Bereitstellungsoptionen für die Self-Service-Kennwortzurücksetzung

Wichtig

Im September 2022 hat Microsoft angekündigt, dass die Unterstützung von Microsoft Azure Multi-Factor Authentication-Server eingestellt wird. Ab dem 30. September 2024 werden in Azure Multi-Factor Authentication Server-Bereitstellungen keine MFA-Anforderungen mehr ausgeführt. Kunden von Azure Multi-Factor Authentication Server sollten planen, stattdessen entweder benutzerdefinierte MFA-Anbieter mit MIM SSPR oder Microsoft Entra SSPR anstelle von MIM SSPR zu verwenden.

Für neue Kunden, die für Microsoft Entra ID P1 oder P2 lizenziert sind, wird empfohlen, Microsoft Entra Self-Service-Kennwortzurücksetzung zu verwenden, um die Endbenutzerfreundlichkeit zu gewährleisten. Microsoft Entra Self-Service-Kennwortzurücksetzung bietet sowohl eine webbasierte als auch eine in Windows integrierte Benutzeroberfläche für einen Benutzer, um sein eigenes Kennwort zurückzusetzen, und unterstützt viele der gleichen Funktionen wie MIM, einschließlich alternativer E-Mails und Q&A-Gates. Bei der Bereitstellung Microsoft Entra Self-Service-Kennwortzurücksetzung können Sie Microsoft Entra Connect so konfigurieren, dass die neuen Kennwörter in AD DS zurückgeschrieben werden, und der MIM-Benachrichtigungsdienst für die Kennwortänderung kann verwendet werden, um die Kennwörter an andere Systeme weiterzuleiten, z. B. an den Verzeichnisserver eines anderen Anbieters. Das Bereitstellen von MIM für die Kennwortverwaltung erfordert keine Bereitstellung des MIM-Diensts, der MIM-Self-Service-Kennwortzurücksetzung oder von Registrierungsportalen. Stattdessen können Sie die folgenden Schritte ausführen:

• Wenn Sie Kennwörter an andere Verzeichnisse als Microsoft Entra ID und AD DS senden müssen, stellen Sie die MIM-Synchronisierung mit Connectors für Active Directory Domain Services und alle weiteren Zielsysteme bereit, konfigurieren Sie MIM für die Kennwortverwaltung, und stellen Sie den Benachrichtigungsdienst für die Kennwortänderung bereit.
• Wenn Sie Dann Kennwörter an andere Verzeichnisse als Microsoft Entra ID senden müssen, konfigurieren Sie Microsoft Entra Connect für das Schreiben der neuen Kennwörter in AD DS.
• Optional können Sie Benutzer vorab registrieren.
• Schließlich führen Sie Microsoft Entra Self-Service-Kennwortzurücksetzung für Ihre Endbenutzer aus.

Für vorhandene Kunden, die zuvor Forefront Identity Manager (FIM) für die Self-Service-Kennwortzurücksetzung bereitgestellt hatten und für Microsoft Entra ID P1 oder P2 lizenziert sind, empfehlen wir, die Umstellung auf Microsoft Entra Self-Service-Kennwortzurücksetzung zu planen. Sie können Endbenutzer auf Microsoft Entra Self-Service-Kennwortzurücksetzung umstellen, ohne dass sie sich erneut registrieren müssen, indem Sie die alternative E-Mail-Adresse oder Mobiltelefonnummer eines Benutzers synchronisieren oder festlegen. Nachdem Benutzer für Microsoft Entra Self-Service-Kennwortzurücksetzung registriert wurden, kann das FIM-Portal für die Kennwortzurücksetzung außer Betrieb genommen werden.

Für Kunden, die noch nicht Microsoft Entra Self-Service-Kennwortzurücksetzung für ihre Benutzer bereitgestellt haben, bietet MIM auch Self-Service-Portale zum Zurücksetzen von Kennwörtern. Im Vergleich mit FIM enthält MIM 2016 die folgenden Änderungen:

• Über das MIM-Self-Service-Portal zur Kennwortzurücksetzung und dem Windows-Anmeldebildschirm können Benutzer ihre Konten entsperren, ohne ihre Kennwörter zu ändern.

• MIM wurde das neue Authentifizierungsgate „Telefongate“ hinzugefügt. Dies ermöglicht die Benutzerauthentifizierung per Telefonanruf über den Microsoft Entra mehrstufigen Authentifizierungsdienst.

MiM 2016 Release bis Version 4.5.26.0 basiert darauf, dass der Kunde ein SDK herunterladen konnte, das veraltet ist, und vorhandene Bereitstellungen sollten entweder zur Verwendung von MIM SSPR mit einem benutzerdefinierten MFA-Anbieter oder Microsoft Entra Self-Service-Kennwortzurücksetzung wechseln. Neue Bereitstellungen sollten entweder einen benutzerdefinierten MFA-Anbieter oder Microsoft Entra Self-Service-Kennwortzurücksetzung verwenden.

Bereitstellen von MIM Self-Service Kennwortzurücksetzungsportal mithilfe eines benutzerdefinierten Anbieters für die mehrstufige Authentifizierung

Im folgenden Abschnitt wird beschrieben, wie Sie das Self-Service-Kennwortzurücksetzungsportal für MIM mithilfe eines Anbieters für die mehrstufige Authentifizierung bereitstellen. Diese Schritte sind nur für Kunden erforderlich, die Microsoft Entra Self-Service-Kennwortzurücksetzung für ihre Benutzer nicht verwenden.

Mit MFA authentifizieren sich Benutzer über den externen Anbieter, um ihre Identität zu überprüfen, während sie versuchen, den Zugriff auf ihr Konto und ihre Ressourcen wiederzuerlangen. Eine Authentifizierung kann per SMS oder per Telefonanruf erfolgen. Je stärker die Authentifizierung ist, desto größer ist die Gewissheit, dass es sich bei der Person, die Zugriff erhalten möchte, tatsächlich um den Besitzer dieser Identität handelt. Sobald der Benutzer authentifiziert ist, kann er ein neues Kennwort wählen, durch das das alte ersetzt wird.

Voraussetzungen für das Einrichten der Self-Service-Kontoentsperrung und -Kennwortzurücksetzung mithilfe von MFA

Für diesen Abschnitt wird davon ausgegangen, dass Sie die Bereitstellung der Microsoft Identity Manager 2016-Komponenten MIM Sync, MIM-Dienst und MIM-Portal heruntergeladen und abgeschlossen haben, einschließlich den folgenden Komponenten und Diensten:

• Ein Windows Server 2008 R2 oder höher wurde als Active Directory-Server eingerichtet, einschließlich Active Directory-Domänendienste und -Domänencontroller mit einer designierten Domäne (einer „Firmen“-Domäne)

• Es ist eine Gruppenrichtlinie für Kontosperrungen definiert.

• MIM 2016 Synchronization Service (Sync) ist installiert und läuft auf einem Server, der in die Active Directory-Domäne eingebunden ist

• MIM 2016 Service & Portal, einschließlich des SSPR-Registrierungsportals und des SSPR-Zurücksetzungsportals, werden auf einem Server installiert und ausgeführt (kann sich zusammen mit Synchronisierung befinden)

• MIM Sync ist für die Active Directory-MIM-Identitätssynchronisierung konfiguriert, einschließlich:

  • Konfigurieren des Active Directory-Verwaltungs-Agenten (ADMA) für Verbindungen mit AD DS und für die Fähigkeit, Identitätsdaten aus Active Directory zu importieren und nach Active Directory zu exportieren.

  • Konfigurieren des MIM-Verwaltungs-Agents (MIM-MA) für die Konnektivität mit der FIM-Dienst-Datenbank und für die Fähigkeit, Identitätsdaten aus der FIM-Datenbank zu importieren bzw. in die FIM-Datenbank zu exportieren.

  • Konfigurieren von Synchronisierungsregeln im MIM-Portal, um für den MIM-Dienst Synchronisierung von Benutzerdaten sowie synchronisierungsbasierte Aktivitäten zu ermöglichen.

• MIM 2016-Add-Ins &-Erweiterungen, einschließlich des integrierten SSPR-Clients für die Windows-Anmeldung, werden auf dem Server oder auf einem separaten Clientcomputer bereitgestellt.

Wenn Sie Microsoft Entra mehrstufige Authentifizierung verwenden, müssen Sie in diesem Szenario über MIM-CALs für Ihre Benutzer sowie über ein Abonnement für Microsoft Entra mehrstufige Authentifizierung verfügen.

Vorbereiten von MIM für die Arbeit mit MFA

Konfigurieren Sie MIM Sync so, dass Kennwortzurücksetzung und Kontoentsperrung unterstützt werden. Weitere Informationen finden Sie unter Installing the FIM Add-ins and Extensions (Installieren der FIM-Add-Ins und -Erweiterungen), Installing FIM SSPR (Installieren von FIM SSPR), SSPR Authentication Gates (SSPR-Authentifizierungsgates) und im SSPR Test Lab Guide (SSPR-Test Lab-Handbuch)

Konfigurieren des Telefongates oder des SMS-Gates für das Einmalkennwort

1. Starten Sie internet Explorer, navigieren Sie zum MIM-Portal, authentifizieren Sie sich als MIM-Administrator, und klicken Sie dann in der linken Navigationsleiste auf Workflows.

   

2. Aktivieren Sie die Option für den AuthN-Workflow zur Kennwortzurücksetzung.

   

3. Klicken Sie auf die Registerkarte Aktivitäten, und führen Sie einen Bildlauf nach unten zu Aktivität hinzufügen aus.

4. Wählen Sie Telefongate oder Einmalkennwort SMS Gate aus, klicken Sie auf Auswählen und dann auf OK.

   Hinweis

   Wenn Sie einen anderen Anbieter verwenden, der das Einmalkennwort selbst generiert, stellen Sie sicher, dass das oben konfigurierte Längenfeld die gleiche Länge hat wie die vom MFA-Anbieter generierte. Diese Länge muss für Azure Multi-Factor Authentication Server 6 sein. Azure Multi-Factor Authentication Server generiert auch einen eigenen Nachrichtentext, sodass die SMS-Sms ignoriert wird.

Benutzer in Ihrer Organisation können sich jetzt für das Zurücksetzen von Kennwörtern registrieren. Im Verlauf dieses Vorgangs müssen sie ihre Telefonnummer oder Mobiltelefonnummer eingeben, damit das System weiß, wie es sie anrufen oder ihnen SMS-Nachrichten senden kann.

Registrieren von Benutzern für das Zurücksetzen von Kennwörtern

1. Ein Benutzer startet einen Webbrowser und navigiert zum MIM-Portal zum Registrieren für das Zurücksetzen von Kennwörtern. (In der Regel wird dieses Portal mit Windows-Authentifizierung konfiguriert). Im Portal geben sie ihren Benutzernamen und ihr Kennwort an, um ihre Identität zu bestätigen.

   Sie müssen das Portal für die Kennwortregistrierung öffnen und sich mithilfe ihres Benutzernamens und dem zugehörigen Kennwort authentifizieren.

2. Im Feld Telefonnummer oder Mobiltelefon müssen sie eine Ländervorwahl, ein Leerzeichen und die Telefonnummer eingeben und auf Weiter klicken.

   

   

Wie funktioniert dies für die Benutzer?

Nachdem die Konfiguration abgeschlossen und das Gate aktiv ist, möchten Sie möglicherweise wissen, welche Schritte die Benutzer durchlaufen müssen, wenn sie ihre Kennwörter direkt vor dem Urlaub zurücksetzen, um dann zurückzukehren und festzustellen, dass sie ihre Kennwörter vollständig vergessen haben.

Es gibt zwei Möglichkeiten, wie ein Benutzer die Kennwortzurücksetzungs- und die Kontoentsperrungsfunktion nutzen kann: entweder vom Windows-Anmeldebildschirm oder vom Self-Service-Portal aus.

Indem Sie die MIM-Add-Ins und -Erweiterungen auf einem zur Domäne gehörigen Computer installieren, der über das Netzwerk Ihrer Organisation mit dem MIM-Dienst verbunden ist, können Benutzer ein vergessenes Kennwort in der Desktop-Anmeldungsumgebung wiederherstellen. Die folgenden Schritte begleiten Sie durch diesen Vorgang.

In die Windows-Desktopanmeldung integrierte Kennwortzurücksetzung

1. Wenn Ihr Benutzer mehrmals das falsche Kennwort eingibt, hat er auf dem Anmeldebildschirm die Möglichkeit, auf Probleme bei der Anmeldung zu klicken? .

   

   Nachdem der Benutzer auf diesen Link geklickt hat, wird das Dialogfeld „MIM-Kennwortzurücksetzung“ angezeigt, in dem er sein Kennwort ändern oder sein Konto entsperren kann.

   

2. Der Benutzer wird aufgefordert, sich zu authentifizieren. Wenn MFA konfiguriert wurde, erhält der Benutzer einen Telefonanruf.

3. Im Hintergrund geschieht, dass der MFA-Anbieter dann einen Telefonanruf an die Nummer abgibt, die der Benutzer bei der Registrierung für den Dienst gab.

4. Wenn ein Benutzer das Telefon beantwortet, wird er möglicherweise aufgefordert, zu interagieren, z. B. die Pfundtaste # auf dem Telefon zu drücken. Danach klickt der Benutzer im Portal auf Weiter.

   Wenn Sie auch andere Gates eingerichtet haben, wird der Benutzer in den nachfolgenden Bildschirmen aufgefordert, weitere Informationen bereitzustellen.

   Hinweis

   Wenn der Benutzer ungeduldig ist und auf Weiter klickt, bevor er die Rautetaste (#) gedrückt hat, schlägt die Authentifizierung fehl.

5. Nach erfolgreicher Authentifizierung hat der Benutzer zwei Optionen: Er kann sein Konto entsperren und sein aktuelles Kennwort beibehalten oder ein neues Kennwort festlegen.

6. Der Benutzer muss dann ein neues Kennwort zweimal eingeben, damit das Kennwort zurückgesetzt wird.

Zugreifen aus dem Self-Service-Portal

1. Benutzer können einen Webbrowser öffnen, zum Portal für die Kennwortzurücksetzung navigieren, ihren Benutzernamen eingeben und auf Weiter klicken.

   Wenn MFA konfiguriert wurde, erhält der Benutzer einen Telefonanruf. Im Hintergrund geschieht, dass Microsoft Entra mehrstufige Authentifizierung dann einen Telefonanruf an die Nummer abgibt, die der Benutzer bei der Registrierung für den Dienst gegeben hat.

   Wenn der Benutzer den Anruf annimmt, wird er aufgefordert, auf dem Telefon die Rautetaste (#) zu drücken. Danach klickt der Benutzer im Portal auf Weiter.

2. Wenn Sie auch andere Gates eingerichtet haben, wird der Benutzer in den nachfolgenden Bildschirmen aufgefordert, weitere Informationen bereitzustellen.

   Hinweis

   Wenn der Benutzer ungeduldig ist und auf Weiter klickt, bevor er die Rautetaste (#) gedrückt hat, schlägt die Authentifizierung fehl.

3. Der Benutzer muss auswählen, ob er sein Kennwort zurücksetzen oder sein Konto entsperren möchte. Wenn sie ihr Konto entsperren möchten, wird das Konto entsperrt.

   

4. Nach erfolgreicher Authentifizierung erhält der Benutzer zwei Optionen, entweder sein aktuelles Kennwort beizubehalten oder ein neues Kennwort festzulegen.

5. 

6. Wenn der Benutzer sich für das Zurücksetzen seines Kennworts entscheidet, muss er sein neues Kennwort zweimal eingeben und auf Weiter klicken, um das Kennwort zu ändern.