Vorausfüllen der Kontaktinformationen zur Benutzerauthentifizierung für Microsoft Entra Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR)

Damit die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) Microsoft Entra verwendet werden kann, müssen Authentifizierungsinformationen für einen Benutzer vorhanden sein. Bei den meisten Organisationen müssen Benutzer ihre Authentifizierungsdaten selbst registrieren, während Informationen für MFA gesammelt werden. Einige Organisationen führen lieber ein Bootstrapping für diesen Prozess über die Synchronisation von Authentifizierungsdaten durch, die in Active Directory Domain Services (AD DS) bereits vorhanden sind. Die synchronisierten Daten werden für Microsoft Entra ID und SSPR verfügbar gemacht, ohne dass ein Eingreifen des Benutzers erforderlich ist. Wenn Benutzer ihr Kennwort ändern oder zurücksetzen müssen, ist dies auch dann möglich, wenn sie ihre Kontaktinformationen zuvor nicht registriert haben.

Sie können die Kontaktinformationen für die Authentifizierung vorausfüllen, wenn Sie die folgenden Anforderungen erfüllen:

  • Sie verfügen über ordnungsgemäß formatierte Daten in Ihrem lokalen Verzeichnis.
  • Sie haben Microsoft Entra Connect für Ihren Microsoft Entra-Mandanten konfiguriert.

Telefonnummern müssen im Format +Landesvorwahl Telefonnummer eingegeben werden, z. B. +1 4251234567.

Hinweis

Zwischen Landesvorwahl und Telefonnummer muss sich ein Leerzeichen befinden.

Bei der Kennwortzurücksetzung werden Nebenstellen nicht unterstützt. Selbst bei der Angabe im Format +1 4251234567X12345 werden Nebenstellen vor dem Anruf entfernt.

Ausgefüllte Felder

Wenn Sie die Standardeinstellungen in Microsoft Entra Connect verwenden, werden die folgenden Zuordnungen zum Ausfüllen von Authentifizierungskontaktinformationen für SSPR vorgenommen:

Lokales Active Directory Microsoft Entra ID
telephoneNumber Bürotelefon
mobile Mobiltelefonnummer

Nachdem ein Benutzer seine Mobiltelefonnummer verifiziert hat, wird diese Nummer in Microsoft Entra ID unter den Authentifizierungskontaktinformationen in das Feld Telefon eingefügt.

Kontaktinformationen für Authentifizierung

Auf der Seite Authentifizierungsmethoden für einen Microsoft Entra-Benutzer im Microsoft Entra Admin Center können Personen, denen mindestens die Rolle Privilegierter Authentifizierungsadministrator zugewiesen wurde, die Authentifizierungskontaktinformationen für alle Personen manuell festlegen. Vorhandene Methoden können im Abschnitt Verwendbare Authentifizierungsmethoden oder +Add authentication methods (+Authentifizierungsmethoden hinzufügen) überprüft werden, wie im folgenden Screenshot gezeigt:

Screenshot des Verwaltens der Authentifizierungsmethoden

Die folgenden Überlegungen gelten für diese Kontaktinformationen zur Authentifizierung:

  • Wenn das Feld Telefon ausgefüllt und Mobiltelefon in der SSPR-Richtlinie aktiviert ist, wird dem Benutzer diese Nummer auf der Registrierungsseite für die Kennwortzurücksetzung und während des Workflows für die Kennwortzurücksetzung angezeigt.
  • Wenn das Feld E-Mail ausgefüllt und E-Mail in der SSPR-Richtlinie aktiviert ist, wird dem Benutzer diese E-Mail-Adresse auf der Registrierungsseite für die Kennwortzurücksetzung und während des Workflows für die Kennwortzurücksetzung angezeigt.

Sicherheitsfragen und -antworten

Die Sicherheitsfragen und -antworten werden sicher in Ihrem Microsoft Entra-Mandanten gespeichert und sind für Benutzer nur über die kombinierte Registrierungserfahrung in „Meine Sicherheitsinformationen“ zugänglich. Administratoren können den Inhalt der Fragen und Antworten anderer Benutzer weder anzeigen, festlegen noch ändern.

Was geschieht bei Registrierung eines Benutzers?

Wenn sich ein Benutzer registriert, zeigt die Registrierungsseite die folgenden Felder an:

  • Telefon für Authentifizierung
  • E-Mail für Authentifizierung
  • Sicherheitsfragen und Antworten

Wenn Sie einen Wert für Mobiltelefon oder Alternative E-Mail-Adresse angegeben haben, können Benutzer diese Werte sofort verwenden, um ihre Kennwörter zurücksetzen, selbst wenn sie sich nicht für den Dienst registriert haben.

Benutzer sehen diese Werte außerdem bei der ersten Registrierung und können die Werte bei Bedarf ändern. Nachdem sie sich erfolgreich registriert haben, werden diese Werte in den Feldern Authentifizierungstelefon und E-Mail-Adresse für Authentifizierung beibehalten.

Festlegen und Lesen der Authentifizierungsdaten über PowerShell

Die folgenden Felder können über PowerShell festgelegt werden:

  • Alternative E-Mail-Adresse
  • Mobiltelefonnummer
  • Bürotelefon
    • Kann nur festgelegt werden, wenn Sie keine Synchronisierung mit einem lokalen Verzeichnis vornehmen.

Sie können Microsoft Graph PowerShell verwenden, um mit Microsoft Entra ID zu interagieren, oder Sie können die Microsoft Graph REST-API zum Verwalten von Authentifizierungsmethoden verwenden.

Verwenden von Microsoft Graph PowerShell

Zum Starten des Vorgangs laden Sie das Microsoft Graph PowerShell-Modul herunter, und installieren es.

Für eine schnelle Installation aus neueren Versionen von PowerShell, die Install-Module unterstützen, führen Sie die folgenden Befehle aus. In der ersten Zeile wird überprüft, ob das Modul bereits installiert ist:

Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"

Nachdem das Modul installiert wurde, können Sie jedes Feld mit den folgenden Schritten konfigurieren.

Festlegen der Authentifizierungsdaten mit Microsoft Graph PowerShell

Connect-MgGraph -Scopes "User.ReadWrite.All"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"

Lesen der Authentifizierungsdaten mit Microsoft Graph PowerShell

Connect-MgGraph -Scopes "User.Read.All"

Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones

Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table

Nächste Schritte

Nachdem die Kontaktinformationen zur Authentifizierung für die Benutzer vorausgefüllt wurden, schließen Sie das folgende Tutorial ab, um die Self-Service-Kennwortzurücksetzung zu aktivieren: