Kennwörter in Azure AD zurücksetzen mit Self Service Passwort Reset (SSPR)

    , 26.04.2022
    Tags: , , ,

    Azure AD Self Service Passwort ResetDas Zurück­setzen von Pass­wörtern gehört zu den häufigsten Anfragen an den Helpdesk. Um diesen von solchen Aufgaben zu entlasten, kann man den Passwort-Reset via Self-Service an die User selbst delegieren. Wichtig sind dabei sichere Methoden zur Authenti­fizierung der Benutzer. Azure AD bietet mehrere solcher Verfahren.

    Der Self Service Passwort Reset (SSPR) gehört wie Zugriffs­über­prüfungen, Just-In-Time-Administration oder dynamische Gruppen zu den Self-Service-Funktionen im Azure AD.

    Im Gegensatz zu den anderen genannten Funktionen für die Identitäts­verwaltung gehört die Self-Service-Kennwortänderung für Cloud-Benutzer zum Basisumfang jeder kostenlosen Lizenz von Azure AD. Davon können Sie sich leicht im Blade Azure Active Directory => Lizenzen => Lizenzierte Features leicht überzeugen.

    SSPR konfigurieren

    Um die Funktion einzurichten zu können, benötigen im Azure AD ein Konto mit Berechtigung Globaler Administrator. Für einen ersten Test brauchen Sie darüber hinaus einen Dummy-Benutzer ohne Administrator­rechte und einem Ihnen bekannten Passwort, den Sie in eine Testgruppe aufnehmen.

    Azure AD erlaubt das Aktivieren von SSPR für KeineAusgewählte oder Alle. Die betreffenden Einstellungen finden Sie im Azure-AD-Blade unter dem Abschnitt Zurücksetzen des Kennworts bei Eigenschaften. Für einen Probelauf ist es empfehlens­wert, mit Ausgewählt zu starten und dann die gewünschte Testgruppe explizit zu bestimmen.

    Neue Funktionen testet man am besten erst im Kontext einer Gruppe

    Anschließend legen Sie im Menü Authenti­fizierungs­methoden die zulässigen Verfahren (Typ und Anzahl) fest, welche die Benutzer bei der Registrierung für das SSPR und dann auch zum Zurücksetzen des Kennworts verwenden dürfen.

    Sie bestimmten die Authentifizierungsmethoden, die Benutzer für sich konfigurieren können.

    Dass in der Abbildung zwei Optionen ausgegraut sind, liegt lediglich daran, dass wir für diesen Beitrag ein Test-Abonnement verwenden.

    Bei den Sicherheitsfragen differenziert Microsoft zwischen der Anzahl, die für die Registrierung erforderlich sind, und jenen, die man für die Rücksetzung benötigt. Dabei können Sie zwischen vor- und benutzerdefinierten Fragen wählen.

    Sicherheitsfragen für SSPR konfigurieren

    Schließlich stellen Sie im Abschnitt Registrierung ein, ob Sie von Ihren Benutzern bei der ersten Anmeldung in Azure eine Registrierung verlangen und nach wie vielen Tagen Sie diese wiederholen möchten.

    Nutzer können zum Registrieren der Sicherheitsinformationen gezwungen werden.

    Entscheiden Sie sich hier für Nein, dann müssen als Sie als Administrator die erforderlichen Authenti­fizierungs­informa­tionen für die Kennwort­zurücksetzung manuell in den Eigenschaften der einzelnen Benutzer angeben oder die Benutzer anweisen, zur URL des Registrierungs­portals zu wechseln.

    Manuelles benutzerspezifisches Festlegen von Authentifizierungsmethoden

    User wählt Methoden für die SSPR-Authentifizierung

    Meldet sich ein Benutzer dann zum ersten Mal am Azure-Portal an, muss er zunächst sein ursprüngliches Passwort durch ein neues ersetzen.

    Bei der ersten Anmeldung muss jeder Benutzer sein initiales Kennwort zurücksetzen.

    Danach kann er dann im Dialog Ihre Organisation benötigt weitere Informationen zum Schutz Ihres Kontos die gewünschten Methoden registrieren.

    Der Dialog Schützen Sie Ihr Konto ist weitgehend selbsterklärend. Abhängig von der Konfiguration, für die sich der Admin entschieden hat, müssen Nutzer hier ein oder zwei Methoden einrichten.

     Nutzer müssen selbst eine oder mehrere der für sie freigegeben Methoden konfigurieren.

    Klickt er unten auf den Link Ich möchte eine andere Methode einrichten, dann bekommt er genau die Methoden angeboten, Sie sie oben im Menü Azure AD => SSPR => Authenti­fizierungs­methoden festgelegt haben.

    Jeder Benutzer kann nur die Methoden einrichten, die für ihn zur Verfügung gestellt wurden.

    In unserem Beispiel muss sich der Benutzer für eine Methode entscheiden. Der Link Setup überspringen ist bei aktiven Sicherheits­standards im Azure AD nur in den ersten 14 Tagen nach der Benutzeranlage verfügbar.

    Das Ergebnis bei einem Telefon als Authentifizierungsmethode könnte dann so aussehen wie in der folgenden Abbildung.

    Ein Benutzer konnte sich erfolgreich für den SSPR registrieren.

    Authentifizierungsmethoden im Benutzerkonto festlegen

    Alternativ zur SSPR-Registrierung bei der ersten Anmeldung kann der Benutzer seine favorisierten Authentifizierungs­methoden auch direkt in seinem Konto unter https://myaccount.microsoft.com/ im Abschnitt Sicherheits­informationen auswählen.

    Der Benutzer kann seine Sicherheitsinformationen auch vorab in seinem Konto konfigurieren.

    Hierzu klickt er auf Informationen aktualisieren und meldet sich noch einmal mit seinen Credentials an, was ggf. erneut durch eine bereits konfigurierte Sicherheits­methode bestätigt werden muss.

    Anschließend kann er weitere Methoden einrichten:

    Das Einrichten weiterer Methoden im eigenen Konto

    Passwort zurücksetzen

    Vergisst der Benutzer dann irgendwann sein Passwort, muss er nur im Anmeldedialog auf den Link Kennwort vergessen klicken, um es selbst zurückzusetzen.

    Für die Umleitung zum SSPR klickt man einfach auf 'Kennwort vergessen'.

    Er wird dann zu htts://passortreset.microsoftonline.com umgeleitet. Hier gibt er zunächst seinen Azure-AD-Service-Prinzipal oder E-Mail-Adresse ein und bestätigt die Eingabe mit dem angezeigten Captcha-Code.

    Das Reaktivieren des Kontos erfordert die Bestätigung der Identität.

    Anschließend kann er eine der konfigurierten Authenti­fizierungs­methoden nutzen, um das Kennwort zurückzusetzen.

    Das Zurücksetzen des Kennworts via Telefon/SMS

    Wurde in unserem Beispiel die SMS an die angegeben Telefonnummer erfolgreich bestätigt, kann der Benutzer ein neues Kennwort vergeben.

    Der Benutzer kann ein neues Kennwort vergeben.

    Fazit

    Im Unterschied zu einem lokalen Active Directory bietet Azure AD ein integriertes Feature für den Self-Service-Reset von Kennwörtern, wenn User ihr Passwort vergessen haben. Das Zurücksetzen von Passwörtern in Eigenregie ist selbst in der Basisversion des Verzeichnis­dienstes enthalten.

    Nach einer relativ einfachen Aktivierung von SSPR durch den Administrator steht es den Benutzern frei, die für sie zugelassenen Methoden zur Authentifizierung auszuwählen, mit denen sie nachweisen, dass sie der rechtmäßige Besitzer des betreffenden Kontos sind.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet ist seit fast 30 Jahren selb­ständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehe­malige und aktuelle IT-Magazine sowie Blogs.

    Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.

    Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zerti­fi­zierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grund­lagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.

    Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Infor­mationen und Anmel­dung über sein Azure-Blog.

    Verwandte Beiträge

    Weitere Links