zurücksetzen Eine Zwei
Verfügbare Funktionen der mobilen App Code Code oder Benachrichtigung

Die Benutzer haben die Möglichkeit, ihre mobile App unter https://aka.ms/mfasetup oder bei der kombinierten Registrierung von Sicherheitsinformationen unter https://aka.ms/setupsecurityinfo zu registrieren.

Wichtig

Wenn die Authenticator-App nicht als Authentifizierungsmethode ausgewählt werden kann, wenn nur eine einzige Methode erforderlich ist. Ebenso können nicht die Authenticator-App und nur eine zusätzliche Methode ausgewählt werden, wenn zwei Methoden festgelegt werden müssen.

Wenn Sie SSPR-Richtlinien konfigurieren, die die Authenticator-App als Methode vorsehen, sollten bei einer oder zwei erforderlichen Methoden jeweils eine bzw. zwei zusätzliche Methoden konfiguriert werden.

Ändern der Authentifizierungsmethoden

Was passiert, wenn Sie mit einer Richtlinie beginnen, bei der zum Zurücksetzen oder Entsperren der Registrierung nur eine einzelne Authentifizierungsmethode erforderlich ist, und Sie dies in zwei Authentifizierungsmethoden ändern?

Anzahl der registrierten Methoden Anzahl der erforderlichen Methoden Ergebnis
Mindestens 1 1 Kann zurücksetzen oder entsperren
1 2 Kann nicht zurücksetzen oder entsperren
2 oder mehr 2 Kann zurücksetzen oder entsperren

Eine Änderung der verfügbaren Authentifizierungsmethoden kann ebenso Probleme für Ihre Benutzer verursachen. Wenn Sie die den Benutzern zur Verfügung stehenden Arten von Authentifizierungsmethoden ändern, können Benutzer unter Umständen SSPR nicht mehr verwenden, wenn ihnen nicht genügend Daten zur Verfügung stehen.

Betrachten Sie das folgende Beispielszenario:

  1. Die ursprüngliche Richtlinie wird mit zwei erforderlichen Authentifizierungsmethoden konfiguriert. Sie verwendet nur die Bürotelefonnummer und die Sicherheitsfragen.
  2. Der Administrator ändert die Richtlinie so, dass anstelle von Sicherheitsfragen ein Mobiltelefon und eine alternative E-Mail-Adresse verwendet werden.
  3. Benutzer, für die das Feld zum Mobiltelefon oder der alternativen E-Mail-Adresse nicht aufgefüllt wurde, können ihre Kennwörter jetzt nicht mehr zurücksetzen.

Benachrichtigungen

Mit dem SSPR können Sie sowohl für Benutzer als auch für Identitätsadministratoren Benachrichtigungen konfigurieren, um das Augenmerk auf Kennwortereignisse zu stärken.

Benutzer über Kennwortzurücksetzungen benachrichtigen?

Ist diese Option auf Ja festgelegt, erhalten Benutzer, die ihr Kennwort zurücksetzen, eine E-Mail mit dem Hinweis, dass ihr Kennwort geändert wurde. Die E-Mail wird über das SSPR-Portal an die in Microsoft Entra hinterlegte primäre und alternative E-Mail-Adresse gesendet. Wenn keine primäre oder alternative E-Mail-Adresse definiert ist, versucht SSPR eine E-Mail-Benachrichtigung über den Benutzerprinzipalnamen (User Principal Name, UPN) des Benutzers zu senden. Niemand sonst wird über das Zurücksetzen informiert.

Sollen alle Administratoren benachrichtigt werden, wenn andere Administratoren ihr Kennwort zurücksetzen?

Ist diese Option auf Ja festgelegt, erhalten alle anderen Administrator*innen eine E-Mail an ihre in Microsoft Entra ID hinterlegte primäre E-Mail-Adresse. In dieser E-Mail werden sie darüber informiert, dass ein anderer Administrator ihr Kennwort mithilfe von SSPR geändert hat.

Betrachten Sie das folgende Beispielszenario:

  • Es gibt vier Administratoren in einer Umgebung.
  • Administrator A setzt das Kennwort mithilfe des SSPR zurück.
  • Die Administratoren B, C und D werden per E-Mail über die Kennwortzurücksetzung informiert.

Hinweis

E-Mail-Benachrichtigungen vom SSPR-Dienst werden von den folgenden Adressen gesendet, je nachdem, mit welcher Azure-Cloud Sie arbeiten:

  • Öffentlich: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
  • Azure China 21Vianet: msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
  • Azure für US Government (US-Regierungsbehörden): msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us

Wenn Sie Probleme beim Empfangen von Benachrichtigungen feststellen, überprüfen Sie Ihre Spameinstellungen.

Nur Kennwortadministrator*innen, Benutzeradministrator*innen und globale Administrator*innen können die E-Mails zur Kennwortzurücksetzungsanforderung in dieser Reihenfolge empfangen:

  • Wenn Ihre Organisation über alle drei Typen von Administrator*innen verfügt, erhalten nur Kennwortadministrator*innen die Benachrichtigungs-E-Mails.
  • Wenn Ihre Organisation nur über Benutzeradministrator*innen und globale Administrator*innen verfügt, erhalten nur Benutzeradministrator*innen die Benachrichtigungs-E-Mails.
  • Wenn Ihre Organisation nur über globale Administrator*innen verfügt, erhalten nur globale Administrator*innen die Benachrichtigungs-E-Mails.

Wenn Sie möchten, dass benutzerdefinierte Administrator*innen die Benachrichtigungs-E-Mails erhalten, verwenden Sie SSPR-Anpassungen und richten Sie eine benutzerdefinierte Helpdesk-URL oder -E-Mail ein.

Lokale Integration

In einer Hybridumgebung können Sie Microsoft Entra Connect so konfigurieren, dass Kennwortänderungsereignisse aus Microsoft Entra zurück in ein lokales Verzeichnis geschrieben werden.

![Überprüfen von Aktivierung und Funktionsfähigkeit des Kennwortrückschreibens][Rückschreiben]

Microsoft Entra ID überprüft Ihre aktuelle Hybridverbindung und zeigt eine der folgenden Nachrichten im Microsoft Entra Admin Center an:

  • Ihr lokaler Client für das Rückschreiben ist einsatzbereit.
  • Microsoft Entra ID ist online und mit Ihrem lokalen Client für das Rückschreiben verbunden. Die installierte Version von Microsoft Entra Connect ist jedoch offenbar veraltet. Ziehen Sie ein Upgrade von Microsoft Entra Connect in Betracht, um sicherzustellen, dass Sie über die neuesten Konnektivitätsfeatures und wichtige Fehlerbehebungen verfügen.
  • Der Status Ihres lokalen Rückschreibeclients kann nicht überprüft werden, weil die installierte Version von Microsoft Entra Connect veraltet ist. Aktualisieren Sie Microsoft Entra Connect, um den Verbindungsstatus überprüfen zu können.
  • Leider können wir keine Verbindung mit Ihrem lokalen Client für das Rückschreiben herstellen. Problembehandlung bei Microsoft Entra Connect zum Wiederherstellen der Verbindung.
  • Leider können wir keine Verbindung mit Ihrem lokalen Client für das Rückschreiben herstellen, weil das Kennwortrückschreiben nicht ordnungsgemäß konfiguriert wurde. Konfigurieren Sie das Kennwortrückschreiben, um die Verbindung wiederherzustellen.
  • Leider können wir keine Verbindung mit Ihrem lokalen Client für das Rückschreiben herstellen. Möglicherweise liegen auf unserer Seite vorübergehende Probleme vor. Wenn das Problem weiterhin besteht, führen Sie eine Problembehandlung für Microsoft Entra Connect durch, um die Verbindung wiederherzustellen.

Nutzen Sie das folgende Tutorial, um sich mit dem SSPR-Rückschreiben vertraut zu machen:

Kennwörter in Ihr lokales Verzeichnis zurückschreiben?

Sie können das Kennwortrückschreiben über das Microsoft Entra Admin Center aktivieren. Sie können dieses Feature auch vorübergehend deaktivieren, ohne Microsoft Entra Connect neu zu konfigurieren.

  • Ist die Option auf Ja festgelegt, ist das Rückschreiben aktiviert. Verbundbenutzer, Benutzer mit Pass-Through-Authentifizierung oder Benutzer mit Kennworthashsynchronisierung können ihre Kennwörter zurücksetzen.
  • Ist die Option auf Nein festgelegt, ist das Rückschreiben deaktiviert. Verbundbenutzer, Benutzer mit Pass-Through-Authentifizierung oder Benutzer mit Kennworthashsynchronisierung können ihre Kennwörter nicht zurücksetzen.

Benutzern das Entsperren von Konten ohne Zurücksetzen des Kennworts erlauben

Standardmäßig werden bei einer Kennwortzurücksetzung Konten von Microsoft Entra ID entsperrt. Zur Steigerung de Flexibilität können Sie auch zulassen, dass Benutzer ihre lokalen Konten entsperren können, ohne das Kennwort zurückzusetzen. Mit dieser Einstellung können Sie die folgenden beiden Vorgänge trennen.

  • Bei der Einstellung Ja erhalten Benutzer die Option, das Kennwort zurückzusetzen und ihre Konto zu entsperren oder das Konto zu entsperren, ohne dass das Kennwort zurückgesetzt werden muss.
  • Bei der Einstellung Nein können Benutzer das Entsperren des Kontos nur in Kombination mit dem Zurücksetzen des Kennworts vornehmen.

Lokale Active Directory-Kennwortfilter

Der SSPR ist äquivalent zu einer vom Administrator ausgelösten Kennwortzurücksetzung in Active Directory. Wenn Sie einen Kennwortfilter eines Drittanbieters verwenden, um benutzerdefinierte Kennwortrichtlinien durchzusetzen, und die Überprüfung dieses Kennwortfilters während des Microsoft Entra-SSPR erzwingen, müssen Sie sicherstellen, dass dieser Kennwortfilter so konfiguriert ist, dass er auch bei einer Kennwortzurücksetzung durch den Administrator angewendet wird. Der Microsoft Entra-Kennwortschutz für Active Directory Domain Services wird standardmäßig unterstützt.

Kennwortzurücksetzung für B2B-Benutzer

Das Zurücksetzen und Ändern von Kennwörtern wird von allen B2B-Konfigurationen (Business-to-Business) uneingeschränkt unterstützt. Das Zurücksetzen von B2B-Benutzerkennwörtern wird in den folgenden drei Fällen unterstützt:

  • Benutzer aus einer Partnerorganisation mit einem vorhandenen Microsoft Entra-Mandanten: Falls die Organisation, mit der Sie eine Partnerschaft eingegangen sind, über einen bestehenden Microsoft Entra-Mandanten verfügt, werden alle in diesem Mandanten aktivierten Richtlinien für die Kennwortzurücksetzung berücksichtigt. Damit die Kennwortzurücksetzung funktioniert, muss die Partnerorganisation nur sicherstellen, dass Microsoft Entra SSPR aktiviert ist. Es fallen keine zusätzlichen Gebühren für Microsoft 365-Kunden an.
  • Benutzer, die sich per Self-Service-Registrierung registriert haben: Wenn die Organisation, mit der Sie eine Partnerschaft eingegangen sind, die Self-Service-Registrierung für den Zugriff auf einen Mandanten verwendet, kann das Kennwort mithilfe der registrierten E-Mail-Adresse zurückgesetzt werden.
  • B2B-Benutzer: Alle neuen B2B-Benutzer, die mithilfe der neuen Microsoft Entra-B2B-Funktionen erstellt werden, können ihre Kennwörter unter Verwendung der E-Mail-Adresse zurücksetzen, mit der sie sich im Rahmen des Einladungsprozesses registriert haben.

Um dieses Szenario zu testen, wechseln Sie mit einem der Partnerbenutzer zu https://passwordreset.microsoftonline.com. Sofern eine alternative E-Mail-Adresse oder eine E-Mail-Adresse für die Authentifizierung definiert ist, funktioniert die Kennwortzurücksetzung wie erwartet.

Hinweis

Microsoft-Konten (etwa Hotmail.com, Outlook.com oder eine andere persönliche E-Mail-Adresse), denen der Gastzugriff auf Ihren Microsoft Entra-Mandanten gewährt wurde, können den Microsoft Entra -SSPR nicht nutzen. Für diese Konten muss das Kennwort anhand der Informationen im Artikel Wenn Sie sich nicht bei Ihrem Microsoft-Konto anmelden können zurückgesetzt werden.

Nächste Schritte

Nutzen Sie das folgende Tutorial, um sich mit SSPR vertraut zu machen: