Richten Sie die Azure-Funktion zum Zurückschreiben der Kennwortsynchronisierung ein

Active Directory-Verbunddienste können eine komplexere Umgebung erstellen, die einige Organisationen …

vor allem diejenigen, denen es an Erfahrung mangelt. Es gibt jedoch Alternativen für Organisationen mit wenig Erfahrung. Eine Option ist die Kennwortsynchronisierung von Microsoft Azure mit aktivierter Rückschreiboption.
Sobald eine Organisation die lokale Kennwortsynchronisierung aktiviert hat, müssen Sie sich auf die Konfigurationsschritte in Azure Active Directory konzentrieren. Aktivieren Sie zunächst Azure AD Premium für den Mandanten. Sie können dies über das Azure AD-Portal für Ihr Abonnement tun. Sie können über das Office 365-Portal zum Azure AD-Portal gelangen. Dort finden Sie im Abschnitt “Admin Center” des Portals einen Link zu Azure AD (Abbildung 1).

Azure Active Directory-Link
Sie finden den Link zu Azure AD im Admin Center des Portals.

Sie können eine aktivieren Azure AD Premium Testversion von diesem Portal, die 90 Tage dauert. Auf diese Weise können Sie alle Premium-Funktionen testen, einschließlich der Funktion zum Zurückschreiben von Passwörtern.
Durch die Testversion erhalten Sie 100 Lizenzen. Wenn Sie zuvor die Azure AD-Testversion verwendet haben, müssen Sie mindestens zwei Azure AD Premium-Lizenzen erwerben, um die Rückschreibfunktion zu testen: eine für einen Administrator und eine für einen Endbenutzer.

Nachdem Sie die Testversion aktiviert haben, gehen Sie zu Konfigurieren und navigieren Sie zu Richtlinie zum Zurücksetzen des Benutzerkennworts Abschnitt – Stellen Sie sicher, dass dies aktiviert ist. Möglicherweise müssen Sie zuerst die Azure AD Premium-Lizenzen zuweisen, bevor dieser Abschnitt angezeigt wird.
Klicken Ja um ein Zurücksetzen des Passworts zu aktivieren. Bei Bedarf können Sie steuern, welche Endbenutzer Zugriff auf die Funktion zum Zurücksetzen des Kennworts haben, indem Sie auswählen Ja zum Beschränken Sie den Zugriff auf das Zurücksetzen des Passworts (Figur 2).

Beschränken Sie den Zugriff auf die Option zum Zurücksetzen des Kennworts
Administratoren steuern mit dieser Option, wer Zugriff auf das Zurücksetzen des Kennworts hat.

Obwohl dies nicht erforderlich ist, wird empfohlen, mehrere Authentifizierungsmethoden auszuwählen. Stellen Sie außerdem die Anzahl der Methoden auf zwei oder mehr ein.
Wenn das Zurücksetzen von Passwörtern für Endbenutzer aktiviert ist, können diese ihre Passwörter proaktiv ändern und bei Bedarf ihre Passwörter zurücksetzen.

Testen Sie die Funktion zum Zurückschreiben von Passwörtern

Weisen Sie dem Endbenutzer eine AD Premium-Lizenz zu, um die Rückschreibefunktion zu testen (Abbildung 3).

Testen Sie die Funktion zum Zurückschreiben von Passwörtern
Weisen Sie eine AD Premium-Lizenz zu, um die Funktion zu testen.

Melden Sie sich als Nächstes mit den Informationen des Endbenutzers beim Office 365-Portal an und wählen Sie Ändern Sie Ihr Passwort in den Office 365-Einstellungen (Abbildung 4).

Ändern Sie Ihr Kennwort in den Office 365-Einstellungen
Wählen

Da die Funktion zum Zurücksetzen des Kennworts zuvor aktiviert war, werden Endbenutzer zu einer neuen Webseite im Azure Active Directory weitergeleitet. Endbenutzer können dort ein neues Passwort eingeben (Abbildung 5).

Geben Sie das Kennwort in Azure Active Directory ein
Endbenutzer werden auf eine neue Seite in Azure AD geleitet, um ein neues Kennwort einzugeben.

Sobald Endbenutzer getroffen haben EingebenDer Workflow wird gestartet und versucht, das Kennwort lokal zurückzusetzen. Sie können die Ereignisse auf dem Server mit installiertem Azure AD-Synchronisierungstool verfolgen.
Zunächst zeigt ein Ereignis mit der ID 31006 an, dass ein Zurücksetzen des Kennworts angefordert wurde. Kurz danach bestätigt die Ereignis-ID 31007, dass das Kennwort erfolgreich zurückgesetzt wurde (Abbildung 6).

Die Ereignis-ID 31007 bestätigt das Zurücksetzen des Kennworts
Dieses Ereignis bestätigt ein erfolgreiches Zurücksetzen des Kennworts.

Warum schlägt ein Zurücksetzen des Passworts fehl?

Wenn Endbenutzer versuchen, Kennwörter zurückzusetzen, tritt gelegentlich ein Fehler auf, der besagt, dass das neue Kennwort nicht der lokalen Kennwortrichtlinie des Unternehmens entspricht, was zu einer fehlgeschlagenen Kennwortsynchronisierung führt.
In den Ereignisprotokollen Auf dem AADSync-Server wird eine Ereignis-ID 33008 angezeigt, in der erwähnt wird, dass eine Einschränkung verhindert, dass das Kennwort auf das aktuell angegebene Kennwort geändert wird (Abbildung 7).

Die Ereignis-ID 33008 besagt, dass es eine Einschränkung gibt, die die Kennwortänderung verhindert
Dieses Ereignis weist auf eine Einschränkung hin, die verhindert, dass das Kennwort geändert wird.

Leider ist die Fehlerbeschreibung eher kryptisch und enthält nicht viele Informationen darüber, was das Zurücksetzen des Passworts blockiert. Der Serviceabruf zum Zurücksetzen des Kennworts führte jedoch zum AADSync-Server. Kennwortrichtlinien, die strengere Anforderungen an die Kennwortkomplexität definieren als das neue Kennwort des Endbenutzers, verursachen häufig solche Fehler.
In diesem Fall wurde keine bestimmte Kennwortrichtlinie konfiguriert und ich habe mit einem neu erstellten Endbenutzer getestet. Mir ist aufgefallen, dass die Standardrichtlinie für Domänenkennwörter, die Teil des Gruppenrichtlinienobjekts für Standarddomänenrichtlinien ist, keine mehrfachen Kennwortänderungen innerhalb von 24 Stunden zulässt. Nachdem der Schwellenwert für das Mindestalter für Kennwörter auf 0 geändert wurde, sodass Endbenutzer Kennwörter beliebig oft ändern können, sollten Endbenutzer in der Lage sein, das Kennwort zurückzusetzen, damit die Kennwortsynchronisierung fortgesetzt werden kann.
Dies ist natürlich keine Änderung, die Sie normalerweise in der Produktion vornehmen. Schließlich wurden die von Ihnen festgelegten Kennwortrichtlinien aus einem bestimmten Grund dort abgelegt. Trotzdem kann dieser Schritt dazu beitragen, dass Sie beim Testen der Funktion beschäftigt sind, bevor Sie sie in die Produktion aufnehmen.
Über den Autor:
Michael Van Horenbeeck ist ein Microsoft Certified Solutions Master und Exchange Server MVP aus Belgien und arbeitet für ENow, ein Unternehmen, das Systemverwaltungssoftware für Microsoft-Technologien anbietet. Er ist spezialisiert auf Exchange, Office 365, Active Directory und ein bisschen Lync. Er leistet einen aktiven Beitrag in der Exchange-Community, indem er Artikel für verschiedene Tech-Websites und seinen eigenen Blog schreibt und am Podcast von UC Architects teilnimmt. Er spricht häufig auf internationalen Konferenzen, darunter TechEd, IT / DEV Connections und die Microsoft Exchange-Konferenz.

Similar Posts

Leave a Reply