Tutorials: Aktivieren des Rückschreibens von Microsoft Entra-Self-Service-Kennwortzurücksetzungen für eine lokale Umgebung

Mit der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) in Microsoft Entra können Benutzer über einen Webbrowser ihre Kennwörter aktualisieren oder ihre Konten entsperren. Dieses Video zum Aktivieren und Konfigurieren von SSPR in Microsoft Entra ID wird empfohlen. In einer Hybridumgebung, in der Microsoft Entra ID mit einer lokalen Active Directory Domain Services-Umgebung (AD DS) verbunden ist, kann dieses Szenario dazu führen, dass sich Kennwörter zwischen den beiden Verzeichnissen unterscheiden.

Das Kennwortrückschreiben kann genutzt werden, um Kennwortänderungen in Microsoft Entra mit Ihrer lokalen AD DS-Umgebung zu synchronisieren. Microsoft Entra Connect bietet einen sicheren Mechanismus zum Zurücksenden dieser Kennwortänderungen in ein vorhandenes lokales Verzeichnis aus Microsoft Entra ID.

In diesem Tutorial lernen Sie Folgendes:

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:

• Funktionierender Microsoft Entra-Mandant, für den mindestens eine P1-Lizenz oder eine Testlizenz für Microsoft Entra ID aktiviert ist.
  • Erstellen Sie ggf. ein kostenloses Konto.
  • Weitere Informationen finden Sie unter Lizenzanforderungen für Microsoft Entra-SSPR.
• Ein Konto mit Hybrididentitätsadministrator.
• Für Self-Service-Kennwortzurücksetzung konfigurierte Microsoft Entra ID-Instanz.
  • Absolvieren Sie bei Bedarf das Tutorial zum Aktivieren der Microsoft Entra-SSPR.
• Eine vorhandene lokale AD DS-Umgebung, die mit einer aktuellen Version von Microsoft Entra Connect konfiguriert ist
  • Konfigurieren Sie ggf. Microsoft Entra Connect unter Verwendung der Express-Einstellungen oder der benutzerdefinierten Einstellungen.
  • Zur Verwendung des Kennwortrückschreibens können Domänencontroller eine beliebige unterstützte Version von Windows Server ausführen.

Konfigurieren der Kontoberechtigungen für Microsoft Entra Connect

Mithilfe von Microsoft Entra Connect können Sie Benutzer, Gruppen und Anmeldeinformationen zwischen einer lokalen AD DS-Umgebung und Microsoft Entra ID synchronisieren. In der Regel installieren Sie Microsoft Entra Connect auf einem Computer mit Windows Server 2016 oder höher, der in die lokale AD DS-Domäne eingebunden ist.

Damit Sie das SSPR-Rückschreiben ordnungsgemäß verwenden können, müssen für das in Microsoft Entra Connect angegebene Konto die entsprechenden Berechtigungen und Optionen festgelegt sein. Wenn Sie nicht sicher sind, welches Konto derzeit verwendet wird, öffnen Sie Microsoft Entra Connect, und wählen Sie die Option Aktuelle Konfiguration anzeigen aus. Das Konto, dem Sie Berechtigungen hinzufügen müssen, wird unter Synchronisierte Verzeichnisse angezeigt. Für das Konto müssen die folgenden Berechtigungen und Optionen festgelegt werden:

• Passwort zurücksetzen
• Passwort ändern
• Schreibberechtigungen on lockoutTime
• Schreibberechtigungen on pwdLastSet
• Erweiterte Rechte für "Passwort verfallen lassen" auf dem Stammobjekt von jede Domäne in diesem Wald, falls noch nicht aktiviert.

Wenn Sie diese Berechtigungen nicht zuweisen, ist das Rückschreiben scheinbar ordnungsgemäß konfiguriert, Benutzer erhalten jedoch Fehler bei dem Versuch, ihre lokalen Kennwörter über die Cloud zu verwalten. Bei der Einstellung von „Passwort aufheben“ in Active Directory muss es auf Dieses Objekt und alle untergeordneten Objekte, Nur dieses Objekt oder Alle untergeordneten Objekte angewendet werden, oder die „Passwort aufheben“-Berechtigung kann nicht angezeigt werden.

Um die entsprechenden Berechtigungen für das Kennwortrückschreiben einzurichten, führen Sie die folgenden Schritte aus:

1. Öffnen Sie in Ihrer lokalen AD DS-Umgebung Active Directory-Benutzer und -Computer mit einem Konto, das geeignete Domänenadministratorberechtigungen hat.
2. Vergewissern Sie sich, dass im Menü Ansicht die Option Erweiterte Features aktiviert ist.
3. Wählen Sie im linken Bereich mit der rechten Maustaste das Objekt aus, das die Wurzel der Domäne darstellt, und wählen Sie Eigenschaften>Sicherheit>Fortgeschrittene.
4. Von der Berechtigungen Registerkarte, wählen Sie Add.
5. For HauptsächlichWählen Sie das Konto aus, auf das die Berechtigungen angewendet werden sollen (das von Microsoft Entra Verbindung verwendete Konto).
6. Wählen Sie in der Dropdownliste Gilt für den Eintrag Nachfolgerbenutzerobjekte aus.
7. Aktivieren Sie unter Berechtigungen das Kontrollkästchen für die folgende Option:
   • Passwort zurücksetzen
8. Aktivieren Sie unter Eigenschaften die Kontrollkästchen für folgende Optionen. Scrollen Sie durch die Liste, um zu diesen Optionen zu gelangen. Möglicherweise sind sie bereits standardmäßig festgelegt:

• SchreibsperreZeit

• pwdLastSet schreiben

  

1. Wählen Sie abschließend Übernehmen/OK aus, um die Änderungen zu übernehmen.
2. Von der Berechtigungen Registerkarte, wählen Sie Add.
3. For HauptsächlichWählen Sie das Konto aus, auf das die Berechtigungen angewendet werden sollen (das von Microsoft Entra Verbindung verwendete Konto).
4. Wählen Sie im Dropdownmenü Gilt fürDieses Objekt und alle Nachfolgeobjekte aus.
5. Aktivieren Sie unter Berechtigungen das Kontrollkästchen für die folgende Option:
   • Passwort verfallen lassen
6. Wählen Sie abschließend Übernehmen/OK aus, um die Änderungen zu übernehmen und alle geöffneten Dialogfelder zu schließen.

Wenn Sie Berechtigungen aktualisieren, kann es bis zu einer Stunde oder länger dauern, bis diese Berechtigungen an alle Objekte in Ihrem Verzeichnis repliziert wurden.

Kennwortrichtlinien in der lokalen AD DS-Umgebung verhindern unter Umständen, dass Kennwortzurücksetzungen ordnungsgemäß verarbeitet werden. Damit Kennwortrückschreiben möglichst effizient funktioniert, muss die Gruppenrichtlinie für Minimales Kennwortalter auf „0“ festgelegt werden. Diese Einstellung finden Sie in > unter >.

Warten Sie beim Aktualisieren der Gruppenrichtlinie, bis die aktualisierte Richtlinie repliziert wurde, oder verwenden Sie den Befehl gpupdate /force.

Aktivieren des Kennwortrückschreibens in Microsoft Entra Connect

Eine Konfigurationsoption in Microsoft Entra Connect ist das Kennwortrückschreiben. Wenn diese Option aktiviert ist, führen Kennwortänderungsereignisse dazu, dass Microsoft Entra Connect die aktualisierten Anmeldeinformationen wieder mit der lokalen AD DS-Umgebung synchronisiert.

Aktivieren Sie zum Aktivieren der SSPR zunächst die Rückschreiboption in Microsoft Entra Connect. Führen Sie auf dem Microsoft Entra Connect-Server die folgenden Schritte aus:

1. Melden Sie sich bei Ihrem Microsoft Entra Connect-Server an, und starten Sie den Microsoft Entra Connect-Konfigurations-Assistenten.
2. Auf der Willkommen Seite, wählen Sie Konfigurieren.
3. Auf der Zusätzliche Aufgaben Seite, wählen Sie Anpassen der Synchronisierungsoptionen, und wählen Sie dann Weiter.
4. Auf der Verbindung mit Microsoft Entra ID Geben Sie auf der Seite Hybrid-Verwalter die Anmeldeinformationen für Ihren Azure-Tenant ein, und wählen Sie dann Weiter.
5. Auf der Verzeichnisse verbinden und Bereich/OU Seiten filtern, wählen Sie Weiter.
6. Aktivieren Sie auf der Seite Optionale Features das Kontrollkästchen neben Kennwortrückschreiben, und wählen Sie Weiter aus.
7. Wählen Sie auf der Seite Verzeichniserweiterungen die Option Weiter aus.
8. Auf der Bereit zur Konfiguration Seite, wählen Sie Konfigurieren und warten Sie, bis der Prozess abgeschlossen ist.
9. Wenn Sie sehen, dass die Konfiguration beendet ist, wählen Sie Beenden aus.

Aktivieren des Kennwortrückschreibens für Self-Service-Kennwortzurücksetzung

Sobald Sie das Kennwortrückschreiben in Microsoft Entra Connect aktiviert haben, konfigurieren Sie Microsoft Entra-SSPR für das Rückschreiben. SSPR kann konfiguriert werden, um über Synchronisierungs- und Bereitstellungs-Agents von Microsoft Entra Connect (Cloudsynchronisierung) zurückzuschreiben. Wenn Sie SSPR für die Nutzung des Kennwortrückschreibens aktivieren, wird für Benutzer, die ihr Kennwort ändern oder zurücksetzen, dieses aktualisierte Kennwort ebenfalls wieder mit der lokalen AD DS-Umgebung synchronisiert.

Führen Sie zum Aktivieren des Kennwortrückschreibens in SSPR die folgenden Schritte aus:

1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.
2. Navigieren Sie zu Entra ID>Kennwortzurücksetzung, und wählen Sie dann die lokale Integration aus.
3. Aktivieren Sie die Option Kennwörter in Ihr lokales Verzeichnis zurückschreiben.
4. (Optional) Wenn Microsoft Entra Connect-Bereitstellungs-Agents erkannt werden, können Sie zusätzlich die Option Kennwörter mit der Microsoft Entra Connect-Cloudsynchronisierung zurückschreiben aktivieren.
5. Legen Sie die Option Benutzern das Entsperren von Konten ohne Zurücksetzen des Kennworts erlauben auf Ja fest.
6. Wählen Sie Speichern aus, wenn Sie so weit sind.

Bereinigen von Ressourcen

Wenn Sie die im Rahmen dieses Tutorials konfigurierte Funktionalität für SSPR-Rückschreiben nicht mehr nutzen möchten, gehen Sie wie folgt vor:

1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.
2. Navigieren Sie zu Entra ID>Kennwortzurücksetzung, und wählen Sie dann die lokale Integration aus.
3. Deaktivieren Sie die Option Kennwörter in Ihr lokales Verzeichnis zurückschreiben.
4. Deaktivieren Sie die Option Zurückschreiben von Kennwörtern mit Microsoft Entra Connect-Cloudsynchronisierung.
5. Deaktivieren Sie die Option Benutzern das Entsperren von Konten ohne Zurücksetzen des Kennworts erlauben.
6. Wählen Sie Speichern aus, wenn Sie so weit sind.

Wenn Sie die Microsoft Entra Connect-Cloudsynchronisierung für die SSPR-Rückschreiben-Funktion nicht mehr verwenden möchten, jedpcj den Microsoft Entra Connect-Synchronisierungs-Agent für Schreibvorgänge weiternutzen möchten, führen Sie die folgenden Schritte aus:

1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.
2. Navigieren Sie zu Entra ID>Kennwortzurücksetzung, und wählen Sie dann die lokale Integration aus.
3. Deaktivieren Sie die Option Zurückschreiben von Kennwörtern mit Microsoft Entra Connect-Cloudsynchronisierung.
4. Wählen Sie Speichern aus, wenn Sie so weit sind.

Wenn Sie keine Kennwortfunktionalität mehr nutzen möchten, führen Sie auf dem Microsoft Entra Connect-Server die folgenden Schritte aus:

1. Melden Sie sich bei Ihrem Microsoft Entra Connect-Server an, und starten Sie den Microsoft Entra Connect-Konfigurations-Assistenten.
2. Auf der Willkommen Seite, wählen Sie Konfigurieren.
3. Auf der Zusätzliche Aufgaben Seite, wählen Sie Anpassen der Synchronisierungsoptionen, und wählen Sie dann Weiter.
4. Auf der Verbindung mit Microsoft Entra ID Seite, geben Sie eine Hybrid-Verwalter-Berechtigung ein und wählen Sie dann Weiter.
5. Auf der Verzeichnisse verbinden und Bereich/OU Seiten filtern, wählen Sie Weiter.
6. Deaktivieren Sie auf der Seite Optionale Features das Kontrollkästchen neben Kennwortrückschreiben, und wählen Sie Weiter aus.
7. Auf der Bereit zur Konfiguration Seite, wählen Sie Konfigurieren und warten Sie, bis der Prozess abgeschlossen ist.
8. Wenn Sie sehen, dass die Konfiguration beendet ist, wählen Sie Beenden aus.

Nächste Schritte

In diesem Tutorial haben Sie das Microsoft Entra-SSPR-Rückschreiben für eine lokale AD DS-Umgebung aktiviert. Sie haben Folgendes gelernt: