Tutorials: Aktivieren des Rückschreibens von Microsoft Entra-Self-Service-Kennwortzurücksetzungen für eine lokale Umgebung

Mit Microsoft Entra Self-Service Password Reset (SSPR) können Benutzer ihre Kennwörter aktualisieren oder ihre Konten über einen Webbrowser entsperren. Wir empfehlen dieses Video unter How to enable and configure SSPR in Entra ID. In einer Hybridumgebung, in der Microsoft Entra ID mit einer lokalen Active Directory Domain Services (AD DS)-Umgebung verbunden ist, können Kennwörter zwischen den beiden Verzeichnissen unterschiedlich sein.

Sie können das Kennwortrückschreiben verwenden, um Kennwortänderungen in Microsoft Entra wieder mit Ihrer lokalen AD DS-Umgebung zu synchronisieren. Microsoft Entra Connect bietet einen sicheren Mechanismus zum Zurücksenden dieser Kennwortänderungen in ein vorhandenes lokales Verzeichnis aus Microsoft Entra ID.

In diesem Tutorial lernen Sie Folgendes:

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:

• Funktionierender Microsoft Entra-Mandant, für den mindestens eine P1-Lizenz oder eine Testlizenz für Microsoft Entra ID aktiviert ist.
  • Erstellen Sie ggf. ein kostenloses Konto.
  • Weitere Informationen finden Sie unter Lizenzanforderungen für Microsoft Entra-SSPR.
• Ein Konto mit Hybrididentitätsadministrator.
• Für Self-Service-Kennwortzurücksetzung konfigurierte Microsoft Entra ID-Instanz.
  • Absolvieren Sie bei Bedarf das Tutorial zum Aktivieren der Microsoft Entra-SSPR.
• Eine vorhandene lokale AD DS-Umgebung, die mit einer aktuellen Version von Microsoft Entra Connect konfiguriert ist
  • Konfigurieren Sie ggf. Microsoft Entra Connect unter Verwendung der Express-Einstellungen oder der benutzerdefinierten Einstellungen.
  • Zur Verwendung des Kennwortrückschreibens können Domänencontroller eine beliebige unterstützte Version von Windows Server ausführen.

Konfigurieren der Kontoberechtigungen für Microsoft Entra Connect

Mithilfe von Microsoft Entra Connect können Sie Benutzer, Gruppen und Anmeldeinformationen zwischen einer lokalen AD DS-Umgebung und Microsoft Entra ID synchronisieren. In der Regel installieren Sie Microsoft Entra Connect auf einem Computer mit Windows Server 2016 oder höher, der in die lokale AD DS-Domäne eingebunden ist.

Damit Sie das SSPR-Rückschreiben ordnungsgemäß verwenden können, müssen für das in Microsoft Entra Connect angegebene Konto die entsprechenden Berechtigungen und Optionen festgelegt sein. Wenn Sie nicht sicher sind, welches Konto derzeit verwendet wird, öffnen Sie Microsoft Entra Connect, und wählen Sie die Option Aktuelle Konfiguration anzeigen aus. Das Konto, dem Sie Berechtigungen hinzufügen müssen, wird unter " Synchronisierte Verzeichnisse" aufgeführt. Für das Konto müssen die folgenden Berechtigungen und Optionen festgelegt werden:

• Passwort zurücksetzen
• Passwort ändern
• Schreibberechtigungen on lockoutTime
• Schreibberechtigungen on pwdLastSet
• Erweiterte Rechte für Passwort verfallen lassen auf dem Stammobjekt von jede Domäne in diesem Wald, falls noch nicht aktiviert.

Wenn Sie diese Berechtigungen nicht zuweisen, scheint das Kennwortrückschreiben möglicherweise korrekt konfiguriert zu sein, bei Benutzern treten jedoch Fehler auf, wenn sie ihre lokalen Kennwörter aus der Cloud verwalten. Wenn Sie Unexpire Password Berechtigungen in Active Directory festlegen, müssen Sie sie auf Dieses Objekt und alle untergeordneten Objekte anwenden, Dieses Objekt nur oder Alle untergeordneten Objekte; andernfalls wird die Berechtigung Unexpire Password nicht angezeigt.

Um die entsprechenden Berechtigungen für das Kennwortrückschreiben einzurichten, führen Sie die folgenden Schritte aus:

1. Öffnen Sie in Ihrer lokalen AD DS-Umgebung Active Directory-Benutzer und -Computer mit einem Konto, das über die entsprechenden Domänenadministratorberechtigungen verfügt.
2. Vergewissern Sie sich, dass im Menü Ansicht die Option Erweiterte Features aktiviert ist.
3. Klicken Sie im linken Bereich mit der rechten Maustaste auf das Objekt, das den Stamm der Domäne darstellt, und wählen Sie "Properties>>" aus.
4. Von der Berechtigungen Registerkarte, wählen Sie Add.
5. Wählen Sie für Principal das Konto aus, auf das Berechtigungen angewendet werden sollen (das Konto, das von Microsoft Entra Connect verwendet wird).
6. Wählen Sie in der Dropdownliste Gilt für den Eintrag Nachfolgerbenutzerobjekte aus.
7. Wählen Sie unter "Berechtigungen" das Feld für " Kennwort zurücksetzen" aus.
8. Aktivieren Sie unter Eigenschaften die Kontrollkästchen für folgende Optionen. Scrollen Sie durch die Liste, um diese Optionen zu finden, die möglicherweise bereits standardmäßig festgelegt sind:

• SchreibsperreZeit

• pwdLastSet schreiben

  

1. Wählen Sie abschließend Übernehmen/OK aus, um die Änderungen zu übernehmen.
2. Von der Berechtigungen Registerkarte, wählen Sie Add.
3. Wählen Sie für Principal das Konto aus, für das Berechtigungen angewendet werden sollen (das von Microsoft Entra Connect verwendete Konto).
4. Wählen Sie im Dropdownmenü Gilt fürDieses Objekt und alle Nachfolgeobjekte aus.
5. Aktivieren Sie unter Berechtigungen das Kontrollkästchen für die folgende Option:
   • Passwort verfallen lassen
6. Wählen Sie abschließend Übernehmen/OK aus, um die Änderungen zu übernehmen und alle geöffneten Dialogfelder zu schließen.

Wenn Sie Berechtigungen aktualisieren, kann es bis zu einer Stunde oder länger dauern, bis diese Berechtigungen an alle Objekte in Ihrem Verzeichnis repliziert wurden.

Kennwortrichtlinien in der lokalen AD DS-Umgebung verhindern unter Umständen, dass Kennwortzurücksetzungen ordnungsgemäß verarbeitet werden. Damit das Kennwortrückschreiben am effizientesten funktioniert, muss die Gruppenrichtlinie für das Mindestkennwortalter auf 0 festgelegt sein. Diese Einstellung finden Sie unter Computerkonfiguration > Richtlinien > Windows Einstellungen > Sicherheitseinstellungen > Kontorichtlinien innerhalb gpmc.msc.

Wenn Sie die Gruppenrichtlinie aktualisieren, warten Sie, bis die aktualisierte Richtlinie repliziert oder den gpupdate /force Befehl verwendet.

Aktivieren des Kennwortrückschreibens in Microsoft Entra Connect

Eine Konfigurationsoption in Microsoft Entra Connect ist das Kennwortrückschreiben. Wenn diese Option aktiviert ist, führen Kennwortänderungsereignisse dazu, dass Microsoft Entra Connect die aktualisierten Anmeldeinformationen wieder mit der lokalen AD DS-Umgebung synchronisiert.

Aktivieren Sie zum Aktivieren der SSPR zunächst die Rückschreiboption in Microsoft Entra Connect. Führen Sie auf dem Microsoft Entra Connect-Server die folgenden Schritte aus:

1. Melden Sie sich bei Ihrem Microsoft Entra Connect-Server an, und starten Sie den Microsoft Entra Connect-Konfigurations-Assistenten.
2. Auf der Willkommen Seite, wählen Sie Konfigurieren.
3. Wählen Sie auf der Seite "Zusätzliche Aufgaben " die Option "Synchronisierungsoptionen anpassen" und dann "Weiter" aus.
4. Geben Sie auf der Seite Verbinden mit Microsoft Entra ID eine Anmeldeinformationen für den Hybridadministrator für Ihren Azure Mandanten ein, und wählen Sie dann Next aus.
5. Auf der Verzeichnisse verbinden und Bereich/OU Seiten filtern, wählen Sie Weiter.
6. Aktivieren Sie auf der Seite Optionale Features das Kontrollkästchen neben Kennwortrückschreiben, und wählen Sie Weiter aus.
7. Wählen Sie auf der Seite Verzeichniserweiterungen die Option Weiter aus.
8. Auf der Bereit zur Konfiguration Seite, wählen Sie Konfigurieren und warten Sie, bis der Prozess abgeschlossen ist.
9. Wenn Sie sehen, dass die Konfiguration beendet ist, wählen Sie Beenden aus.

Aktivieren des Kennwortrückschreibens für Self-Service-Kennwortzurücksetzung

Wenn das Kennwortrückschreiben in Microsoft Entra Connect aktiviert ist, können Sie jetzt Microsoft Entra SSPR für den Rückschreibvorgang konfigurieren. Sie können SSPR für das Rückschreiben über Microsoft Entra Connect-Synchronisierungs-Agenten und Microsoft Entra Connect-Bereitstellungs-Agenten (Cloudsynchronisierung) konfigurieren. Wenn Sie SSPR für die Nutzung des Kennwortrückschreibens aktivieren, wird für Benutzer, die ihr Kennwort ändern oder zurücksetzen, dieses aktualisierte Kennwort ebenfalls wieder mit der lokalen AD DS-Umgebung synchronisiert.

Führen Sie zum Aktivieren des Kennwortrückschreibens in SSPR die folgenden Schritte aus:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybrid Identity Administrator an.
2. Navigieren Sie zu Entra ID>Kennwortzurücksetzung, und wählen Sie dann die lokale Integration aus.
3. Aktivieren Sie die Option zum Zurückschreiben von Kennwörtern in Ihr lokales Verzeichnis.
4. (Optional) Wenn Microsoft Entra Connect-Bereitstellungs-Agents erkannt werden, können Sie zusätzlich die Option Kennwörter mit der Microsoft Entra Connect-Cloudsynchronisierung zurückschreiben aktivieren.
5. Legen Sie die Option fest , mit der Benutzer Konten entsperren können, ohne ihr Kennwort auf "Ja" zurückzusetzen.
6. Wählen Sie Speichern aus, wenn Sie so weit sind.

Bereinigen von Ressourcen

Wenn Sie die im Rahmen dieses Tutorials konfigurierte Funktionalität für SSPR-Rückschreiben nicht mehr nutzen möchten, gehen Sie wie folgt vor:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybrid Identity Administrator an.
2. Navigieren Sie zu Entra ID>Kennwortzurücksetzung, und wählen Sie dann die lokale Integration aus.
3. Deaktivieren Sie die Option Kennwörter in Ihr lokales Verzeichnis zurückschreiben.
4. Deaktivieren Sie die Option Zurückschreiben von Kennwörtern mit Microsoft Entra Connect-Cloudsynchronisierung.
5. Deaktivieren Sie die Option Benutzern das Entsperren von Konten ohne Zurücksetzen des Kennworts erlauben.
6. Wählen Sie Speichern aus, wenn Sie so weit sind.

Wenn Sie die Microsoft Entra Connect-Cloudsynchronisierung für die SSPR-Rückschreiben-Funktion nicht mehr verwenden möchten, jedpcj den Microsoft Entra Connect-Synchronisierungs-Agent für Schreibvorgänge weiternutzen möchten, führen Sie die folgenden Schritte aus:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybrid Identity Administrator an.
2. Navigieren Sie zu Entra ID>Kennwortzurücksetzung, und wählen Sie dann die lokale Integration aus.
3. Deaktivieren Sie die Option Zurückschreiben von Kennwörtern mit Microsoft Entra Connect-Cloudsynchronisierung.
4. Wählen Sie Speichern aus, wenn Sie so weit sind.

Wenn Sie keine Kennwortfunktionalität mehr nutzen möchten, führen Sie auf dem Microsoft Entra Connect-Server die folgenden Schritte aus:

1. Melden Sie sich bei Ihrem Microsoft Entra Connect-Server an, und starten Sie den Microsoft Entra Connect-Konfigurations-Assistenten.
2. Auf der Willkommen Seite, wählen Sie Konfigurieren.
3. Wählen Sie auf der Seite "Zusätzliche Aufgaben " die Option "Synchronisierungsoptionen anpassen" und dann "Weiter" aus.
4. Geben Sie auf der Seite Verbinden mit Microsoft Entra ID eine Anmeldeinformationen eines Hybridadministrators ein, und wählen Sie dann Next aus.
5. Auf der Verzeichnisse verbinden und Bereich/OU Seiten filtern, wählen Sie Weiter.
6. Deaktivieren Sie auf der Seite Optionale Features das Kontrollkästchen neben Kennwortrückschreiben, und wählen Sie Weiter aus.
7. Auf der Bereit zur Konfiguration Seite, wählen Sie Konfigurieren und warten Sie, bis der Prozess abgeschlossen ist.
8. Wenn Sie sehen, dass die Konfiguration beendet ist, wählen Sie Beenden aus.

Nächste Schritte

In diesem Tutorial haben Sie das Microsoft Entra-SSPR-Rückschreiben für eine lokale AD DS-Umgebung aktiviert. Sie haben Folgendes gelernt: