Wie funktioniert das Rückschreiben bei der Self-Service-Kennwortzurücksetzung in Microsoft Entra ID?

Mit microsoft Entra Self-Service Password Reset (SSPR) können Benutzer ihre Kennwörter in der Cloud zurücksetzen, aber die meisten Unternehmen verfügen auch über eine lokale Active Directory Domain Services (AD DS)-Umgebung für Benutzer. Die Kennwortzurückschreibung ermöglicht es, dass Kennwortänderungen in der Cloud in Echtzeit mit Microsoft Entra Connect oder Microsoft Entra Connect Cloud-Synchronisierung in ein lokales Verzeichnis zurückgeschrieben werden. Wenn Benutzer ihre Kennwörter mithilfe von SSPR in der Cloud ändern oder zurücksetzen, werden die aktualisierten Kennwörter auch in die lokale AD DS-Umgebung zurückgeschrieben.

Von Bedeutung

In diesem konzeptionellen Artikel wird einem Administrator erläutert, wie das Zurücksetzen von Self-Service-Kennwörtern funktioniert. Wenn Sie bereits als Endbenutzer für die Self-Service-Kennwortzurücksetzung registriert sind und wieder zu Ihrem Konto zurückkehren müssen, gehen Sie zu https://aka.ms/sspr.

Wenn Ihr IT-Team die Möglichkeit zum Zurücksetzen Ihres eigenen Kennworts nicht aktiviert hat, wenden Sie sich an den Helpdesk, um weitere Unterstützung zu erhalten.

Das Kennwortrückschreiben wird in Umgebungen unterstützt, in denen die folgenden Hybrididentitätsmodelle verwendet werden:

• Kennwort-Hash-Synchronisierung
• Passthrough-Authentifizierung
• Active Directory-Verbunddienste

Das Kennwortrückschreiben bietet die folgenden Features:

• Überprüfung der Kennwortrichtlinien für lokale Active Directory Domain Services (AD DS): Wenn ein Benutzer sein Kennwort zurücksetzt, wird es überprüft, um sicherzustellen, dass es Ihre lokalen AD DS-Richtlinien erfüllt, bevor es in dieses Verzeichnis übernommen wird. Diese Überprüfung umfasst die Überprüfung des Verlaufs, der Komplexität, des Alters, des Kennwortfilters und anderer Kennworteinschränkungen, die Sie in AD DS definieren.
• Nullverzögerungsfeedback: Das Kennwortrückschreiben ist ein synchroner Vorgang. Benutzer werden sofort benachrichtigt, wenn ihr Kennwort nicht der Richtlinie entspricht oder aus irgendeinem Grund nicht zurückgesetzt oder geändert werden kann.
• Unterstützung für das Ändern von Kennwörtern über den Zugriffsbereich und Microsoft 365: Wenn Verbundbenutzende oder Benutzende mit Kennwort-Hashsynchronisierung ihre abgelaufenen oder noch nicht abgelaufenen Kennwörter ändern möchten, werden diese Kennwörter in AD DS zurückgeschrieben.
• Unterstützung für Kennwortrückschreiben, wenn die Kennwörter im Microsoft Entra Admin Center von Admins zurückgesetzt werden: Wenn Admins die Kennwörter von Benutzenden im Microsoft Entra Admin Center zurücksetzen und diese Benutzenden ein Verbundkonto oder ein Konto mit Kennwort-Hashsynchronisierung verwenden, werden die Kennwörter lokal zurückgeschrieben. Diese Funktionalität wird derzeit im Office-Verwaltungsportal nicht unterstützt.
• Erfordert keine eingehenden Firewallregeln: Das Kennwortrückschreiben verwendet ein Azure Service Bus-Relay als zugrunde liegenden Kommunikationskanal. Die gesamte Kommunikation erfolgt ausgehend über Port 443.
• Unterstützt die parallele Bereitstellung auf Domänenebene mithilfe von Microsoft Entra Connect oder der Cloudsynchronisierung , um unterschiedliche Benutzergruppen abhängig von ihren Anforderungen abzuzielen, einschließlich der Benutzer, die sich in getrennten Domänen befinden.

Hinweis

Das lokale Dienstkonto, das Kennwortrückschreiben-Anforderungen verarbeitet, kann die Kennwörter für Benutzer, die zu geschützten Gruppen gehören, nicht ändern. Administratoren können ihr Kennwort in der Cloud ändern, aber sie können kein Kennwortrückschreiben verwenden, um ein vergessenes Kennwort für den lokalen Benutzer zurückzusetzen. Weitere Informationen zu geschützten Gruppen finden Sie unter "Geschützte Konten und Gruppen" in AD DS.

Um mit dem SSPR-Zurückschreibvorgang zu beginnen, führen Sie eines oder beide der folgenden Tutorials aus:

• Tutorial: Aktivieren des Rückschreibens bei der Self-Service-Kennwortzurücksetzung (SSPR)
• Tutorial: Aktivieren des Rückschreibens bei der Self-Service-Kennwortzurücksetzung für die Microsoft Entra Connect-Cloudsynchronisierung in eine lokale Umgebung (Vorschau)

Die parallele Bereitstellung von Microsoft Entra Connect und der Cloudsynchronisierung

Sie können Microsoft Entra Connect und die Cloudsynchronisierung nebeneinander in verschiedenen Domänen bereitstellen, um unterschiedliche Benutzergruppen anzusprechen. Dadurch können vorhandene Benutzer Kennwortänderungen weiterhin zurückschreiben, während in Fällen, in denen sich Benutzer aufgrund einer Unternehmenszusammenführung oder -trennung in getrennten Domänen befinden, die Option hinzugefügt wird. Microsoft Entra Connect und Cloudsynchronisierung können in verschiedenen Domänen konfiguriert werden, sodass Benutzer aus einer Domäne Microsoft Entra Connect verwenden können, während Benutzer in einer anderen Domäne die Cloudsynchronisierung verwenden. Die Cloudsynchronisierung kann auch eine höhere Verfügbarkeit bieten, da sie nicht auf eine einzelne Instanz von Microsoft Entra Connect angewiesen ist. Einen Featurevergleich für die beiden Bereitstellungsoptionen finden Sie unter Vergleich von Microsoft Entra Connect und Cloudsynchronisierung.

Funktionsweise der Kennwortrückschreibung

Wenn ein Benutzerkonto, das für den Verbund und die Kennwort-Hashsynchronisierung (oder bei einer Microsoft Entra Connect-Bereitstellung für die Passthrough-Authentifizierung) konfiguriert wurde, versucht, ein Kennwort in der Cloud zurückzusetzen oder zu ändern, werden die folgenden Aktionen ausgeführt:

1. Es wird eine Überprüfung durchgeführt, um zu sehen, welche Art von Kennwort der Benutzer hat. Wenn das Kennwort lokal verwaltet wird:

   • Es wird eine Überprüfung durchgeführt, um festzustellen, ob der Rückschreibdienst läuft. Wenn dies der Grund ist, kann der Benutzer fortfahren.
   • Wenn der Rückschreibdienst ausgefallen ist, wird der Benutzer informiert, dass sein Kennwort zur zeit nicht zurückgesetzt werden kann.

2. Als Nächstes durchläuft der Benutzer die entsprechenden Authentifizierungsprüfungen und erreicht die Seite Kennwort zurücksetzen.

3. Der Benutzer wählt ein neues Kennwort aus und bestätigt es.

4. Wenn der Benutzer "Absenden" auswählt, wird das Nur-Text-Kennwort mit einem öffentlichen Schlüssel verschlüsselt, der während des Rückschreibvorgangs erstellt wurde.

5. Das verschlüsselte Kennwort wird in Nutzdaten eingeschlossen, die über einen HTTPS-Kanal an Ihr mandantenspezifisches Service Bus Relay gesendet wird (das beim Einrichten der Kennwortrückschreibung festgelegt wurde). Dieses Relay ist durch ein zufällig generiertes Kennwort geschützt, das nur von Ihrer lokalen Installation bekannt ist.

6. Sobald die Nachricht den Service Bus erreicht hat, wird der Endpunkt für die Kennwortzurücksetzung automatisch aktiviert, und der Endpunkt erkennt, dass eine Anforderung zur Zurücksetzung aussteht.

7. Der Dienst sucht dann mithilfe des Cloudanker-Attributs nach dem Benutzer. Damit dieser Nachschlagevorgang erfolgreich ist, müssen die folgenden Bedingungen erfüllt sein:

   • Das Benutzerobjekt muss im AD DS-Verbinderbereich vorhanden sein.
   • Das Benutzerobjekt muss mit dem entsprechenden Metaverse-Objekt (MV) verknüpft werden.
   • Das Benutzerobjekt muss mit dem entsprechenden Microsoft Entra Connector-Objekt verknüpft werden.
   • Die Verknüpfung vom AD DS-Verbinderobjekt zum MV muss über die Synchronisierungsregel Microsoft.InfromADUserAccountEnabled.xxx für die Verknüpfung verfügen.

   Wenn der Aufruf aus der Cloud stammt, verwendet das Synchronisierungsmodul das CloudAnchor-Attribut , um das Microsoft Entra Connector Space-Objekt nachzuschlagen. Anschließend folgt sie dem Link zurück zum MV-Objekt und folgt dann dem Link zurück zum AD DS-Objekt. Da es mehrere AD DS-Objekte (mehrere Gesamtstrukturen) für dieselben Benutzenden geben kann, wählt das Synchronisierungsmodul das richtige Objekt basierend auf der Microsoft.InfromADUserAccountEnabled.xxx-Verknüpfung aus.

8. Nachdem das Benutzerkonto gefunden wurde, wird versucht, das Kennwort direkt in der entsprechenden AD DS-Gesamtstruktur zurückzusetzen.

9. Wenn der Kennwortsatzvorgang erfolgreich ist, wird dem Benutzer mitgeteilt, dass sein Kennwort geändert wurde.

   Hinweis

   Wenn der Kennworthash der Benutzenden mithilfe der Kennwort-Hashsynchronisierung mit Microsoft Entra ID synchronisiert wird, kann es vorkommen, dass die lokale Kennwortrichtlinie schwächer ist als die Kennwortrichtlinie der Cloud. In diesem Fall wird die lokale Kennwortrichtlinie erzwungen. Diese Richtlinie stellt das Erzwingen Ihrer lokalen Richtlinie in der Cloud sicher, unabhängig davon, ob Sie für die Bereitstellung von einmaligem Anmelden die Kennwort-Hashsynchronisierung oder einen Verbund verwenden.

10. Wenn der Kennwortsatzvorgang fehlschlägt, fordert ein Fehler den Benutzer auf, den Vorgang erneut zu versuchen. Der Vorgang kann aus den folgenden Gründen fehlschlagen:

    • Der Dienst war ausgefallen.
    • Das ausgewählte Kennwort entspricht nicht den Richtlinien der Organisation.
    • Der Benutzer in der lokalen AD DS-Umgebung kann nicht gefunden werden.

    Die Fehlermeldungen bieten den Benutzern Anleitungen, damit sie versuchen können, das Problem ohne Eingriff eines Administrators zu lösen.

Kennwortrückschreibungssicherheit

Das Kennwortrückschreiben ist ein hochsicherer Dienst. Um sicherzustellen, dass Ihre Informationen geschützt sind, ist ein vierstufiges Sicherheitsmodell wie folgt aktiviert:

• Mandantenspezifisches Service Bus Relay
  • Wenn Sie den Dienst einrichten, wird ein mandantenspezifisches Servicebusrelay eingerichtet, das durch ein zufällig generiertes sicheres Kennwort geschützt ist, auf das Microsoft nie Zugriff hat.
• Gesperrter, kryptografisch starker Kennwortverschlüsselungsschlüssel
  • Nach der Erstellung des Service Bus Relays wird ein sicherer symmetrischer Schlüssel erstellt, mit dem das Kennwort verschlüsselt wird, bevor es gesendet wird. Dieser Schlüssel befindet sich nur im geheimen Speicher Ihres Unternehmens in der Cloud, der stark gesperrt und überwacht wird, genau wie jedes andere Kennwort im Verzeichnis.
• Branchenstandard Transport Layer Security (TLS)
  1. Wenn ein Kennwortzurücksetzungs- oder Änderungsvorgang in der Cloud erfolgt, wird das Nur-Text-Kennwort mit Ihrem öffentlichen Schlüssel verschlüsselt.
  2. Das verschlüsselte Kennwort wird in eine HTTPS-Nachricht eingefügt, die über einen verschlüsselten Kanal mit Microsoft TLS/SSL-Zertifikaten an Ihr Servicebusrelay gesendet wird.
  3. Nachdem die Nachricht im Servicebus eingetroffen ist, wacht Ihr lokaler Agent auf und authentifiziert sich beim Servicebus mithilfe des zuvor generierten starken Kennworts.
  4. Der lokale Agent nimmt die verschlüsselte Nachricht auf und entschlüsselt sie mithilfe des privaten Schlüssels.
  5. Der lokale Agent versucht, das Kennwort über die AD DS SetPassword-API festzulegen. Dieser Schritt ermöglicht die Durchsetzung Ihrer lokalen AD DS-Kennwortrichtlinie (z. B. Komplexität, Alter, Verlauf und Filter) in der Cloud.
• Ablaufrichtlinien für Nachrichten
  • Falls die Nachricht in Service Bus verbleibt, weil der lokale Dienst nicht verfügbar ist, kommt es nach wenigen Minuten zu einem Timeout, und die Nachricht wird entfernt. Das Timeout und das Entfernen der Nachricht erhöhen die Sicherheit noch weiter.

Details zur Verschlüsselung beim Zurückschreiben des Passworts

Nachdem ein Benutzer eine Zurücksetzung des Passworts übermittelt hat, durchläuft die Zurücksetzungsanforderung mehrere Verschlüsselungsschritte, bevor sie bei Ihnen in der lokalen Umgebung ankommt. Diese Verschlüsselungsschritte stellen maximale Dienstzuverlässigkeit und -sicherheit sicher. Sie werden wie folgt beschrieben:

1. Kennwortverschlüsselung mit 2048-Bit-RSA-Schlüssel: Nachdem ein Benutzer ein Kennwort übermittelt hat, das lokal zurückgeschrieben werden soll, wird das übermittelte Kennwort selbst mit einem 2048-Bit-RSA-Schlüssel verschlüsselt.
2. Verschlüsselung auf Paketebene mit 256-Bit-AES-GCM: Das gesamte Paket, das Kennwort und die erforderlichen Metadaten werden mithilfe von AES-GCM (mit einer Schlüsselgröße von 256 Bit) verschlüsselt. Diese Verschlüsselung verhindert, dass jeder, der direkten Zugriff auf den zugrunde liegenden ServiceBus-Kanal hat, die Inhalte anzeigen oder manipulieren kann.
3. Die gesamte Kommunikation erfolgt über TLS/SSL: Die gesamte Kommunikation mit Service Bus erfolgt in einem SSL/TLS-Kanal. Diese Verschlüsselung sichert die Inhalte vor unbefugten Dritten.
4. Automatisches Schlüsselrollover alle sechs Monate: Alle Schlüssel werden alle sechs Monate oder jedes Mal, wenn das Kennwortrückschreiben auf Microsoft Entra Connect deaktiviert und anschließend wieder aktiviert wird, erneuert, um maximale Dienstsicherheit zu gewährleisten.

Kennwortrückschreibbandbreitennutzung

Das Kennwortrückschreiben ist ein Dienst mit geringer Bandbreite, der anforderungen nur unter den folgenden Umständen an den lokalen Agent zurücksendet:

• Zwei Nachrichten werden gesendet, wenn das Feature über Microsoft Entra Connect aktiviert oder deaktiviert ist.
• Während der gesamten Ausführungsdauer des Diensts wird als Diensttakt alle fünf Minuten eine Nachricht gesendet.
• Zwei Nachrichten werden jedes Mal gesendet, wenn ein neues Kennwort gesendet wird:
  • Die erste Nachricht ist eine Anforderung zum Ausführen des Vorgangs.
  • Die zweite Nachricht enthält das Ergebnis des Vorgangs und wird unter den folgenden Umständen gesendet:
    • Bei jeder Übermittlung eines neuen Kennworts während einer Self-Service-Kennwortzurücksetzung durch Benutzende
    • Jedes Mal, wenn ein neues Kennwort während eines Benutzerkennwortänderungsvorgangs übermittelt wird.
    • Jedes Mal, wenn ein neues Kennwort während einer vom Administrator initiierten Benutzerkennwortzurücksetzung übermittelt wird (nur von Entra-Verwaltungsportalen).

Überlegungen zur Nachrichtengröße und -bandbreite

Die Größe jeder zuvor beschriebenen Nachricht liegt in der Regel unter 1 KB. Selbst bei extremer Auslastung verbraucht der Kennwortrückschreibdienst selbst ein paar Kilobits pro Sekunde Bandbreite. Da jede Nachricht in Echtzeit gesendet wird, nur wenn ein Kennwortaktualisierungsvorgang erforderlich ist und die Nachrichtengröße so klein ist, ist die Bandbreitennutzung der Rückschreibfunktion zu klein, um messbare Auswirkungen zu haben.

Unterstützte Rückschreibevorgänge

Kennwörter werden in allen folgenden Situationen wieder geschrieben:

• Unterstützte Endbenutzervorgänge

  • Jegliche freiwillige Self-Service-Kennwortänderung durch Endbenutzende
  • Jegliche erzwungene Self-Service-Kennwortänderung durch Endbenutzende, beispielsweise bei Ablauf des Kennworts
  • Jegliche Self-Service-Kennwortzurücksetzung durch Endbenutzende über das Kennwortzurücksetzungsportal

• Unterstützte Administratorvorgänge

  • Jegliche freiwillige Self-Service-Kennwortänderung durch Admins
  • Jegliche erzwungene Self-Service-Kennwortänderung durch Admins, beispielsweise bei Ablauf des Kennworts
  • Jegliche Self-Service-Kennwortzurücksetzung durch Admins über das Kennwortzurücksetzungsportal
  • Jegliche administratorseitig initiierte Zurücksetzung von Endbenutzerkennwörtern über das Microsoft Entra Admin Center
  • Jegliche durch einen Administrator initiierte Endbenutzerkennwortzurücksetzung über Microsoft Graph-API.

Nicht unterstützte Rückschreibvorgänge

Kennwörter werden in keiner der folgenden Situationen wieder geschrieben:

• Nicht unterstützte Endbenutzervorgänge

  • Jegliches Zurücksetzen des eigenen Kennworts durch einen Endbenutzer über PowerShell Version 1, Version 2 oder die Microsoft Graph-API

• Nicht unterstützte Administratorvorgänge

  • Alle vom Administrator initiierten Endbenutzerkennwortzurücksetzungen von PowerShell, Version 1 oder Version 2.
  • Alle vom Administrator initiierten Endbenutzer-Passwortzurücksetzungen aus dem Microsoft 365 Verwaltungszentrum.
  • Admins können das Tool zum Zurücksetzen von Kennwörtern nicht zum Zurücksetzen des eigenen Kennworts für das Kennwortrückschreiben verwenden.

Hinweis

Wenn die Option "Kennwort läuft niemals ab" für einen Benutzer in Active Directory (AD) aktiviert ist, wird das Kennwort-Änderungsflag in Active Directory (AD) nicht gesetzt. Daher wird der Benutzer bei der nächsten Anmeldung nicht dazu aufgefordert, das Kennwort zu ändern, selbst wenn die Option zur obligatorischen Kennwortänderung bei der nächsten Anmeldung von einem Administrator während eines vom Administrator initiierten Endbenutzerkennwortzurücksetzens ausgewählt wird.

Nächste Schritte

Um mit SSPR-Writeback zu beginnen, führen Sie die folgende Anleitung aus:

Tutorial: Aktivieren des Rückschreibens bei der Self-Service-Kennwortzurücksetzung (SSPR)