Tutorial: Ermöglichen der Kontoentsperrung oder Kennwortzurücksetzung für Benutzer*innen mithilfe der Self-Service-Kennwortzurücksetzung von Microsoft Entra

Mit der Self-Service-Kennwortzurücksetzung (SSPR) von Microsoft Entra können Benutzer*innen ihr Kennwort ohne Beteiligung von Administrator*innen oder des Helpdesks ändern oder zurücksetzen. Wenn das Konto von Benutzer*innen durch Microsoft Entra ID gesperrt wird oder die Benutzer*innen ihr Kennwort vergessen haben, können sie die Schritte zum Entsperren ausführen und anschließend weiterarbeiten. Dies führt zu weniger Anrufen beim Helpdesk und Produktivitätsverlusten, wenn sich ein Benutzer nicht an seinem Gerät oder einer Anwendung anmelden kann. Sehen Sie sich dieses Video zum Aktivieren und Konfigurieren der Self-Service-Kennwortzurücksetzung in Microsoft Entra ID an. Außerdem bieten wir ein Video für IT-Administratoren zum Beheben der sechs häufigsten Fehlermeldungen für Endbenutzer mit SSPR.

Wichtig

In diesem Tutorial erfahren Sie, wie ein Administrator die Self-Service-Kennwortzurücksetzung aktivieren kann. Wenn Sie bereits als Endbenutzer für die Self-Service-Kennwortzurücksetzung registriert sind und den Zugriff auf Ihr Konto verloren haben, navigieren Sie zur Seite Microsoft Online-Kennwortzurücksetzung.

Wenn Ihr IT-Team die Möglichkeit zum Zurücksetzen Ihres eigenen Kennworts nicht aktiviert hat, wenden Sie sich an den Helpdesk, um weitere Unterstützung zu erhalten.

In diesem Tutorial lernen Sie Folgendes:

  • Aktivieren der Self-Service-Kennwortzurücksetzung für eine Gruppe von Microsoft Entra-Benutzer*innen
  • Einrichten von Authentifizierungsmethoden und Registrierungsoptionen
  • Testen des SSPR-Prozesses als Benutzer

Wichtig

Im März 2023 haben wir angekündigt, dass die Verwaltung von Authentifizierungsmethoden in den Richtlinien für die Legacy-Multi-Faktor-Authentifizierung und die Self-Service-Kennwortzurücksetzung (SSPR) eingestellt wird. Ab dem 30. September 2024 können keine Authentifizierungsmethoden mehr in diesen Legacy-Richtlinien für MFA und SSPR verwaltet werden. Wir empfehlen Kunden, die manuelle Migrationssteuerung zu verwenden, um bis zum Einstellungsdatum zur Richtlinie für Authentifizierungsmethoden zu migrieren.

Videotutorial

Sehen Sie sich das Video zum Aktivieren und Konfigurieren der Self-Service-Kennwortzurücksetzung in Microsoft Entra ID an, um die Schritte nachvollziehen zu können.

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:

  • Funktionierender Microsoft Entra-Mandant mit mindestens einer aktivierten Free-Lizenz oder einer Testlizenz für Microsoft Entra ID. Im Free-Tarif funktioniert die Self-Service-Kennwortzurücksetzung nur für Cloudbenutzer*innen in Microsoft Entra ID. Die Kennwortänderung wird im Free-Tarif unterstützt, die Kennwortzurücksetzung jedoch nicht.
    • Für spätere Tutorials in dieser Reihe ist eine P1-Lizenz oder eine Testlizenz von Microsoft Entra ID für das lokale Kennwortrückschreiben erforderlich.
    • Erstellen Sie bei Bedarf ein kostenloses Azure-Konto.
  • Ein Konto mit globaler Administrator- oder Authentifizierungsrichtlinienadministrator-Berechtigungen.
  • Ein Benutzer ohne Administratorrechte mit einem Ihnen bekannten Kennwort, etwa testuser. In diesem Tutorial testen Sie SSPR für Endbenutzer mit diesem Konto.
  • Eine Gruppe, in der der Benutzer ohne Administratorrechte Mitglied ist, z. B. SSPR-Test-Group. In diesem Tutorial aktivieren Sie SSPR für diese Gruppe.

Aktivieren der Self-Service-Kennwortzurücksetzung

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Microsoft Entra ID ermöglicht die Aktivierung der Self-Service-Kennwortzurücksetzung für keine, ausgewählte oder alle Benutzer*innen. Dank dieser differenzierten Auswahloptionen können Sie eine Teilmenge von Benutzern zum Testen des SSPR-Registrierungsprozesses und -Workflows auswählen. Wenn Sie mit dem Prozess vertraut sind und der Zeitpunkt gekommen ist, die Anforderungen einer größeren Gruppe von Benutzern mitzuteilen, können Sie eine Benutzergruppe für die Aktivierung von SSPR auswählen. Alternativ können Sie die Self-Service-Kennwortzurücksetzung für alle Benutzer*innen im Microsoft Entra ID-Mandanten aktivieren.

Hinweis

Derzeit können Sie über das Microsoft Entra Admin Center nur eine Microsoft Entra-Gruppe für die Self-Service-Kennwortzurücksetzung aktivieren. Im Rahmen einer umfassenderen Bereitstellung der Self-Service-Kennwortzurücksetzung unterstützt Microsoft Entra ID geschachtelte Gruppen.

In diesem Tutorial richten Sie SSPR für eine Gruppe von Benutzern in einer Testgruppe ein. Verwenden Sie SSPR-Test-Group, und geben Sie bei Bedarf Ihre eigene Microsoft Entra-Gruppe an:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

  2. Navigieren Sie im Menü auf der linken Seite zuSchutz>Kennwortzurücksetzung.

  3. Wählen Sie auf der Seite Eigenschaften unter Self-Service-Kennwortzurücksetzung aktiviert die Option Aktiviert aus.

  4. Wenn Ihre Gruppe nicht angezeigt wird, wählen Sie Keine Gruppen ausgewählt aus, suchen Sie nach Ihrer Microsoft Entra-Gruppe (z. B. SSPR-Test-Group), und klicken Sie dann auf Auswählen.

    Select a group to enable for self-service password reset

  5. Wählen Sie zum Aktivieren von SSPR für die ausgewählten Benutzer Speichern aus.

Auswählen von Authentifizierungsmethoden und Registrierungsoptionen

Wenn Benutzer ihr Konto entsperren oder das Kennwort zurücksetzen müssen, werden sie zur Verwendung einer weiteren Bestätigungsmethode aufgefordert. Durch diesen zusätzlichen Authentifizierungsfaktor wird sichergestellt, dass Microsoft Entra ID nur genehmigte SSPR-Ereignisse abgeschlossen hat. Basierend auf den vom Benutzer bereitgestellten Registrierungsinformationen können Sie auswählen, welche Authentifizierungsmethoden zugelassen werden sollen.

  1. Legen Sie auf der Seite Authentifizierungsmethoden im linken Menü die Option Anzahl von Methoden, die zurückgesetzt werden müssen auf 2 fest.

    Zur Verbesserung der Sicherheit können Sie die Anzahl der für SSPR erforderlichen Authentifizierungsmethoden erhöhen.

  2. Legen Sie unter Für Benutzer verfügbare Methoden fest, welche Methoden Ihre Organisation zulassen möchte. Aktivieren Sie für dieses Tutorial die Kontrollkästchen, um die folgenden Methoden zu aktivieren:

    • Benachrichtigung über eine mobile App
    • Code der mobilen App
    • E-Mail
    • Mobiltelefon

    Sie können je nach Ihren geschäftlichen Anforderungen zusätzliche Authentifizierungsmethoden, z. B. Bürotelefon oder Sicherheitsfragen, aktivieren.

  3. Wählen Sie zum Anwenden der Authentifizierungsmethoden Speichern aus.

Bevor Benutzer ihr Konto entsperren oder das Kennwort ändern können, müssen sie ihre Kontaktinformationen registrieren. Diese Kontaktinformationen werden von Microsoft Entra ID für die verschiedenen Authentifizierungsmethoden verwendet, die in den vorherigen Schritten eingerichtet wurden.

Ein Administrator kann diese Kontaktinformationen manuell angeben, oder Benutzer können die Informationen selbst in einem Registrierungsportal eingeben. In diesem Tutorial richten Sie Microsoft Entra ID so ein, dass die Benutzer*innen bei der nächsten Anmeldung zur Registrierung aufgefordert werden.

  1. Wählen Sie auf der Seite Registrierung im linken Menü für Registrierung von Benutzern bei der Anmeldung verlangen? die Option Ja aus.

  2. Legen Sie Anzahl der Tage, bevor Benutzer aufgefordert werden, ihre Authentifizierungsinformationen erneut zu bestätigen auf 180 fest.

    Es ist wichtig, dass die Kontaktinformationen auf dem neuesten Stand gehalten werden. Wenn beim Starten eines SSPR-Ereignisses veraltete Kontaktinformationen vorhanden sind, kann der Benutzer unter Umständen sein Konto nicht entsperren oder das Kennwort nicht zurücksetzen.

  3. Wählen Sie zum Übernehmen der Registrierungseinstellungen Speichern aus.

Hinweis

Die Unterbrechung der Aufforderung zur Registrierung von Kontaktinformationen während der Anmeldung tritt nur auf, wenn die in den Einstellungen konfigurierten Bedingungen erfüllt sind, und gilt nur für Benutzer*innen und Administratorkonten, für die das Zurücksetzen von Kennwörtern mit der Self-Service-Kennwortrücksetzung von Microsoft Entra aktiviert ist.

Einrichten von Benachrichtigungen und Anpassungen

Um Benutzer*innen über die Kontoaktivität auf dem Laufenden zu halten, können Sie Microsoft Entra ID so einrichten, dass im Falle eines SSPR-Ereignisses E-Mail-Benachrichtigungen gesendet werden. Diese Benachrichtigungen können sowohl für reguläre Benutzerkonten als auch für Administratorkonten eingerichtet werden. Für Administratorkonten bieten diese Benachrichtigungen eine zusätzliche Information, wenn das Kennwort eines privilegierten Administratorkontos per SSPR zurückgesetzt wird. Microsoft Entra ID benachrichtigt alle globalen Administrator*innen, wenn die Self-Service-Kennwortzurücksetzung für ein Administratorkonto verwendet wird.

  1. Richten Sie auf der Seite Benachrichtigungen im linken Menü die folgenden Optionen ein:

    • Legen Sie Benutzer über Kennwortzurücksetzungen benachrichtigen? auf Ja fest.
    • Legen Sie Sollen alle Administratoren benachrichtigt werden, wenn andere Administratoren ihr Kennwort zurücksetzen? auf Ja fest.
  2. Wählen Sie zum Übernehmen der Benachrichtigungseinstellungen Speichern aus.

Wenn Benutzer zusätzliche Hilfe beim SSPR-Prozess benötigen, können Sie den Link „Wenden Sie sich an Ihren Administrator.“ anpassen. Der Benutzer kann diesen Link im SSPR-Registrierungsprozess und beim Entsperren des Kontos oder beim Zurücksetzen des Kennworts auswählen. Um sicherzustellen, dass Ihre Benutzer die erforderliche Unterstützung erhalten, wird empfohlen, eine benutzerdefinierte Helpdesk-E-Mail-Adresse oder -URL bereitzustellen.

  1. Legen Sie auf der Seite Anpassung im linken Menü die Option Benutzerdefinierter Helpdesklink auf Ja fest.
  2. Geben Sie im Feld Benutzerdefinierte Helpdesk-E-Mail oder -URL eine E-Mail-Adresse oder eine Webseiten-URL an, unter der Ihre Benutzer weitere Hilfe von Ihrer Organisation erhalten können, z. B. https://support.contoso.com/
  3. Wählen Sie zum Übernehmen des benutzerdefinierten Links Speichern aus.

Testen der Self-Service-Kennwortzurücksetzung

Wenn SSPR aktiviert und eingerichtet ist, testen Sie den SSPR-Prozess mit einem Benutzer aus der Gruppe, die Sie im vorherigen Abschnitt ausgewählt haben, etwa Test-SSPR-Group. Im folgenden Beispiel wird das Konto testuser verwendet. Geben Sie Ihr eigenes Benutzerkonto an. Es ist Teil der Gruppe, für die Sie im ersten Abschnitt dieses Tutorials SSPR aktiviert haben.

Hinweis

Wenn Sie die Self-Service-Kennwortzurücksetzung testen, verwenden Sie ein Konto ohne Administratorrechte. Standardmäßig aktiviert Microsoft Entra ID die Self-Service-Kennwortzurücksetzung für Administrator*innen. Administratoren müssen zum Zurücksetzen ihres Kennworts zwei Authentifizierungsverfahren verwenden. Weitere Informationen finden Sie unter Unterschiede zu Richtlinien zum Zurücksetzen von Administratorkennwörtern.

  1. Wenn Sie den manuellen Registrierungsvorgang anzeigen möchten, öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognitomodus, und navigieren Sie zu https://aka.ms/ssprsetup. Microsoft Entra ID leitet Benutzer*innen bei der nächsten Anmeldung zu diesem Registrierungsportal weiter.

  2. Melden Sie sich als Testbenutzer ohne Administratorrechte (z. B. testuser) an, und registrieren Sie Ihre Kontaktinformationen für die Authentifizierungsmethoden.

  3. Wählen Sie abschließend die Schaltfläche Sieht gut aus aus, und schließen Sie das Browserfenster.

  4. Öffnen Sie ein neues Browserfenster im InPrivate- oder Inkognito-Modus und navigieren Sie zu https://aka.ms/sspr.

  5. Geben Sie die Kontoinformationen des Testbenutzers ohne Administratorrechte, z. B. testuser, und die CAPTCHA-Zeichen ein, und wählen Sie anschließend Weiter aus.

    Enter user account information to reset the password

  6. Führen Sie die Schritte für die Verifizierung aus, um Ihr Kennwort zurückzusetzen. Wenn Sie fertig sind, erhalten Sie eine E-Mail-Benachrichtigung, dass Ihr Kennwort zurückgesetzt wurde.

Bereinigen von Ressourcen

In einem späteren Tutorial dieser Reihe richten Sie das Kennwortrückschreiben ein. Dieses Feature schreibt Kennwortänderungen über die Self-Service-Kennwortzurücksetzung von Microsoft Entra zurück in eine lokale AD-Umgebung. Wenn Sie mit dieser Tutorialreihe zum Einrichten des Kennwortrückschreibens fortfahren möchten, deaktivieren Sie SSPR jetzt nicht.

Wenn Sie die im Rahmen dieses Tutorials eingerichtete SSPR-Funktionalität nicht mehr nutzen möchten, legen Sie wie folgt den Status für SSPR auf Keine fest:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
  2. Navigieren Sie zuSchutz>Kennwortzurücksetzung.
  3. Wählen Sie auf der Seite Eigenschaften unter Self-Service-Kennwortzurücksetzung aktiviert die Option Keine aus.
  4. Wählen Sie zum Übernehmen der SSPR-Änderung Speichern aus.

Häufig gestellte Fragen

In diesem Abschnitt werden häufig gestellte Fragen von Administratoren und Endbenutzern erläutert, die SSPR testen:

  • Warum werden während der Self-Service-Kennwortzurücksetzung (SSPR) keine lokalen Kennwortrichtlinien angezeigt?

    Derzeit unterstützen Microsoft Entra Connect und die Cloudsynchronisierung die Freigabe von Kennwortrichtliniendetails in der Cloud nicht. Bei der Self-Service-Kennwortzurücksetzung werden deshalb nur Details von Cloudkennwortrichtlinien angezeigt, aber nicht zu lokalen Richtlinien.

  • Warum müssen Verbundbenutzer nach der Anzeige von Das Kennwort wurde zurückgesetzt. bis zu zwei Minuten warten, bevor sie lokal synchronisierte Kennwörter verwenden können?

    Für Verbundbenutzer, deren Kennwörter synchronisiert werden, ist die Autoritätsquelle für die Kennwörter lokal. Daher aktualisiert SSPR nur die lokalen Kennwörter. Die Kennwort-Hashsynchronisierung zurück an Microsoft Entra ID ist alle zwei Minuten geplant.

  • Wenn ein neu erstellter Benutzer, der mit SSPR-Daten wie Telefon und E-Mail vorausgefüllt ist, die SSPR-Registrierungsseite besucht, erscheint Verliere nicht den Zugang zu deinem Konto! als Titel der Seite. Warum wird die Meldung anderen Benutzern, für die vorab SSPR-Daten aufgefüllt wurden, nicht angezeigt?

    Ein Benutzer, der Verliere nicht den Zugang zu deinem Konto! sieht, ist ein Mitglied von SSPR/kombinierten Registrierungsgruppen, die für den Mandanten konfiguriert sind. Benutzer, die nicht Verliere nicht den Zugang zu deinem Konto! sehen, waren nicht Teil der SSPR/kombinierten Registrierungsgruppen.

  • Warum wird einigen Benutzern, die den SSPR-Prozess durchlaufen und ihr Kennwort zurücksetzen, nicht der Indikator für die Kennwortsicherheit angezeigt?

    Benutzer, denen keine Informationen zur Kennwortsicherheit angezeigt werden, haben das synchronisierte Kennwortrückschreiben aktiviert. Da SSPR die Kennwortrichtlinie der lokalen Umgebung des Kunden nicht ermitteln kann, kann die Kennwortsicherheit nicht überprüft werden.

Nächste Schritte

In diesem Tutorial haben Sie die Self-Service-Kennwortzurücksetzung von Microsoft Entra für eine ausgewählte Gruppe von Benutzer*innen aktiviert. Sie haben Folgendes gelernt:

  • Aktivieren der Self-Service-Kennwortzurücksetzung für eine Gruppe von Microsoft Entra-Benutzer*innen
  • Einrichten von Authentifizierungsmethoden und Registrierungsoptionen
  • Testen des SSPR-Prozesses als Benutzer