Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Microsoft Entra Connect-Cloudsynchronisierung kann Microsoft Entra-Kennwortänderungen in Echtzeit zwischen Benutzern in getrennten lokalen Active Directory Domain Services-Domänen (AD DS) synchronisieren. Die Microsoft Entra Connect-Cloudsynchronisierung kann parallel mit Microsoft Entra Connect auf Domänenebene ausgeführt werden, um das Kennwortrückschreiben für zusätzliche Szenarien zu vereinfachen, z. B. Benutzer, die sich aufgrund einer Geteilten oder Zusammenführung in getrennten Domänen befinden. Sie können jeden Dienst in unterschiedlichen Domänen so konfigurieren, dass je nach Bedarf verschiedene Benutzergruppen als Ziel festgelegt werden. Die Microsoft Entra Connect-Cloudsynchronisierung nutzt den schlanken Microsoft Entra-Agent für die Cloudbereitstellung, um die Einrichtung für das Rückschreiben von Self-Service-Kennwortzurücksetzungen (Self-Service Password Reset, SSPR) zu vereinfachen und eine sichere Möglichkeit zu bieten, Kennwortänderungen in der Cloud an ein lokales Verzeichnis zurückzusenden.
Voraussetzungen
- Ein Microsoft Entra-Mandant, für den mindestens eine P1-Lizenz oder eine Testlizenz für Microsoft Entra ID aktiviert ist. Erstellen Sie bei Bedarf kostenlos eins.
- Ein Hybrididentitätsadministratorkonto
- Für Self-Service-Kennwortzurücksetzung konfigurierte Microsoft Entra ID-Instanz Absolvieren Sie bei Bedarf dieses Tutorial zum Aktivieren der Self-Service-Kennwortzurücksetzung in Microsoft Entra.
- Eine lokale AD DS-Umgebung, die mit Der Cloudsynchronisierungsversion 1.1.977.0 oder höher von Microsoft Entra Connect konfiguriert ist. Erfahren Sie, wie Sie die aktuelle Version des Agents identifizieren. Konfigurieren Sie bei Bedarf die Cloudsynchronisierung von Microsoft Entra Connect mithilfe dieses Lernprogramms.
Bereitstellungsschritte
- Konfigurieren von Microsoft Entra Connect Cloud Sync Service-Kontoberechtigungen
- Aktivieren des Kennwortrückschreibens in der Microsoft Entra Connect-Cloudsynchronisierung
- Aktivieren des Kennwortrückschreibens für SSPR
Konfigurieren von Kontoberechtigungen für den Microsoft Entra Connect-Cloudsynchronisierungsdienst
Berechtigungen für die Cloudsynchronisierung sind standardmäßig konfiguriert. Wenn Berechtigungen zurückgesetzt werden müssen, lesen Sie die Problembehandlung für weitere Details zu den spezifischen Berechtigungen, die für das Kennwortrückschreiben erforderlich sind, und wie Sie diese mithilfe von PowerShell festlegen.
Aktivieren des Kennwortrückschreibens in SSPR
Sie können die Bereitstellung der Cloudsynchronisierung von Microsoft Entra Connect direkt im Microsoft Entra Admin Center oder in PowerShell aktivieren.
Aktivieren des Kennwortrückschreibens im Microsoft Entra Admin Center
Nachdem das Kennwortrückschreiben in der Microsoft Entra Connect-Cloudsynchronisierung aktiviert wurde, überprüfen und konfigurieren Sie Microsoft Entra SSPR für das Kennwortrückschreiben. Wenn Sie SSPR für die Nutzung des Kennwortrückschreibens aktivieren, wird für Benutzer, die ihr Kennwort ändern oder zurücksetzen, dieses aktualisierte Kennwort ebenfalls wieder mit der lokalen AD DS-Umgebung synchronisiert.
Führen Sie zum Überprüfen und Aktivieren des Kennwortrückschreibens in SSPR die folgenden Schritte aus:
Melden Sie sich mindestens als Hybrididentitätsadministrator beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra ID>Kennwortzurücksetzung, und wählen Sie dann die lokale Integration aus.
Aktivieren Sie die Option zum Aktivieren des Kennwortrückschreibens für synchronisierte Benutzer.
(optional) Wenn Microsoft Entra Connect-Bereitstellungs-Agents erkannt werden, können Sie zusätzlich die Option zum Zurückschreiben von Kennwörtern mit der Microsoft Entra Connect-Cloudsynchronisierung überprüfen.
Aktivieren Sie die Option , damit Benutzer Konten entsperren können, ohne ihr Kennwort auf "Ja" zurückzusetzen.
Wenn Sie fertig sind, wählen Sie "Speichern" aus.
PowerShell
Mit PowerShell können Sie die Microsoft Entra Connect-Cloudsynchronisierung aktivieren, indem Sie das Cmdlet „Set-AADCloudSyncPasswordWritebackConfiguration“ auf den Servern mit den Bereitstellungs-Agents verwenden.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Bereinigen von Ressourcen
Wenn Sie die SSPR-Schreibfunktionalität, die Sie im Rahmen dieses Lernprogramms konfiguriert haben, nicht mehr verwenden möchten, führen Sie die folgenden Schritte aus:
- Melden Sie sich mindestens als Hybrididentitätsadministrator beim Microsoft Entra Admin Center an.
- Navigieren Sie zu Entra ID>Kennwortzurücksetzung, und wählen Sie dann die lokale Integration aus.
- Deaktivieren Sie die Option zum Aktivieren des Kennwortrückschreibens für synchronisierte Benutzer.
- Deaktivieren Sie die Option zum Zurückschreiben von Kennwörtern mit der Microsoft Entra Connect-Cloudsynchronisierung.
- Deaktivieren Sie die Option , mit der Benutzer Konten entsperren können, ohne ihr Kennwort zurückzusetzen.
- Wenn Sie fertig sind, wählen Sie "Speichern" aus.
Wenn Sie die Microsoft Entra Connect-Cloudsynchronisierung für die SSPR-Rückschreiben-Funktion nicht mehr verwenden möchten, jedoch den Microsoft Entra Connect-Synchronisierungs-Agent für Schreibvorgänge weiternutzen möchten, führen Sie die folgenden Schritte aus:
- Melden Sie sich mindestens als Hybrididentitätsadministrator beim Microsoft Entra Admin Center an.
- Navigieren Sie zu Entra ID>Kennwortzurücksetzung, und wählen Sie dann die lokale Integration aus.
- Deaktivieren Sie die Option zum Zurückschreiben von Kennwörtern mit der Microsoft Entra Connect-Cloudsynchronisierung.
- Wenn Sie fertig sind, wählen Sie "Speichern" aus.
Sie können auch PowerShell verwenden, um die Microsoft Entra Connect-Cloudsynchronisierung für SSPR-Schreibzugriffsfunktionen aus Ihrem Microsoft Entra Connect-Cloudsynchronisierungsserver zu deaktivieren. Führen Sie dazu Set-AADCloudSyncPasswordWritebackConfiguration mit den Anmeldeinformationen des Hybrid Identity Administrators aus, um die Kennwortrückschreibung mit der Microsoft Entra Connect-Cloudsynchronisierung zu deaktivieren.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Unterstützte Vorgänge
Kennwörter werden in den folgenden Situationen für Endbenutzer und Administratoren zurückgeschrieben.
| Konto | Unterstützte Vorgänge |
|---|---|
| Endbenutzer | Jegliche freiwillige Self-Service-Kennwortänderung durch einen Endbenutzer Jegliche erzwungene Self-Service-Kennwortänderung durch einen Endbenutzer, beispielsweise bei Ablauf des Kennworts Jegliche Self-Service-Kennwortzurücksetzung durch Endbenutzer*innen über die Option zur Kennwortzurücksetzung. |
| Administratoren | Jegliche freiwillige Self-Service-Kennwortänderung durch einen Administrator Jegliche erzwungene Self-Service-Kennwortänderung durch einen Administrator, beispielsweise bei Ablauf des Kennworts Jegliche Self-Service-Kennwortzurücksetzung durch Administrator*innen über die Option zur Kennwortzurücksetzung. Jegliche administratorseitig initiierte Zurücksetzung von Endbenutzerkennwörtern über das Microsoft Entra Admin Center. Jegliche durch einen Administrator initiierte Endbenutzerkennwortzurücksetzung über Microsoft Graph-API. |
Nicht unterstützte Vorgänge
Kennwörter werden in folgenden Situationen nicht zurückgeschrieben:
| Konto | Nicht unterstützte Vorgänge |
|---|---|
| Endbenutzer | Jede Zurücksetzung des eigenen Kennworts durch einen Endbenutzer über ein PowerShell-Cmdlet oder die Microsoft Graph-API |
| Administratoren | Jede vom Administrator ausgelöste Kennwortzurücksetzung für Endbenutzer über ein PowerShell-Cmdlet Jegliche durch einen Administrator initiierte Kennwortzurücksetzung durch den Endbenutzer über das Microsoft 365 Admin Center Kein Administrator kann das Tool zur Kennwortzurücksetzung verwenden, um sein eigenes oder das Kennwort eines anderen Administrators in Microsoft Entra ID für das Zurückschreiben von Passwörtern zurückzusetzen. |
Validierungsszenarios
Nutzen Sie die folgenden Verfahren, um Szenarien mit Kennwortrückschreibung zu prüfen. Alle Validierungsszenarien erfordern, dass die Cloudsynchronisierung installiert ist und der Benutzer sich im Geltungsbereich für das Kennwortrückschreiben befindet.
| Szenario | Einzelheiten |
|---|---|
| Zurücksetzen des Kennworts auf der Anmeldeseite | Lassen Sie zwei Benutzer aus nicht verbundenen Domänen und Gesamtstrukturen eine Self-Service-Kennwortzurücksetzung durchführen. Sie könnten Microsoft Entra Connect und Cloudsynchronisierung auch parallel bereitstellen und einen Benutzer im Geltungsbereich der Cloudsynchronisierungskonfiguration und einen anderen Benutzer im Geltungsbereich von Microsoft Entra Connect anweisen, ihr Kennwort zurückzusetzen. |
| Erzwingen der Änderung abgelaufener Kennwörter | Lassen Sie zwei Benutzer aus getrennten Domänen und Gesamtstrukturen abgelaufene Kennwörter ändern. Sie könnten Microsoft Entra Connect und Cloudsynchronisierung auch parallel bereitstellen und einen Benutzer im Geltungsbereich der Cloudsynchronisierungskonfiguration und einen anderen Benutzer im Geltungsbereich von Microsoft Entra Connect haben. |
| Reguläre Kennwortänderung | Lassen Sie zwei Benutzer aus nicht verbundenen Domänen und Gesamtstrukturen eine routinemäßige Kennwortänderung durchführen. Sie könnten Microsoft Entra Connect und Cloudsynchronisierung auch parallel laufen lassen und einen Benutzer im Geltungsbereich der Cloudsynchronisierungskonfiguration und einen anderen Benutzer im Geltungsbereich von Microsoft Entra Connect haben. |
| Administratorzurücksetzung des Benutzerkennworts | Lassen Sie zwei Benutzer aus nicht verbundenen Domänen und Gesamtstrukturen eine Kennwortzurücksetzung über das Microsoft Entra Admin Center oder das Portal für Mitarbeiter*innen in Service und Produktion durchführen. Sie könnten Microsoft Entra Connect und Cloudsynchronisierung auch parallel laufen lassen und einen Benutzer im Geltungsbereich der Cloudsynchronisierungskonfiguration und einen anderen Benutzer im Geltungsbereich von Microsoft Entra Connect haben |
| Self-Service-Kontoentsperrung | Lassen Sie zwei Benutzer aus nicht verbundenen Domänen und Gesamtstrukturen Konten im SSPR-Portal entsperren, um das Kennwort zurückzusetzen. Sie könnten Microsoft Entra Connect und Cloudsynchronisierung auch parallel laufen lassen und einen Benutzer im Geltungsbereich der Cloudsynchronisierungskonfiguration und einen anderen Benutzer im Geltungsbereich von Microsoft Entra Connect haben. |
Problembehandlung
Das verwaltete Dienstkonto für die Microsoft Entra Connect-Cloudsynchronisierungsgruppe sollte standardmäßig über die folgenden Berechtigungen für das Kennwortrückschreiben verfügen:
- Kennwort zurücksetzen
- Schreibberechtigungen für „lockoutTime“
- Schreibberechtigungen für „pwdLastSet“
- Erweiterte Rechte für „Abgelaufenes Kennwort wiederherstellen“ für das Stammobjekt jeder Domäne in dieser Gesamtstruktur, sofern noch nicht festgelegt.
Wenn diese Berechtigungen nicht festgelegt sind, können Sie die PasswordWriteBack-Berechtigung auf dem Dienstkonto festlegen, indem Sie das Cmdlet Set-AADCloudSyncPermissions verwenden und die Anmeldeinformationen eines lokalen Unternehmensadministrators eingeben.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Nachdem Sie die Berechtigungen aktualisiert haben, kann es bis zu einer Stunde dauern, bis diese Berechtigungen auf alle Objekte in Ihrem Verzeichnis repliziert werden.
Wenn Kennwörter für einige Benutzerkonten nicht in das lokale Verzeichnis zurückgeschrieben werden, stellen Sie sicher, dass die Vererbung für das Konto in der lokalen AD DS-Umgebung nicht deaktiviert ist. Schreibberechtigungen für Kennwörter müssen auf Nachfolgerobjekte angewendet werden, damit die Funktion ordnungsgemäß funktioniert.
Kennwortrichtlinien in der lokalen AD DS-Umgebung können verhindern, dass Kennwortzurücksetzungen ordnungsgemäß verarbeitet werden. Wenn Sie dieses Feature testen und das Kennwort für Benutzer mehrmals pro Tag zurücksetzen möchten, muss die Gruppenrichtlinie für das Mindestkennwortalter auf 0 festgelegt sein. Diese Einstellung ist zu finden unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie in gpmc.msc.
Warten Sie beim Aktualisieren der Gruppenrichtlinie, bis die aktualisierte Richtlinie repliziert wurde, oder verwenden Sie den Befehl „gpupdate /force“.
Damit Kennwörter sofort geändert werden können, muss für Mindestalter für Kennwörter die Einstellung „0“ festgelegt werden. Wenn Benutzer jedoch den lokalen Richtlinien entsprechen und das Mindestkennwortalter auf einen Wert größer als 0 festgelegt ist, funktioniert das Kennwortrückschreiben nach der Auswertung der lokalen Richtlinien nicht.
Weitere Informationen zum Überprüfen oder Einrichten der entsprechenden Berechtigungen finden Sie unter Konfigurieren von Kontoberechtigungen für Microsoft Entra Connect.
Nächste Schritte
- Weitere Informationen zur Cloudsynchronisierung und zum Vergleich zwischen Microsoft Entra Connect und Cloudsynchronisierung finden Sie unter Was ist die Microsoft Entra Connect-Cloudsynchronisierung?
- Um ein Tutorial über die Einrichtung von Kennwortrückschreibung mithilfe von Microsoft Entra Connect zu sehen, siehe Tutorial: Aktivieren Sie die Self-Service-Kennwortrücksetzung mit Microsoft Entra in einer lokalen Umgebung.