Problembehandlung bei der Self-Service-Kennwortzurücksetzung in Microsoft Entra ID
Mit der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) in Microsoft Entra ID können Benutzer ihre Kennwörter in der Cloud zurücksetzen.
Wenn Sie Probleme mit der Self-Service-Kennwortzurücksetzung haben, können Ihnen die folgende Beschreibung häufiger Fehler und die Schritte zur Problembehandlung helfen. Sie können sich auch dieses Kurzvideo zum Lösen der sechs gängigsten SSPR-Fehlermeldungen für Endbenutzer ansehen.
Wenn Sie keine Antwort für Ihr Problem finden, stehen Ihnen unsere Supportteams stets für weitere Unterstützung zur Verfügung.
SSPR-Konfiguration im Microsoft Entra Admin Center
Wenn beim Anzeigen oder Konfigurieren von SSPR-Optionen im Microsoft Entra Admin Center Probleme auftreten, überprüfen Sie die folgenden Schritte zur Problembehandlung:
Im Microsoft Entra Admin Center wird unter Microsoft Entra ID kein Abschnitt für die Kennwortzurücksetzung angezeigt.
Die Menüoption Kennwortzurücksetzung wird nicht angezeigt, wenn dem Administrator, der den Vorgang durchführt, keine Microsoft Entra ID-Lizenz zugewiesen ist.
Um dem fraglichen Administratorkonto eine Lizenz zuzuweisen, führen Sie die unter Zuweisen, Prüfen und Beheben von Problemen mit Lizenzen beschriebenen Schritte aus.
Mir wird eine bestimmte Konfigurationsoption nicht angezeigt.
Viele Benutzeroberflächenelemente werden erst angezeigt, wenn sie benötigt werden. Stellen Sie sicher, dass die Option aktiviert ist, bevor Sie nach den speziellen Konfigurationsoptionen suchen.
Die Registerkarte Lokale Integration wird nicht angezeigt.
Das lokale Kennwortrückschreiben wird nur angezeigt, wenn Sie Microsoft Entra Connect heruntergeladen und das Feature konfiguriert haben.
Weitere Informationen finden Sie unter Erste Schritte mit Microsoft Entra Connect.
SSPR-Berichterstellung
Wenn im Microsoft Entra Admin Center Probleme bei der SSPR-Berichterstellung auftreten, überprüfen Sie die folgenden Schritte zur Problembehandlung:
Mir wird eine Authentifizierungsmethode angezeigt, die ich bei der kombinierten Registrierung in der Option „Methode hinzufügen“ deaktiviert habe.
Bei der kombinierten Registrierung werden drei Richtlinien berücksichtigt, um die unter Methode hinzufügen angezeigten Methoden festzulegen:
Wenn Sie App-Benachrichtigungen in SSPR deaktivieren, aber in der MFA-Richtlinie aktivieren, wird diese Option in der kombinierten Registrierung angezeigt. Ein weiteres Beispiel: Wenn ein Benutzer Telefon (geschäftlich) in SSPR deaktiviert, wird diese Option weiterhin angezeigt, wenn für den Benutzer die Telefoneigenschaft Telefon/Geschäftlich festgelegt ist.
In der Überwachungsereigniskategorie Self-Service-Kennwortverwaltung werden keine Aktivitätstypen für die Kennwortverwaltung angezeigt.
Dieses Problem kann auftreten, wenn dem Administrator, der diesen Vorgang durchführt, keine Microsoft Entra ID-Lizenz zugewiesen ist.
Um dem fraglichen Administratorkonto eine Lizenz zuzuweisen, führen Sie die unter Zuweisen, Prüfen und Beheben von Problemen mit Lizenzen beschriebenen Schritte aus.
Benutzerregistrierungen werden mehrfach angezeigt.
Bei der Benutzerregistrierung wird derzeit jede registrierte Information als separates Ereignis protokolliert.
Wenn Sie diese Daten aggregieren und von flexibleren Darstellungsmöglichkeiten profitieren möchten, können Sie den Bericht herunterladen und die Daten als Pivottabelle in Excel öffnen.
SSPR-Registrierungsportal
Wenn Ihre Benutzer Probleme bei der SSPR-Registrierung haben, überprüfen Sie die folgenden Schritte zur Problembehandlung:
Die Kennwortzurücksetzung ist für das Verzeichnis nicht aktiviert. Dem Benutzer wird möglicherweise ein Fehler angezeigt, der besagt, dass der Administrator die Verwendung dieser Funktion nicht aktiviert hat.
Sie können die Self-Service-Kennwortzurücksetzung für alle Benutzer, für keinen Benutzer oder für ausgewählte Benutzergruppen aktivieren. Über das Microsoft Entra Admin Center kann derzeit nur eine Microsoft Entra-Gruppe für SSPR aktiviert sein. Im Rahmen einer umfassenderen Bereitstellung von SSPR werden geschachtelte Gruppen unterstützt. Stellen Sie sicher, dass den Benutzern in den von Ihnen ausgewählten Gruppen die entsprechenden Lizenzen zugewiesen sind.
Ändern Sie im Microsoft Entra Admin Center die Konfiguration Self-Service-Kennwortzurücksetzung aktiviert in Ausgewählt oder Alle, und wählen Sie dann Speichern aus.
Dem Benutzer ist keine Microsoft Entra ID-Lizenz zugewiesen. Dem Benutzer wird möglicherweise ein Fehler angezeigt, der besagt, dass der Administrator die Verwendung dieser Funktion nicht aktiviert hat.
Über das Microsoft Entra Admin Center kann derzeit nur eine Microsoft Entra-Gruppe für SSPR aktiviert sein. Im Rahmen einer umfassenderen Bereitstellung von SSPR werden geschachtelte Gruppen unterstützt. Stellen Sie sicher, dass den Benutzern in den von Ihnen ausgewählten Gruppen die entsprechenden Lizenzen zugewiesen sind. Überprüfen Sie den vorherigen Schritt zur Problembehandlung, um SSPR nach Bedarf zu aktivieren.
Überprüfen Sie auch die Schritte zur Problembehandlung, um sicherzustellen, dass dem Administrator, der die Konfigurationsoptionen ausführt, eine Lizenz zugewiesen ist. Um dem fraglichen Administratorkonto eine Lizenz zuzuweisen, führen Sie die unter Zuweisen, Prüfen und Beheben von Problemen mit Lizenzen beschriebenen Schritte aus.
Beim Verarbeiten der Anforderung ist ein Fehler aufgetreten.
Generische Fehler bei der SSPR-Registrierung können verschiedene Ursachen haben, werden im Allgemeinen jedoch entweder durch einen Dienstausfall oder einen Konfigurationsfehler verursacht. Wenn dieser generische Fehler nach dem Wiederholen des SSPR-Registrierungsprozesses weiterhin angezeigt wird, wenden Sie sich an den Microsoft-Support, um Unterstützung zu erhalten.
Verwendung der Self-Service-Kennwortzurücksetzung
Wenn Sie oder Ihre Benutzer Probleme bei der Verwendung von SSPR haben, überprüfen Sie die folgenden Problembehandlungsszenarien und Lösungsschritte:
| Fehler | Lösung |
|---|---|
| Die Kennwortzurücksetzung ist für das Verzeichnis nicht aktiviert. | Ändern Sie im Microsoft Entra Admin Center die Konfiguration Self-Service-Kennwortzurücksetzung aktiviert in Ausgewählt oder Alle, und wählen Sie dann Speichern aus. |
| Dem Benutzer ist keine Microsoft Entra ID-Lizenz zugewiesen. | Dieses Problem kann auftreten, wenn Sie dem gewünschten Benutzer keine Microsoft Entra ID-Lizenz zugewiesen haben. Um dem fraglichen Administratorkonto eine Lizenz zuzuweisen, führen Sie die unter Zuweisen, Prüfen und Beheben von Problemen mit Lizenzen beschriebenen Schritte aus. |
| Die Kennwortzurücksetzung ist für das Verzeichnis zwar aktiviert, für den Benutzer wurden jedoch nicht alle oder fehlerhafte Authentifizierungsinformationen konfiguriert. | Stellen Sie sicher, dass für den Benutzer ordnungsgemäß formatierte Kontaktdaten im Verzeichnis vorliegen. Weitere Informationen finden Sie unter Von der Self-Service-Kennwortzurücksetzung in Microsoft Entra verwendete Daten. |
| Die Kennwortzurücksetzung ist für das Verzeichnis zwar aktiviert, für den Benutzer ist jedoch nur ein einzelner Kontaktdatensatz hinterlegt, und die Richtlinie schreibt zwei Überprüfungsmethoden vor. | Stellen Sie sicher, dass für den Benutzer mindestens zwei ordnungsgemäß konfigurierte Kontaktmethoden vorhanden sind, beispielsweise eine Mobiltelefonnummer und eine geschäftliche Telefonnummer. |
| Die Kennwortzurücksetzung ist für das Verzeichnis aktiviert, und der Benutzer ist ordnungsgemäß konfiguriert, kann aber nicht kontaktiert werden. | Dieses Problem kann durch einen vorübergehenden Dienstfehler oder durch falsche Kontaktdaten verursacht werden, die nicht ordnungsgemäß erkannt werden können. Wenn der Benutzer 10 Sekunden wartet, werden der Link „Erneut versuchen“ und der Link „Wenden Sie sich an Ihren Administrator“ angezeigt. Wenn der Benutzer „Erneut versuchen“ auswählt, wird der Aufruf wiederholt. Wenn der Benutzer „Wenden Sie sich an Ihren Administrator“ auswählt, wird eine formale E-Mail an die Administratoren gesendet, um eine Kennwortzurücksetzung für dieses Benutzerkonto anzufordern. |
| Der Benutzer erhält keine SMS oder keinen Telefonanruf für die Kennwortzurücksetzung. | Dieses Problem kann durch eine falsch formatierte Telefonnummer im Verzeichnis verursacht werden. Stellen Sie sicher, dass die Telefonnummer das Format „+1 4251234567“ aufweist. Bei Anrufen zur Kennwortzurücksetzung werden keine Durchwahlnummern unterstützt, selbst wenn diese im Verzeichnis angegeben werden. Die Durchwahlnummern werden vor der Durchführung des Anrufs abgeschnitten. Verwenden Sie eine Nummer ohne Durchwahl, oder integrieren Sie die Durchwahl in Ihrer Nebenstellenanlage in die Telefonnummer. |
| Der Benutzer erhält keine E-Mail für die Kennwortzurücksetzung. | Dieses Problem ist meist darauf zurückzuführen, dass die Nachricht durch einen Spamfilter zurückgewiesen wird. Prüfen Sie Ihren Spam- oder Junk-E-Mail-Ordner oder den Ordner "Gelöschte Elemente" auf die E-Mail. Stellen Sie außerdem sicher, dass der Benutzer überprüft, ob es sich um das richtige, mit SSPR registrierte E-Mail-Konto handelt. |
| Ich habe eine Richtlinie für die Kennwortzurücksetzung eingerichtet, aber wenn ein Administrator die Kennwortzurücksetzung verwendet, wird diese Richtlinie nicht angewendet. | Microsoft verwaltet und kontrolliert die Richtlinie für das Zurücksetzen von Administratorkennwörtern, um höchste Sicherheit zu gewährleisten. |
| Der Benutzer wird daran gehindert, ein Kennwort innerhalb eines Tages zu oft zurückzusetzen. | Mithilfe eines automatischen Drosselungsmechanismus werden Benutzer daran gehindert, ihre Kennwörter innerhalb eines kurzen Zeitraums zu oft zurückzusetzen. Die Drosselung erfolgt in den folgenden Szenarien:
|
| Der Benutzer erhält bei der Überprüfung seiner Telefonnummer eine Fehlermeldung. | Dieser Fehler tritt auf, wenn die eingegebene Telefonnummer nicht mit der registrierten Telefonnummer übereinstimmt. Stellen Sie sicher, dass der Benutzer beim Versuch, eine Telefonnummer für die Kennwortzurücksetzung zu verwenden, die vollständige Telefonnummer eingibt – einschließlich Landes- und Ortsvorwahl. |
| Bei Verwendung der E-Mail-Adresse wird dem Benutzer ein Fehler angezeigt. | Wenn sich der UPN von der primären ProxyAddress/SMTPAddress des Benutzers unterscheidet, muss die Einstellung Bei Microsoft Entra ID mit der E-Mail-Adresse als alternative Anmelde-ID anmelden für den Mandanten aktiviert sein. |
| Beim Verarbeiten der Anforderung ist ein Fehler aufgetreten. | Generische Fehler bei der SSPR-Registrierung können verschiedene Ursachen haben, werden im Allgemeinen jedoch entweder durch einen Dienstausfall oder einen Konfigurationsfehler verursacht. Wenn dieser generische Fehler nach dem Wiederholen des SSPR-Registrierungsprozesses weiterhin angezeigt wird, wenden Sie sich an den Microsoft-Support, um Unterstützung zu erhalten. |
| Verletzung der lokalen Richtlinie | Das Kennwort entspricht nicht der lokalen Active Directory-Kennwortrichtlinie. Der Benutzer muss ein Kennwort definieren, das den Komplexitätsanforderungen bzw. den Anforderungen an die Kennwortsicherheit entspricht. |
| Das Kennwort entspricht nicht der Fuzzyrichtlinie | Das verwendete Kennwort ist in der Liste gesperrter Kennwörter enthalten und kann nicht verwendet werden. Der Benutzer muss ein Kennwort definieren, das der Richtlinie für die Liste gesperrter Kennwörter entspricht oder sicherer ist. |
Mögliche SSPR-Fehler, die einem Benutzer angezeigt werden
Die folgenden Fehler und technischen Details können einem Benutzer im Rahmen des SSPR-Prozesses angezeigt werden. Häufig können Benutzer den Fehler nicht selbst beheben, da die SSPR-Funktion für das jeweilige Konto aktiviert, konfiguriert oder registriert werden muss.
Verwenden Sie die folgenden Informationen, um das Problem zu verstehen und zu erfahren, was für den Microsoft Entra-Mandanten oder das einzelne Benutzerkonto korrigiert werden muss.
| Fehler | Details | Technische Details |
|---|---|---|
| TenantSSPRFlagDisabled = 9 | Sie können Ihr Kennwort zurzeit nicht zurücksetzen, weil Ihr Administrator das Zurücksetzen von Kennwörtern für Ihre Organisation deaktiviert hat. Sie können keine weitere Aktion ergreifen, um dieses Problem zu beheben. Bitten Sie Ihre Administrator*innen, dieses Feature zu aktivieren. Weitere Informationen finden Sie unter Hilfe, ich habe mein Microsoft Entra-Kennwort vergessen. |
SSPR_0009: Wir haben festgestellt, dass die Kennwortzurücksetzung von Ihrem Administrator nicht aktiviert wurde. Bitten Sie Ihre Administrator*innen, die Kennwortzurücksetzung für Ihre Organisation zu aktivieren. |
| WritebackNotEnabled = 10 | Sie können Ihr Kennwort zurzeit nicht zurücksetzen, weil Ihr Administrator einen notwendigen Dienst für Ihre Organisation nicht aktiviert hat. Sie können keine weitere Aktion ergreifen, um dieses Problem zu beheben. Bitten Sie Ihre Administrator*innen, die Konfiguration für Ihre Organisation zu überprüfen. Weitere Informationen zu diesem notwendigen Dienst finden Sie unter Konfigurieren des Kennwortrückschreibens. |
SSPR_0010: Wir haben festgestellt, dass das Kennwortrückschreiben nicht aktiviert wurde. Bitten Sie Ihre Administrator*innen, das Kennwortrückschreiben zu aktivieren. |
| SsprNotEnabledInUserPolicy = 11 | Sie können Ihr Kennwort zurzeit nicht zurücksetzen, weil Ihr Administrator das Zurücksetzen von Kennwörtern für Ihre Organisation nicht konfiguriert hat. Sie können keine weitere Aktion ergreifen, um dieses Problem zu beheben. Bitten Sie Ihren Administrator, die Kennwortzurücksetzung zu konfigurieren. Weitere Informationen zur Konfiguration der Kennwortzurücksetzung finden Sie im Schnellstart: Self-Service-Kennwortzurücksetzung in Microsoft Entra. |
SSPR_0011: Ihre Organisation hat keine Richtlinie zur Kennwortzurücksetzung definiert. Bitten Sie Ihre Administrator*innen, eine Richtlinie zur Kennwortzurücksetzung zu definieren. |
| UserNotLicensed = 12 | Sie können Ihr Kennwort zurzeit nicht zurücksetzen, weil Ihrer Organisation die erforderlichen Lizenzen fehlen. Sie können keine weitere Aktion ergreifen, um dieses Problem zu beheben. Bitten Sie Ihre Administrator*innen, die Lizenzzuweisung zu prüfen. Weitere Informationen zur Lizenzierung finden Sie unter Lizenzanforderungen für die Self-Service-Kennwortzurücksetzung in Microsoft Entra. |
SSPR_0012: Ihre Organisation besitzt nicht die erforderlichen Lizenzen zum Zurücksetzen von Kennwörtern. Bitten Sie Ihre Administrator*innen, die Lizenzzuweisungen zu überprüfen. |
| UserNotMemberOfScopedAccessGroup = 13 | Sie können Ihr Kennwort zurzeit nicht zurücksetzen, weil Ihr Administrator die Verwendung der Kennwortzurücksetzung für Ihr Konto nicht konfiguriert hat. Sie können keine weitere Aktion ergreifen, um dieses Problem zu beheben. Bitten Sie Ihre Administrator*innen, Ihr Konto für die Kennwortzurücksetzung zu konfigurieren. Weitere Informationen zur Konfiguration der Kennwortzurücksetzung für ein Konto finden Sie im folgenden Artikel: Rollout der Kennwortzurücksetzung für Benutzer. |
SSPR_0013: Sie sind nicht Mitglied einer für die Kennwortzurücksetzung aktivierten Gruppe. Wenden Sie sich an Ihren Administrator, und fordern Sie an, der Gruppe hinzugefügt zu werden. |
| UserNotProperlyConfigured = 14 | Sie können Ihr Kennwort zurzeit nicht zurücksetzen, weil notwendige Informationen für Ihr Konto fehlen. Sie können keine weitere Aktion ergreifen, um dieses Problem zu beheben. Bitten Sie Ihre Administrator*innen, Ihr Kennwort für Sie zurückzusetzen. Sobald Sie wieder auf Ihr Konto zugreifen können, müssen Sie die benötigten Informationen registrieren. Wie das geht, erfahren Sie im Artikel Registrieren für die Self-Service-Kennwortzurücksetzung. |
SSPR_0014: Zusätzliche Sicherheitsinformationen sind erforderlich, um Ihr Kennwort zurückzusetzen. Wenden Sie sich an Ihren Administrator, und bitten Sie ihn, Ihr Kennwort zurückzusetzen. Sobald Sie auf Ihr Konto zugreifen können, können Sie zusätzliche Sicherheitsinformationen unter https://aka.ms/ssprsetup registrieren. Ihr Administrator kann Ihrem Konto zusätzliche Sicherheitsinformationen hinzufügen, indem er die Schritte unter Festlegen und Lesen von Authentifizierungsdaten mithilfe von PowerShell befolgt. |
| OnPremisesAdminActionRequired = 29 | Wir können Ihr Kennwort aufgrund eines Problems mit der Konfiguration der Kennwortzurücksetzung in Ihrer Organisation zurzeit nicht zurücksetzen. Sie können keine weitere Aktion ergreifen, um dieses Problem zu beheben. Bitten Sie Ihren Administrator, das Problem zu untersuchen. Oder Wir können Ihr Kennwort zu diesem Zeitpunkt aufgrund eines Problems mit der Konfiguration der Kennwortzurücksetzung für Ihre Organisation nicht zurückzusetzen. Sie können keine weitere Aktion ergreifen, um dieses Problem zu beheben. Bitten Sie Ihren Administrator, das Problem zu untersuchen. Weitere Informationen zu dem potenziellen Problem finden Sie im folgenden Artikel: Problembehandlung: Kennwortrückschreiben. |
SSPR_0029: Wir können Ihr Kennwort aufgrund eines Fehlers in Ihrer lokalen Konfiguration nicht zurücksetzen. Bitten Sie Ihren Administrator, das Problem zu untersuchen. |
| OnPremisesConnectivityError = 30 | Wir können Ihr Kennwort aufgrund von Konnektivitätsproblemen mit Ihrer Organisation zurzeit nicht zurücksetzen. Im Moment können Sie nichts unternehmen, aber möglicherweise ist das Problem gelöst, wenn Sie es später noch mal versuchen. Wenn das Problem weiterhin auftritt, bitten Sie Ihre Administrator*innen, das Problem zu untersuchen. Weitere Informationen zu Konnektivitätsproblemen finden Sie unter Behandeln von Konnektivitätsproblemen beim Kennwortrückschreiben. |
SSPR_0030: Wir können Ihr Kennwort aufgrund einer schlechten Verbindung mit Ihrer lokalen Umgebung nicht zurücksetzen. Bitten Sie Ihren Administrator, das Problem zu untersuchen. |
Microsoft Entra-Foren
Wenn Sie allgemeine Fragen zu Microsoft Entra ID und zur Self-Service-Kennwortzurücksetzung haben, können Sie die Community auf der Microsoft Q&A-Frageseite für Microsoft Entra ID um Unterstützung bitten. Zu den Mitgliedern der Community gehören Techniker, Produktmanager MVPs und andere IT-Experten.
Microsoft-Support kontaktieren
Wenn Sie keine Antwort auf ein Problem finden, stehen Ihnen unsere Supportteams immer für weitere Unterstützung zur Verfügung.
Damit wir Sie bestmöglich unterstützen können, geben Sie bitte so viele Details wie möglich an, wenn Sie eine Anfrage erstellen. Hierzu gehören die folgenden Angaben:
- Allgemeine Beschreibung des Fehlers: Welcher Fehler liegt vor? Welches Verhalten haben Sie festgestellt? Wie können wir den Fehler reproduzieren? Geben Sie bitte so viele Details wie möglich an.
- Seite: Auf welcher Seite befanden Sie sich, als der Fehler aufgetreten ist? Geben Sie möglichst die URL an, und erstellen Sie einen Screenshot der Seite.
- Unterstützungscode: Welcher Unterstützungscode wurde generiert, als der Fehler aufgetreten ist?
Reproduzieren Sie zum Ermitteln des Unterstützungscodes den Fehler, klicken Sie im unteren Bildschirmbereich auf den Link Unterstützungscode, und senden Sie die generierte GUID an den Supportmitarbeiter.
Wenn Sie sich auf einer Seite ohne Unterstützungscode befinden, drücken Sie F12, suchen Sie nach der SID und der CID, und senden Sie beide Ergebnisse an den Supportmitarbeiter.
- Datum, Uhrzeit und Zeitzone: Geben Sie das genaue Datum und die exakte Uhrzeit des Fehlers an (einschließlich der Zeitzone).
- Benutzer-ID: Bei welchem Benutzer ist der Fehler aufgetreten? z. B. user@contoso.com.
- Handelt es sich um einen Verbundbenutzer?
- Ist dies ein Benutzer mit Pass-Through-Authentifizierung?
- Handelt es sich um einen Benutzer mit Kennworthashsynchronisierung?
- Handelt es sich um einen reinen Cloudbenutzer?
- Lizenzierung: Ist dem Benutzer eine Microsoft Entra ID-Lizenz zugewiesen?
- Anwendungsereignisprotokoll: Wenn Sie das Kennwortrückschreiben verwenden und der Fehler in Ihrer lokalen Infrastruktur auftritt, fügen Sie eine gezippte Kopie des Anwendungsereignisprotokolls Ihres Microsoft Entra Connect-Servers bei.
Nächste Schritte
Weitere Informationen zu SSPR finden Sie unter So funktioniert es: Self-Service-Kennwortzurücksetzung in Microsoft Entra oder Wie funktioniert das Rückschreibens der Self-Service-Kennwortzurücksetzung in Microsoft Entra ID?.