Das Zurücksetzen von Passwörtern gehört zu den häufigsten Anfragen an den Helpdesk. Um diesen von solchen Aufgaben zu entlasten, kann man den Passwort-Reset via Self-Service an die User selbst delegieren. Wichtig sind dabei sichere Methoden zur Authentifizierung der Benutzer. Azure AD bietet mehrere solcher Verfahren.
Der Self Service Passwort Reset (SSPR) gehört wie Zugriffsüberprüfungen, Just-In-Time-Administration oder dynamische Gruppen zu den Self-Service-Funktionen im Azure AD.
Im Gegensatz zu den anderen genannten Funktionen für die Identitätsverwaltung gehört die Self-Service-Kennwortänderung für Cloud-Benutzer zum Basisumfang jeder kostenlosen Lizenz von Azure AD. Davon können Sie sich leicht im Blade Azure Active Directory => Lizenzen => Lizenzierte Features leicht überzeugen.
SSPR konfigurieren
Um die Funktion einzurichten zu können, benötigen im Azure AD ein Konto mit Berechtigung Globaler Administrator. Für einen ersten Test brauchen Sie darüber hinaus einen Dummy-Benutzer ohne Administratorrechte und einem Ihnen bekannten Passwort, den Sie in eine Testgruppe aufnehmen.
Azure AD erlaubt das Aktivieren von SSPR für Keine, Ausgewählte oder Alle. Die betreffenden Einstellungen finden Sie im Azure-AD-Blade unter dem Abschnitt Zurücksetzen des Kennworts bei Eigenschaften. Für einen Probelauf ist es empfehlenswert, mit Ausgewählt zu starten und dann die gewünschte Testgruppe explizit zu bestimmen.
Anschließend legen Sie im Menü Authentifizierungsmethoden die zulässigen Verfahren (Typ und Anzahl) fest, welche die Benutzer bei der Registrierung für das SSPR und dann auch zum Zurücksetzen des Kennworts verwenden dürfen.
Dass in der Abbildung zwei Optionen ausgegraut sind, liegt lediglich daran, dass wir für diesen Beitrag ein Test-Abonnement verwenden.
Bei den Sicherheitsfragen differenziert Microsoft zwischen der Anzahl, die für die Registrierung erforderlich sind, und jenen, die man für die Rücksetzung benötigt. Dabei können Sie zwischen vor- und benutzerdefinierten Fragen wählen.
Schließlich stellen Sie im Abschnitt Registrierung ein, ob Sie von Ihren Benutzern bei der ersten Anmeldung in Azure eine Registrierung verlangen und nach wie vielen Tagen Sie diese wiederholen möchten.
Entscheiden Sie sich hier für Nein, dann müssen als Sie als Administrator die erforderlichen Authentifizierungsinformationen für die Kennwortzurücksetzung manuell in den Eigenschaften der einzelnen Benutzer angeben oder die Benutzer anweisen, zur URL des Registrierungsportals zu wechseln.
User wählt Methoden für die SSPR-Authentifizierung
Meldet sich ein Benutzer dann zum ersten Mal am Azure-Portal an, muss er zunächst sein ursprüngliches Passwort durch ein neues ersetzen.
Danach kann er dann im Dialog Ihre Organisation benötigt weitere Informationen zum Schutz Ihres Kontos die gewünschten Methoden registrieren.
Der Dialog Schützen Sie Ihr Konto ist weitgehend selbsterklärend. Abhängig von der Konfiguration, für die sich der Admin entschieden hat, müssen Nutzer hier ein oder zwei Methoden einrichten.
Klickt er unten auf den Link Ich möchte eine andere Methode einrichten, dann bekommt er genau die Methoden angeboten, Sie sie oben im Menü Azure AD => SSPR => Authentifizierungsmethoden festgelegt haben.
In unserem Beispiel muss sich der Benutzer für eine Methode entscheiden. Der Link Setup überspringen ist bei aktiven Sicherheitsstandards im Azure AD nur in den ersten 14 Tagen nach der Benutzeranlage verfügbar.
Das Ergebnis bei einem Telefon als Authentifizierungsmethode könnte dann so aussehen wie in der folgenden Abbildung.
Authentifizierungsmethoden im Benutzerkonto festlegen
Alternativ zur SSPR-Registrierung bei der ersten Anmeldung kann der Benutzer seine favorisierten Authentifizierungsmethoden auch direkt in seinem Konto unter https://myaccount.microsoft.com/ im Abschnitt Sicherheitsinformationen auswählen.
Hierzu klickt er auf Informationen aktualisieren und meldet sich noch einmal mit seinen Credentials an, was ggf. erneut durch eine bereits konfigurierte Sicherheitsmethode bestätigt werden muss.
Anschließend kann er weitere Methoden einrichten:
Passwort zurücksetzen
Vergisst der Benutzer dann irgendwann sein Passwort, muss er nur im Anmeldedialog auf den Link Kennwort vergessen klicken, um es selbst zurückzusetzen.
Er wird dann zu htts://passortreset.microsoftonline.com umgeleitet. Hier gibt er zunächst seinen Azure-AD-Service-Prinzipal oder E-Mail-Adresse ein und bestätigt die Eingabe mit dem angezeigten Captcha-Code.
Anschließend kann er eine der konfigurierten Authentifizierungsmethoden nutzen, um das Kennwort zurückzusetzen.