Übergang zu einer kennwortlosen Bereitstellung

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Sensibilisierung und Benutzerschulung

In diesem letzten Schritt schließen Sie die verbleibenden Benutzer, die der Zielarbeitspersona entsprechen, in die kennwortlose Bereitstellung ein. Bevor Sie dies tun, sollten Sie jedoch in eine Sensibilisierungskampagne investieren.

Durch eine Sensibilisierungskampagne werden die Benutzer auf die neue Methode der Authentifizierung auf ihrem Gerät vorbereitet, z. B. auf die Verwendung von Windows Hello for Business. Das Ziel der Kampagne besteht in der positiven Förderung des Wechsels für die Benutzer im Voraus. Erklären Sie den Wert und warum sich Ihr Unternehmen verändert. Die Kampagne sollte Informationen zum Zeitpunkt der Änderung liefern und zu Fragen und Feedback ermuntern. Diese Kampagne kann mit der Benutzerschulung zusammenfallen, in deren Rahmen den Benutzern die Änderungen erläutert werden und, sofern es Ihre Umgebung zulässt, die Möglichkeit gegeben wird, die neue Benutzererfahrung auszuprobieren.

Tipp

Um die Benutzerkommunikation zu erleichtern und eine erfolgreiche Windows Hello for Business Bereitstellung sicherzustellen, finden Sie anpassbares Material (E-Mail-Vorlagen, Poster, Schulungen usw.) unter Microsoft Entra Vorlagen.

Einschließen der verbleibenden Benutzer, die in die Geschäftliche Persona passen

Sie haben die Sensibilisierungskampagne für die Zielbenutzer implementiert. Diese Benutzer sind informiert und bereit für den Wechsel zur Kennwortlosigkeit. Binden Sie nun die verbleibenden Benutzer ein, die der Zielfunktionspersona entsprechen.

Überprüfen Sie, ob keiner der Benutzer der Geschäftlichen Personas Kennwörter benötigt.

Sie haben erfolgreich alle Benutzer für die Zielarbeitspersona auf kennwortlos umgestellt. Überwachen Sie die Benutzer innerhalb der Arbeitspersona, um sicherzustellen, dass bei der Arbeit in einer kennwortlosen Umgebung keine Probleme auftreten.

Verfolgen Sie alle gemeldeten Probleme. Legen Sie Priorität und Schweregrad jedes gemeldeten Problems fest, und veranlassen Sie ihr Team, die Probleme entsprechend zu selektieren. Berücksichtigen Sie bei der Selektierung von Problemen die folgenden Fragen:

	Frage
🔲	Wird vom meldenden Benutzer eine Tätigkeit außerhalb der Funktionspersona ausgeführt?
🔲	Betrifft das gemeldete Problem die gesamte Funktionspersona oder nur bestimmte Benutzer?
🔲	Ist der Ausfall die Folge einer fehlerhaften Konfiguration?
🔲	Ist der Ausfall eine übersehene Lücke aus Schritt 2?

Priorität und Schweregrad der einzelnen organization unterscheiden sich. Die meisten Organisationen halten Arbeitsunterbrechungen jedoch für ziemlich relevant. Ihr Team sollte Prioritäten und Schweregrade im Voraus definieren. Erstellen Sie für jede dieser Stufen Vereinbarungen zum Servicelevel (Service Level Agreements, SLAs) für jede Kombination aus Schweregrad und Priorität, und halten Sie alle Personen zur Einhaltung dieser Vereinbarungen an. Die reaktive Planung ermöglicht es den Mitarbeitern, mehr Zeit für das Problem und seine Behebung zu investieren, und weniger Zeit für den Prozess.

Beheben Sie die Probleme entsprechend Ihren Vereinbarungen zum Servicelevel. Elemente mit einem höheren Schweregrad erfordern möglicherweise die Rückgabe eines Teils oder der gesamten Kennwortoberfläche des Benutzers. Dieses Ergebnis ist eindeutig nicht das Endziel, aber lassen Sie es nicht zu, ihre Dynamik in Richtung Kennwortlosigkeit zu verlangsamen. Erfahren Sie, wie Sie die Kennwortoberfläche des Benutzers in Schritt 2 verkleinert haben und zu einer Lösung weitergeleitet werden, indem Sie diese Lösung bereitstellen und überprüfen.

Tipp

Überwachen Sie Ihre Domänencontroller auf Kennwortauthentifizierungsereignisse. Dies hilft dabei, Benutzer, die noch Kennwörter verwenden, proaktiv zu identifizieren und sie zu erreichen.

Konfigurieren von Benutzerkonten zum Verhindern der Kennwortauthentifizierung

Sie haben alle Benutzer für die Zielarbeitspersona in eine kennwortlose Umgebung umgestellt und alle ihre Workflows überprüft. Der letzte Schritt zum Abschließen des kennwortlosen Übergangs besteht darin, dem Benutzer die Kenntnis des Kennworts zu entfernen.

Kennwortverknrambling

Obwohl Sie das Kennwort nicht vollständig aus dem Konto des Benutzers entfernen können, können Sie verhindern, dass der Benutzer das Kennwort für die Authentifizierung verwendet. Der einfachste und effektivste Ansatz besteht darin, das Kennwort auf einen zufälligen Wert festzulegen. Dieser Ansatz verhindert, dass der Benutzer das Kennwort kennt und es für die Authentifizierung verwendet, ermöglicht es dem Benutzer jedoch, das Kennwort bei Bedarf zurückzusetzen.

Tipp

Aktivieren Sie Microsoft Entra Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR), damit benutzer ihr Kennwort zurücksetzen können. Nach der Implementierung können sich Benutzer mit Windows Hello for Business oder einem FIDO2-Sicherheitsschlüssel bei ihren Windows-Geräten anmelden und ihr Kennwort von https://aka.ms/ssprzurücksetzen. Kombinieren Sie es mit dem Kennwortrückschreiben, damit die Kennwortzurücksetzung mit Ihrem lokales Active Directory synchronisiert wird.

Das folgende PowerShell-Beispielskript generiert ein zufälliges Kennwort mit 64 Zeichen und legt es für den im Variablennamen angegebenen Benutzer $userId für Microsoft Entra ID fest. Ändern Sie die Variable userId des Skripts so, dass sie ihrer Umgebung (erste Zeile) entspricht, und führen Sie sie dann in einer PowerShell-Sitzung aus. Wenn Sie zur Authentifizierung bei Microsoft Entra ID aufgefordert werden, verwenden Sie die Anmeldeinformationen eines Kontos mit einer Rolle, die Kennwörter zurücksetzen kann.

$userId = "<UPN of the user>"

function Generate-RandomPassword{
    [CmdletBinding()]
    param (
      [int]$Length = 64
    )
  $chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
  $random = New-Object System.Random
  $password = ""
  for ($i = 0; $i -lt $Length; $i++) {
    $index = $random.Next(0, $chars.Length)
    $password += $chars[$index]
  }
  return $password
}

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph.Users.Actions
Connect-MgGraph -Scopes "UserAuthenticationMethod.ReadWrite.All" -NoWelcome

$passwordParams = @{
 UserId = $userId
 AuthenticationMethodId = "28c10230-6103-485e-b985-444c60001490"
 NewPassword = Generate-RandomPassword
}

Reset-MgUserAuthenticationMethodPassword @passwordParams

Ein ähnliches Skript kann verwendet werden, um das Kennwort für Active Directory zurückzusetzen. Ändern Sie die Variable samAccountName des Skripts so, dass sie Ihrer Umgebung (erste Zeile) entspricht, und führen Sie sie dann in einer PowerShell-Sitzung aus.

$samAccountName = <sAMAccountName of the user>

function Generate-RandomPassword{
    [CmdletBinding()]
    param (
      [int]$Length = 64
    )
  $chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
  $random = New-Object System.Random
  $password = ""
  for ($i = 0; $i -lt $Length; $i++) {
    $index = $random.Next(0, $chars.Length)
    $password += $chars[$index]
  }
  return $password
}

$NewPassword = ConvertTo-SecureString -String (Generate-RandomPassword) -AsPlainText -Force

Set-ADAccountPassword -identity $userId -NewPassword $NewPassword -Reset

Wenn ihre Organisationsrichtlinien dies zulassen, können Sie die zufälligen Kennwörter so konfigurieren, dass sie nie ablaufen oder einen langen Ablaufzeitraum verwenden. Diese Konfiguration verhindert, dass der Benutzer aufgefordert wird, sein Kennwort zu ändern.

Achtung

Führen Sie das Skript nur aus einer sicheren und vertrauenswürdigen Umgebung aus, und stellen Sie sicher, dass das Skript nicht protokolliert wird. Behandeln Sie den Host, auf dem das Skript ausgeführt wird, als privilegierten Host mit der gleichen Sicherheitsstufe wie ein Domänencontroller.

Kennwortalter und Kennwortrotation

Wenn Für Ihre organization keine Anforderungen an die Kennwortrotation gelten, empfiehlt es sich, das Kennwortalter zu deaktivieren.

Wenn Ihre organization über eine Richtlinie für die Kennwortrotation verfügt, sollten Sie eine Automatisierung implementieren, um das Kennwort des Benutzers regelmäßig zu rotieren. Dieser Ansatz stellt sicher, dass das Kennwort des Benutzers immer zufällig ist, und verhindert, dass der Benutzer das Kennwort kennt.

Weitere kennwortbezogene Anleitungen finden Sie im Whitepaper Kennwortleitfaden.

Nächste Schritte

Microsoft arbeitet hart daran, Ihnen die kennwortlose Reise zu erleichtern. Wir arbeiten an neuen Features und Funktionen, die Ihnen beim Übergang zu einer kennwortlosen Umgebung helfen und das langfristige Sicherheitsversprechen einer wirklich kennwortlosen Umgebung erreichen. Schauen Sie oft zurück, um zu sehen, was es Neues gibt.