Tutorial: Aktivieren des Rückschreibens von Azure Active Directory-Self-Service-Kennzurücksetzungen in eine lokale UmgebungTutorial: Enable Azure Active Directory self-service password reset writeback to an on-premises environment

Mit der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) in Azure Active Directory (Azure AD) können Benutzer über einen Webbrowser ihre Kennwörter aktualisieren oder ihre Konten entsperren.With Azure Active Directory (Azure AD) self-service password reset (SSPR), users can update their password or unlock their account using a web browser. In einer Hybridumgebung, in der Azure AD mit einer lokalen Active Directory Domain Services-Umgebung (AD DS) verbunden ist, kann dieses Szenario dazu führen, dass sich Kennwörter zwischen den beiden Verzeichnissen unterscheiden.In a hybrid environment where Azure AD is connected to an on-premises Active Directory Domain Services (AD DS) environment, this scenario can cause passwords to be different between the two directories.

Das Kennwortrückschreiben kann genutzt werden, um Kennwortänderungen in Azure AD mit Ihrer lokalen AD DS-Umgebung zu synchronisieren.Password writeback can be used to synchronize password changes in Azure AD back to your on-premises AD DS environment. Azure AD Connect bietet einen sicheren Mechanismus zum Zurücksenden dieser Kennwortänderungen in ein vorhandenes lokales Verzeichnis aus Azure AD.Azure AD Connect provides a secure mechanism to send these password changes back to an existing on-premises directory from Azure AD.

Wichtig

In diesem Tutorial wird erläutert, wie ein Administrator die Self-Service-Kennwortzurücksetzung wieder in einer lokalen Umgebung aktiviert.This tutorial shows an administrator how to enable self-service password reset back to an on-premises environment. Wenn Sie bereits als Endbenutzer für die Self-Service-Kennwortzurücksetzung registriert sind und wieder zu Ihrem Konto zurückkehren müssen, gehen Sie zu https://aka.ms/sspr.If you're an end user already registered for self-service password reset and need to get back into your account, go to https://aka.ms/sspr.

Wenn Ihr IT-Team die Möglichkeit zum Zurücksetzen Ihres eigenen Kennworts nicht aktiviert hat, wenden Sie sich an den Helpdesk, um weitere Unterstützung zu erhalten.If your IT team hasn't enabled the ability to reset your own password, reach out to your helpdesk for additional assistance.

In diesem Tutorial lernen Sie Folgendes:In this tutorial, you learn how to:

  • Konfigurieren der erforderlichen Berechtigungen für das KennwortrückschreibenConfigure the required permissions for password writeback
  • Aktivieren der Option für das Kennwortrückschreiben in Azure AD ConnectEnable the password writeback option in Azure AD Connect
  • Aktivieren des Kennwortrückschreibens in Azure AD-SSPREnable password writeback in Azure AD SSPR

VoraussetzungenPrerequisites

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:To complete this tutorial, you need the following resources and privileges:

Konfigurieren der Kontoberechtigungen für Azure AD ConnectConfigure account permissions for Azure AD Connect

Mithilfe von Azure AD Connect können Sie Benutzer, Gruppen und Anmeldeinformationen zwischen einer lokalen AD DS-Umgebung und Azure AD synchronisieren.Azure AD Connect lets you synchronize users, groups, and credential between an on-premises AD DS environment and Azure AD. In der Regel installieren Sie Azure AD Connect auf einem Computer mit mindestens Windows Server 2012, der in die lokale AD DS-Domäne eingebunden ist.You typically install Azure AD Connect on a Windows Server 2012 or later computer that's joined to the on-premises AD DS domain.

Damit Sie das SSPR-Rückschreiben ordnungsgemäß verwenden können, müssen für das in Azure AD Connect angegebene Konto die entsprechenden Berechtigungen und Optionen festgelegt sein.To correctly work with SSPR writeback, the account specified in Azure AD Connect must have the appropriate permissions and options set. Wenn Sie nicht sicher sind, welches Konto derzeit verwendet wird, öffnen Sie Azure AD Connect, und wählen Sie die Option Aktuelle Konfiguration anzeigen aus.If you're not sure which account is currently in use, open Azure AD Connect and select the View current configuration option. Das Konto, dem Sie Berechtigungen hinzufügen müssen, wird unter Synchronisierte Verzeichnisse angezeigt.The account that you need to add permissions to is listed under Synchronized Directories. Für das Konto müssen die folgenden Berechtigungen und Optionen festgelegt werden:The following permissions and options must be set on the account:

  • Zurücksetzen des KennwortsReset password
  • Schreibberechtigungen auf lockoutTimeWrite permissions on lockoutTime
  • Schreibberechtigungen auf pwdLastSetWrite permissions on pwdLastSet
  • Erweiterte Rechte für „Abgelaufenes Kennwort wiederherstellen“ für das Stammobjekt jeder Domäne in dieser Gesamtstruktur, sofern noch nicht festgelegt.Extended rights for "Unexpire Password" on the root object of each domain in that forest, if not already set.

Wenn Sie diese Berechtigungen nicht zuweisen, ist das Rückschreiben scheinbar ordnungsgemäß konfiguriert, Benutzer erhalten jedoch Fehler bei dem Versuch, ihre lokalen Kennwörter über die Cloud zu verwalten.If you don't assign these permissions, writeback may appear to be configured correctly, but users encounter errors when they manage their on-premises passwords from the cloud. Berechtigungen müssen für Dieses und alle untergeordneten Objekte angewendet werden, damit „Abgelaufenes Kennwort wiederherstellen“ angezeigt wird.Permissions must be applied to This object and all descendant objects for "Unexpire Password" to appear.

Tipp

Wenn Kennwörter für einige Benutzerkonten nicht in das lokale Verzeichnis zurückgeschrieben werden, stellen Sie sicher, dass die Vererbung für das Konto in der lokalen AD DS-Umgebung nicht deaktiviert ist.If passwords for some user accounts aren't written back to the on-premises directory, make sure that inheritance isn't disabled for the account in the on-prem AD DS environment. Schreibberechtigungen für Kennwörter müssen auf Nachfolgerobjekte angewendet werden, damit die Funktion ordnungsgemäß funktioniert.Write permissions for passwords must be applied to descendant objects for the feature to work correctly.

Um die entsprechenden Berechtigungen für das Kennwortrückschreiben einzurichten, führen Sie die folgenden Schritte aus:To set up the appropriate permissions for password writeback to occur, complete the following steps:

  1. Öffnen Sie in Ihrer lokalen AD DS-Umgebung Active Directory-Benutzer und -Computer mit einem Konto, das geeignete Domänenadministratorberechtigungen hat.In your on-premises AD DS environment, open Active Directory Users and Computers with an account that has the appropriate domain administrator permissions.

  2. Vergewissern Sie sich, dass im Menü Ansicht die Option Erweiterte Features aktiviert ist.From the View menu, make sure that Advanced features are turned on.

  3. Klicken Sie im linken Bereich mit der rechten Maustaste auf das Objekt, das den Stamm der Domäne repräsentiert, und wählen Sie Eigenschaften > Sicherheit > Erweitert aus.In the left panel, right-select the object that represents the root of the domain and select Properties > Security > Advanced.

  4. Wählen Sie auf der Registerkarte Berechtigungen die Option Hinzufügen aus.From the Permissions tab, select Add.

  5. Wählen Sie unter Prinzipal das Konto aus, auf das die Berechtigungen angewendet werden sollen (das von Azure AD Connect verwendete Konto).For Principal, select the account that permissions should be applied to (the account used by Azure AD Connect).

  6. Wählen Sie in der Dropdownliste Gilt für den Eintrag Nachfolgerbenutzerobjekte aus.In the Applies to drop-down list, select Descendant User objects.

  7. Aktivieren Sie unter Berechtigungen das Kontrollkästchen für die folgende Option:Under Permissions, select the box for the following option:

    • Zurücksetzen des KennwortsReset password
  8. Aktivieren Sie unter Eigenschaften die Kontrollkästchen für folgende Optionen.Under Properties, select the boxes for the following options. Scrollen Sie durch die Liste, um zu diesen Optionen zu gelangen. Möglicherweise sind sie bereits standardmäßig festgelegt:Scroll through the list to find these options, which may already be set by default:

    • lockoutTime schreibenWrite lockoutTime
    • pwdLastSet schreibenWrite pwdLastSet

    Festlegen der entsprechenden Berechtigungen unter „Active Directory-Benutzer und -Computer“ für das von Azure AD Connect verwendete Konto Set the appropriate permissions in Active Users and Computers for the account that is used by Azure AD Connect

  9. Wählen Sie abschließend Übernehmen/OK aus, um die Änderungen zu übernehmen und alle geöffneten Dialogfelder zu schließen.When ready, select Apply / OK to apply the changes and exit any open dialog boxes.

Wenn Sie Berechtigungen aktualisieren, kann es bis zu einer Stunde oder länger dauern, bis diese Berechtigungen an alle Objekte in Ihrem Verzeichnis repliziert wurden.When you update permissions, it might take up to an hour or more for these permissions to replicate to all the objects in your directory.

Kennwortrichtlinien in der lokalen AD DS-Umgebung verhindern unter Umständen, dass Kennwortzurücksetzungen ordnungsgemäß verarbeitet werden.Password policies in the on-premises AD DS environment may prevent password resets from being correctly processed. Damit Kennwortrückschreiben möglichst effizient funktioniert, muss die Gruppenrichtlinie für Minimales Kennwortalter auf „0“ festgelegt werden.For password writeback to work most efficiently, the group policy for Minimum password age must be set to 0. Diese Einstellung finden Sie in gpedit.msc unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien.This setting can be found under Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies within gpedit.msc.

Warten Sie beim Aktualisieren der Gruppenrichtlinie, bis die aktualisierte Richtlinie repliziert wurde, oder verwenden Sie den Befehl gpupdate /force.If you update the group policy, wait for the updated policy to replicate, or use the gpupdate /force command.

Hinweis

Damit Kennwörter sofort geändert werden können, muss für das Kennwortrückschreiben die Einstellung „0“ festgelegt werden.For passwords to be changed immediately, password writeback must be set to 0. Wenn sich Benutzer aber an die lokalen Richtlinien halten und Minimales Kennwortalter auf einen höheren Wert als „0“ festgelegt ist, funktioniert das Kennwortrückschreiben auch nach dem Auswerten der lokalen Richtlinien noch.However, if users adhere to the on-premises policies, and the Minimum password age is set to a value greater than zero, password writeback still works after the on-premises policies are evaluated.

Aktivieren des Kennwortrückschreibens in Azure AD ConnectEnable password writeback in Azure AD Connect

Eine Konfigurationsoption in Azure AD Connect ist das Kennwortrückschreiben.One of the configuration options in Azure AD Connect is for password writeback. Wenn diese Option aktiviert ist, führen Kennwortänderungsereignisse dazu, dass Azure AD Connect die aktualisierten Anmeldeinformationen wieder mit der lokalen AD DS-Umgebung synchronisiert.When this option is enabled, password change events cause Azure AD Connect to synchronize the updated credentials back to the on-premises AD DS environment.

Aktivieren Sie zum Aktivieren der SSPR zunächst die Rückschreiboption in Azure AD Connect.To enable SSPR writeback, first enable the writeback option in Azure AD Connect. Führen Sie auf dem Azure AD Connect-Server die folgenden Schritte aus:From your Azure AD Connect server, complete the following steps:

  1. Melden Sie sich bei Ihrem Azure AD Connect-Server an, und starten Sie den Azure AD Connect-Konfigurations-Assistenten.Sign in to your Azure AD Connect server and start the Azure AD Connect configuration wizard.

  2. Wählen Sie auf der Seite Willkommen die Option Konfigurieren aus.On the Welcome page, select Configure.

  3. Wählen Sie auf der Seite Weitere Aufgaben die Option Synchronisierungsoptionen anpassen aus, und wählen Sie dann Weiter aus.On the Additional tasks page, select Customize synchronization options, and then select Next.

  4. Geben Sie auf der Seite Mit Azure AD verbinden die Anmeldeinformationen eines globalen Administrators für Ihren Azure-Mandanten ein, und wählen Sie dann Weiter aus.On the Connect to Azure AD page, enter a global administrator credential for your Azure tenant, and then select Next.

  5. Wählen Sie auf den Seiten Verzeichnisse verbinden und Domänen-/OE-Filterung die Schaltfläche Weiter aus.On the Connect directories and Domain/OU filtering pages, select Next.

  6. Aktivieren Sie auf der Seite Optionale Features das Kontrollkästchen neben Kennwortrückschreiben, und wählen Sie Weiter aus.On the Optional features page, select the box next to Password writeback and select Next.

    Konfigurieren von Azure AD Connect für das Kennwortrückschreiben

  7. Wählen Sie auf der Seite Bereit zur Konfiguration die Option Konfigurieren aus, und warten Sie, bis der Vorgang abgeschlossen ist.On the Ready to configure page, select Configure and wait for the process to finish.

  8. Wenn Sie sehen, dass die Konfiguration beendet ist, wählen Sie Beenden aus.When you see the configuration finish, select Exit.

Aktivieren des Kennwortrückschreibens für Self-Service-KennwortzurücksetzungEnable password writeback for SSPR

Wenn das Kennwortrückschreiben in Azure AD Connect aktiviert ist, konfigurieren Sie die Azure AD-Self-Service-Kennwortzurücksetzung für das Rückschreiben.With password writeback enabled in Azure AD Connect, now configure Azure AD SSPR for writeback. Wenn Sie SSPR für die Nutzung des Kennwortrückschreibens aktivieren, wird für Benutzer, die ihr Kennwort ändern oder zurücksetzen, dieses aktualisierte Kennwort ebenfalls wieder mit der lokalen AD DS-Umgebung synchronisiert.When you enable SSPR to use password writeback, users who change or reset their password have that updated password synchronized back to the on-premises AD DS environment as well.

Führen Sie zum Aktivieren des Kennwortrückschreibens in SSPR die folgenden Schritte aus:To enable password writeback in SSPR, complete the following steps:

  1. Melden Sie sich mit dem globalen Administratorkonto am Azure-Portal an.Sign in to the Azure portal using a global administrator account.

  2. Suchen Sie nach Azure Active Directory, und wählen Sie die Option aus. Wählen Sie anschließend Kennwortzurücksetzung und dann Lokale Integration aus.Search for and select Azure Active Directory, select Password reset, then choose On-premises integration.

  3. Legen Sie die Option Kennwörter in Ihr lokales Verzeichnis zurückschreiben? auf Ja fest.Set the option for Write back passwords to your on-premises directory? to Yes.

  4. Legen Sie die Option Benutzern das Entsperren von Konten ohne Zurücksetzen des Kennworts erlauben? auf Ja fest.Set the option for Allow users to unlock accounts without resetting their password? to Yes.

    Aktivieren der Azure AD-Self-Service-Kennwortzurücksetzung für das Kennwortrückschreiben

  5. Wählen Sie Speichern aus, wenn Sie so weit sind.When ready, select Save.

Bereinigen von RessourcenClean up resources

Wenn Sie die im Rahmen dieses Tutorials konfigurierte Funktionalität für SSPR-Rückschreiben nicht mehr nutzen möchten, gehen Sie wie folgt vor:If you no longer want to use the SSPR writeback functionality you have configured as part of this tutorial, complete the following steps:

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Suchen Sie nach Azure Active Directory, und wählen Sie die Option aus. Wählen Sie anschließend Kennwortzurücksetzung und dann Lokale Integration aus.Search for and select Azure Active Directory, select Password reset, then choose On-premises integration.
  3. Legen Sie die Option Kennwörter in Ihr lokales Verzeichnis zurückschreiben? auf Nein fest.Set the option for Write back passwords to your on-premises directory? to No.
  4. Legen Sie die Option Benutzern das Entsperren von Konten ohne Zurücksetzen des Kennworts erlauben? auf Nein fest.Set the option for Allow users to unlock accounts without resetting their password? to No.

Wenn Sie keine Kennwortfunktionalität mehr nutzen möchten, führen Sie auf dem Azure AD Connect-Server die folgenden Schritte aus:If you no longer want to use any password functionality, complete the following steps from your Azure AD Connect server:

  1. Melden Sie sich bei Ihrem Azure AD Connect-Server an, und starten Sie den Azure AD Connect-Konfigurations-Assistenten.Sign in to your Azure AD Connect server and start the Azure AD Connect configuration wizard.
  2. Wählen Sie auf der Seite Willkommen die Option Konfigurieren aus.On the Welcome page, select Configure.
  3. Wählen Sie auf der Seite Weitere Aufgaben die Option Synchronisierungsoptionen anpassen aus, und wählen Sie dann Weiter aus.On the Additional tasks page, select Customize synchronization options, and then select Next.
  4. Geben Sie auf der Seite Mit Azure AD verbinden die Anmeldeinformationen eines globalen Administrators für Ihren Azure-Mandanten ein, und wählen Sie dann Weiter aus.On the Connect to Azure AD page, enter a global administrator credential for your Azure tenant, and then select Next.
  5. Wählen Sie auf den Seiten Verzeichnisse verbinden und Domänen-/OE-Filterung die Schaltfläche Weiter aus.On the Connect directories and Domain/OU filtering pages, select Next.
  6. Deaktivieren Sie auf der Seite Optionale Features das Kontrollkästchen neben Kennwortrückschreiben, und wählen Sie Weiter aus.On the Optional features page, deselect the box next to Password writeback and select Next.
  7. Wählen Sie auf der Seite Bereit zur Konfiguration die Option Konfigurieren aus, und warten Sie, bis der Vorgang abgeschlossen ist.On the Ready to configure page, select Configure and wait for the process to finish.
  8. Wenn Sie sehen, dass die Konfiguration beendet ist, wählen Sie Beenden aus.When you see the configuration finish, select Exit.

Nächste SchritteNext steps

In diesem Tutorial haben Sie das Azure AD-SSPR-Rückschreiben für eine lokale AD DS-Umgebung aktiviert.In this tutorial, you enabled Azure AD SSPR writeback to an on-premises AD DS environment. Sie haben Folgendes gelernt:You learned how to:

  • Konfigurieren der erforderlichen Berechtigungen für das KennwortrückschreibenConfigure the required permissions for password writeback
  • Aktivieren der Option für das Kennwortrückschreiben in Azure AD ConnectEnable the password writeback option in Azure AD Connect
  • Aktivieren des Kennwortrückschreibens in Azure AD-SSPREnable password writeback in Azure AD SSPR

Tutorial: Use risk events to trigger Multi-Factor Authentication and password changes (Tutorial: Auslösen von Multi-Factor Authentication und Kennwortänderungen mithilfe von Risikoereignissen)Evaluate risk at sign in