Tutorial: Aktivieren des Rückschreibens von Azure Active Directory-Self-Service-Kennzurücksetzungen in eine lokale Umgebung

Mit der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) in Azure Active Directory (Azure AD) können Benutzer über einen Webbrowser ihre Kennwörter aktualisieren oder ihre Konten entsperren. Wir empfehlen Ihnen dieses Video zum Aktivieren und Konfigurieren von SSPR in Azure AD. In einer Hybridumgebung, in der Azure AD mit einer lokalen Active Directory Domain Services-Umgebung (AD DS) verbunden ist, kann dieses Szenario dazu führen, dass sich Kennwörter zwischen den beiden Verzeichnissen unterscheiden.

Das Kennwortrückschreiben kann genutzt werden, um Kennwortänderungen in Azure AD mit Ihrer lokalen AD DS-Umgebung zu synchronisieren. Azure AD Connect bietet einen sicheren Mechanismus zum Zurücksenden dieser Kennwortänderungen in ein vorhandenes lokales Verzeichnis aus Azure AD.

Wichtig

In diesem Tutorial wird erläutert, wie ein Administrator die Self-Service-Kennwortzurücksetzung wieder in einer lokalen Umgebung aktiviert. Wenn Sie bereits als Endbenutzer für die Self-Service-Kennwortzurücksetzung registriert sind und wieder zu Ihrem Konto zurückkehren müssen, gehen Sie zu https://aka.ms/sspr.

Wenn Ihr IT-Team die Möglichkeit zum Zurücksetzen Ihres eigenen Kennworts nicht aktiviert hat, wenden Sie sich an den Helpdesk, um weitere Unterstützung zu erhalten.

In diesem Tutorial lernen Sie Folgendes:

  • Konfigurieren der erforderlichen Berechtigungen für das Kennwortrückschreiben
  • Aktivieren der Option für das Kennwortrückschreiben in Azure AD Connect
  • Aktivieren des Kennwortrückschreibens in Azure AD-SSPR

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:

Konfigurieren der Kontoberechtigungen für Azure AD Connect

Mithilfe von Azure AD Connect können Sie Benutzer, Gruppen und Anmeldeinformationen zwischen einer lokalen AD DS-Umgebung und Azure AD synchronisieren. In der Regel installieren Sie Azure AD Connect auf einem Computer mit Windows Server 2016 oder höher, der in die lokale AD DS-Domäne eingebunden ist.

Damit Sie das SSPR-Rückschreiben ordnungsgemäß verwenden können, müssen für das in Azure AD Connect angegebene Konto die entsprechenden Berechtigungen und Optionen festgelegt sein. Wenn Sie nicht sicher sind, welches Konto derzeit verwendet wird, öffnen Sie Azure AD Connect, und wählen Sie die Option Aktuelle Konfiguration anzeigen aus. Das Konto, dem Sie Berechtigungen hinzufügen müssen, wird unter Synchronisierte Verzeichnisse angezeigt. Für das Konto müssen die folgenden Berechtigungen und Optionen festgelegt werden:

  • Zurücksetzen des Kennworts
  • Schreibberechtigungen auf lockoutTime
  • Schreibberechtigungen auf pwdLastSet
  • Erweiterte Rechte für „Abgelaufenes Kennwort wiederherstellen“ für das Stammobjekt jeder Domäne in dieser Gesamtstruktur, sofern noch nicht festgelegt.

Wenn Sie diese Berechtigungen nicht zuweisen, ist das Rückschreiben scheinbar ordnungsgemäß konfiguriert, Benutzer erhalten jedoch Fehler bei dem Versuch, ihre lokalen Kennwörter über die Cloud zu verwalten. Bei der Einstellung von „Passwort aufheben“ in Active Directory muss es auf Dieses Objekt und alle untergeordneten Objekte, Nur dieses Objekt oder Alle untergeordneten Objekte angewendet werden, oder die „Passwort aufheben“-Berechtigung kann nicht angezeigt werden.

Tipp

Wenn Kennwörter für einige Benutzerkonten nicht in das lokale Verzeichnis zurückgeschrieben werden, stellen Sie sicher, dass die Vererbung für das Konto in der lokalen AD DS-Umgebung nicht deaktiviert ist. Schreibberechtigungen für Kennwörter müssen auf Nachfolgerobjekte angewendet werden, damit die Funktion ordnungsgemäß funktioniert.

Um die entsprechenden Berechtigungen für das Kennwortrückschreiben einzurichten, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie in Ihrer lokalen AD DS-Umgebung Active Directory-Benutzer und -Computer mit einem Konto, das geeignete Domänenadministratorberechtigungen hat.

  2. Vergewissern Sie sich, dass im Menü Ansicht die Option Erweiterte Features aktiviert ist.

  3. Klicken Sie im linken Bereich mit der rechten Maustaste auf das Objekt, das den Stamm der Domäne repräsentiert, und wählen Sie Eigenschaften>Sicherheit>Erweitert aus.

  4. Wählen Sie auf der Registerkarte Berechtigungen die Option Hinzufügen aus.

  5. Wählen Sie unter Prinzipal das Konto aus, auf das die Berechtigungen angewendet werden sollen (das von Azure AD Connect verwendete Konto).

  6. Wählen Sie in der Dropdownliste Gilt für den Eintrag Nachfolgerbenutzerobjekte aus.

  7. Aktivieren Sie unter Berechtigungen das Kontrollkästchen für die folgende Option:

    • Zurücksetzen des Kennworts
  8. Aktivieren Sie unter Eigenschaften die Kontrollkästchen für folgende Optionen. Scrollen Sie durch die Liste, um zu diesen Optionen zu gelangen. Möglicherweise sind sie bereits standardmäßig festgelegt:

    • lockoutTime schreiben
    • pwdLastSet schreiben

    Set the appropriate permissions in Active Users and Computers for the account that is used by Azure AD Connect

  9. Wählen Sie abschließend Übernehmen/OK aus, um die Änderungen zu übernehmen und alle geöffneten Dialogfelder zu schließen.

Wenn Sie Berechtigungen aktualisieren, kann es bis zu einer Stunde oder länger dauern, bis diese Berechtigungen an alle Objekte in Ihrem Verzeichnis repliziert wurden.

Kennwortrichtlinien in der lokalen AD DS-Umgebung verhindern unter Umständen, dass Kennwortzurücksetzungen ordnungsgemäß verarbeitet werden. Damit Kennwortrückschreiben möglichst effizient funktioniert, muss die Gruppenrichtlinie für Minimales Kennwortalter auf „0“ festgelegt werden. Diese Einstellung finden Sie in gpmc.msc unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien.

Warten Sie beim Aktualisieren der Gruppenrichtlinie, bis die aktualisierte Richtlinie repliziert wurde, oder verwenden Sie den Befehl gpupdate /force.

Hinweis

Wenn Sie Benutzern erlauben müssen, Kennwörter mehr als einmal täglich zu ändern oder zurückzusetzen, muss Mindestalter für Kennwörter auf 0 festgelegt werden. Das Kennwortrückschreiben funktioniert, nachdem lokale Kennwortrichtlinien erfolgreich ausgewertet wurden.

Aktivieren des Kennwortrückschreibens in Azure AD Connect

Eine Konfigurationsoption in Azure AD Connect ist das Kennwortrückschreiben. Wenn diese Option aktiviert ist, führen Kennwortänderungsereignisse dazu, dass Azure AD Connect die aktualisierten Anmeldeinformationen wieder mit der lokalen AD DS-Umgebung synchronisiert.

Aktivieren Sie zum Aktivieren der SSPR zunächst die Rückschreiboption in Azure AD Connect. Führen Sie auf dem Azure AD Connect-Server die folgenden Schritte aus:

  1. Melden Sie sich bei Ihrem Azure AD Connect-Server an, und starten Sie den Azure AD Connect-Konfigurations-Assistenten.

  2. Wählen Sie auf der Seite Willkommen die Option Konfigurieren aus.

  3. Wählen Sie auf der Seite Weitere Aufgaben die Option Synchronisierungsoptionen anpassen aus, und wählen Sie dann Weiter aus.

  4. Geben Sie auf der Seite Mit Azure AD verbinden die Anmeldeinformationen eines globalen Administrators für Ihren Azure-Mandanten ein, und wählen Sie dann Weiter aus.

  5. Wählen Sie auf den Seiten Verzeichnisse verbinden und Domänen-/OE-Filterung die Schaltfläche Weiter aus.

  6. Aktivieren Sie auf der Seite Optionale Features das Kontrollkästchen neben Kennwortrückschreiben, und wählen Sie Weiter aus.

    Configure Azure AD Connect for password writeback

  7. Wählen Sie auf der Seite Verzeichniserweiterungen die Option Weiter aus.

  8. Wählen Sie auf der Seite Bereit zur Konfiguration die Option Konfigurieren aus, und warten Sie, bis der Vorgang abgeschlossen ist.

  9. Wenn Sie sehen, dass die Konfiguration beendet ist, wählen Sie Beenden aus.

Aktivieren des Kennwortrückschreibens für Self-Service-Kennwortzurücksetzung

Wenn das Kennwortrückschreiben in Azure AD Connect aktiviert ist, konfigurieren Sie die Azure AD-Self-Service-Kennwortzurücksetzung für das Rückschreiben. Wenn Sie SSPR für die Nutzung des Kennwortrückschreibens aktivieren, wird für Benutzer, die ihr Kennwort ändern oder zurücksetzen, dieses aktualisierte Kennwort ebenfalls wieder mit der lokalen AD DS-Umgebung synchronisiert.

Führen Sie zum Aktivieren des Kennwortrückschreibens in SSPR die folgenden Schritte aus:

  1. Melden Sie sich mit dem globalen Administratorkonto am Azure-Portal an.

  2. Suchen Sie nach Azure Active Directory, und wählen Sie die Option aus. Wählen Sie anschließend Kennwortzurücksetzung und dann Lokale Integration aus.

  3. Legen Sie die Option Kennwörter in Ihr lokales Verzeichnis zurückschreiben? auf Ja fest.

  4. Legen Sie die Option Benutzern das Entsperren von Konten ohne Zurücksetzen des Kennworts erlauben? auf Ja fest.

    Enable Azure AD self-service password reset for password writeback

  5. Wählen Sie Speichern aus, wenn Sie so weit sind.

Bereinigen von Ressourcen

Wenn Sie die im Rahmen dieses Tutorials konfigurierte Funktionalität für SSPR-Rückschreiben nicht mehr nutzen möchten, gehen Sie wie folgt vor:

  1. Melden Sie sich beim Azure-Portal an.
  2. Suchen Sie nach Azure Active Directory, und wählen Sie die Option aus. Wählen Sie anschließend Kennwortzurücksetzung und dann Lokale Integration aus.
  3. Legen Sie die Option Kennwörter in Ihr lokales Verzeichnis zurückschreiben? auf Nein fest.
  4. Legen Sie die Option Benutzern das Entsperren von Konten ohne Zurücksetzen des Kennworts erlauben? auf Nein fest.

Wenn Sie keine Kennwortfunktionalität mehr nutzen möchten, führen Sie auf dem Azure AD Connect-Server die folgenden Schritte aus:

  1. Melden Sie sich bei Ihrem Azure AD Connect-Server an, und starten Sie den Azure AD Connect-Konfigurations-Assistenten.
  2. Wählen Sie auf der Seite Willkommen die Option Konfigurieren aus.
  3. Wählen Sie auf der Seite Weitere Aufgaben die Option Synchronisierungsoptionen anpassen aus, und wählen Sie dann Weiter aus.
  4. Geben Sie auf der Seite Mit Azure AD verbinden die Anmeldeinformationen eines globalen Administrators für Ihren Azure-Mandanten ein, und wählen Sie dann Weiter aus.
  5. Wählen Sie auf den Seiten Verzeichnisse verbinden und Domänen-/OE-Filterung die Schaltfläche Weiter aus.
  6. Deaktivieren Sie auf der Seite Optionale Features das Kontrollkästchen neben Kennwortrückschreiben, und wählen Sie Weiter aus.
  7. Wählen Sie auf der Seite Bereit zur Konfiguration die Option Konfigurieren aus, und warten Sie, bis der Vorgang abgeschlossen ist.
  8. Wenn Sie sehen, dass die Konfiguration beendet ist, wählen Sie Beenden aus.

Wichtig

Das erstmalige Aktivieren des Kennwortrückschreibens kann auch dann die Kennwortänderungsereignisse 656 und 657 auslösen, wenn keine Kennwortänderung vorgenommen wurde. Dies liegt daran, dass alle Kennworthashes erneut synchronisiert werden, nachdem ein Kennwort-Hashsynchronisierungszyklus ausgeführt wurde.

Nächste Schritte

In diesem Tutorial haben Sie das Azure AD-SSPR-Rückschreiben für eine lokale AD DS-Umgebung aktiviert. Sie haben Folgendes gelernt:

  • Konfigurieren der erforderlichen Berechtigungen für das Kennwortrückschreiben
  • Aktivieren der Option für das Kennwortrückschreiben in Azure AD Connect
  • Aktivieren des Kennwortrückschreibens in Azure AD-SSPR

Tutorial: Use risk events to trigger Multi-Factor Authentication and password changes (Tutorial: Auslösen von Multi-Factor Authentication und Kennwortänderungen mithilfe von Risikoereignissen)