Verwalten von Kennwörtern für Microsoft 365 Benutzerkonten

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Je nach Identitätskonfiguration können Sie Microsoft 365 Benutzerkonto-Kennwörter auf verschiedene Weise verwalten. Sie können Benutzerkonten im Microsoft 365 Admin Center,in Active Directory Domain Services (AD DS) oder im Azure Active Directory (Azure AD) Admin Center verwalten.

Planen, wo und wie Sie Ihre Benutzerkonten-Kennwörter verwalten

Wo und wie Sie Ihre Benutzerkonten verwalten können, hängt vom Identitätsmodell ab, das Sie für Ihre Microsoft 365 verwenden möchten. Die beiden Modelle sind nur in der Cloud und hybrid.

Rein cloudbasiert

Sie verwalten Benutzerkonten-Kennwörter in:

Hybrid

Bei der Hybrididentität werden Kennwörter in AD DS gespeichert, sodass Sie lokale AD DS-Tools zum Verwalten von Benutzerkontenkennwörtern verwenden müssen. Selbst bei Verwendung der Kennworthashsynchronisierung (Password Hash Synchronization, PHS), in der Azure AD eine Hashversion der bereits gehashten Version in AD DS speichert, müssen Sie und Benutzer ihre Kennwörter in AD DS verwalten.

Mit dem Kennwortrückschreibenkönnen Ihre Benutzer ihre AD DS-Kennwörter über Azure AD ändern.

Verhindern unsicherer Kennwörter

Alle Benutzer Ihrer Organisation sollten bei der Erstellung der Kennwörter für ihre Benutzerkonten die Kennwortrichtlinien von Microsoft anwenden.

Verwenden Sie den Azure AD-Kennwortschutz, der sowohl eine Liste global gesperrter Kennwörter als auch eine von Ihnen definierte optionale benutzerdefinierte Liste gesperrter Kennwörter verwendet, um Benutzer daran zu hindern, einfach zu erratende Kennwörter zu erstellen. Hier können Sie beispielsweise Ausdrücke angeben, die für Ihre Organisation spezifisch sind, z. B.:

  • Markennamen
  • Produktnamen
  • Standorte (z. B. Firmenhauptsitz)
  • Unternehmensspezifische interne Begriffe
  • Abkürzungen, die eine bestimmte Bedeutung im Unternehmen haben

Sie können ungültige Kennwörter in der Cloud und für Ihren lokalen AD DSverbieten.

Vereinfachen der Benutzeranmeldung

Azure AD Seamless Single Sign-On (Azure AD Seamless SSO) funktioniert mit PHS und Pass-Through Authentication (PTA), damit sich Ihre Benutzer bei Diensten anmelden können, die Azure AD-Benutzerkonten verwenden, ohne ihre Kennwörter und in vielen Fällen deren Benutzernamen eingeben zu müssen. Damit können Benutzer einfacher auf cloudbasierte Anwendungen wie Office 365 zugreifen, ohne dass zusätzliche lokale Komponenten wie Identitätsverbundserver notwendig sind.

Sie konfigurieren Azure AD Seamless SSO mit Azure AD Connect. Lesen Sie die Anweisungen zum Konfigurieren von Azure AD Seamless SSO.

Vereinfachen von Kennwortupdates für AD DS

Mit dem Kennwortrückschreiben können Sie Benutzern erlauben, ihre Kennwörter über Azure AD zurückzusetzen, das dann in AD DS repliziert wird. Benutzer müssen nicht auf ihren lokalen AD DS zugreifen, um ihre Kennwörter zu aktualisieren. Dies ist für Roaming- oder Remote-Benutzer nützlich, die keine Remote-Zugriffsverbindung zum lokalen Netzwerk haben.

Das Kennwortrückschreiben ist erforderlich für die vollständige Nutzung von Azure AD Identity Protection, z. B. um zu verlangen, dass Benutzer ihre lokalen Kennwörter ändern, wenn ein hohes Risiko einer Kontogefährdung besteht.

Weitere Informationen und Hinweise zur Konfiguration finden Sie unter Azure AD SSPR mit Kennwortrückschreiben.

Hinweis

Führen Sie ein Upgrade auf die neueste Version von Azure AD Connect durch, um das bestmögliche Benutzererlebnis und die Verfügbarkeit neuer Features sicherzustellen, sobald diese veröffentlicht werden. Weitere Informationen finden Sie unter Benutzerdefinierte Installation von Azure AD Connect.

Vereinfachen der Kennwortzurücksetzung

Die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) ermöglicht Benutzern das Zurücksetzen oder Entsperren ihrer Kennwörter oder Konten. Um über eine fehlerhafte oder missbräuchliche Nutzung informiert zu werden, können Sie die ausführliche Berichterstellung verwenden, bei der der Benutzerzugriff auf das System nachverfolgt wird. Sie müssen das Kennwortrückschreiben aktivieren, bevor Sie Kennwortzurücksetzungen bereitstellen können.

Lesen Sie die Anweisungen zum Rollout der Kennwortzurücksetzung.