Konfigurieren von AD FS Kennwort Ablauf Ansprüche senden
Du kannst Active Directory Federation Services (AD FS) so konfigurieren, dass Ansprüche beim Kennwortablauf an die Vertrauensstellungen der vertrauenden Seite (Anwendungen) gesendet werden, die durch AD FS geschützt sind. Wie diese Ansprüche verwendet werden, hängt von der jeweiligen Anwendung ab. Beispiel: Bei Office 365 als vertrauende Seite werden Updates in Exchange und Outlook implementiert, damit Verbundbenutzer über ihre bald ablaufenden Kennwörter benachrichtigt werden.
Um AD FS so zu konfigurieren, dass Kennwortablaufansprüche an eine Vertrauensstellung der vertrauenden Seite gesendet werden, müssen Sie dieser Vertrauensstellung der vertrauenden Seite die folgenden Anspruchsregeln hinzufügen:
@RuleName = "Issue Password Expiry Claims"
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime"]
=> issue(store = "_PasswordExpiryStore", types = ("http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime", "http://schemas.microsoft.com/ws/2012/01/passwordexpirationdays", "http://schemas.microsoft.com/ws/2012/01/passwordchangeurl"), query = "{0};", param = c1.Value);
Hinweis
Kennwortablaufansprüche sind nur für die Authentifizierungstypen „Benutzername und Kennwort“ sowie „Windows Hello for Business“ verfügbar. Wenn sich der Benutzer mit der integrierten Windows-Authentifizierung authentifiziert und Passport nicht konfiguriert ist, sind die Ansprüche nicht verfügbar, und den Benutzern werden keine Benachrichtigungen zum Ablauf des Kennworts angezeigt.
Hinweis
Es gibt ein 14-Tage-Fenster, sodass die gesendeten Ansprüche nur aufgefüllt werden, wenn das Kennwort innerhalb von 14 Tagen abläuft.