Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Das Zurücksetzen von Self-Service-Kennwörtern mit Cloud-Synchronisierung wird in Microsoft Azure, das von 21Vianet betrieben wird, nicht unterstützt. Stattdessen können Administratoren SSPR-Rückschreiben mit Microsoft Entra Connect-Synchronisierung bereitstellen.
Microsoft Entra Cloud-Synchronisierung kann Microsoft-Entra-Kennwortänderungen in Echtzeit zwischen Nutzern lokal getrennter Active Directory Domain Services (AD DS)-Domänen synchronisieren. Microsoft Entra Cloudsynchronisierung kann parallel mit Microsoft Entra Connect auf Domänenebene ausgeführt werden, um das Kennwortrückschreiben für zusätzliche Szenarien zu vereinfachen, z. B. Benutzer, die sich aufgrund einer Unterbrechung oder Zusammenführung eines Unternehmens in getrennten Domänen befinden. Sie können jeden Dienst in unterschiedlichen Domänen so konfigurieren, dass je nach Bedarf verschiedene Benutzergruppen als Ziel festgelegt werden. Microsoft Entra Cloud-Synchronisierung verwendet den leichgewichtigen Microsoft Entra Cloudbereitstellungs-Agent, um das Einrichten der Self-Service-Passwortzurücksetzung (SSPR) zu vereinfachen und eine sichere Möglichkeit bereitzustellen, Kennwortänderungen in der Cloud an ein lokales Verzeichnis zurückzusenden.
Voraussetzungen
- Ein Microsoft Entra Mandant mit mindestens einer aktivierten Microsoft Entra ID P1-Lizenz oder Testlizenz. Erstellen Sie bei Bedarf kostenlos eins.
- Ein Hybrididentitätsadministratorkonto
- Microsoft Entra ID für die Self-Service-Kennwortzurücksetzung konfiguriert. Führen Sie bei Bedarf dieses Tutorial aus, um Microsoft Entra SSPR zu aktivieren.
- Eine lokale AD DS-Umgebung, die mit Microsoft Entra Cloud-Synchronisierungsversion 1.1.977.0 oder höher konfiguriert ist. Erfahren Sie, wie Sie die aktuelle Version des Agents identifizieren.
Bereitstellungsschritte
- Konfigurieren der Berechtigungen des Microsoft Entra Cloud-Synchronisierungsdienstkontos
- Aktivieren Sie die Kennwortzurückschreibung in der Microsoft Entra Connect-Cloud-Synchronisierung
- Aktivieren des Kennwortrückschreibens für SSPR
Konfigurieren Microsoft Entra Cloudsynchronisierungsdienstkontoberechtigungen
Berechtigungen für die Cloudsynchronisierung sind standardmäßig konfiguriert. Wenn Berechtigungen zurückgesetzt werden müssen, lesen Sie die Problembehandlung für weitere Details zu den spezifischen Berechtigungen, die für das Kennwortrückschreiben erforderlich sind, und wie Sie diese mithilfe von PowerShell festlegen.
Aktivieren des Kennwortrückschreibens in SSPR
Sie können die Microsoft Entra Connect Cloudsynchronisierung direkt im Microsoft Entra Admin Center oder über PowerShell aktivieren.
Aktivieren des Kennwortrückschreibens im Microsoft Entra Admin Center
Wenn die Kennwortrückschreibung in Microsoft Entra Connect Cloud-Synchronisierung aktiviert ist, überprüfen und konfigurieren Sie jetzt die Microsoft Entra Selbstbedienungs-Kennwortzurücksetzung (SSPR) für die Kennwortrückschreibung. Wenn Sie SSPR für die Nutzung des Kennwortrückschreibens aktivieren, wird für Benutzer, die ihr Kennwort ändern oder zurücksetzen, dieses aktualisierte Kennwort ebenfalls wieder mit der lokalen AD DS-Umgebung synchronisiert.
Führen Sie zum Überprüfen und Aktivieren des Kennwortrückschreibens in SSPR die folgenden Schritte aus:
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybrid Identity Administrator an.
Navigieren Sie zu Entra ID>Kennwortzurücksetzung, und wählen Sie dann die lokale Integration aus.
Aktivieren Sie die Option zum Aktivieren des Kennwortrückschreibens für synchronisierte Benutzer.
(optional) Wenn Microsoft Entra Connect-Bereitstellungs-Agents festgestellt werden, können Sie zusätzlich die Option auswählen, um Passwörter mit Microsoft Entra Connect-Cloud-Synchronisierung zurückschreiben zu überprüfen.
Aktivieren Sie die Option , damit Benutzer Konten entsperren können, ohne ihr Kennwort auf "Ja" zurückzusetzen.
Wenn Sie fertig sind, wählen Sie "Speichern" aus.
PowerShell
Mit PowerShell können Sie die Microsoft Entra Connect-Cloudsynchronisierung aktivieren, indem Sie das Cmdlet Set-AADCloudSyncPasswordWritebackConfiguration auf den Servern mit den Bereitstellungs-Agents verwenden.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Bereinigen von Ressourcen
Wenn Sie die SSPR-Schreibfunktionalität, die Sie im Rahmen dieses Lernprogramms konfiguriert haben, nicht mehr verwenden möchten, führen Sie die folgenden Schritte aus:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybrid Identity Administrator an.
- Navigieren Sie zu Entra ID>Kennwortzurücksetzung, und wählen Sie dann die lokale Integration aus.
- Deaktivieren Sie die Option zum Aktivieren des Kennwortrückschreibens für synchronisierte Benutzer.
- Deaktivieren Sie die Option für Passwörter mit Microsoft Entra Connect Cloud-Synchronisierung zurückschreiben.
- Deaktivieren Sie die Option , mit der Benutzer Konten entsperren können, ohne ihr Kennwort zurückzusetzen.
- Wenn Sie fertig sind, wählen Sie "Speichern" aus.
Wenn Sie die Microsoft Entra Connect Cloud Sync für die SSPR-Rückschreibfunktionalität nicht mehr verwenden möchten, aber den Microsoft Entra Connect Sync-Agent für Rückschreibungen weiterhin verwenden möchten, führen Sie die folgenden Schritte aus:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybrid Identity Administrator an.
- Navigieren Sie zu Entra ID>Kennwortzurücksetzung, und wählen Sie dann die lokale Integration aus.
- Deaktivieren Sie die Option Passwörter zurückschreiben mit der Microsoft Entra Connect-Cloud-Synchronisation.
- Wenn Sie fertig sind, wählen Sie "Speichern" aus.
Sie können auch PowerShell verwenden, um die Microsoft Entra Connect-Cloudsynchronisierung für die SSPR-Kennwortrückschreibe-Funktionen zu deaktivieren. Führen Sie Set-AADCloudSyncPasswordWritebackConfiguration von Ihrem Microsoft Entra Connect-Cloudsynchronisierungsserver mit den Anmeldeinformationen des Hybrididentitätsadministrators aus, um das Kennwortrückschreiben mit Microsoft Entra Connect-Cloudsynchronisierung zu deaktivieren.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Unterstützte Operationen
Kennwörter werden in den folgenden Situationen für Endbenutzer und Administratoren zurückgeschrieben.
| Konto | Unterstützte Operationen |
|---|---|
| Endbenutzer | Jegliche freiwillige Self-Service-Kennwortänderung durch einen Endbenutzer Jegliche erzwungene Self-Service-Kennwortänderung durch einen Endbenutzer, beispielsweise bei Ablauf des Kennworts Jegliche Selbstverwaltungskennwortzurücksetzung durch Endbenutzer*innen, die von der Kennwortzurücksetzung ausgeht. |
| Administratoren | Jegliche freiwillige Self-Service-Kennwortänderung durch einen Administrator Jegliche erzwungene Self-Service-Kennwortänderung durch einen Administrator, beispielsweise bei Ablauf des Kennworts Jede Self-Service-Kennwortrücksetzung, die von einem Administrator über die Option zur Kennwortzurücksetzung initiiert wird. Jede vom Administrator initiierte Endbenutzerkennwortzurücksetzung aus dem Microsoft Entra Verwaltungszentrum. Alle vom Administrator initiierten Rücksetzungen des Endbenutzerkennworts über die Microsoft Graph API. |
Nicht unterstützte Vorgänge
Kennwörter werden in folgenden Situationen nicht zurückgeschrieben:
| Konto | Nicht unterstützte Vorgänge |
|---|---|
| Endbenutzer | Jeder Endbenutzer setzt sein eigenes Kennwort mithilfe von PowerShell-Cmdlets oder dem Microsoft Graph API zurück. |
| Administratoren | Jede vom Administrator ausgelöste Kennwortzurücksetzung für Endbenutzer über ein PowerShell-Cmdlet Alle vom Administrator initiierten Endbenutzerkennwortzurücksetzungen aus dem Microsoft 365 Admin Center. Kein Administrator kann das Kennwortzurücksetzungstool verwenden, um weder ihr eigenes noch das Kennwort eines anderen Administrators in Microsoft Entra ID für die Kennwortzurückschreibung zurückzusetzen. |
Validierungsszenarios
Nutzen Sie die folgenden Verfahren, um Szenarien mit Kennwortrückschreibung zu prüfen. Alle Validierungsszenarien erfordern, dass die Cloudsynchronisierung installiert ist und der Benutzer sich im Geltungsbereich für das Kennwortrückschreiben befindet.
| Szenario | Einzelheiten |
|---|---|
| Zurücksetzen des Kennworts auf der Anmeldeseite | Zwei Benutzer aus nicht verbundenen Domänen und Gesamtstrukturen sollen eine SSPR durchführen. Sie könnten auch Microsoft Entra Connect und die Cloudsynchronisierung nebeneinander bereitgestellt haben und einen Benutzer im Bereich der Cloudsynchronisierungskonfiguration und einen anderen im Bereich von Microsoft Entra Connect haben und diese Benutzer ihr Kennwort zurücksetzen lassen. |
| Erzwingen der Änderung abgelaufener Kennwörter | Lassen Sie zwei Benutzer aus nicht verbundenen Domänen und Gesamtstrukturen ihre abgelaufenen Kennwörter ändern. Sie könnten auch Microsoft Entra Connect und die Cloudsynchronisierung nebeneinander bereitgestellt haben und einen Benutzer im Bereich der Cloudsynchronisierungskonfiguration und einen anderen im Bereich von Microsoft Entra Connect verwenden. |
| Reguläre Kennwortänderung | Lassen Sie zwei Benutzer aus nicht verbundenen Domänen und Gesamtstrukturen eine routinemäßige Kennwortänderung durchführen. Sie könnten auch Microsoft Entra Connect und Cloudsynchronisierung parallel einsetzen und einen Benutzer im Umfang der Cloudsynchronisierungskonfiguration und einen anderen im Umfang von Microsoft Entra Connect haben. |
| Administratorzurücksetzung des Benutzerkennworts | Lassen Sie zwei Benutzer, deren Domänen und Forststrukturen getrennt sind, ihr Kennwort im Microsoft Entra Admin Center oder im Frontline-Arbeitsportal zurücksetzen. Sie könnten auch Microsoft Entra Connect neben der Cloudsynchronisation verwenden und einen Benutzer im Geltungsbereich der Cloudsynchronisierungskonfiguration und einen anderen im Geltungsbereich von Microsoft Entra Connect haben. |
| Self-Service-Kontoentsperrung | Lassen Sie zwei Benutzer aus nicht verbundenen Domänen und Gesamtstrukturen Konten im SSPR-Portal entsperren, um das Kennwort zurückzusetzen. Sie könnten auch Microsoft Entra Connect und Cloud Sync parallel betreiben und einen Benutzer im Bereich der Cloud Sync-Konfiguration und einen anderen im Bereich von Microsoft Entra Connect haben. |
Problembehandlung
Das verwaltete Dienstkonto für die Microsoft Entra Connect-Cloudsynchronisierungsgruppe sollte über die folgenden Berechtigungen verfügen, um die Kennwörter standardmäßig zurückzugeben:
- Kennwort zurücksetzen
- Schreibberechtigungen für „lockoutTime“
- Schreibberechtigungen für „pwdLastSet“
- Erweiterte Rechte für „Abgelaufenes Kennwort wiederherstellen“ für das Stammobjekt jeder Domäne in dieser Gesamtstruktur, sofern noch nicht festgelegt.
Wenn diese Berechtigungen nicht festgelegt sind, können Sie die PasswordWriteBack-Berechtigung auf dem Dienstkonto festlegen, indem Sie das Cmdlet Set-AADCloudSyncPermissions verwenden und die Anmeldeinformationen eines lokalen Unternehmensadministrators eingeben.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Nachdem Sie die Berechtigungen aktualisiert haben, kann es bis zu einer Stunde dauern, bis diese Berechtigungen auf alle Objekte in Ihrem Verzeichnis repliziert werden.
Wenn Kennwörter für einige Benutzerkonten nicht in das lokale Verzeichnis zurückgeschrieben werden, stellen Sie sicher, dass die Vererbung für das Konto in der lokalen AD DS-Umgebung nicht deaktiviert ist. Schreibberechtigungen für Kennwörter müssen auf Nachfolgerobjekte angewendet werden, damit die Funktion ordnungsgemäß funktioniert.
Kennwortrichtlinien in der lokalen AD DS-Umgebung können verhindern, dass Kennwortzurücksetzungen ordnungsgemäß verarbeitet werden. Wenn Sie dieses Feature testen und das Kennwort für Benutzer mehrmals pro Tag zurücksetzen möchten, muss die Gruppenrichtlinie für das Mindestkennwortalter auf 0 festgelegt sein. Diese Einstellung finden Sie unter Computerkonfiguration > Richtlinien > Windows Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie innerhalb von gpmc.msc.
Warten Sie beim Aktualisieren der Gruppenrichtlinie, bis die aktualisierte Richtlinie repliziert wurde, oder verwenden Sie den Befehl „gpupdate /force“.
Damit Kennwörter sofort geändert werden können, muss für Mindestalter für Kennwörter die Einstellung „0“ festgelegt werden. Wenn Benutzer jedoch den lokalen Richtlinien entsprechen und das Mindestkennwortalter auf einen Wert größer als 0 festgelegt ist, funktioniert das Kennwortrückschreiben nach der Auswertung der lokalen Richtlinien nicht.
Weitere Informationen zum Überprüfen oder Einrichten der entsprechenden Berechtigungen finden Sie unter Configure-Kontoberechtigungen für Microsoft Entra Connect.
Nächste Schritte
- Weitere Informationen zur Cloudsynchronisierung und zum Vergleich zwischen Microsoft Entra Connect und Cloud-Synchronisierung finden Sie unter What is Microsoft Entra Connect cloud sync?
- Ein Tutorial zum Einrichten des Kennwortrückschreibens mithilfe von Microsoft Entra Connect finden Sie unter Tutorial: Aktivieren der Microsoft Entra-Self-Service-Kennwortrücksetzung für eine lokale Umgebung.