Azure AD Self Service Passwort Reset nutzen
Das Azure AD ist zwar kein ADDS in der Cloud und im eigentlichen Sinne des Erfinders auch kein vollständiger Verzeichnisdienst, sondern „nur“ ein HTTP/S-basierter Identitätsspeicher, bietet aber eine vollständige und leistungsfähige Suite von Identitätsverwaltungsfunktionen. Dazu gehören je nach Lizenz viele interessante Features wie z. B. Self Service Passwort Reset, MFA, kennwortlose Authentifizierung, bedingter Zugriff und Identity Protection. Dieser Beitrag widmet sich dem SSPR.
Du benötigst mehr Know-how rund um MS Azure? Dann empfehlen wir dir unsere Microsoft Azure Schulungen!
Der Self Service Passwort Reset (SSPR) gehört genau wie z. B. die Zugriffprüfungen, Just-In-Time im Kontext von Priviliged Identitiy Management (das reduziert das Lateral Movement-Risiko im Falle einer Konto-Kompromittierung) oder die dynamischen Gruppen zu den zahlreichen Self-Service-Funktionen im Azure AD und in Azure, die den Azure-Administrator von Alltagsaufgaben wie dem Zurücksetzen von Kennwörtern entlasten sollen. Im Gegensatz zu vielen anderen der oben genannten Identitätsverwaltungsfunktionen gehört die Self-Service-Kennwortänderung für Cloudbenutzer zum Basisumgang jeder AzureAD-Free-Lizenz, wovon du dich im Blade „Azure Active Directory / Lizenzen / Lizenzierte Features“ leicht überzeugen kannst.
Um die Funktion einrichten zu können, sind also lizenztechnisch keine weiteren Anforderungen zu erfüllen. Du benötigst aber im Azure AD ein Konto mit Berechtigung „Globaler Administrator“. Für einen ersten Test brauchst du darüber hinaus einen Test-Benutzer ohne Administratorrechte mit einem dir bekannten Passwort; besser ist eine Gruppe im Azure AD, in der der Benutzer Mitglied ist, denn Azure AD erlaubt das Aktivieren von SSPR für „Keine“, „Ausgewählte“ oder „Alle“ Benutzer. Die betreffenden Einstellungen findest du im Azure-AD-Blade im Abschnitt „Zurücksetzen des Kennworts“ bei „Eigenschaften“. Für einen Proof-of-Conzept ist es empfehlenswert, zunächst mit „Ausgewählt“ zu starten und dann die gewünschte Test-Gruppe explizit zu bestimmen.
Anschließend legst du im Menü „Authentifizierungsmethoden“ die gewünschten Methoden (Typ und Anzahl) fest, die Benutzer einerseits für die Registrierung zum SSPR und andererseits dann auch zum Zurücksetzen des Kennworts verwenden dürfen.
Dass in der Abbildung zwei Optionen ausgegraut sind, liegt lediglich daran, dass wir uns für das Beispiel eines Test-Abonnements bedienen. Bei den Sicherheitsfragen differenziert Microsoft zwischen der Anzahl der für die Registrierung erforderlichen Fragen und Denen, die für die Rücksetzung erforderlich sind. Dabei kannst du zwischen „Vordefinierten“ und „Benutzerdefinierten“ Fragen wählen.
Schließlich stellst du im Anschnitt „Registrierung“ ein, ob du von deinen Benutzern eine Registrierung bei der ersten Anmeldung in Azure verlangen möchtest oder nicht und nach wie vielen Tagen du diese wiederholen möchtest.
Das ist dann u. U. der gleiche Registrierungs-Workflow, der auch für die MFA-Registrierung durchlaufen werden muss. Prinzipiell aktiviert Microsoft nämlich seit dem August 2020 alle neuen Azure AD-Mandanten automatisch für die so genannte kombinierte Registrierung. Bisher registrieren Benutzer Authentifizierungsmethoden für Azure AD Multi-Factor Authentication (MFA) und die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) eigentlich getrennt voneinander, was für viele oft verwirrend ist. Ab dem 30.09 2022 registrieren alle Benutzer Sicherheitsinformationen über die kombinierte Registrierungsumgebung.
Entscheidest du dich hier für „Nein“, musst du als Administrator die erforderlichen Authentifizierungsinformationen für die Kennwortzurücksetzung manuell in den Eigenschaften der einzelnen Benutzer angeben (Diese findest du in den Eigenschaften des jeweiligen Benutzers in Azure AD) …
… oder die Benutzer anweisen, direkt zur URL des Registrierungsportals zu wechseln.
Meldet sich ein Benutzer dann zum ersten Mal z. B. am Azure-Portal an, muss er zunächst einmal sein Initial-Passwort durch ein Neues ersetzen…
… und dann im Dialog „Ihre Organisation benötigt weitere Informationen zum Schutz Ihres Kontos“, entsprechende Methoden registrieren.
Der Dialog „Schützen Sie Ihr Konto“ ist weitgehend selbsterklärend. Je nach Konfiguration oben müssen Nutzer hier ein oder zwei Methoden einrichten.
Klickt er unten auf den Link „Ich möchte eine andere Methode einrichten“ bekommt er genau die Methoden angeboten, die du oben im Menü „Azure AD / SSPR / Authentifizierungsmethoden“ eingerichtet hast.
In unserem Beispiel muss sich der Benutzer für eine Methode entscheiden. Der Link rechts unten „Setup überspringen“ ist bei aktiven Sicherheitsstandards im Azure Ad nur in den ersten 14 Tagen nach der Benutzer-Anlage verfügbar.
Das Ergebnis bei einem Telefon als Authentifizierungsmethode könnte dann so aussehen:
Er ist damit für den Self-Service-Passwort-Reset registriert.
Hat der Benutzer irgendwann sein Passwort vergessen, muss er nur im Anmeldedialog auf den Link „Kennwort vergessen“ klicken, um sein Kennwort selbst zurücksetzen zu können.
Er wird dann zu https://passwordreset.microsoftonline.com/ umgeleitet. Hier gibt er zunächst seine Azure-AD-Service-Prinzipal oder E-Mail-Adresse sein und bestätigt die Eingabe mit dem angezeigten Captcha-Code.
Anschließend kann er die oben konfigurierten Authentifizierungsmethoden nutzen, um das Kennwort zurückzusetzen:
Wurde im Beispiel die SMS an die angegeben Telefonnummer erfolgreich bestätigt, kann der Benutzer ein neues Kennwort vergeben:
Das Ergebnis sieht dann so aus:
Alternativ zu Registrierung zum SSPR bei der ersten Anmeldung kann der Benutzer seine favorisierten Authentifizierungsmethoden auch direkt in seinem Konto unter https://myaccount.microsoft.com/ im Abschnitt „Sicherheitsinformationen“ konfigurieren.
Hierzu klickt er auf „INFORMATIONEN AKTUALISIEREN“ und meldet sich noch einmal mit seinen Credentials an, was ggf. erneut durch eine bereits konfigurierte Sicherheitsmethode bestätigt werden muss:
Anschließend kann er weitere Methoden einrichten:
Mit diesen Verfahren ist es dir in Zukunft als Administrator einfach möglich, das Self Service Passwort Reset (SSPR) Verfahren zu nutzen.
Kontakt
„*“ zeigt erforderliche Felder an