Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Damit die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) Microsoft Entra verwendet werden kann, müssen Authentifizierungsinformationen für einen Benutzer vorhanden sein. In den meisten Organisationen registrieren Benutzer ihre Authentifizierungsdaten selbst, während sie Informationen für die mehrstufige Authentifizierung sammeln.
Einige Organisationen bevorzugen es, diesen Prozess durch Synchronisierung von Authentifizierungsdaten zu starten, die bereits in Active Directory-Domänendiensten vorhanden sind. Die synchronisierten Daten werden für Microsoft Entra ID und SSPR verfügbar gemacht, ohne dass ein Eingreifen des Benutzers erforderlich ist. Wenn Benutzer ihr Kennwort ändern oder zurücksetzen müssen, ist dies auch dann möglich, wenn sie ihre Kontaktinformationen zuvor nicht registriert haben.
Sie können die Kontaktinformationen für die Authentifizierung vorausfüllen, wenn Sie die folgenden Anforderungen erfüllen:
- Sie haben die Daten in Ihrem lokalen Verzeichnis ordnungsgemäß formatiert.
- Sie haben Microsoft Entra Connect für Ihren Microsoft Entra Mandanten konfiguriert.
Telefonnummern müssen im Format +Landesvorwahl Telefonnummer eingegeben werden, z. B. +1 4251234567. Weitere Einschränkungen sind:
- Zwischen Landesvorwahl und Telefonnummer muss sich ein Leerzeichen befinden.
- Bei der Kennwortzurücksetzung werden Nebenstellen nicht unterstützt. Selbst bei der Angabe im Format +1 4251234567X12345 werden Nebenstellen vor dem Anruf entfernt.
Ausgefüllte Felder
Wenn Sie die Standardeinstellungen in Microsoft Entra Connect verwenden, werden die folgenden Zuordnungen vorgenommen, um die Authentifizierungskontaktinformationen für SSPR aufzufüllen.
| Lokales Active Directory | Microsoft Entra-ID |
|---|---|
telephoneNumber |
Bürotelefon |
mobile |
Mobiltelefon |
Nachdem ein Benutzer seine Mobiltelefonnummer verifiziert hat, wird diese Nummer in Microsoft Entra ID unter den Authentifizierungskontaktinformationen in das Feld Telefon eingefügt.
Kontaktinformationen zur Authentifizierung
Auf der Seite Authentifizierungsmethoden für einen Microsoft Entra Benutzer im Microsoft Entra Admin Center können Benutzer, denen mindestens die Rolle "Privilegierter Authentifizierungsadministrator" zugewiesen ist, die Authentifizierungskontaktinformationen für jeden Benutzer manuell festlegen. Sie können vorhandene Methoden im Abschnitt Verwendbare Authentifizierungsmethoden überprüfen oder indem Sie +Authentifizierungsmethode hinzufügen auswählen.
Die folgenden Überlegungen gelten für diese Authentifizierungskontaktinformationen:
- Wenn das Feld Telefon ausgefüllt und Mobiltelefon in der SSPR-Richtlinie aktiviert ist, wird dem Benutzer diese Nummer auf der Registrierungsseite für die Kennwortzurücksetzung und während des Workflows für die Kennwortzurücksetzung angezeigt.
- Wenn das Feld E-Mail ausgefüllt und E-Mail in der SSPR-Richtlinie aktiviert ist, wird dem Benutzer diese E-Mail-Adresse auf der Registrierungsseite für die Kennwortzurücksetzung und während des Workflows für die Kennwortzurücksetzung angezeigt.
Sicherheitsfragen und -antworten
Die Sicherheitsfragen und -antworten werden sicher in Ihrem Microsoft Entra Mandanten gespeichert und sind nur für Benutzer über die kombinierte Registrierung "Mein Security-Info" zugänglich. Administratoren können den Inhalt der Fragen und Antworten eines anderen Benutzers nicht anzeigen, festlegen oder ändern.
Was passiert, wenn sich ein Benutzer registriert?
Wenn sich ein Benutzer registriert, zeigt die Registrierungsseite die folgenden Felder an:
- Telefon für Authentifizierung
- E-Mail für Authentifizierung
- Sicherheitsfragen und Antworten
Wenn Sie einen Wert für Mobiltelefon oder Alternative E-Mail-Adresse angegeben haben, können Benutzer diese Werte sofort verwenden, um ihre Kennwörter zurücksetzen, selbst wenn sie sich nicht für den Dienst registriert haben.
Benutzer sehen diese Werte auch, wenn sie sich zum ersten Mal registrieren, und sie können sie ändern, wenn sie möchten. Nachdem sie sich erfolgreich registriert haben, werden diese Werte in den Feldern Authentifizierungstelefon und E-Mail-Adresse für Authentifizierung beibehalten.
Festlegen und Lesen der Authentifizierungsdaten über PowerShell
Sie können die folgenden Felder über PowerShell festlegen:
- Alternative E-Mail-Adresse
- Mobiltelefon
-
Bürotelefon
- Kann nur festgelegt werden, wenn Sie nicht mit einem lokalen Verzeichnis synchronisieren.
Sie können Microsoft Graph PowerShell verwenden, um mit Microsoft Entra ID zu interagieren. Sie können auch die Microsoft Graph-REST-API zum Verwalten von Authentifizierungsmethoden verwenden.
Verwenden von Microsoft Graph PowerShell
Zum Starten des Vorgangs laden Sie das Microsoft Graph PowerShell-Modul herunter, und installieren es.
Für eine schnelle Installation aus neueren Versionen von PowerShell, die Install-Module unterstützen, führen Sie die folgenden Befehle aus. In der ersten Zeile wird überprüft, ob das Modul bereits installiert ist.
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
Nachdem das Modul installiert wurde, können Sie jedes Feld mit den folgenden Schritten konfigurieren.
Festlegen der Authentifizierungsdaten mit Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Lesen der Authentifizierungsdaten mit Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
Nächster Schritt
Nachdem die Authentifizierungskontaktinformationen für Benutzer vorab ausgefüllt wurden, führen Sie das folgende Tutorial aus, um die Self-Service-Kennwortzurücksetzung zu aktivieren: