Een proces voor het verplicht opnieuw instellen van een wachtwoord instellen in Azure Active Directory B2C

Belangrijk

Vanaf 1 mei 2025 is Azure AD B2C niet meer beschikbaar voor nieuwe klanten. Meer informatie vindt u in onze veelgestelde vragen.

Voordat u begint, gebruikt u de selector Een beleidstype kiezen boven aan deze pagina om het type beleid te kiezen dat u instelt. U kunt in Azure Active Directory B2C op twee manieren definiëren hoe gebruikers met uw toepassingen communiceren: via vooraf gedefinieerde gebruikersstromen of via volledig configureerbaar aangepast beleid. De stappen die in dit artikel zijn vereist, verschillen voor elke methode.

Overzicht

Als beheerder kunt u het wachtwoord van een gebruiker opnieuw instellen als de gebruiker zijn of haar wachtwoord vergeet. Of u wilt afdwingen dat ze het wachtwoord opnieuw instellen. In dit artikel leert u hoe u het opnieuw instellen van wachtwoorden in deze scenario's kunt afdwingen.

Wanneer een beheerder het wachtwoord van een gebruiker opnieuw instelt via Azure Portal, wordt de waarde van het kenmerk forceChangePasswordNextSignIn ingesteld op true. Het aanmeldings- en registratietraject controleert de waarde van dit kenmerk. Nadat de gebruiker de aanmelding heeft voltooid, en het kenmerk is ingesteld op true, moet de gebruiker het wachtwoord opnieuw instellen. Vervolgens wordt de waarde van het kenmerk teruggezet.false

De stroom voor wachtwoordherstel is van toepassing op lokale accounts in Azure AD B2C die gebruikmaken van een e-mailadres of gebruikersnaam met een wachtwoord voor aanmelding.

Vereiste voorwaarden

• Maak een gebruikersstroom, zodat gebruikers zich bij uw toepassing kunnen registreren en aanmelden.
• Registreer een web-app.

• Voltooi de stappen in Aan de slag met aangepaste policies in Active Directory B2C. In deze zelfstudie leert u hoe u aangepaste beleidsbestanden bijwerkt voor het gebruik van uw Azure AD B2C-tenantconfiguratie.
• Registreer een web-app.

Uw gebruikersstroom configureren

Ga als volgt te werk om de instelling voor het opnieuw instellen van geforceerde wachtwoorden in te schakelen in een gebruikersstroom voor registratie of aanmelding:

1. Meld u aan bij het Azure-portaal.
2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het hoofdmenu om over te schakelen naar uw Azure AD B2C-tenant vanuit het menu Mappen + abonnementen.
3. Zoek en selecteer Azure AD B2C in de Azure-portal.
4. Selecteer gebruikersstromen.
5. Selecteer de registratie- en aanmeldings- of aanmeldingsgebruikersstroom (van het type Aanbevolen) die u wilt aanpassen.
6. Selecteer in het linkermenu bij Instellingen de optie Eigenschappen.
7. Selecteer onder Wachtwoordconfiguratiede optie Geforceerd opnieuw instellen van het wachtwoord.
8. Selecteer Opslaan.

De gebruikersstroom testen

1. Meld u als gebruikersbeheerder of wachtwoordbeheerder aan bij Azure Portal . Zie Beheerdersrollen toewijzen in Microsoft Entra ID voor meer informatie over de beschikbare rollen.
2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het hoofdmenu om over te schakelen naar uw Azure AD B2C-tenant vanuit het menu Mappen + abonnementen.
3. Zoek en selecteer Azure AD B2C in de Azure-portal.
4. Selecteer Gebruikers. Zoek en selecteer de gebruiker die u gaat gebruiken om het opnieuw instellen van het wachtwoord te testen en selecteer vervolgens Wachtwoord opnieuw instellen.
5. Zoek en selecteer Azure AD B2C in de Azure-portal.
6. Selecteer gebruikersstromen.
7. Selecteer een gebruikersstroom voor registreren of aanmelden (van het type Aanbevolen) die u wilt testen.
8. Selecteer Gebruikersstroom uitvoeren.
9. Selecteer voor Toepassing de webtoepassing met de naam webapp1 die u eerder hebt geregistreerd. De antwoord-URL moet https://jwt.ms weergeven.
10. Selecteer Gebruikersstroom uitvoeren.
11. Meld u aan met het gebruikersaccount waarvoor u het wachtwoord opnieuw instelt.
12. U moet nu het wachtwoord voor de gebruiker wijzigen. Wijzig het wachtwoord en selecteer Doorgaan. Het token wordt geretourneerd naar https://jwt.ms en wordt aan u weergegeven.

Uw aangepaste beleid configureren

Bekijk het voorbeeld van het beleid voor het geforceerd opnieuw instellen van wachtwoorden op GitHub. Vervang in elk bestand de tekenreeks yourtenant door de naam van uw Azure AD B2C-tenant. Als de naam van uw B2C-tenant bijvoorbeeld contosob2c is, worden alle exemplaren van yourtenant.onmicrosoft.com omgezet naar contosob2c.onmicrosoft.com.

Het beleid uploaden en testen

1. Meld u aan bij het Azure-portaal.
2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het hoofdmenu om over te schakelen naar uw Azure AD B2C-tenant vanuit het menu Mappen + abonnementen.
3. Kies Alle services in de linkerbovenhoek van de Azure Portal en zoek naar en selecteer Azure AD B2C.
4. Kies Identity Experience Framework.
5. In Aangepast beleid, selecteer Beleid uploaden.
6. Selecteer TrustFrameworkExtensionsCustomForcePasswordReset.xml -bestand.
7. Klik op Uploaden.
8. Herhaal stap 6 tot en met 8 voor het relying party-bestand TrustFrameworkExtensionsCustomForcePasswordReset.xml.

Het beleid uitvoeren

1. Open het beleid dat u hebt geüpload B2C_1A_TrustFrameworkExtensions_custom_ForcePasswordReset.
2. Selecteer voor Toepassing de toepassing die u eerder hebt geregistreerd. Als u het token wilt zien, moet de antwoord-URL worden weergegeven https://jwt.ms.
3. Selecteer Nu uitvoeren.
4. Meld u aan met het gebruikersaccount waarvoor u het wachtwoord opnieuw instelt.
5. U moet nu het wachtwoord voor de gebruiker wijzigen. Wijzig het wachtwoord en selecteer Doorgaan. Het token wordt geretourneerd naar https://jwt.ms en wordt aan u weergegeven.

Wachtwoordherstel afdwingen bij volgende aanmelding

Als u wilt afdwingen dat het wachtwoord bij de volgende aanmelding wordt gereset, werkt u het wachtwoordprofiel van het account bij met behulp van MS Graph bewerking van gebruiker bijwerken. Hiervoor moet u uw Microsoft Graph-toepassing de rol Gebruikerbeheerder toewijzen. Volg de stappen in Gebruikersbeheerderrol verlenen om een gebruikersbeheerderrol toe te wijzen aan uw Microsoft Graph-toepassing.

In het volgende voorbeeld wordt het kenmerk forceChangePasswordNextSignIn van het wachtwoordprofiel bijgewerkt, truewaardoor de gebruiker het wachtwoord opnieuw moet instellen bij de volgende aanmelding.

PATCH https://graph.microsoft.com/v1.0/users/<user-object-ID>
Content-type: application/json

{
    "passwordProfile": {
      "forceChangePasswordNextSignIn": true
    }
}

Zodra het accountwachtwoordprofiel is ingesteld, moet u ook het proces voor het opnieuw instellen van wachtwoorden configureren, volgens dit artikel.

Het resetten van een wachtwoord na 90 dagen afdwingen

Als beheerder kunt u de vervaldatum van het wachtwoord van een gebruiker instellen op 90 dagen, via MS Graph. Na 90 dagen wordt de waarde van het kenmerk forceChangePasswordNextSignIn automatisch ingesteld op true. Als u de wachtwoordherstel na 90 dagen wilt afdwingen, verwijdert u de DisablePasswordExpiration waarde uit het profielbeleidskenmerk Wachtwoord van de gebruiker.

In het volgende voorbeeld wordt het wachtwoordbeleid bijgewerkt naar None, waardoor het wachtwoord na 90 dagen opnieuw wordt ingesteld:

PATCH https://graph.microsoft.com/v1.0/users/<user-object-ID>
Content-type: application/json

{
  "passwordPolicies": "None"
}

Als u de sterke wachtwoordcomplexiteit hebt uitgeschakeld, werkt u het wachtwoordbeleid bij naar DisableStrongPassword:

Opmerking

Nadat de gebruiker het wachtwoord opnieuw heeft ingesteld, wordt de passwordPolicies weer gewijzigd in DisablePasswordExpiration

PATCH https://graph.microsoft.com/v1.0/users/<user-object-ID>
Content-type: application/json

{
  "passwordPolicies": "DisableStrongPassword"
}

Zodra een wachtwoordverloopbeleid is ingesteld, moet u ook de stroom voor het opnieuw instellen van wachtwoorden configureren, zoals beschreven in dit artikel.

Periode voor wachtwoordverloop

Het wachtwoord is standaard ingesteld om niet te verlopen. De waarde kan echter worden geconfigureerd met behulp van de cmdlet Update-MgDomain uit de Microsoft Graph PowerShell-module. Met deze opdracht wordt de tenant bijgewerkt, zodat de wachtwoorden van alle gebruikers na een aantal dagen verlopen die u configureert. Voorbeeld:

Import-Module Microsoft.Graph.Identity.DirectoryManagement

Connect-MgGraph  -Scopes 'Domain.ReadWrite.All'

$domainId = "contoso.com"
$params = @{
	passwordValidityPeriodInDays = 90
}

Update-MgDomain -DomainId $domainId -BodyParameter $params

• passwordValidityPeriodInDays is de tijdsduur in dagen dat een wachtwoord geldig blijft voordat het moet worden gewijzigd.

Verwante inhoud

Stel een selfservice voor wachtwoordherstel in.