Gewusst wie: Aktivieren der Kennwortzurücksetzung über den Windows-AnmeldebildschirmHow to: Enable password reset from the Windows login screen

Für Computer, auf denen Windows 7, 8, 8.1 oder 10 ausgeführt wird, können Sie es Benutzern ermöglichen, ihr Kennwort auf dem Windows-Anmeldebildschirm zurückzusetzen.For machines running Windows 7, 8, 8.1, and 10 you can enable users to reset their password at the Windows login screen. Die Benutzer müssen nicht mehr ein Gerät mit einem Webbrowser suchen, um auf das SSPR-Portal zuzugreifen.Users no longer have to find a device with a web browser to access the SSPR portal.

Beispiel für Windows 7- und Windows 10-Anmeldebildschirm mit angezeigtem SSPR-Link

Allgemeine EinschränkungenGeneral limitations

  • Die Kennwortzurücksetzung wird für Remotedesktop oder über erweiterte Hyper-V-Sitzungen derzeit nicht unterstützt.Password reset is not currently supported from a Remote Desktop or from Hyper-V enhanced sessions.
  • Dieses Feature funktioniert nicht für Netzwerke mit 802.1x-Netzwerkauthentifizierung und der Option „Unmittelbar vor der Benutzeranmeldung ausführen“.This feature does not work for networks with 802.1x network authentication deployed and the option “Perform immediately before user logon”. In Netzwerken mit 802.1x-Netzwerkauthentifizierung empfiehlt es sich, die Computerauthentifizierung zu verwenden, um dieses Feature zu aktivieren.For networks with 802.1x network authentication deployed it is recommended to use machine authentication to enable this feature.
  • In Hybrid Azure AD eingebundene Computer müssen über eine direkte Netzwerkverbindung mit einem Domänencontroller verfügen, um das neue Kennwort verwenden und zwischengespeicherte Anmeldeinformationen aktualisieren zu können.Hybrid Azure AD joined machines must have network connectivity line of sight to a domain controller to use the new password and update cached credentials.
  • Wenn Sie ein Image verwenden, stellen Sie vor dem Ausführen von Sysprep sicher, dass der Webcache für den integrierten Administrator vor der Durchführung des CopyProfile-Schritts gelöscht ist.If using an image, prior to running sysprep ensure that the web cache is cleared for the built-in Administrator prior to performing the CopyProfile step. Weitere Informationen zu diesem Schritt finden Sie im Supportartikel Schlechte Leistung bei Verwendung eines benutzerdefinierten Standardbenutzerprofils.More information about this step can be found in the support article Performance poor when using custom default user profile.
  • Bei den folgenden Einstellungen ist bekannt, dass sie die Möglichkeit zum Verwenden und Zurücksetzen von Kennwörtern auf Windows 10-Geräten beeinträchtigen:The following settings are known to interfere with the ability to use and reset passwords on Windows 10 devices
    • Wenn in Windows 10-Versionen vor v1809 die Richtlinie STRG+ALT+ENTF vorschreibt, funktioniert Kennwort zurücksetzen nicht.If Ctrl+Alt+Del is required by policy in versions of Windows 10 before v1809, Reset password will not work.
    • Wenn Benachrichtigungen bei gesperrtem Bildschirm deaktiviert sind, funktioniert Kennwort zurücksetzen nicht.If lock screen notifications are turned off, Reset password will not work.
    • „HideFastUserSwitching“ ist auf „Aktiviert“ oder „1“ festgelegt.HideFastUserSwitching is set to enabled or 1
    • „DontDisplayLastUserName“ ist auf „Aktiviert“ oder auf „1“ festgelegt.DontDisplayLastUserName is set to enabled or 1
    • „NoLockScreen“ ist auf „Aktiviert“ oder „1“ festgelegt.NoLockScreen is set to enabled or 1
    • „EnableLostMode“ ist auf dem Gerät festgelegt.EnableLostMode is set on the device
    • „Explorer.exe“ wird durch eine benutzerdefinierte Shell ersetzt.Explorer.exe is replaced with a custom shell
  • Die Kombination der folgenden drei Einstellungen kann dazu führen, dass dieses Feature fehlschlägt.The combination of the following specific three settings can cause this feature to not work.
    • Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich = DeaktiviertInteractive logon: Do not require CTRL+ALT+DEL = Disabled
    • DisableLockScreenAppNotifications = 1 oder „Aktiviert“DisableLockScreenAppNotifications = 1 or Enabled
    • IsContentDeliveryPolicyEnforced = 1 oder „True“IsContentDeliveryPolicyEnforced = 1 or True

Windows 10-KennwortzurücksetzungWindows 10 password reset

Voraussetzungen für Windows 10Windows 10 prerequisites

  • Ein Administrator muss die Self-Service-Kennwortzurücksetzung in Azure AD über das Azure-Portal aktivieren.An administrator must enable Azure AD self-service password reset from the Azure portal.
  • Benutzer müssen sich für SSPR registrieren, bevor sie diese Funktion verwenden können.Users must register for SSPR before using this feature
  • Anforderungen an NetzwerkproxyNetwork proxy requirements
    • Windows 10-GeräteWindows 10 devices
      • Port 443 für passwordreset.microsoftonline.com und ajax.aspnetcdn.comPort 443 to passwordreset.microsoftonline.com and ajax.aspnetcdn.com
      • Windows 10-Geräte unterstützen nur die Proxykonfiguration auf Computerebene.Windows 10 devices only support machine-level proxy configuration
  • Es muss mindestens Windows 10 mit dem Update vom April 2018 (v1803) ausgeführt werden, und die Geräte müssen eine der folgenden Voraussetzungen erfüllen:Run at least Windows 10, version April 2018 Update (v1803), and the devices must be either:
    • In Azure AD eingebundenAzure AD joined
    • Hybrid in Azure AD eingebundenHybrid Azure AD joined

Aktivieren für Windows 10 mithilfe von IntuneEnable for Windows 10 using Intune

Die Bereitstellung der Konfigurationsänderung zum Aktivieren der Kennwortzurücksetzung über den Anmeldebildschirm mithilfe von Intune ist die flexibelste Methode.Deploying the configuration change to enable password reset from the login screen using Intune is the most flexible method. Mit Intune können Sie die Konfigurationsänderung für eine bestimmte Gruppe von Computern bereitstellen, die Sie definieren.Intune allows you to deploy the configuration change to a specific group of machines you define. Diese Methode erfordert die Registrierung des Gerätes über Intune.This method requires Intune enrollment of the device.

Erstellen einer Richtlinie für die Gerätekonfiguration in IntuneCreate a device configuration policy in Intune

  1. Melden Sie sich beim Azure-Portal an, und klicken Sie auf Intune.Sign in to the Azure portal and click on Intune.
  2. Erstellen Sie ein neues Profil für die Gerätekonfiguration, indem Sie zu Gerätekonfiguration > Profile > Profil erstellen navigieren.Create a new device configuration profile by going to Device configuration > Profiles > Create Profile
    • Geben Sie einen aussagekräftigen Namen für das Profil an.Provide a meaningful name for the profile
    • Geben Sie optional eine aussagekräftige Beschreibung des Profils an.Optionally provide a meaningful description of the profile
    • Plattform Windows 10 und höherPlatform Windows 10 and later
    • Profiltyp BenutzerdefiniertProfile type Custom
  3. Konfigurieren von EinstellungenConfigure Settings
    • Fügen Sie mit Hinzufügen die folgende OMA-URI-Einstellung hinzu, um den Link „Kennwort zurücksetzen“ zu aktivieren.Add the following OMA-URI Setting to enable the Reset password link
      • Geben Sie einen aussagekräftigen Namen an, um den Zweck der Einstellung zu verdeutlichen.Provide a meaningful name to explain what the setting is doing
      • Geben Sie optional eine aussagekräftige Beschreibung der Einstellung an.Optionally provide a meaningful description of the setting
      • Festlegung von OMA-URI auf ./Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordResetOMA-URI set to ./Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
      • Festlegung von Data type auf IntegerData type set to Integer
      • Festlegung von Value auf 1Value set to 1
      • Klicken Sie auf OKClick OK
    • Klicken Sie auf OKClick OK
  4. Klicken Sie auf ErstellenClick Create
  5. Diese Richtlinie kann bestimmten Benutzern, Geräten oder Gruppen zugewiesen werden.This policy can be assigned to specific users, devices, or groups. Weitere Informationen finden Sie im Artikel Zuweisen von Benutzer- und Geräteprofilen in Microsoft Intune.More information can be found in the article Assign user and device profiles in Microsoft Intune.

Aktivieren für Windows 10 mithilfe der RegistrierungEnable for Windows 10 using the Registry

  1. Melden Sie sich mit Administratoranmeldeinformationen beim Windows-PC an.Sign in to the Windows PC using administrative credentials
  2. Führen Sie den Befehl regedit als Administrator aus.Run regedit as an administrator
  3. Legen Sie den folgenden Registrierungsschlüssel fest:Set the following registry key
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      • "AllowPasswordReset"=dword:00000001

Behandeln von Problemen bei der Windows 10-KennwortzurücksetzungTroubleshooting Windows 10 password reset

Das Azure AD-Überwachungsprotokoll enthält Informationen zur IP-Adresse und zum Clienttyp, für die das Kennwort zurückgesetzt wurde.The Azure AD audit log will include information about the IP address and ClientType where the password reset occurred.

Beispiel: Kennwortzurücksetzung unter Windows 7 im Azure AD-Überwachungsprotokoll

Wenn Benutzer ihr Kennwort über den Anmeldebildschirm eines Windows 10-Geräts zurücksetzen, wird ein temporäres Konto mit niedrigen Berechtigungen mit dem Namen defaultuser1 erstellt.When users reset their password from the login screen of a Windows 10 device, a low-privilege temporary account called defaultuser1 is created. Mit diesem Konto wird der Vorgang zur Kennwortzurücksetzung geschützt.This account is used to keep the password reset process secure. Für das Konto selbst ist ein zufällig generiertes Kennwort festgelegt. Das Konto wird außerdem nicht für die Geräteanmeldung angezeigt und wird nach dem Zurücksetzen des Kennworts durch den Benutzer automatisch entfernt.The account itself has a randomly generated password, doesn’t show up for device sign-in, and will automatically be removed after the user resets their password. Unter Umständen sind mehrere Profile vom Typ defaultuser vorhanden, sie können jedoch ignoriert werden.Multiple defaultuser profiles may exist but can be safely ignored.

Kennwortzurücksetzung für Windows 7, 8 und 8.1Windows 7, 8, and 8.1 password reset

Voraussetzungen für Windows 7, 8 und 8.1Windows 7, 8, and 8.1 prerequisites

  • Ein Administrator muss die Self-Service-Kennwortzurücksetzung in Azure AD über das Azure-Portal aktivieren.An administrator must enable Azure AD self-service password reset from the Azure portal.
  • Benutzer müssen sich für SSPR registrieren, bevor sie diese Funktion verwenden können.Users must register for SSPR before using this feature
  • Anforderungen an NetzwerkproxyNetwork proxy requirements
    • Geräte mit Windows 7, 8 und 8.1Windows 7, 8, and 8.1 devices
      • Port 443 für passwordreset.microsoftonline.comPort 443 to passwordreset.microsoftonline.com
  • Gepatchtes Windows 7- oder Windows 8.1-Betriebssystem.Patched Windows 7 or Windows 8.1 Operating System.
  • TLS 1.2 wurde gemäß der Anleitung unter Registrierungseinstellungen für Transport Layer Security (TLS) aktiviert.TLS 1.2 enabled using the guidance found in Transport Layer Security (TLS) registry settings.
  • Wenn auf Ihrem Computer mehrere Drittanbieter von Anmeldeinformationen aktiviert sind, sehen Benutzer mehrere Benutzerprofile auf dem Anmeldebildschirm.If more than one 3rd party credential provider is enabled on your machine, users will see more than one user profile on the login screen.

Warnung

TLS 1.2 muss aktiviert sein. Die Einstellung „Automatische Aushandlung“ reicht nicht aus.TLS 1.2 must be enabled, not just set to auto negotiate

InstallierenInstall

  1. Laden Sie das Installationsprogramm für die Windows-Version herunter, die Sie aktivieren möchten.Download the appropriate installer for the version of Windows you would like to enable.
  2. Melden Sie sich auf dem Computer an, auf dem Sie installieren möchten, und führen Sie das Installationsprogramm aus.Sign in to the machine where you would like to install, and run the installer.
  3. Ein Neustart nach der Installation wird dringend empfohlen.After installation, a reboot is highly recommended.
  4. Wählen Sie nach dem Neustart auf dem Anmeldebildschirm einen Benutzer aus, und klicken Sie auf „Kennwort vergessen?“,After the reboot, at the login screen choose a user and click "Forgot password?" um den Workflow zur Kennwortzurücksetzung zu initiieren.to initiate the password reset workflow.
  5. Schließen Sie den Workflow mit den folgenden Schritten auf dem Bildschirm ab, um Ihr Kennwort zurückzusetzen.Complete the workflow following the onscreen steps to reset your password.

Beispiel: Windows 7 mit angeklickter Option „Kennwort vergessen?“

Automatische InstallationSilent installation

  • Verwenden Sie für die automatische Installation den Befehl „msiexec /i SsprWindowsLogon.PROD.msi /qn“.For silent install, use the command “msiexec /i SsprWindowsLogon.PROD.msi /qn”
  • Verwenden Sie für die automatische Deinstallation den Befehl „msiexec /x SsprWindowsLogon.PROD.msi /qn“.For silent uninstall, use the command “msiexec /x SsprWindowsLogon.PROD.msi /qn”

Behandeln von Problemen bei der Kennwortzurücksetzung für Windows 7, 8 und 8.1Troubleshooting Windows 7, 8, and 8.1 password reset

Ereignisse werden sowohl auf dem Computer als auch in Azure AD protokolliert.Events will be logged both on the machine and in Azure AD. Azure AD-Ereignisse enthalten Informationen zur IP-Adresse und zum Clienttyp, für die das Kennwort zurückgesetzt wurde.Azure AD Events will include information about the IP address and ClientType where the password reset occurred.

Beispiel: Kennwortzurücksetzung unter Windows 7 im Azure AD-Überwachungsprotokoll

Wenn zusätzliche Protokollierung erforderlich ist, kann ein Registrierungsschlüssel auf dem Computer geändert werden, um die ausführliche Protokollierung zu aktivieren.If additional logging is required, a registry key on the machine can be changed to enable verbose logging. Aktivieren Sie die ausführliche Protokollierung nur zur Problembehandlung.Enable verbose logging for troubleshooting purposes only.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

  • Zum Aktivieren der ausführlichen Protokollierung erstellen Sie den Eintrag REG_DWORD: “EnableLogging”, und legen Sie ihn auf 1 fest.To enable verbose logging, create a REG_DWORD: “EnableLogging”, and set it to 1.
  • Um die ausführliche Protokollierung zu deaktivieren, ändern Sie REG_DWORD: “EnableLogging” in 0.To disable verbose logging, change the REG_DWORD: “EnableLogging” to 0.

Anzeige für BenutzerWhat do users see

Was ändert sich für den Benutzer, nachdem Sie die Kennwortzurücksetzung für die Windows-Geräte konfiguriert haben?Now that you have configured password reset for your Windows devices, what changes for the user? Wie erfahren sie, dass sie ihr Kennwort über den Anmeldebildschirm zurücksetzen können?How do they know that they can reset their password at the login screen?

Beispiel für Windows 7- und Windows 10-Anmeldebildschirm mit angezeigtem SSPR-Link

Wenn Benutzer versuchen, sich anzumelden, wird jetzt der Link Kennwort zurücksetzen oder Kennwort vergessen angezeigt. Mit diesen Links wird die Oberfläche für die Self-Service-Kennwortzurücksetzung auf dem Anmeldebildschirm geöffnet.When users attempt to sign in, they now see a Reset password or Forgot password link that opens the self-service password reset experience at the login screen. Mit dieser Funktion können Benutzer ihr Kennwort zurücksetzen, ohne ein anderes Gerät für den Zugriff auf einen Webbrowser verwenden zu müssen.This functionality allows users to reset their password without having to use another device to access a web browser.

Eine Anleitung für Benutzer zur Verwendung dieses Features befindet sich unter Ich habe mein Azure AD-Kennwort vergessen. Was nun?.Your users will find guidance for using this feature in Reset your work or school password

Nächste SchritteNext steps

Planen zulässiger AuthentifizierungsmethodenPlan authentication methods to allow

Konfigurieren von Windows 10Configure Windows 10