Freigeben über

Aktivieren Sie die Self-Service-Kennwortzurücksetzung von Microsoft Entra auf dem Windows-Anmeldebildschirm.

Durch die Verwendung der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) in Microsoft Entra ID können Benutzer ihr Kennwort ohne Beteiligung eines Administrators oder Helpdesks ändern oder zurücksetzen. In der Regel öffnen Benutzer einen Webbrowser auf einem anderen Gerät, um auf das SSPR-Portal zuzugreifen. Um die Benutzerfreundlichkeit auf Computern unter Windows 7, 8, 8.1, 10 und 11 zu verbessern, können Sie Benutzern das Zurücksetzen ihres Kennworts auf dem Windows-Anmeldebildschirm ermöglichen.

Screenshot mit Beispielen für Windows-Anmeldebildschirme mit dem SSPR-Link.

In diesem Artikel erfahren Administratoren, wie sie SSPR für Windows-Geräte in einem Unternehmen aktivieren.

Wenn Ihr IT-Team die Möglichkeit zur Verwendung von SSPR auf Ihrem Windows-Gerät nicht aktiviert hat oder Sie Probleme bei der Anmeldung haben, wenden Sie sich an Ihren Helpdesk, um weitere Unterstützung zu erhalten.

Allgemeine Einschränkungen

Die folgenden Einschränkungen gelten für die Verwendung von SSPR über den Windows-Anmeldebildschirm:

  • Das Zurücksetzen des Kennworts wird derzeit von einem Remotedesktop oder von Hyper-V erweiterten Sitzungen nicht unterstützt.

  • Es ist bekannt, dass einige Anbieter von Anmeldeinformationen, die nicht von Microsoft stammen, Probleme mit dieser Funktion verursachen.

  • Es ist bekannt, dass das Deaktivieren der Benutzerkontensteuerung durch Ändern des EnableLUA-Registrierungsschlüssels Probleme verursacht.

  • Dieses Feature funktioniert nicht für Netzwerke, in denen die 802.1x-Netzwerkauthentifizierung und die Option "Unmittelbar vor der Benutzeranmeldung ausführen" bereitgestellt wurden. Für Netzwerke, in denen die 802.1x-Netzwerkauthentifizierung bereitgestellt wurde, wird empfohlen, die Computerauthentifizierung zu verwenden, um diese Funktion zu aktivieren.

  • In Microsoft Entra Hybrid eingebundene Computer müssen über eine Sichtverbindung der Netzwerkverbindung zu einem Domänencontroller verfügen, um das neue Kennwort zu verwenden und zwischengespeicherte Anmeldeinformationen zu aktualisieren. Die Geräte müssen sich entweder im internen Netzwerk der Organisation oder in einem virtuellen privaten Netzwerk mit Netzwerkzugriff auf einen lokalen Domänencontroller befinden. Wenn SSPR die einzige Anforderung ist, ist die Netzwerkverbindungsleitung zum Domänencontroller nicht erforderlich.

  • Wenn Sie ein Image verwenden, stellen Sie vor dem Ausführen sysprep sicher, dass der Webcache für den integrierten Administrator gelöscht wird, bevor Sie den CopyProfile Schritt ausführen. Weitere Informationen finden Sie unter Schlechte Leistung bei Verwendung eines benutzerdefinierten Standardbenutzerprofils.

  • Es ist bekannt, dass die folgenden Einstellungen die Möglichkeit beeinträchtigen, Kennwörter auf Windows 10-Geräten zu verwenden und zurückzusetzen:

    • Wenn die Benachrichtigungen auf dem Sperrbildschirm deaktiviert sind, funktioniert die Option "Passwort zurücksetzen " nicht.
    • HideFastUserSwitching auf Aktiviert oder 1 festgelegt ist.
    • DontDisplayLastUserName auf Aktiviert oder 1 festgelegt ist.
    • NoLockScreen auf Aktiviert oder 1 festgelegt ist.
    • BlockNonAdminUserInstall auf Aktiviert oder 1 festgelegt ist.
    • EnableLostMode auf dem Gerät eingestellt ist.
    • Explorer.exe wird durch eine benutzerdefinierte Shell ersetzt.
    • Interaktive Anmeldung: Smartcard erforderlich ist auf Aktiviert oder 1 festgelegt.

  • Die Kombination der folgenden drei Einstellungen kann dazu führen, dass diese Funktion nicht funktioniert.

    • Interaktive Anmeldung: STRG+ALT+ENTF nicht erforderlich ist auf Deaktiviert festgelegt (nur für Windows 10 Version 1710 und früher).
    • DisableLockScreenAppNotifications auf Aktiviert oder 1 festgelegt ist.
    • Die Windows-Version ist die Home Edition.

Hinweis

Diese Einschränkungen gelten auch für das Zurücksetzen der Windows Hello for Business-PIN über den Gerätesperrbildschirm.

Zurücksetzen des Passworts für Windows 11 und Windows 10

Um ein Windows 11- oder Windows 10-Gerät für SSPR auf dem Anmeldebildschirm zu konfigurieren, überprüfen Sie die folgenden Voraussetzungen und Konfigurationsschritte.

Voraussetzungen für Windows 11 und Windows 10

  • Melden Sie sich beim Microsoft Entra Admin Center mindestens als Authentifizierungsrichtlinienadministrator an, und aktivieren Sie Microsoft Entra SSPR.
  • Benutzer müssen sich für SSPR registrieren, bevor sie dieses Feature auf dem Windows-Anmeldebildschirm verwenden können.
    • Alle Benutzer müssen Authentifizierungskontaktinformationen angeben, bevor sie ihr Kennwort zurücksetzen können, was nicht nur für die Verwendung von SSPR über den Windows-Anmeldebildschirm gilt.
  • Anforderungen an den Netzwerk-Proxy:
    • Port 443 nach passwordreset.microsoftonline.com und ajax.aspnetcdn.com.
    • Windows 10-Geräte erfordern eine Proxykonfiguration auf Computerebene oder eine bereichsbezogene Proxykonfiguration für das temporäre defaultuser1 Konto, das zum Ausführen von SSPR verwendet wird. Weitere Informationen finden Sie im Abschnitt Problembehandlung .
  • Führen Sie mindestens Windows 10, Version April 2018 Update (v1803), aus, und die Geräte müssen entweder:
    • Microsoft Entra ist dabei.
    • Microsoft Entra hybrid beigetreten.

Aktivieren für Windows 11 und Windows 10 mithilfe von Intune

Das Bereitstellen der Konfigurationsänderung zum Aktivieren von SSPR über den Windows-Anmeldebildschirm mithilfe von Intune ist die flexibelste Methode. Mit Intune können Sie die Konfigurationsänderung für eine bestimmte Gruppe von Computern bereitstellen, die Sie definieren. Für diese Methode ist die Intune-Registrierung des Geräts erforderlich.

Erstellen einer Gerätekonfigurationsrichtlinie in Intune

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Erstellen Sie ein neues Gerätekonfigurationsprofil, indem Sie zuGerätekonfigurationsprofile> wechseln und dann + Profil erstellen auswählen:

    • Wählen Sie unter Plattformdie Option Windows 10 und höher aus.
    • Wählen Sie für Profile type (Profiltyp) die Option Templates (Vorlagen ) und dann die Vorlage Custom (Benutzerdefiniert ) aus.

  3. Wählen Sie Erstellen aus, und geben Sie dann einen aussagekräftigen Namen für das Profil an, z. B. Windows 11-Anmeldebildschirm SSPR.

    Geben Sie optional eine aussagekräftige Beschreibung des Profils an, und wählen Sie dann Weiter aus.

  4. Wählen Sie unter Konfigurationseinstellungendie Option Hinzufügen aus, und geben Sie die folgende OMA-URI Einstellung an, um den Link zum Zurücksetzen des Kennworts zu aktivieren:

    • Geben Sie einen aussagekräftigen Namen ein, um zu erklären, was die Einstellung bewirkt, z. B. SSPR-Link hinzufügen.
    • Geben Sie optional eine aussagekräftige Beschreibung der Einstellung ein.
    • Legen Sie OMA-URI auf ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordResetfest.
    • Legen Sie den Datentyp auf Integer fest.
    • Legen Sie den Wert auf 1 fest.

    Wählen Sie Hinzufügen aus und dann Weiter.

  5. Sie können die Richtlinie bestimmten Benutzern, Geräten oder Gruppen zuweisen. Weisen Sie das Profil zu, das Sie für Ihre Umgebung verwenden möchten. Es empfiehlt sich, sie zuerst einer Testgruppe von Geräten zuzuweisen und dann Weiter auszuwählen.

    Weitere Informationen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen in Microsoft Intune.

  6. Konfigurieren Sie die Anwendbarkeitsregeln, die Sie für Ihre Umgebung wünschen, z. B. Profil zuweisen, wenn die Betriebssystemedition Windows 10 Enterprise ist, und wählen Sie dann Weiter aus.

  7. Überprüfen Sie Ihr Profil, und wählen Sie dann Erstellen aus.

Aktivieren für Windows 11 und Windows 10 mithilfe der Registrierung

Führen Sie die folgenden Schritte aus, um SSPR auf dem Windows-Anmeldebildschirm mithilfe eines Registrierungsschlüssels zu aktivieren:

  1. Melden Sie sich mit Administratorrechten am Windows-PC an.

  2. Wählen Sie Windows + R aus, um das Dialogfeld Ausführen zu öffnen, und führen Sie dann regedit als Administrator aus.

  3. Legen Sie den folgenden Registrierungsschlüssel fest:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

Problembehandlung beim Zurücksetzen von Passwörtern für Windows 11 und Windows 10

Wenn Sie Probleme bei der Verwendung von SSPR über den Windows-Anmeldebildschirm haben, enthält das Microsoft Entra Überwachungsprotokoll Informationen über die IP-Adresse und ClientType, wo die Kennwortzurücksetzung stattgefunden hat, wie in der folgenden Beispielausgabe gezeigt.

Screenshot, der ein Beispiel für das Zurücksetzen des Windows 7-Kennworts im Microsoft Entra Überwachungsprotokoll zeigt.

Wenn Benutzer ihr Kennwort über den Anmeldebildschirm eines Windows 11- oder 10-Geräts zurücksetzen, wird ein temporäres Konto mit geringen Rechten erstellt defaultuser1 . Dieses Konto wird verwendet, um den Prozess des Zurücksetzens des Kennworts sicher zu halten.

Das Konto selbst verfügt über ein zufällig generiertes Kennwort, das anhand der Kennwortrichtlinie einer Organisation validiert wird. Das Kennwort wird bei der Geräteanmeldung nicht angezeigt und automatisch entfernt, nachdem der Benutzer sein Kennwort zurückgesetzt hat. Möglicherweise sind mehrere defaultuser Profile vorhanden, aber Sie können sie sicher ignorieren.

Proxy-Konfigurationen für die Windows-Kennwortzurücksetzung

Während des Zurücksetzens des Kennworts erstellt SSPR ein temporäres lokales Benutzerkonto, mit dem eine Verbindung hergestellt werden soll https://passwordreset.microsoftonline.com/n/passwordreset. Wenn ein Proxy für die Benutzerauthentifizierung konfiguriert ist, schlägt er möglicherweise mit der Fehlermeldung "Etwas ist schief gelaufen. Bitte, versuchen Sie es später noch einmal." Dieser Fehler tritt auf, weil das lokale Benutzerkonto nicht für die Verwendung des authentifizierten Proxys autorisiert ist.

Verwenden Sie in diesem Fall eine der folgenden Problemumgehungen:

  • Konfigurieren Sie eine computerweite Proxyeinstellung, die nicht vom Typ des Benutzers abhängt, der bei der Maschine angemeldet ist. Sie können z. B. die Gruppenrichtlinie Proxyeinstellungen pro Computer (und nicht pro Benutzer) für die Arbeitsstationen aktivieren.

  • Sie können auch die Proxykonfiguration pro Benutzer für SSPR verwenden, wenn Sie die Registrierungsvorlage für das Standardkonto ändern. Die Befehle lauten:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • Der Fehler "Etwas ist schief gelaufen" kann auch auftreten, wenn die Verbindung zur URL https://passwordreset.microsoftonline.com/n/passwordresetunterbrochen wird. Dieser Fehler kann z. B. auftreten, wenn Antivirensoftware auf der Workstation ohne Ausnahmen für die URLs passwordreset.microsoftonline.com, ajax.aspnetcdn.comund ocsp.digicert.comausgeführt wird. Deaktivieren Sie diese Software vorübergehend, um zu testen, ob das Problem behoben ist oder nicht.

Zurücksetzen des Kennworts für Windows 7, 8 und 8.1

Um ein Windows 7-, 8- oder 8.1-Gerät für SSPR auf dem Windows-Anmeldebildschirm zu konfigurieren, überprüfen Sie die folgenden Voraussetzungen und Konfigurationsschritte.

Voraussetzungen für Windows 7, 8 und 8.1

Warnung

TLS 1.2 muss aktiviert sein und darf nicht nur auf Autonegotiate festgelegt werden.

Installieren der SSPR-Komponente

Für Windows 7, 8 und 8.1 muss eine kleine Komponente auf dem Computer installiert werden, um SSPR auf dem Windows-Anmeldebildschirm zu aktivieren. Gehen Sie folgendermaßen vor, um diese SSPR-Komponente zu installieren:

  1. Laden Sie das entsprechende Installationsprogramm für die Windows-Version herunter, die Sie aktivieren möchten.

    Das Installationsprogramm für die Software ist im Microsoft Download Center verfügbar.

  2. Melden Sie sich bei dem Computer an, auf dem Sie installieren möchten, und führen Sie das Installationsprogramm aus.

  3. Nach der Installation empfehlen wir Ihnen, einen Neustart durchzuführen.

  4. Wählen Sie nach dem Neustart auf dem Windows-Anmeldebildschirm einen Benutzer aus, und wählen Sie Kennwort vergessen? aus, um den Workflow zum Zurücksetzen des Kennworts zu starten.

  5. Befolgen Sie die Schritte, um Ihr Passwort zurückzusetzen.

    Screenshot, der ein Beispiel von Windows 7 mit dem Passwort vergessen? SSPR-Fluss.

Unbeaufsichtigte Installation

Verwenden Sie die folgenden Befehle, um die SSPR-Komponente ohne Eingabeaufforderungen zu installieren oder zu deinstallieren:

  • Unbeaufsichtigte Installation: Verwenden Sie msiexec /i SsprWindowsLogon.PROD.msi /qn.
  • Unbeaufsichtigte Deinstallation: Verwenden Sie msiexec /x SsprWindowsLogon.PROD.msi /qn.

Problembehandlung bei der Kennwortzurücksetzung für Windows 7, 8 und 8.1

Wenn Sie Probleme bei der Verwendung von SSPR über den Windows-Anmeldebildschirm haben, werden Ereignisse auf dem Computer und in Microsoft Entra ID protokolliert. Microsoft Entra Ereignisse enthalten Informationen über die IP-Adresse und den Parameter, bei dem ClientType das Zurücksetzen des Kennworts erfolgt ist.

Screenshot, der ein Beispiel für das Zurücksetzen des Windows 7-Kennworts im Microsoft Entra Überwachungsprotokoll zeigt.

Wenn eine weitere Protokollierung erforderlich ist, ändern Sie einen Registrierungsschlüssel auf dem Computer, um die ausführliche Protokollierung zu aktivieren. Aktivieren Sie die ausführliche Protokollierung nur zu Problembehandlungszwecken, indem Sie den folgenden Registrierungsschlüsselwert verwenden:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Um die ausführliche Protokollierung zu aktivieren, erstellen Sie REG_DWORD: "EnableLogging" sie, und legen Sie sie auf 1 fest.
  • Um die ausführliche Protokollierung zu deaktivieren, ändern Sie den Wert REG_DWORD: "EnableLogging" auf 0.
  • Überprüfen Sie die Debug-Protokollierung im Anwendungsereignisprotokoll unter der Quelle AADPasswordResetCredentialProvider.

Was sehen Benutzer?

Welche Änderungen ergeben sich für den Benutzer, wenn SSPR für Ihre Windows-Geräte konfiguriert ist? Woher wissen sie, dass sie ihr Passwort auf dem Anmeldebildschirm zurücksetzen können? Die folgenden Beispielscreenshots zeigen andere Optionen, mit denen ein Benutzer sein Kennwort mithilfe von SSPR zurücksetzen kann.

Screenshot, der die Anmeldebildschirme von Windows 7 und 10 mit dem angezeigten SSPR-Link zeigt.

Wenn Benutzer versuchen, sich anzumelden, wird der Link Kennwort zurücksetzen oder Kennwort vergessen angezeigt, der die SSPR-Oberfläche auf dem Anmeldebildschirm öffnet. Jetzt können Benutzer ihr Passwort zurücksetzen, ohne ein anderes Gerät verwenden zu müssen, um auf einen Webbrowser zuzugreifen.

Weitere Informationen zur Verwendung dieser Funktion finden Sie unter Zurücksetzen Ihres Geschäfts-, Schul- oder Unikennworts.

Verwandte Inhalte

Um die Benutzerregistrierung zu vereinfachen, können Sie die Kontaktinformationen für die Benutzerauthentifizierung für SSPR vorab ausfüllen.