Was ist Self-Service-Kennwortzurücksetzung in Microsoft Entra ID?
Sie wurden aufgefordert, Möglichkeiten zur Reduzierung der Helpdeskkosten in Ihrer Einzelhandelsorganisation zu beurteilen. Sie haben festgestellt, dass Supportmitarbeiter einen Großteil der Zeit für das Zurücksetzen von Kennwörtern für Benutzer*innen aufwenden müssen. Benutzer*innen beklagen sich häufig über Verzögerungen bei diesem Prozess, da diese Verzögerungen sich auf ihre Produktivität auswirken. Sie möchten wissen, wie Sie Azure so konfigurieren können, dass Benutzer*innen ihre Kennwörter eigenständig verwalten können.
In dieser Lerneinheit erfahren Sie, wie die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) in Microsoft Entra ID funktioniert.
Gründe für die Verwendung von SSPR
In Microsoft Entra ID können alle Benutzer ihr Kennwort ändern, wenn sie bereits angemeldet sind. Wenn sie jedoch nicht angemeldet sind und sie das Kennwort vergessen haben oder das Kennwort abgelaufen ist, müssen sie ihr Kennwort zurücksetzen. Mit SSPR können Benutzer ihre Kennwörter in einem Webbrowser oder in einem Windows-Anmeldebildschirm zurücksetzen, um wieder auf Azure, Microsoft 365 und andere Anwendungen zugreifen zu können, die Microsoft Entra ID für die Authentifizierung verwenden.
SSPR verringert die Belastung von Administratoren, da Benutzer Kennwortprobleme selbst beheben können, ohne den Helpdesk anrufen zu müssen. Außerdem wird die Beeinträchtigung der Produktivität aufgrund eines vergessenen oder abgelaufenen Kennworts minimiert. Benutzer müssen nicht warten, bis ein Administrator verfügbar ist, um das Kennwort zurückzusetzen.
Funktionsweise von SSPR
Benutzer initiieren eine Kennwortzurücksetzung, indem sie entweder direkt das Portal für die Kennwortzurücksetzung aufrufen oder auf der Anmeldeseite den Link Kein Zugriff auf Ihr Konto möglich auswählen. Das Portal für die Zurücksetzung führt folgende Schritte aus:
- Lokalisierung: Das Portal überprüft die Gebietsschemaeinstellung des Browsers und rendert die SSPR-Seite in der entsprechenden Sprache.
- Überprüfung: Der Benutzer gibt seinen Benutzernamen und ein CAPTCHA ein, um sicherzustellen, dass es sich um einen Benutzer und nicht um einen Bot handelt.
- Authentifizierung: Der Benutzer gibt die erforderlichen Daten ein, um seine Identität zu authentifizieren. Sie können einen Code eingeben oder Sicherheitsfragen beantworten.
- Kennwortzurücksetzung: Wenn der Benutzer die Authentifizierungstests besteht, kann er ein neues Kennwort eingeben und bestätigen.
- Benachrichtigung: Eine Nachricht wird die Benutzer*innen gesendet, um die Zurücksetzung zu bestätigen.
Es gibt mehrere Anpassungsmöglichkeiten für die SSPR-Benutzerfreundlichkeit. Sie können beispielsweise Ihr Firmenlogo zur Anmeldeseite hinzufügen, damit die Benutzer*innen wissen, dass sie sich an der richtigen Stelle befinden, um das Kennwort zurückzusetzen.
Authentifizieren einer Kennwortrücksetzung
Es ist absolut notwendig, die Identität eines Benutzers oder einer Benutzerin zu überprüfen, bevor eine Kennwortzurücksetzung gestattet wird. Böswillige Benutzer können eine Schwachstelle des Systems ausnutzen, um die Identität des betreffenden Benutzers anzunehmen. Azure unterstützt sechs verschiedene Möglichkeiten zum Authentifizieren von Zurücksetzungsanforderungen.
Als Administrator*in können Sie bei der Konfiguration von SSPR die Methoden auswählen, die verwendet werden sollen. Aktivieren Sie mindestens zwei dieser Methoden, damit Benutzer*innen die Methoden auswählen können, die sie mühelos verwenden können. Dabei handelt es sich um folgende Methoden:
| Authentifizierungsmethode | Registrierung | Authentifizierung für eine Kennwortzurücksetzung |
|---|---|---|
| Benachrichtigung über eine mobile App | Installieren Sie die Microsoft Authenticator-App auf dem mobilen Gerät, und registrieren Sie die App dann auf der Setupseite für die Multi-Faktor-Authentifizierung. | Azure sendet eine Benachrichtigung an die App, die Sie entweder bestätigen oder verweigern können. |
| Code der mobilen App | Diese Methode verwendet ebenfalls die Authenticator-App, die genauso installiert und registriert wird. | Geben Sie den Code der App ein. |
| Geben Sie eine E-Mail-Adresse außerhalb von Azure und Microsoft 365 ein. | Azure sendet einen Code an die Adresse, die Sie im Kennwortrücksetz-Assistenten eingeben. | |
| Mobiltelefon | Geben Sie eine Mobiltelefonnummer an. | Azure sendet in einer SMS-Nachricht einen Code an das Telefon, den Sie im Kennwortrücksetz-Assistenten eingeben müssen. Sie können auch einen automatisierten Rückruf anfordern. |
| Bürotelefon | Geben Sie eine Festnetztelefonnummer an. | Sie erhalten einen automatisierten Anruf an diese Nummer und drücken #. |
| Sicherheitsfragen | Wählen Sie Fragen wie „In welcher Stadt wurde Ihre Mutter geboren?“ aus, und speichern Sie die Antworten darauf. | Beantworten Sie die Fragen. |
In kostenlosen und testorientierten Microsoft Entra-Organisationen werden Telefonanrufoptionen nicht unterstützt.
Vorschreiben der Mindestanzahl von Authentifizierungsmethoden
Sie können die Mindestanzahl von Methoden angeben, die der Benutzer einrichten muss, entweder eine oder zwei. Sie können beispielsweise die Methoden „Code der mobilen App“, „E-Mail“, „Bürotelefon“ und „Sicherheitsfragen“ als Methoden aktivieren und eine Mindestanzahl von zwei Methoden festlegen. Benutzer*innen können dann ihre zwei bevorzugten Methoden auswählen, z. B. „Code der mobilen App“ und „E-Mail“.
Bei der Methode „Sicherheitsfragen“ können Sie die Mindestanzahl der Fragen angeben, die Benutzer*innen bei der Registrierung für diese Methode einrichten müssen. Sie können auch die Mindestanzahl der Fragen angeben, die zum Zurücksetzen des Kennworts richtig beantwortet werden müssen.
Nachdem die Benutzer die erforderlichen Informationen für die angegebene Mindestanzahl von Methoden registriert haben, gelten sie als für SSPR registriert.
Empfehlungen
- Aktivieren Sie mindestens zwei der Authentifizierungsmethoden für Zurücksetzungsanforderungen.
- Verwenden Sie die Benachrichtigung oder den Code der mobilen App als primäre Methode. Aktivieren Sie aber auch die E-Mail- oder Bürotelefonmethoden, um Benutzer ohne mobile Geräte zu unterstützen.
- Die Methode „Mobiltelefon“ wird nicht empfohlen, da es möglich ist, betrügerische SMS-Nachrichten zu senden.
- Die Option „Sicherheitsfragen“ ist die am wenigsten empfohlene Methode, da die Antworten auf die Sicherheitsfragen anderen Personen bekannt sein könnten. Verwenden Sie die Methode „Sicherheitsfragen“ nur in Kombination mit mindestens einer anderen Methode.
Konten, die Administratorrollen zugeordnet sind
- Für Konten mit einer Administratorrolle wird unabhängig von der jeweiligen Konfiguration für andere Benutzer immer eine strenge Authentifizierungsrichtlinie mit zwei Methoden angewendet.
- Die Methode „Sicherheitsfragen“ ist nicht für Konten verfügbar, die einer Administratorrolle zugeordnet sind.
Konfigurieren von Benachrichtigungen
Administratoren können auswählen, wie Benutzer über Kennwortänderungen benachrichtigt werden. Es gibt zwei Optionen, die Sie aktivieren können:
- Benachrichtigen von Benutzern über Kennwortzurücksetzungen: Der Benutzer, der sein eigenes Kennwort zurücksetzt, wird über seine primäre und sekundäre E-Mail-Adresse benachrichtigt. Wenn die Zurücksetzung von einem böswilligen Benutzer durchgeführt wurde, wird der Benutzer durch diese Benachrichtigung gewarnt, sodass er Abhilfemaßnahmen ergreifen kann.
- Benachrichtigen aller Administratoren, wenn andere Administratoren ihr Kennwort zurücksetzen: Alle Administratoren werden benachrichtigt, wenn ein anderer Administrator deren Kennwort zurücksetzt.
Lizenzanforderungen
Es gibt drei Editionen von Microsoft Entra ID: Free, Premium P1 und Premium P2. Die Funktion, die Sie zum Zurücksetzen von Kennwörtern verwenden können, hängt von der jeweiligen Edition ab.
Jeder Benutzer, der angemeldet ist, kann sein Kennwort ändern, unabhängig von der Edition von Microsoft Entra ID.
Was, wenn Sie nicht angemeldet sind und Ihr Kennwort vergessen haben oder das Kennwort abgelaufen ist? In diesem Fall können Sie SSPR in Microsoft Entra ID P1 oder P2 verwenden. Dies ist auch für Microsoft 365-Apps für Unternehmen oder Microsoft 365 möglich.
In einer hybriden Situation, in der Active Directory lokal und Microsoft Entra ID in der Cloud verwendet werden, muss jede Kennwortänderung in der Cloud in das lokale Verzeichnis übernommen werden. Diese Unterstützung für das Rückschreiben ist in Microsoft Entra ID P1 oder P2 verfügbar. Dies ist auch für Microsoft 365-Apps für Unternehmen verfügbar.
Bereitstellungsoptionen für SSPR
Sie können SSPR mit Kennwortrückschreiben bereitstellen, indem Sie je nach den Anforderungen der Benutzer Microsoft Entra Connect oder die Cloudsynchronisierung verwenden. Sie können alle Optionen gleichzeitig in verschiedenen Domänen bereitstellen, um unterschiedliche Benutzergruppen abzudecken. Dies hilft bestehenden Benutzer*innen lokal, Kennwortänderungen rückzuschreiben, während eine Option für Benutzer*innen, die sich aufgrund einer Unternehmensfusion oder -aufspaltung in nicht verbundenen Domänen befinden, hinzugefügt wird. Benutzer aus einer vorhandenen lokalen Domäne können Microsoft Entra Connect verwenden, während neue, aufgrund einer Fusion hinzugekommene Benutzer die Cloudsynchronisierung in einer anderen Domäne verwenden können.
Die Cloudsynchronisierung kann außerdem eine höhere Verfügbarkeit bieten, da sie nicht von einer einzelnen Instanz von Microsoft Entra Connect abhängt. Einen Featurevergleich für die beiden Bereitstellungsoptionen finden Sie unter Vergleich von Microsoft Entra Connect und Cloudsynchronisierung.