Anpassen der Benutzeroberfläche für die Self-Service-Kennwortzurücksetzung von Microsoft Entra

Die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) gibt Benutzern in Microsoft Entra ID die Möglichkeit, ihr Kennwort zu ändern oder zurückzusetzen, ohne dass ein Administrator oder Helpdesk beteiligt sein muss. Wenn das Konto eines Benutzers gesperrt ist oder dieser sein Kennwort vergessen hat, kann er die Schritte zum Entsperren ausführen und anschließend weiterarbeiten. Diese Funktion reduziert Helpdesk-Anrufe und Produktivitätsverluste, wenn sich ein Benutzer nicht bei seinem Gerät oder einer Anwendung anmelden kann.

Zur Verbesserung der SSPR-Umgebung für Benutzer können Sie das Erscheinungsbild der Seite für die Kennwortzurücksetzung, von E-Mail-Benachrichtigungen oder der Anmeldeseiten anpassen. Anpassungsoptionen helfen dabei, den Benutzern klar zu machen, dass sie sich am richtigen Ort befinden, und geben ihnen die Gewissheit, dass sie auf Unternehmensressourcen zugreifen.

In diesem Artikel erfahren Sie, wie Sie den SSPR-E-Mail-Link für Benutzer, das Unternehmensbranding und den Link zur Anmeldeseite der Active Directory-Verbunddienste (Active Directory-Verbunddienste, AD FS) anpassen. Jeder, dem die Rolle "Authentifizierungsrichtlinienadministrator" zugewiesen ist, kann die meisten dieser Optionen anpassen.

Anpassen des Links "Administrator kontaktieren"

Um Benutzern zu helfen, Unterstützung bei SSPR zu erhalten, wird im Portal für die Kennwortzurücksetzung der Link Kontakt zu Ihrem Administrator angezeigt. Wenn ein Benutzer auf diesen Link klickt, gibt es zwei Möglichkeiten:

• Wenn dieser Kontaktlink im Standardzustand belassen wird, wird eine E-Mail an Ihre Administratoren gesendet, in der sie gebeten werden, bei der Änderung des Benutzerkennworts zu helfen. Hier ist ein Beispiel für diese E-Mail angegeben:

  

• Wenn dieser Kontaktlink angepasst ist, wird der Benutzer auf eine Webseite weitergeleitet oder eine E-Mail an die vom Administrator angegebene Adresse gesendet, um Unterstützung zu erhalten.

  • Wenn Sie diesen Link anpassen, empfehlen wir, ihn auf einen Punkt festzulegen, mit dem Benutzer bereits vertraut sind, um Support zu erhalten.

  Warnung

  Wenn Sie diese Einstellung mit einer E-Mail-Adresse und einem Konto anpassen, für die das Kennwort zurückgesetzt werden muss, kann der Benutzer möglicherweise keine Hilfe anfordern.

Standardverhalten für E-Mail

Die Standard-E-Mail für die Kontaktaufnahme wird in der folgenden Reihenfolge an die Empfänger gesendet:

1. Wenn die Rolle Helpdeskadministrator oder Kennwortadministrator zugewiesen ist, werden die Administratoren mit dieser Rolle benachrichtigt.
2. Falls kein Helpdesk- oder Kennwortadministrator zugewiesen ist, werden die Administratoren mit der Rolle Benutzeradministrator benachrichtigt.
3. Wenn keine der obigen Rollen zugewiesen ist, werden die globalen Administratoren benachrichtigt.

In jedem Fall werden bis zu 100 Empfänger benachrichtigt.

Weitere Informationen zu den verschiedenen Administratorrollen und deren Zuweisen finden Sie unter Zuweisen von Administratorrollen in Microsoft Entra ID.

Deaktivieren Sie die E-Mail-Adresse "Administrator kontaktieren"

Wenn Ihre Organisation Administratoren nicht über Anforderungen zum Zurücksetzen des Kennworts benachrichtigen möchte, können Sie die folgenden Konfigurationsoptionen verwenden:

• Passen Sie den Link für den Helpdesk an, um eine Web-URL bereitzustellen, die verwendet werden kann, um Unterstützung anzufordern. Diese Option finden Sie unter Zurücksetzen des Kennworts>Anpassung>Benutzerdefinierte Helpdesk-E-Mail oder -URL.
• Aktivieren Sie die Self-Service-Kennwortzurücksetzung für alle Benutzer. Diese Option finden Sie unter Zurücksetzen des Kennworts>Eigenschaften. Wenn Sie nicht möchten, dass Benutzer ihre eigenen Kennwörter zurücksetzen, können Sie den Zugriff auf eine leere Gruppe beschränken. Dies ist nicht zu empfehlen.

Anpassen der Anmeldeseite und des Zugriffsbereichs

Sie können die Anmeldeseite anpassen, z. B. um ein Logo hinzuzufügen, das zusammen mit dem Bild angezeigt wird, das zu Ihrem Unternehmensbranding passt. Weitere Informationen zur Konfiguration des Unternehmensbrandings finden Sie unter Hinzufügen eines Unternehmensbrandings zur Anmeldeseite in Microsoft Entra ID.

Die Grafiken, die Sie auswählen, werden unter den folgenden Umständen angezeigt:

• Nachdem ein Benutzer seinen Benutzernamen eingegeben hat.
• Wenn der Benutzer auf die angepasste URL zugreift:
  • Indem Sie den whr Parameter an die Seite zum Zurücksetzen des Kennworts übergeben, z. B https://login.microsoftonline.com/?whr=contoso.com. .
  • Indem Sie den username Parameter an die Seite zum Zurücksetzen des Kennworts übergeben, z. B https://login.microsoftonline.com/?username=admin@contoso.com. .

SSPR berücksichtigt die Spracheinstellungen des Browsers. Wenn es eine Anpassung für die Browsersprache gibt, wird die Seite in der Anpassung der Browsersprache angezeigt. Andernfalls fällt sie auf die Standardgebietsschemaanpassung.

Verzeichnisname

Um die Dinge persönlicher zu gestalten, können Sie den Namen der Organisation im Portal und in der automatisierten Kommunikation ändern.

So ändern Sie das Verzeichnisnamen-Attribut im Microsoft Entra Admin Center:

Von Bedeutung

Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Diese Vorgehensweise trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine rolle mit hoher Berechtigung, die auf Notfallszenarien beschränkt sein sollte oder wenn Sie keine vorhandene Rolle verwenden können.

1. Melden Sie sich beim Microsoft Entra Admin Center als globaler Administrator an.
2. Navigieren Sie zu Entra ID>Übersicht>Eigenschaften.
3. Aktualisieren Sie den Namen.
4. Wählen Sie Speichern aus.

Diese Option für den Organisationsnamen ist in automatisierten E-Mails am sichtbarsten, wie in den folgenden Beispielen zu sehen ist:

• E-Mail-Anzeigename: Beispiel: Microsoft im Auftrag der CONTOSO-Demo
• Betreffzeile der E-Mail: Beispiel: E-Mail-Verifizierungscode für das CONTOSO-Demokonto

Anpassen der AD FS-Anmeldeseite

Wenn Sie AD FS für Benutzeranmeldeereignisse verwenden, können Sie der Anmeldeseite einen Link hinzufügen, indem Sie die Anleitung im Artikel Hinzufügen einer Beschreibung der Anmeldeseite verwenden.

Geben Sie für Benutzer einen Link zu der Seite an, über die sie auf den SSPR-Workflow zugreifen können, z. B. https://passwordreset.microsoftonline.com . Um der AD FS-Anmeldeseite einen Link hinzuzufügen, verwenden Sie den folgenden Befehl auf dem AD FS-Server:

Set-ADFSGlobalWebContent -SigninPageDescriptionText "<p><a href='https://passwordreset.microsoftonline.com' target='_blank'>Can't access your account?</a></p>"

Verwandte Inhalte

• Informationen zur Verwendung von SSPR in Ihrer Umgebung finden Sie unter Berichtsoptionen für die Microsoft Entra Kennwortverwaltung.
• Wenn Sie oder Benutzer Probleme mit SSPR haben, sehen Sie sich die Anleitung zur Problembehandlung für die Passwortrücksetzung im Self-Service an.