BlogAzure AD Self Service Passwort Reset nutzen

Azure AD Self Service Passwort Reset nutzen

Azure AD Self Service Passwort Reset nutzen

Das Azure AD ist zwar kein ADDS in der Cloud und im eigentlichen Sinne des Erfinders auch kein vollständiger Verzeichnisdienst, sondern „nur“ ein HTTP/S-basierter Identitätsspeicher, bietet aber eine vollständige und leistungsfähige Suite von Identitätsverwaltungsfunktionen. Dazu gehören je nach Lizenz viele interessante Features wie z. B. Self Service Passwort Reset, MFA, kennwortlose Authentifizierung, bedingter Zugriff und Identity Protection. Dieser Beitrag widmet sich dem SSPR.

Der Self Service Passwort Reset (SSPR) gehört genau wie z. B. die Zugriffprüfungen, Just-In-Time im Kontext von Priviliged Identitiy Management (das reduziert das Lateral Movement-Risiko im Falle einer Konto-Kompromittierung) oder die dynamischen Gruppen zu den zahlreichen Self-Service-Funktionen im Azure AD und in Azure, die den Azure-Administrator von Alltagsaufgaben wie dem Zurücksetzen von Kennwörtern entlasten sollen. Im Gegensatz zu vielen anderen der oben genannten Identitätsverwaltungsfunktionen gehört die Self-Service-Kennwortänderung für Cloudbenutzer zum Basisumgang jeder AzureAD-Free-Lizenz, wovon du dich im Blade „Azure Active Directory / Lizenzen / Lizenzierte Features“ leicht überzeugen kannst.

Um die Funktion einrichten zu können, sind also lizenztechnisch keine weiteren Anforderungen zu erfüllen. Du benötigst aber im Azure AD ein Konto mit Berechtigung „Globaler Administrator“. Für einen ersten Test brauchst du darüber hinaus einen Test-Benutzer ohne Administratorrechte mit einem dir bekannten Passwort; besser ist eine Gruppe im Azure AD, in der der Benutzer Mitglied ist, denn Azure AD erlaubt das Aktivieren von SSPR für „Keine“, „Ausgewählte“ oder „Alle“ Benutzer. Die betreffenden Einstellungen findest du im Azure-AD-Blade im Abschnitt „Zurücksetzen des Kennworts“ bei „Eigenschaften“. Für einen Proof-of-Conzept ist es empfehlenswert, zunächst mit „Ausgewählt“ zu starten und dann die gewünschte Test-Gruppe explizit zu bestimmen. 

Neue Funktionen testet man am besten erst im Kontext einer Gruppe

Anschließend legst du im Menü „Authentifizierungsmethoden“ die gewünschten Methoden (Typ und Anzahl) fest, die Benutzer einerseits für die Registrierung zum SSPR und andererseits dann auch zum Zurücksetzen des Kennworts verwenden dürfen.

Sie bestimmten die Authentifizierungsmethoden, die Benutzer für sich konfigurieren können

Dass in der Abbildung zwei Optionen ausgegraut sind, liegt lediglich daran, dass wir uns für das Beispiel eines Test-Abonnements bedienen. Bei den Sicherheitsfragen differenziert Microsoft zwischen der Anzahl der für die Registrierung erforderlichen Fragen und Denen, die für die Rücksetzung erforderlich sind. Dabei kannst du zwischen „Vordefinierten“ und „Benutzerdefinierten“ Fragen wählen.

Das Konfigurieren von Sicherheitsfragen

Schließlich stellst du im Anschnitt „Registrierung“ ein, ob du von deinen Benutzern eine Registrierung bei der ersten Anmeldung in Azure verlangen möchtest oder nicht und nach wie vielen Tagen du diese wiederholen möchtest.

Nutzer können zum Registrieren der Sicherheitsinformationen „gezwungen“ werden

Das ist dann u. U. der gleiche Registrierungs-Workflow, der auch für die MFA-Registrierung durchlaufen werden muss. Prinzipiell aktiviert Microsoft nämlich seit dem August 2020 alle neuen Azure AD-Mandanten automatisch für die so genannte kombinierte Registrierung. Bisher registrieren Benutzer Authentifizierungsmethoden für Azure AD Multi-Factor Authentication (MFA) und die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) eigentlich getrennt voneinander, was für viele oft verwirrend ist. Ab dem 30.09 2022 registrieren alle Benutzer Sicherheitsinformationen über die kombinierte Registrierungsumgebung.

Entscheidest du dich hier für „Nein“, musst du als Administrator die erforderlichen Authentifizierungsinformationen für die Kennwortzurücksetzung manuell in den Eigenschaften der einzelnen Benutzer angeben (Diese findest du in den Eigenschaften des jeweiligen Benutzers in Azure AD) …

Das manuelle, benutzerspezifische Festlegen von Authentifizierungsmethoden

… oder die Benutzer anweisen, direkt zur URL des Registrierungsportals zu wechseln.

Meldet sich ein Benutzer dann zum ersten Mal z. B. am Azure-Portal an, muss er zunächst einmal sein Initial-Passwort durch ein Neues ersetzen…

Bei der ersten Anmeldung muss jeder Benutzer sein Initialkennwort zurücksetzen

… und dann im Dialog „Ihre Organisation benötigt weitere Informationen zum Schutz Ihres Kontos“, entsprechende Methoden registrieren.

Der Dialog „Schützen Sie Ihr Konto“ ist weitgehend selbsterklärend. Je nach Konfiguration oben müssen Nutzer hier ein oder zwei Methoden einrichten.

Nutzer müssen selbst eine oder mehrere der für sie „freigegeben“ Methoden konfigurieren

Klickt er unten auf den Link „Ich möchte eine andere Methode einrichten“ bekommt er genau die Methoden angeboten, die du oben im Menü „Azure AD / SSPR / Authentifizierungsmethoden“ eingerichtet hast.

Jeder Benutzer kann die Methoden einrichten, die für ihn zur Verfügung stehen

In unserem Beispiel muss sich der Benutzer für eine Methode entscheiden. Der Link rechts unten „Setup überspringen“ ist bei aktiven Sicherheitsstandards im Azure Ad nur in den ersten 14 Tagen nach der Benutzer-Anlage verfügbar.

Das Ergebnis bei einem Telefon als Authentifizierungsmethode könnte dann so aussehen:

 Ein Benutzer konnte sich erfolgreich für den SSPW registrieren

Er ist damit für den Self-Service-Passwort-Reset registriert.

Hat der Benutzer irgendwann sein Passwort vergessen, muss er nur im Anmeldedialog auf den Link „Kennwort vergessen“ klicken, um sein Kennwort selbst zurücksetzen zu können.

Für die Umleitung zum SSPR klickt man einfach auf „Kennwort vergessen“

Er wird dann zu https://passwordreset.microsoftonline.com/ umgeleitet. Hier gibt er zunächst seine Azure-AD-Service-Prinzipal oder E-Mail-Adresse sein und bestätigt die Eingabe mit dem angezeigten Captcha-Code.

Das Reaktivieren des Kontos erfordert die Bestätigung der Identität

Anschließend kann er die oben konfigurierten Authentifizierungsmethoden nutzen, um das Kennwort zurückzusetzen:

Das Zurücksetzen des Kennworts via Telefon/SMS

Wurde im Beispiel die SMS an die angegeben Telefonnummer erfolgreich bestätigt, kann der Benutzer ein neues Kennwort vergeben:

Der Benutzer kann ein neues Kennwort vergeben

Das Ergebnis sieht dann so aus:

Das Konto konnte erfolgreich reaktiviert werden

Alternativ zu Registrierung zum SSPR bei der ersten Anmeldung kann der Benutzer seine favorisierten Authentifizierungsmethoden auch direkt in seinem Konto unter https://myaccount.microsoft.com/ im Abschnitt „Sicherheitsinformationen“ konfigurieren.

Der Benutzer kann seine Sicherheitsinformationen auch vorab in seinem Konto konfigurieren

Hierzu klickt er auf „INFORMATIONEN AKTUALISIEREN“ und meldet sich noch einmal mit seinen Credentials an, was ggf. erneut durch eine bereits konfigurierte Sicherheitsmethode bestätigt werden muss:

Der Zugang zum eigenen Konto erfordert per Default ebenfalls einen zweiten Faktor

Anschließend kann er weitere Methoden einrichten:

Das Einrichten weiterer Methoden im eigenen Konto

Mit diesen Verfahren ist es dir in Zukunft als Administrator einfach möglich, das Self Service Passwort Reset (SSPR) Verfahren zu nutzen.

Schulungen die dich interessieren könnten

Bewertungen

Kundenstimme
Michael W.
Ernst & Young Retail Services GmbH
star-participantstar-participantstar-participantstar-participantstar-participant
Ich fühlte mich in diesem Seminar hervorragend betreut. Es war sehr praxisorientiert und anschaulich.
Kundenstimme
Mausolf B.
Struers GmbH
star-participantstar-participantstar-participantstar-participantstar-participant
Tolle Schulung - kompetenter Trainer, der geduldig auf alle Fragen einging, diese beantworten konnte und darüber hinaus viele neue Anregungen mit auf den Weg gab. Die Schulung hat Spaß gemacht.
Kundenstimme
Wolfgang N.
ThyssenKrupp Nirosta
star-participantstar-participantstar-participantstar-participantstar-participant
Eine gute Adresse für das Erlernen scheinbar schwieriger und trockener Themen, die hier gut aufbereitet werden.
Kundenstimme
Philipp M.
Wacom Europe GmbH
star-participantstar-participantstar-participantstar-participantstar-participant
Sehr gute Organisation, guter Trainer - alles super!