Was ist Kennwortrückschreiben?What is password writeback?

Ein cloudbasiertes Hilfsprogramm zum Zurücksetzen von Kennwörtern ist praktisch, aber die meisten Unternehmen haben immer noch ein lokales Verzeichnis, in dem ihre Benutzer existieren.Having a cloud-based password reset utility is great but most companies still have an on-premises directory where their users exist. Wie unterstützt Microsoft die Synchronisierung eines traditionellen lokalen Active Directory (AD) mit Kennwortänderungen in der Cloud?How does Microsoft support keeping traditional on-premises Active Directory (AD) in sync with password changes in the cloud? Kennwortrückschreiben ist eine Funktion, die mit Azure AD Connect aktiviert wurde und es ermöglicht, Kennwortänderungen in der Cloud in Echtzeit in ein vorhandenes lokales Verzeichnis zurückzuschreiben.Password writeback is a feature enabled with Azure AD Connect that allows password changes in the cloud to be written back to an existing on-premises directory in real time.

Kennwortrückschreiben wird in Umgebungen unterstützt, die folgende Elemente verwenden:Password writeback is supported in environments that use:

Warnung

Das Kennwortrückschreiben funktioniert nicht mehr für Kunden, die Azure AD Connect-Versionen bis 1.0.8641.0 verwenden, wenn der Azure Access Control Service (ACS) am 7. November 2018 eingestellt wird.Password writeback will stop working for customers who are using Azure AD Connect versions 1.0.8641.0 and older when the Azure Access Control service (ACS) is retired on November 7th, 2018. Azure AD Connect-Versionen bis 1.0.8641.0 lassen ab diesem Zeitpunkt kein Kennwortrückschreiben mehr zu, da sie für diese Funktionalität von ACS abhängen.Azure AD Connect versions 1.0.8641.0 and older will no longer allow password writeback at that time because they depend on ACS for that functionality.

Um eine Dienstunterbrechung zu vermeiden, führen Sie bei früheren Versionen von Azure AD Connect ein Upgrade auf eine neuere Version durch. Weitere Informationen finden Sie unter Azure AD Connect: Aktualisieren von einer früheren Version auf die aktuelle Version.To avoid a disruption in service, upgrade from a previous version of Azure AD Connect to a newer version, see the article Azure AD Connect: Upgrade from a previous version to the latest

Kennwortrückschreiben bietet:Password writeback provides:

  • Erzwingung von lokalen Active Directory-Kennwortrichtlinien: Wenn ein Benutzer sein Kennwort zurücksetzt, wird es überprüft, um sicherzustellen, dass es die lokalen Active Directory-Richtlinien erfüllt, bevor es für dieses Verzeichnis übernommen wird.Enforcement of on-premises Active Directory password policies: When a user resets their password, it is checked to ensure it meets your on-premises Active Directory policy before committing it to that directory. Diese Überprüfung umfasst Prüfen des Verlaufs, der Komplexität, des Alters, der Kennwortfilter und aller weiteren Kennwortbeschränkungen, die Sie im lokalen Active Directory definiert haben.This review includes checking the history, complexity, age, password filters, and any other password restrictions that you have defined in local Active Directory.
  • Feedback ohne Verzögerung: Die Kennwortrückschreibung ist ein synchroner Vorgang.Zero-delay feedback: Password writeback is a synchronous operation. Ihre Benutzer werden sofort benachrichtigt, wenn ihre Kennwörter nicht der Richtlinie entsprechen oder das Zurücksetzen oder Ändern des Kennworts aus irgendeinem Grund nicht möglich war.Your users are notified immediately if their password did not meet the policy or could not be reset or changed for any reason.
  • Unterstützung für das Ändern von Kennwörtern über den Zugriffsbereich und Office 365: Wenn Verbundbenutzer oder Benutzer mit Kennworthashsynchronisierung ihre abgelaufenen oder noch nicht abgelaufenen Kennwörter ändern möchten, werden diese Kennwörter in die lokale Active Directory-Umgebung zurückgeschrieben.Supports password changes from the access panel and Office 365: When federated or password hash synchronized users come to change their expired or non-expired passwords, those passwords are written back to your local Active Directory environment.
  • Unterstützung für Kennwortrückschreiben, wenn die Kennwörter im Azure-Portal von einem Administrator zurückgesetzt werden: Wenn ein Administrator das Kennwort eines Benutzers im Azure-Portal zurücksetzt und der Benutzer ein Verbundkonto oder ein Konto mit Kennworthashsynchronisierung verwendet, wird das Kennwort lokal zurückgeschrieben.Supports password writeback when an admin resets them from the Azure portal: Whenever an admin resets a user’s password in the Azure portal, if that user is federated or password hash synchronized, the password is written back to on-premises. Diese Funktionalität wird im Office-Verwaltungsportal derzeit nicht unterstützt.This functionality is currently not supported in the Office admin portal.
  • Keine Notwendigkeit zur Festlegung von eingehenden Firewallregeln: Kennwortrückschreiben verwendet ein Azure Service Bus Relay als zugrunde liegenden Kommunikationskanal.Doesn’t require any inbound firewall rules: Password writeback uses an Azure Service Bus relay as an underlying communication channel. Die gesamte Kommunikation geht über Port 443.All communication is outbound over port 443.

Hinweis

Administratorkonten in geschützten Gruppen im lokalen Active Directory können zum Kennwortrückschreiben verwendet werden.Administrator accounts that exist within protected groups in on-premises AD can be used with password writeback. Administratoren können ihr Kennwort in der Cloud ändern, aber nicht die Kennwortzurücksetzung zum Zurücksetzen eines vergessenen Kennworts verwenden.Administrators can change their password in the cloud but cannot use password reset to reset a forgotten password. Weitere Informationen zu geschützten Gruppen finden Sie unter Geschützte Konten und Gruppen in Active Directory.For more information about protected groups, see Protected accounts and groups in Active Directory.

Lizenzierungsanforderungen für das KennwortrückschreibenLicensing requirements for password writeback

Self-Service-Kennwortzurücksetzung/-änderung/-entsperrung mit lokalem Rückschreiben ist eine Premium-Funktion von Azure AD.Self-Service Password Reset/Change/Unlock with on-premises writeback is a premium feature of Azure AD. Weitere Informationen zur Lizenzierung finden Sie auf der Preiswebsite für Azure Active Directory.For more information about licensing, see the Azure Active Directory pricing site.

Damit Kennwortrückschreiben verwendet werden kann, muss in Ihrem Mandanten eine der folgenden Lizenzen zugewiesen sein:To use password writeback, you must have one of the following licenses assigned on your tenant:

  • Azure AD Premium P1Azure AD Premium P1
  • Azure AD Premium P2Azure AD Premium P2
  • Enterprise Mobility + Security E3 oder A3Enterprise Mobility + Security E3 or A3
  • Enterprise Mobility + Security E5 oder A5Enterprise Mobility + Security E5 or A5
  • Microsoft 365 E3 oder A3Microsoft 365 E3 or A3
  • Microsoft 365 E5 oder A5Microsoft 365 E5 or A5
  • Microsoft 365 F1Microsoft 365 F1
  • Microsoft 365 BusinessMicrosoft 365 Business

Warnung

Eigenständige Office 365-Lizenzierungspläne bieten keine Unterstützung für Self-Service-Kennwortzurücksetzung/-änderung/-entsperrung mit lokalem Rückschreiben und erfordern, dass Sie einen der obigen Pläne haben, damit diese Funktion verwendbar ist.Standalone Office 365 licensing plans don't support "Self-Service Password Reset/Change/Unlock with on-premises writeback" and require that you have one of the preceding plans for this functionality to work.

Funktionsweise der KennwortrückschreibungHow password writeback works

Wenn Verbundbenutzer oder Benutzer mit Kennworthashsynchronisierung versuchen, ihr Kennwort in der Cloud zurückzusetzen oder zu ändern, geschieht Folgendes:When a federated or password hash synchronized user attempts to reset or change their password in the cloud, the following actions occur:

  1. Es wird überprüft, über welche Art von Kennwort der Benutzer verfügt.A check is performed to see what type of password the user has. Wenn das Kennwort des Benutzers lokal verwaltet wird:If the password is managed on-premises:

    • Es wird überprüft, ob der Dienst für Rückschreiben aktiviert ist und ausgeführt wird.A check is performed to see if the writeback service is up and running. Wenn dies der Fall ist, kann der Benutzer fortfahren.If it is, the user can proceed.
    • Wenn der Dienst für Rückschreiben nicht aktiv ist, wird dem Benutzer mitgeteilt, dass sein Kennwort derzeit nicht zurückgesetzt werden kann.If the writeback service is down, the user is informed that their password can't be reset right now.
  2. Im nächsten Schritt muss der Benutzer sich erfolgreich authentifizieren und gelangt dann zur Seite Kennwort zurücksetzen.Next, the user passes the appropriate authentication gates and reaches the Reset password page.

  3. Der Benutzer wählt ein neues Kennwort aus und bestätigt es.The user selects a new password and confirms it.

  4. Wenn der Benutzer Senden auswählt, wird das Klartextkennwort mit einem symmetrischen Schlüssel verschlüsselt, der beim Einrichten des Kennwortrückschreibens erstellt wurde.When the user selects Submit, the plaintext password is encrypted with a symmetric key created during the writeback setup process.

  5. Das verschlüsselte Kennwort wird in eine Nutzlast eingeschlossen, die über einen HTTPS-Kanal an Ihr mandantenspezifisches Service Bus Relay gesendet wird (dieses wurde beim Einrichten der Kennwortrückschreibung festgelegt).The encrypted password is included in a payload that gets sent over an HTTPS channel to your tenant-specific service bus relay (that is set up for you during the writeback setup process). Dieses Relay wird durch ein zufällig generiertes Kennwort geschützt, das nur der lokalen Installation bekannt ist.This relay is protected by a randomly generated password that only your on-premises installation knows.

  6. Sobald die Nachricht den Service Bus erreicht hat, wird der Endpunkt für die Kennwortzurücksetzung automatisch aktiviert, und der Endpunkt erkennt, dass eine Anforderung zur Zurücksetzung aussteht.After the message reaches the service bus, the password-reset endpoint automatically wakes up and sees that it has a reset request pending.

  7. Der Dienst sucht dann nach dem Benutzer, indem er das Cloudankerattribut verwendet.The service then looks for the user by using the cloud anchor attribute. Damit diese Suche erfolgreich ist:For this lookup to succeed:

    • Das Benutzerobjekt muss im Active Directory-Connectorbereich vorhanden sein.The user object must exist in the Active Directory connector space.
    • Das Benutzerobjekt muss mit dem entsprechenden Metaverseobjekt (MV-Objekt) verknüpft sein.The user object must be linked to the corresponding metaverse (MV) object.
    • Das Benutzerobjekt muss mit dem entsprechenden Azure Active Directory-Connectorobjekt verknüpft sein.The user object must be linked to the corresponding Azure Active Directory connector object.
    • Für die Verknüpfung zwischen dem Active Directory-Connectorobjekt und dem MV-Objekt muss die Synchronisierungsregel Microsoft.InfromADUserAccountEnabled.xxx festgelegt sein.The link from the Active Directory connector object to the MV must have the synchronization rule Microsoft.InfromADUserAccountEnabled.xxx on the link.

    Sobald der Aufruf aus der Cloud eingetroffen ist, verwendet das Synchronisierungsmodul das cloudAnchor-Attribut, um das Azure Active Directory-Connectorbereichsobjekt nachzuschlagen.When the call comes in from the cloud, the synchronization engine uses the cloudAnchor attribute to look up the Azure Active Directory connector space object. Es folgt dann dem Link zurück zum MV-Objekt und folgt anschließend dem Link zurück zum Active Directory-Objekt.It then follows the link back to the MV object, and then follows the link back to the Active Directory object. Da mehrere Active Directory-Objekte (Multi-Gesamtstruktur) für denselben Benutzer vorliegen können, verwendet das Synchronisierungsmodul die Microsoft.InfromADUserAccountEnabled.xxx-Verbindung, um das richtige Objekt auszuwählen.Because there can be multiple Active Directory objects (multi-forest) for the same user, the sync engine relies on the Microsoft.InfromADUserAccountEnabled.xxx link to pick the correct one.

  8. Nachdem das Benutzerkonto ermittelt ist, wird versucht, das Kennwort direkt in der geeigneten Active Directory-Gesamtstruktur zurückzusetzen.After the user account is found, an attempt to reset the password directly in the appropriate Active Directory forest is made.

  9. Wenn dieser Vorgang erfolgreich war, wird der Benutzer darüber informiert, dass das Kennwort geändert wurde.If the password set operation is successful, the user is told their password has been changed.

    Hinweis

    Wenn das Kennworthash des Benutzers mithilfe der Kennworthashsynchronisierung mit Azure AD synchronisiert wird, kann es vorkommen, dass die lokale Kennwortrichtlinie schwächer ist als die Kennwortrichtlinie der Cloud.If the user's password hash is synchronized to Azure AD by using password hash synchronization, there is a chance that the on-premises password policy is weaker than the cloud password policy. In diesem Fall wird die lokale Kennwortrichtlinie erzwungen.In this case, the on-premises policy is enforced. Diese Richtlinie stellt das Erzwingen Ihrer lokalen Richtlinie in der Cloud sicher, unabhängig davon, ob Sie für die Bereitstellung von einmaligem Anmelden Kennworthashsynchronisierung oder Verbund verwenden.This policy ensures that your on-premises policy is enforced in the cloud, no matter if you use password hash synchronization or federation to provide single sign-on.

  10. Wenn bei diesem Vorgang ein Fehler auftritt, wird der Benutzer per Fehlermeldung dazu aufgefordert, es erneut zu versuchen.If the password set operation fails, an error prompts the user to try again. Der Vorgang kann aus folgenden Gründen fehlschlagen:The operation might fail because:

    • Der Dienst war nicht verfügbar.The service was down.

    • Das ausgewählte Kennwort entsprach nicht den Richtlinien der Organisation.The password they selected did not meet the organization's policies.

    • Der Benutzer wurde nicht im lokalen Active Directory gefunden.Unable to find the user in local Active Directory.

      Die Fehlermeldungen geben den Benutzern eine Anleitung, damit sie versuchen können, die Fehler ohne Eingriff des Administrators zu beheben.The error messages provide guidance to users so they can attempt to resolve without administrator intervention.

Sicherheit für das KennwortrückschreibenPassword writeback security

Das Kennwortrückschreiben ist ein äußerst sicherer Dienst.Password writeback is a highly secure service. Zum Schutz Ihrer Informationen wird ein vierstufiges Sicherheitsmodell angewendet, das sich wie folgt beschreiben lässt:To ensure your information is protected, a four-tiered security model is enabled as the following describes:

  • Mandantenspezifisches Service Bus RelayTenant-specific service-bus relay
    • Beim Einrichten des Diensts wird ein mandantenspezifisches Service Bus Relay eingerichtet, das durch ein zufällig generiertes, sicheres Kennwort geschützt wird, auf das Microsoft keinen Zugriff hat.When you set up the service, a tenant-specific service bus relay is set up that's protected by a randomly generated strong password that Microsoft never has access to.
  • Nicht zugänglicher, sicherer Kryptografieschlüssel für die KennwortverschlüsselungLocked down, cryptographically strong, password encryption key
    • Nach der Erstellung des Service Bus Relays wird ein sicherer symmetrischer Schlüssel erstellt, mit dem das Kennwort verschlüsselt wird, bevor es gesendet wird.After the service bus relay is created, a strong symmetric key is created that is used to encrypt the password as it comes over the wire. Dieser Schlüssel liegt ausschließlich im Speicher für geheime Schlüssel Ihres Unternehmens in der Cloud vor, der streng geschützt und überwacht wird, wie jedes andere Kennwort im Verzeichnis.This key only lives in your company's secret store in the cloud, which is heavily locked down and audited, just like any other password in the directory.
  • Transport Layer Security (TLS) nach IndustriestandardIndustry standard Transport Layer Security (TLS)
    1. Beim Zurücksetzen oder Ändern eines Kennworts in der Cloud wird das Klartextkennwort mit Ihrem öffentlichen Schlüssel verschlüsselt.When a password reset or change operation occurs in the cloud, the plaintext password is encrypted with your public key.
    2. Das verschlüsselte Kennwort wird in eine HTTPS-Nachricht eingefügt, die über einen über SSL-Zertifikate von Microsoft verschlüsselten Kanal an Ihr Service Bus Relay gesendet wird.The encrypted password is placed into an HTTPS message that is sent over an encrypted channel by using Microsoft SSL certs to your service bus relay.
    3. Nachdem die Nachricht beim Service Bus eingetroffen ist, wird Ihr lokaler Agent reaktiviert und in Service Bus mithilfe des sicheren Kennworts authentifiziert, das zuvor generiert wurde.After the message arrives in the service bus, your on-premises agent wakes up and authenticates to the service bus by using the strong password that was previously generated.
    4. Der lokale Agent liest die verschlüsselte Nachricht und entschlüsselt sie mit dem privaten Schlüssel.The on-premises agent picks up the encrypted message and decrypts it by using the private key.
    5. Der lokale Agent versucht, das Kennwort über die SetPassword-API von AD DS festzulegen.The on-premises agent attempts to set the password through the AD DS SetPassword API. In diesem Schritt kann Ihre lokale Active Directory-Kennwortrichtlinie (so z.B. die Komplexität, das Alter, der Verlauf, die Filter usw.) in der Cloud erzwungen werden.This step is what allows enforcement of your Active Directory on-premises password policy (such as the complexity, age, history, and filters) in the cloud.
  • Richtlinien zum NachrichtenablaufMessage expiration policies
    • Falls die Nachricht im Service Bus verbleibt, weil der lokale Dienst nicht verfügbar ist, kommt es nach wenigen Minuten zu einem Timeout, und die Nachricht wird entfernt.If the message sits in service bus because your on-premises service is down, it times out and is removed after several minutes. Das Timeout und Entfernen der Nachricht erhöhen die Sicherheit noch weiter.The time-out and removal of the message increases security even further.

Verschlüsselungsdetails für das KennwortrückschreibenPassword writeback encryption details

Nachdem ein Benutzer eine Kennwortzurücksetzung übermittelt hat, durchläuft die Zurücksetzungsanforderung verschiedene Verschlüsselungsschritte, bevor sie in Ihrer lokalen Umgebung eintrifft.After a user submits a password reset, the reset request goes through several encryption steps before it arrives in your on-premises environment. Diese Verschlüsselungsschritte stellen maximale Dienstzuverlässigkeit und -sicherheit sicher.These encryption steps ensure maximum service reliability and security. Die Schritte lassen sich wie folgt beschreiben:They are described as follows:

  • Schritt 1: Kennwortverschlüsselung mit 2.048-Bit-RSA-Schlüssel: Nachdem ein Benutzer ein zurückzuschreibendes Kennwort an die lokale Umgebung übermittelt hat, wird dieses Kennwort mit einem 2.048-Bit-RSA-Schlüssel verschlüsselt.Step 1: Password encryption with 2048-bit RSA Key: After a user submits a password to be written back to on-premises, the submitted password itself is encrypted with a 2048-bit RSA key.
  • Schritt 2: Verschlüsselung auf Paketebene mit AES-GCM: Das gesamte Paket (bestehend aus Kennwort und den erforderlichen Metadaten) wird mithilfe von AES-GCM verschlüsselt.Step 2: Package-level encryption with AES-GCM: The entire package, the password plus the required metadata, is encrypted by using AES-GCM. Diese Verschlüsselung verhindert, dass jemand mit direktem Zugriff auf den zugrunde liegenden ServiceBus-Kanal den Inhalt anzeigen oder manipulieren kann.This encryption prevents anyone with direct access to the underlying ServiceBus channel from viewing or tampering with the contents.
  • Schritt 3: Abwicklung der gesamten Kommunikation über TLS/SSL: Die gesamte Kommunikation mit ServiceBus wird über einen TLS/SSL-Kanal abgewickelt.Step 3: All communication occurs over TLS/SSL: All the communication with ServiceBus happens in an SSL/TLS channel. Diese Verschlüsselung schützt den Inhalt vor nicht autorisierten Dritten.This encryption secures the contents from unauthorized third parties.
  • Automatischer Schlüsselrollover im Abstand von sechs Monaten: Alle sechs Monate oder jedes Mal, wenn das Kennwortrückschreiben deaktiviert und dann in Azure AD Connect wieder aktiviert wird, erfolgt ein Rollover aller Schlüssel, um ein Höchstmaß an Dienstzuverlässigkeit und Sicherheit zu erreichen.Automatic key roll over every six months: All keys roll over every six months, or every time password writeback is disabled and then re-enabled on Azure AD Connect, to ensure maximum service security and safety.

Bandbreitennutzung für das KennwortrückschreibenPassword writeback bandwidth usage

Kennwortrückschreiben ist ein Dienst, für den wenig Bandbreite erforderlich ist und der nur unter folgenden Umständen Anforderungen zurück an den lokalen Agent sendet:Password writeback is a low-bandwidth service that only sends requests back to the on-premises agent under the following circumstances:

  • Zwei Nachrichten werden gesendet, wenn das Feature über Azure AD Connect aktiviert oder deaktiviert wird.Two messages are sent when the feature is enabled or disabled through Azure AD Connect.
  • Während der gesamten Ausführungsdauer des Diensts wird als Diensttakt alle fünf Minuten eine Nachricht gesendet.One message is sent once every five minutes as a service heartbeat for as long as the service is running.
  • Zwei Nachrichten werden jedes Mal gesendet, wenn ein neues Kennwort übermittelt wird:Two messages are sent each time a new password is submitted:
    • Die erste Nachricht ist eine Anforderung zum Ausführen des Vorgangs.The first message is a request to perform the operation.
    • Die zweite Nachricht enthält das Ergebnis des Vorgangs und wird in den folgenden Situationen gesendet:The second message contains the result of the operation, and is sent in the following circumstances:
      • Bei jeder Übermittlung eines neuen Kennworts während einer Self-Service-Kennwortzurücksetzung durch BenutzerEach time a new password is submitted during a user self-service password reset.
      • Bei jeder Übermittlung eines neuen Kennworts während einer BenutzerkennwortänderungEach time a new password is submitted during a user password change operation.
      • Bei jeder Übermittlung eines neuen Kennworts während einer vom Administrator initiierten Benutzerkennwortzurücksetzung (nur über die Azure-Administratorportale)Each time a new password is submitted during an admin-initiated user password reset (only from the Azure admin portals).

Überlegungen zur Nachrichtengröße und BandbreiteMessage size and bandwidth considerations

Die Größe von jeder der zuvor beschriebenen Nachrichten liegt in der Regel unter 1 KB.The size of each of the message described previously is typically under 1 KB. Selbst bei extrem hoher Auslastung nutzt der Dienst zum Kennwortrückschreiben höchstens eine Bandbreite von einigen wenigen Kilobits pro Sekunde.Even under extreme loads, the password writeback service itself is consuming a few kilobits per second of bandwidth. Da jede Nachricht in Echtzeit und nur dann gesendet wird, wenn dies für eine Kennwortaktualisierung erforderlich ist, und die Nachrichten ziemlich klein sind, ist die Bandbreitennutzung der Rückschreibfunktion zu klein, um messbare Auswirkungen zu haben.Because each message is sent in real time, only when required by a password update operation, and because the message size is so small, the bandwidth usage of the writeback capability is too small to have a measurable impact.

Unterstützte RückschreibevorgängeSupported writeback operations

Kennwörter werden in den folgenden Situationen zurückgeschrieben:Passwords are written back in all the following situations:

  • Unterstützte Vorgänge für EndbenutzerSupported end-user operations
    • Jegliche freiwillige Self-Service-Kennwortänderung durch einen EndbenutzerAny end-user self-service voluntary change password operation
    • Jegliche erzwungene Self-Service-Kennwortänderung durch einen Endbenutzer, beispielsweise der Ablauf des KennwortsAny end-user self-service force change password operation, for example, password expiration
    • Jegliche Self-Service-Kennwortzurücksetzung durch einen Endbenutzer über das KennwortzurücksetzungsportalAny end-user self-service password reset that originates from the password reset portal
  • Unterstützte Vorgänge für AdministratorenSupported administrator operations
    • Jegliche freiwillige Self-Service-Kennwortänderung durch einen AdministratorAny administrator self-service voluntary change password operation
    • Jegliche erzwungene Self-Service-Kennwortänderung durch einen Administrator, beispielsweise der Ablauf des KennwortsAny administrator self-service force change password operation, for example, password expiration
    • Jegliche Self-Service-Kennwortzurücksetzung durch einen Administrator über das KennwortzurücksetzungsportalAny administrator self-service password reset that originates from the password reset portal
    • Jegliche durch einen Administrator initiierte Endbenutzer-Kennwortzurücksetzung über das Azure-PortalAny administrator-initiated end-user password reset from the Azure portal

Nicht unterstützte RückschreibevorgängeUnsupported writeback operations

Kennwörter werden in folgenden Situationen nicht zurückgeschrieben:Passwords are not written back in any of the following situations:

  • Nicht unterstützte Vorgänge für EndbenutzerUnsupported end-user operations
    • Jegliches Zurücksetzen des eigenen Kennworts durch einen Endbenutzer über PowerShell Version 1, Version 2 oder die Azure AD-Graph-APIAny end user resetting their own password by using PowerShell version 1, version 2, or the Azure AD Graph API
  • Nicht unterstützte Vorgänge für AdministratorenUnsupported administrator operations
    • Jegliche durch einen Administrator initiierte Endbenutzer-Kennwortzurücksetzung mithilfe von PowerShell Version 1, Version 2 oder der Azure AD-Graph-APIAny administrator-initiated end-user password reset from PowerShell version 1, version 2, or the Azure AD Graph API
    • Jegliche durch einen Administrator initiierte Endbenutzer-Kennwortzurücksetzung über das Microsoft 365 Admin CenterAny administrator-initiated end-user password reset from the Microsoft 365 admin center

Warnung

Die Verwendung des Kontrollkästchens „Benutzer muss Kennwort bei der nächsten Anmeldung ändern“ in lokalen Active Directory-Verwaltungstools wie „Active Directory-Benutzer und -Computer“ oder dem Active Directory-Verwaltungscenter wird nicht unterstützt.Use of the checkbox "User must change password at next logon" in on-premises Active Directory administrative tools like Active Directory Users and Computers or the Active Directory Administrative Center is not supported. Beim Ändern eines Kennworts in der lokalen Umgebung darf diese Option nicht aktiviert werden.When changing a password on-premises do not check this option.

Nächste SchritteNext steps

Aktivieren Sie das Kennwortrückschreiben anhand dieses Tutorials: Aktivieren des KennwortrückschreibensEnable password writeback using the Tutorial: Enabling password writeback