Bereitstellen von Self-Service-Kennwortzurücksetzung in Azure ADDeploy Azure AD self-service password reset

Die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) ist eine Funktion von Azure Active Directory, die es Mitarbeitern ermöglicht, Ihre Kennwörter zurückzusetzen, ohne sich an IT-Mitarbeiter wenden zu müssen.Self-service password reset (SSPR) is an Azure Active Directory feature that enables employees to reset their passwords without needing to contact IT staff. Mitarbeiter müssen sich für die Self-Service-Kennwortzurücksetzung registrieren, bevor sie den Dienst verwenden.Employees must register for or be registered for self-service password reset before using the service. Während der Registrierung wählt der Mitarbeiter eine oder mehrere Authentifizierungsmethoden aus, die von seiner Organisation aktiviert wurden.During registration, the employee chooses one or more authentication methods enabled by their organization.

SSPR ermöglicht es Mitarbeitern, die Blockierung schnell aufzuheben und die Arbeit fortzusetzen, unabhängig von Aufenthaltsort und Uhrzeit.SSPR enables employees to quickly get unblocked and continue working no matter where they are or the time of day. Indem sie ihren Benutzern erlaubt, die Blockierung selbst aufzuheben, kann Ihre Organisation die unproduktive Zeit und die hohen Supportkosten für die meisten allgemeinen Probleme im Zusammenhang mit Kennwörtern verringern.By allowing users to unblock themselves, your organization can reduce the non-productive time and high support costs for most common password-related issues.

Unterstützen Sie Benutzer bei der schnellen Registrierung, indem Sie SSPR zusammen mit einer anderen Anwendung oder einem anderen Dienst in Ihrer Organisation einrichten.Help users get registered quickly by deploying SSPR alongside another application or service in your organization. Diese Aktion wird zu einer großen Anzahl von Anmeldungen führen und fördert die Registrierung.This action will generate a large volume of sign-ins and will drive registration.

Vor der Bereitstellung von SSPR kann es für Organisationen sinnvoll sein, zu bestimmen, wie viele Helpdeskanrufe im Zusammenhang mit Kennwörtern im Lauf der Zeit anfallen und welche Kosten sie im Mittel verursachen.Before deploying SSPR, organizations may want to determine how many password reset related help desk calls happen over time and the average cost of each call. Sie können diese Daten nach der Bereitstellung verwenden, um den Mehrwert von SSPR für Ihre Organisation darzustellen.They can use this data post deployment to show the value SSPR is bringing to your organization.

Funktionsweise von SSPRHow SSPR works

  1. Wenn ein Benutzer versucht, ein Kennwort zurückzusetzen, muss er seine zuvor registrierte Authentifizierungsmethode oder -methoden bestätigen, um seine Identität nachzuweisen.When a user attempts to reset a password, they must verify their previously registered authentication method or methods to prove their identity.
  2. Anschließend gibt der Benutzer ein neues Kennwort ein.Then the user enters a new password.
    1. Für reine Cloudbenutzer wird das neue Kennwort in Azure Active Directory gespeichert.For cloud-only users, the new password is stored in Azure Active Directory. Weitere Informationen finden Sie im Artikel Funktionsweise von SSPR.For more information, see the article How SSPR works.
    2. Für Hybridbenutzer wird das Kennwort über den Azure AD Connect-Dienst zurück in das lokale Active Directory geschrieben.For hybrid users, the password is written back to the on-premises Active Directory via the Azure AD Connect service. Weitere Informationen finden Sie im Artikel Was ist Kennwortrückschreiben.For more information, see the article What is password writeback.

LizenzierungsaspekteLicensing considerations

Azure Active Directory wird pro Benutzer lizenziert. Dies bedeutet, dass jeder Benutzer über eine entsprechende Lizenz für die von ihm genutzten Features verfügen muss.Azure Active Directory is licensed per-user meaning each user has to have an appropriate license for the features they utilize.

Weitere Informationen zur Lizenzierung finden Sie auf der Azure Active Directory-PreisverzeichnisseiteMore information about licensing can be found on the Azure Active Directory pricing page

Aktivieren der kombinierten Registrierung für SSPR und MFAEnable combined registration for SSPR and MFA

Microsoft empfiehlt Organisationen, die kombinierte Registrierungs-Benutzeroberfläche für SSPR und mehrstufige Authentifizierung zu aktivieren.Microsoft recommends that organizations enable the combined registration experience for SSPR and multi-factor authentication. Wenn Sie diese kombinierte Registrierungs-Benutzeroberfläche aktivieren, brauchen Benutzer ihre Registrierung nur einmal auszuwählen, um beide Funktionen zu aktivieren.When you enable this combined registration experience, users need only select their registration information once to enable both features.

Kombinierte Registrierung von Sicherheitsinformationen

Die kombinierte Registrierungs-Benutzeroberfläche zwingt Organisationen nicht, sowohl SSPR als auch Azure Multi-Factor Authentication zu aktivieren.The combined registration experience does not require organizations to enable both SSPR and Azure Multi-Factor Authentication to use. Die kombinierte Registrierungs-Benutzeroberfläche bietet in Organisationen eine bessere Benutzererfahrung als die herkömmlichen Einzelkomponenten.The combined registration experience provides organizations a better user experience compared to the traditional individual components. Weitere Informationen zur kombinierten Registrierung und ihrer Aktivierung finden Sie im Artikel Kombinierte Registrierung von Sicherheitsinformationen (Vorschauversion).More information about combined registration, and how to enable, can be found in the article Combined security information registration (preview)

Planen der KonfigurationPlan the configuration

Die folgenden Einstellungen sind erforderlich, um SSPR mit den empfohlenen Werten zu aktivieren.The following settings are required to enable SSPR along with recommended values.

BereichArea EinstellungSetting WertValue
SSPR-EigenschaftenSSPR Properties Self-Service-Kennwortzurücksetzung aktiviertSelf-service password reset enabled Ausgewählte Gruppe für das Pilotprojekt/Alle für die ProduktionSelected group for pilot / All for production
AuthentifizierungsmethodenAuthentication methods Zum Registrieren erforderliche AuthentifizierungsmethodenAuthentication methods required to register Immer 1 mehr als für das Zurücksetzen erforderlichAlways 1 more than required for reset
Zum Zurücksetzen erforderliche AuthentifizierungsmethodenAuthentication methods required to reset Eine oder zweiOne or two
RegistrierungRegistration Registrierung von Benutzern bei der Anmeldung verlangenRequire users to register when signing in JaYes
Anzahl der Tage, bevor Benutzer aufgefordert werden, ihre Authentifizierungsinformationen erneut zu bestätigenNumber of days before users are asked to re-confirm their authentication information 90–180 Tage90 – 180 days
NotificationsNotifications Benutzer über Kennwortzurücksetzungen benachrichtigen?Notify users on password resets JaYes
Sollen alle Administratoren benachrichtigt werden, wenn andere Administratoren ihr Kennwort zurücksetzen?Notify all admins when other admins reset their password JaYes
AnpassungCustomization Helpdesklink anpassenCustomize helpdesk link JaYes
Benutzerdefinierte Helpdesk-E-Mail oder URLCustom helpdesk email or URL Support-Website oder E-Mail-AdresseSupport site or email address
Lokale IntegrationOn-premises integration Zurückschreiben von Kennwörtern in das lokale ADWrite back passwords to on-premises AD JaYes
Benutzern das Entsperren des Kontos ohne Zurücksetzen des Kennworts erlaubenAllow users to unlock account without resetting password JaYes

Empfehlungen für SSPR-EigenschaftenSSPR properties recommendations

Wählen Sie beim Aktivieren der Self-Service-Kennwortzurücksetzung eine Sicherheitsgruppe aus, die während der Pilotphase verwendet wird.When enabling Self-service password reset, choose a security group to be used during the pilot.

Wenn Sie planen, den Dienst breiter einzuführen, empfehlen wir die Verwendung der Option „Alle“, um SSPR für alle Benutzer in der Organisation durchzusetzen.When you plan to launch the service more broadly, we recommend using the All option to enforce SSPR for everyone in the organization. Wenn „Alle“ für Sie keine mögliche Option darstellt, wählen Sie die geeignete Azure AD-Sicherheitsgruppe oder mit Azure AD synchronisierte AD-Gruppe aus.If you cannot set to all, select the appropriate Azure AD Security group or AD group synced to Azure AD.

AuthentifizierungsmethodenAuthentication methods

Legen Sie die zum Registrieren erforderlichen Authentifizierungsmethoden auf mindestens eine mehr als die zum Zurücksetzen erforderliche Anzahl fest.Set Authentication methods required to register to at least one more than the number required to reset. Das Zulassen mehrerer Authentifizierungsmethoden verleiht Benutzern Flexibilität beim Zurücksetzen.Allowing multiple gives users flexibility when they need to reset.

Legen Sie Anzahl der zum Zurücksetzen erforderlichen Methoden auf ein für Ihre Organisation angemessenes Maß fest.Set Number of methods required to reset to a level appropriate to your organization. Eine bringt das geringste Maß an Reibung mit sich, während zwei den Sicherheitsstatus Ihrer Organisation verbessern können.One requires the least friction, while two may increase your security posture.

Detaillierte Informationen zu den für SSPR verfügbaren Authentifizierungsmethoden, vordefinierte Sicherheitsfragen und Anleitungen zum Erstellen benutzerdefinierter Sicherheitsfragen finden Sie unter Was sind Authentifizierungsmethoden.See What are authentication methods for detailed information on which authentication methods are available for SSPR, pre-defined security questions, and how to create customized security questions.

RegistrierungseinstellungenRegistration settings

Legen Sie Registrierung von Benutzern bei der Anmeldung verlangen auf Ja fest.Set Require users to register when signing in to Yes. Diese Einstellung bedeutet, dass die Benutzer gezwungen werden, sich bei der Anmeldung zu registrieren, was den Schutz aller Benutzer sicherstellt.This setting means that the users are forced to register when signing in, ensuring that all users are protected.

Legen Sie Anzahl der Tage, bevor Benutzer aufgefordert werden, ihre Authentifizierungsinformationen erneut zu bestätigen auf einen Wert zwischen 90 und 180 Tagen fest, es sei denn, für Ihre Organisation besteht die geschäftliche Anforderung eines kürzeren Zeitraums.Set Number of days before users are asked to re-confirm their authentication information to between 90 and 180 days, unless your organization has a business need for a shorter time frame.

BenachrichtigungseinstellungenNotifications settings

Konfigurieren Sie beide Einstellungen Benutzer über Kennwortzurücksetzungen benachrichtigen? und Sollen alle Administratoren benachrichtigt werden, wenn andere Administratoren ihr Kennwort zurücksetzen? mit Ja.Configure both the Notify users on password resets and the Notify all admins when other admins reset their password to Yes. Das Auswählen von Ja für beide Einstellungen erhöht die Sicherheit, indem es sicherstellt, dass Benutzern bewusst ist, dass ihr Kennwort zurückgesetzt wurde und alle Administratoren wissen, wenn ein Administrator ein Kennwort geändert hat.Selecting Yes on both increases security by ensuring that users are aware when their password has been reset, and that all admins are aware when an admin changes a password. Wenn Benutzer oder Administratoren eine derartige Benachrichtigung empfangen und die Änderung nicht veranlasst haben, können sie sofort eine mögliche Sicherheitsverletzung melden.If users or admins receive such a notification and they have not initiated the change, they can immediately report a potential security breach.

AnpassungCustomization

Es ist wichtig, die E-Mail-Adresse oder URL des Helpdesks anzupassen, um sicherzustellen, dass Benutzer, bei denen Probleme auftreten, schnell Hilfe erhalten.It’s critical to customize the helpdesk email or URL to ensure users who experience problems can quickly get help. Legen Sie diese Option auf eine allgemeine E-Mail-Adresse oder Website fest, die Ihren Benutzern vertraut ist.Set this option to a common helpdesk email address or web page that your users are familiar with.

Lokale IntegrationOn-premises integration

Wenn Sie eine Hybridumgebung besitzen, stellen Sie sicher, dass Zurückschreiben von Kennwörtern in das lokale AD auf Ja festgelegt ist.If you have a hybrid environment, ensure that Write back passwords to on-premises AD is set to Yes. Legen Sie außerdem die Einstellung „Benutzern das Entsperren des Kontos ohne Zurücksetzen des Kennworts erlauben“ auf „Ja“ fest, da dies ihnen mehr Flexibilität gibt.Also set the Allow users to unlock account without resetting password to Yes, as it gives them more flexibility.

Ändern/Zurücksetzen von Kennwörtern von AdministratorenChanging/Resetting passwords of administrators

Administratorkonten sind spezielle Konten mit erhöhten Berechtigungen.Administrator accounts are special accounts with elevated permissions. Um sie zu schützen, gelten für das Ändern von Kennwörtern von Administratoren die folgenden Einschränkungen:To secure them, the following restrictions apply to changing passwords of administrators:

  • Lokale Enterprise-Administratoren oder Domänenadministratoren können ihr Kennwort nicht mithilfe von SSPR zurücksetzen.On-premises enterprise administrators or domain administrators cannot reset their password through SSPR. Sie können nur ihr Kennwort in ihrer lokalen Umgebung ändern.They can only change their password in their on-premises environment. Daher empfehlen wir, lokale AD-Administratorkonten nicht mit Azure AD zu synchronisieren.Thus, we recommend not syncing on-prem AD admin accounts to Azure AD.
  • Ein Administrator kann keine geheimen Fragen und Antworten als Methode zum Zurücksetzen von Kennwörtern verwenden.An administrator cannot use secret Questions & Answers as a method to reset password.

Umgebungen mit mehreren IdentitätsverwaltungssystemenEnvironments with multiple identity management systems

Wenn es innerhalb einer Umgebung mehrere Identitätsverwaltungssysteme gibt, z.B. lokale Identitäts-Manager wie Oracle AM, SiteMinder oder andere Systeme, müssen in Active Directory geschriebene Kennwörter möglicherweise mithilfe eines Tools wie PCNS (Password Change Notification Service) mit Microsoft Identity Manager (MIM) per Synchronisierung auf die anderen Systeme übertragen werden.If there are multiple identity management systems within an environment such as on-premises identity managers like Oracle AM, SiteMinder, or other systems, then passwords written to Active Directory may need to be synchronized to the other systems using a tool like the Password Change Notification Service (PCNS) with Microsoft Identity Manager (MIM). Informationen zu diesem komplexeren Szenario finden Sie im Artikel Bereitstellen des MIM-Benachrichtigungsdiensts für Kennwortänderungen auf einem Domänencontroller.To find information on this more complex scenario, see the article Deploy the MIM Password Change Notification Service on a domain controller.

Planen von Bereitstellung und Support für SSPRPlan deployment and support for SSPR

Einbeziehen der richtigen BeteiligtenEngage the right stakeholders

Fehler in Technologieprojekten sind in der Regel auf nicht erfüllte Erwartungen auf den Gebieten Auswirkungen, Ergebnisse und Zuständigkeiten zurückzuführen.When technology projects fail, they typically do so due to mismatched expectations on impact, outcomes, and responsibilities. Um diese Fallstricke zu vermeiden, achten Sie darauf, die richtigen Beteiligten einzubeziehen und die Rolle der Beteiligten präzise zu definieren, indem Sie die Beteiligten, ihren Projektbeitrag und ihre Zuständigkeiten dokumentieren.To avoid these pitfalls, ensure that you are engaging the right stakeholders, and that stakeholder roles in the project are well understood by documenting the stakeholders and their project input and accountability.

KommunikationspläneCommunications plan

Kommunikation ist ein kritischer Faktor für den Erfolg jedes neuen Diensts.Communication is critical to the success of any new service. Kommunizieren Sie proaktiv mit Ihren Benutzern darüber, wie der Dienst verwendet werden soll und was sie tun können, wenn etwas nicht wie erwartet funktioniert.Proactively communicate with your users how to use the service and what they can do to get help if something doesn’t work as expected. Lesen Sie die Self-service password reset rollout materials on the Microsoft download center (Rolloutmaterialien zur Self-Service-Kennwortzurücksetzung im Microsoft-Downloadcenter), um Ideen zum Planen Ihrer Endbenutzer-Kommunikationsstrategie zu erhalten.Review the Self-service password reset rollout materials on the Microsoft download center for ideas on how to plan your end-user communication strategy.

TestplanTesting plan

Um sicherzustellen, dass Ihre Bereitstellung wie erwartet funktioniert, sollten Sie eine Reihe von Testfällen planen, die Sie zum Überprüfen der Implementierung verwenden.To ensure that your deployment works as expected, you should plan out a set of test cases you will use to validate the implementation. Die folgende Tabelle enthält einige nützliche Testszenarien, die Sie zum Dokumentieren der auf der Grundlage Ihrer Richtlinien erwarteten Ergebnisse für Ihre Organisation verwenden können.The following table includes some useful test scenarios you can use to document your organizations expected results based on your policies.

GeschäftsszenarioBusiness case Erwartetes ErgebnisExpected result
Auf das SSPR-Portal kann aus dem Unternehmensnetzwerk zugegriffen werdenSSPR portal is accessible from within the corporate network Von Ihrer Organisation bestimmtDetermined by your organization
Auf das SSPR-Portal kann von außerhalb des Unternehmensnetzwerks zugegriffen werdenSSPR portal is accessible from outside the corporate network Von Ihrer Organisation bestimmtDetermined by your organization
Benutzerkennwort im Browser zurücksetzen, wenn für den Benutzer keine Kennwortzurücksetzung aktiviert istReset user password from browser when user is not enabled for password reset Der Benutzer kann nicht auf den Workflow zur Kennwortzurücksetzung zugreifenUser is not able to access the password reset flow
Benutzerkennwort im Browser zurücksetzen, wenn sich der Benutzer nicht für die Kennwortzurücksetzung registriert hatReset user password from browser when user has not registered for password reset Der Benutzer kann nicht auf den Workflow zur Kennwortzurücksetzung zugreifenUser is not able to access the password reset flow
Der Benutzer meldet sich an, wenn die Registrierung zur Kennwortzurücksetzung durchgesetzt wirdUser signs in when password reset registration is enforced Der Benutzer wird aufgefordert, Sicherheitsinformationen zu registrierenUser is prompted to register security information
Der Benutzer meldet sich an, wenn die Registrierung zur Kennwortzurücksetzung abgeschlossen istUser signs in when password reset registration has been completed Der Benutzer wird nicht aufgefordert, Sicherheitsinformationen zu registrierenUser is not prompted to register security information
Auf das SSPR-Portal kann zugegriffen werden, wenn der Benutzer keine Lizenz besitztSSPR portal is accessible when the user does not have a license Zugriff möglichIs accessible
Setzen Sie das Benutzerkennwort in Windows 10 AADJ oder dem H+AADJ-Gerätesperrbildschirm zurück, nachdem sich der Benutzer registriert hatReset user password from Windows 10 AADJ or H+AADJ device lock screen after user has registered Benutzer kann Kennwort zurücksetzenUser can reset password
SSPR-Registrierungs- und Nutzungsdaten stehen Administratoren nahezu in Echtzeit zur VerfügungSSPR registration and usage data are available to administrators in near real time Über die Überwachungsprotokolle verfügbarIs available via audit logs

SupportplanSupport plan

Zwar bringt SSPR normalerweise keine Benutzerprobleme mit sich, es ist aber wichtig, über vorbereitete Supportmitarbeiter zu verfügen, die darauf vorbereitet sind, sich mit möglicherweise auftretenden Problemen zu befassen.While SSPR does not typically create user issues, it is important to have support staff prepared to deal with issues that may arise.

Zwar kann ein Administrator das Kennwort für Endbenutzer im Azure AD-Portal ändern oder zurücksetzen, es ist aber sinnvoller, die Lösung des Problems durch einen Self-Service-Supportprozess zu unterstützen.While an administrator can change or reset the password for end users through the Azure AD portal, it is better to help resolve the issue via a self-service support process.

Erstellen Sie im Abschnitt dieses Dokuments, das den Betriebsleitfaden enthält, eine Liste von Supportfällen und ihre wahrscheinlichen Ursachen, und erstellen Sie einen Leitfaden zur Behebung.In the operational guide section of this document, create a list of support cases and their likely causes, and create a guide for resolution.

Überwachung und BerichterstellungAuditing and reporting

Nach einer Bereitstellung möchten viele Organisationen wissen, wie oder ob Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) tatsächlich verwendet wird.After deployment, many organizations want to know how or if self-service password reset (SSPR) is really being used. Über die Berichtsfunktion, die von Azure Active Directory (Azure AD) bereitgestellt wird, können Sie Fragen beantworten, indem Sie vordefinierte Berichte verwenden.The reporting feature that Azure Active Directory (Azure AD) provides helps you answer questions by using prebuilt reports.

Überwachungsprotokolle für die Registrierung und die Kennwortzurücksetzung sind 30 Tage lang verfügbar.Audit logs for registration and password reset are available for 30 days. Wenn die Sicherheitsüberwachung innerhalb eines Unternehmens eine längere Aufbewahrungszeit erfordert, müssen die Protokolle exportiert und in einem SIEM-Tool wie etwa Azure Sentinel, Splunk oder ArcSight genutzt werden.Therefore, if security auditing within a corporation requires longer retention, the logs need to be exported and consumed into a SIEM tool such as Azure Sentinel, Splunk, or ArcSight.

Dokumentieren Sie in einer Tabelle wie der unten abgebildeten den Sicherungszeitplan, das System und die zuständigen Parteien.In a table, like the one below, document the backup schedule, the system, and the responsible parties. Möglicherweise benötigen Sie keine separaten Überwachungs- und Berichtssicherungen, Sie sollten aber über eine separate Sicherung verfügen, aus der Sie im Fall eines Problems eine Wiederherstellung durchführen können.You may not need separate auditing and reporting backups, but you should have a separate backup from which you can recover from an issue.

DownloadhäufigkeitFrequency of download ZielsystemTarget system Verantwortliche ParteiResponsible party
ÜberwachungssicherungAuditing backup
BerichtssicherungReporting backup
Sicherung zur NotfallwiederherstellungDisaster recovery backup

ImplementierungImplementation

Die Implementierung erfolgt in drei Phasen:Implementation occurs in three stages:

  • Konfigurieren von Benutzern und LizenzenConfigure users and licenses
  • Konfigurieren von Azure AD-SSPR für Registrierung und Self-ServiceConfigure Azure AD SSPR for registration and self-service
  • Konfigurieren von Azure AD Connect für das KennwortrückschreibenConfigure Azure AD Connect for password writeback

Kommunizieren der ÄnderungCommunicate the change

Beginnen Sie mit der Implementierung des Kommunikationsplans, den Sie in der Planungsphase entwickelt haben.Begin implementation of the communications plan that you developed in the planning phase.

Stellen Sie sicher, dass Gruppen erstellt und aufgefüllt werdenEnsure groups are created and populated

Ziehen Sie die Referenzinformationen im Abschnitt „Planen der Methoden zur Kennwortauthentifizierung“ zu Rate, und stellen Sie sicher, dass die Gruppe(n) für die Pilot- oder Produktionsimplementierung verfügbar sind und den Gruppen alle Benutzer hinzugefügt wurden.Reference the Planning password authentication methods section and ensure the group(s) for the pilot or production implementation are available, and all appropriate users are added to the groups.

Anwenden von LizenzenApply licenses

Den Gruppen, die Sie implementieren möchten, muss die Azure AD-Premiumlizenz zugewiesen sein.The groups you are going to implement must have the Azure AD premium license assigned to them. Sie können Lizenzen direkt zu Gruppen zuweisen oder vorhandene Lizenzrichtlinien verwenden, etwa mithilfe von PowerShell oder gruppenbasierter Lizenzierung.You can assign licenses directly to the group, or you can use existing license policies such as through PowerShell or Group-Based Licensing.

Information über das Zuweisen von Lizenzen zu Gruppen von Benutzern finden Sie im Artikel Zuweisen von Lizenzen zu Benutzern nach Gruppenmitgliedschaft in Azure Active Directory.Information about assigning licenses to groups of users can be found in the article, Assign licenses to users by group membership in Azure Active Directory.

Konfigurieren von SSPRConfigure SSPR

Aktivieren von Gruppen für SSPREnable groups for SSPR

  1. Greifen Sie auf das Azure-Portal mit einem Administratorkonto zu.Access the Azure portal with an administrator account.
  2. Wählen Sie „Alle Dienste“ aus, geben Sie dann im Filterfeld „Azure Active Directory“ ein, und wählen Sie „Azure Active Directory“ aus.Select All Services, and in the Filter box, type Azure Active Directory, and then select Azure Active Directory.
  3. Wählen Sie auf dem Blatt „Active Directory“ die Option „Kennwortzurücksetzung“ aus.On the Active Directory blade, select Password reset.
  4. Wählen Sie im Eigenschaftenbereich „Ausgewählt“ aus.In the properties pane, select Selected. Wenn Sie alle Benutzer aktivieren möchten, wählen Sie „Alle auswählen“ aus.If you want all users enabled, Select All.
  5. Geben Sie auf dem Blatt „Richtlinie für die Zurücksetzung des Standardkennworts“ den Namen der ersten Gruppe ein, wählen Sie ihn aus, klicken Sie unten auf dem Bildschirm auf „Auswählen“, und wählen Sie dann oben auf dem Bildschirm „Speichern“ aus.In the Default password reset policy blade, type the name of the first group, select it, and then click Select at the bottom of the screen, and select Save at the top of the screen.
  6. Wiederholen Sie diesen Vorgang für jede Gruppe.Repeat this process for each group.

Konfigurieren der AuthentifizierungsmethodenConfigure the authentication methods

Beziehen Sie sich anhand des Abschnitts „Planen von Methoden zur Kennwortauthentifizierung“ in diesem Dokument auf Ihre Planung.Reference your planning from the Planning Password Authentication Methods section of this document.

  1. Wählen Sie „Registrierung“ aus, wählen Sie unter „Registrierung von Benutzern bei der Anmeldung verlangen“ „Ja“ aus, legen Sie dann die Anzahl Tage bis zum Ablauf fest, und wählen Sie „Speichern“ aus.Select Registration, under Require user to register when signing in, select Yes, and then set the number of days before expiration, and then select Save.
  2. Wählen Sie „Benachrichtigung“ aus, konfigurieren Sie gemäß Ihrem Plan, und wählen Sie dann „Speichern“ aus.Select Notification, and configure per your plan, and then select Save.
  3. Wählen Sie „Anpassung“ aus, konfigurieren Sie gemäß Ihrem Plan, und wählen Sie dann „Speichern“ aus.Select Customization, and configure per your plan, and then select Save.
  4. Wählen Sie „Lokale Integration“ aus, konfigurieren Sie gemäß Ihrem Plan, und wählen sie dann „Speichern“ aus.Select On-premises integration, and configure per your plan, and then select Save.

Aktivieren von SSPR in WindowsEnable SSPR in Windows

Windows 10-Geräte, die Version 1803 oder höher ausführen und entweder Mitglied von Azure AD oder von einer Azure AD-Hybridumgebung sind, können ihre Kennwörter am Windows-Anmeldebildschirm zurücksetzen.Windows 10 devices running version 1803 or higher that are either Azure AD joined or hybrid Azure AD joined can reset their passwords at the Windows login screen. Informationen und Schritte zum Konfigurieren dieser Funktion finden Sie im Artikel Azure AD-Kennwortzurücksetzung über den AnmeldebildschirmInformation and steps to configure this capability can be found in the article Azure AD password reset from the login screen

Konfigurieren von KennwortrückschreibenConfigure password writeback

Schritte zum Konfigurieren des Kennwortrückschreibens für Ihre Organisation finden Sie im Artikel Gewusst wie: Konfigurieren von Kennwortrückschreiben.Steps to configure password writeback for your organization can be found in the article How-to: Configure password writeback.

Verwalten von SSPRManage SSPR

Für die Verwaltung von Funktionen im Zusammenhang mit der Self-Service-Kennwortzurücksetzung erforderliche Rollen.Required roles to manage features associated with self-service password reset.

Geschäftliche Rolle/PersonaBusiness role/persona Azure AD-Rolle (sofern erforderlich)Azure AD Role (if necessary)
Helpdesk Ebene 1Level 1 Helpdesk KennwortadministratorPassword administrator
Helpdesk Ebene 2Level 2 Helpdesk BenutzeradministratorUser administrator
SSPR-AdministratorSSPR Administrator Globaler AdministratorGlobal administrator

SupportszenarienSupport scenarios

Um den Erfolg Ihres Supportteams zu ermöglichen, können Sie auf der Grundlage der Fragen, die Ihnen von Benutzern gestellt werden, ein Dokument mit häufig gestellten Fragen erstellen.To enable your support team success, you can create an FAQ based on questions you receive from your users. Die folgende Tabelle enthält häufige Supportszenarien.The following table contains common support scenarios.

SzenarienScenarios BESCHREIBUNGDescription
Dem Benutzer stehen keine registrierten Authentifizierungsmethoden zur VerfügungUser does not have any registered authentication methods available Ein Benutzer versucht, sein Kennwort zurückzusetzen, es ist aber keine der für ihn registrierten Authentifizierungsmethoden verfügbar (Beispiel: Handy zu Hause vergessen und kein Zugriff auf die E-Mail)A user is trying to reset their password but does not have any of the authentication methods that they registered available (Example: they left their cell phone at home and can’t access email)
Der Benutzer empfängt keine SMS und keinen Anruf auf seinem Büro- oder MobiltelefonUser is not receiving a text or call on their office or mobile phone Ein Benutzer versucht, seine Identität per SMS oder Anruf zu bestätigen, empfängt aber keine SMS/keinen Anruf.A user is trying to verify their identity via text or call but is not receiving a text/call.
Benutzer können nicht auf das Portal für die Kennwortzurücksetzung zugreifenUser cannot access the password reset portal Ein Benutzer möchte sein Kennwort zurücksetzen, ist aber nicht für die Kennwortzurücksetzung aktiviert und kann daher nicht auf die Seite zum Aktualisieren von Kennwörtern zugreifen.A user wants to reset their password but is not enabled for password reset and therefore cannot access the page to update passwords.
Ein Benutzer kann kein neues Kennwort festlegenUser cannot set a new password Ein Benutzer schließt die Überprüfung während des Kennwortzurücksetzungs-Workflows ab, kann aber kein neues Kennwort festlegen.A user completes verification during the password reset flow but cannot set a new password.
Ein Benutzer sieht auf einem Windows 10-Gerät keinen Link „Kennwort zurücksetzen“User does not see a Reset Password link on a Windows 10 device Ein Benutzer versucht, sein Kennwort auf dem Windows 10-Sperrbildschirm zurückzusetzen, das Gerät ist aber entweder kein Azure AD-Mitglied, oder die Intune-Geräterichtlinie ist nicht aktiviertA user is trying to reset password from the Windows 10 lock screen, but the device is either not joined to Azure AD, or the Intune device policy is not enabled

Für weiterführende Problembehandlung kann es auch sinnvoll sein, Informationen wie die folgenden mit aufzunehmen.You may also want to include information such as the following for additional troubleshooting.

  • Welche Gruppen sind für SSPR aktiviertWhich groups are enabled for SSPR.
  • Welche Authentifizierungsmethoden sind konfiguriertWhich authentication methods are configured.
  • Die Zugriffsrichtlinien für das UnternehmensnetzwerkThe access policies related to on or of the corporate network.
  • Schritte zur Problembehandlung bei häufigen SzenarienTroubleshooting steps for common scenarios.

Sie können auch unsere Onlinedokumentation zur Problembehandlung der Self-Service-Kennwortzurücksetzung zu Rate ziehen, um allgemeine Problembehandlungsschritte für die gängigsten SSPR-Szenarien zu verstehen.You can also refer to our online documentation on troubleshooting self-service password reset to understand general troubleshooting steps for the most common SSPR scenarios.

Nächste SchritteNext steps