In Azure AD kann auf Wunsch Self-Service Password Reset konfiguriert werden. Eine Meldung für Benutzerkonten mit einer Admin Rolle kann zu Unklarheiten führen.
Self-Service Password Reset (SSPR) ist in Azure AD standardmässig inaktiv und kann von einem Administrator auf Wunsch für eine ausgewählte Benutzergruppe oder alle Benutzerkonten freigegeben sein. Mit SSPR können Mitarbeitende ein vergessenes Passwort selbstständig zurücksetzen. Hilfe oder Aufwände durch einen internen IT Support sind nicht mehr erforderlich.
In der Konfiguration zu SSPR wird ein Hinweis eingeblendet SSPR ist für definierte Admin Rollen immer verfügbar. Die betroffenen Admin Rollen listet Microsoft in der Hilfe.
Die Meldung darf nicht mit erforderlich (muss) verwechselt werden. Die Meldung teilt mit SSPR ist für Benutzerkonten mit einer der Admin Rollen in der Standardkonfiguration immer möglich (auch wenn es für normale Benutzerkonten nicht freigegeben ist), und wenn es ein qualifiziertes Konto freiwillig konfigurieren möchte muss die Person zwei Methoden für die Passwortwiederherstellung angeben. So ist es in der Administrator Policy vorgegeben. An der Meldung ist zu beachten, es ist für das Konto keine erzwungene Vorgabe wie es im folgenden Vergleich noch beschrieben wird.
Wie oben erwähnt steht die Konfiguration None, Selected und All zur Auswahl. In einer Tabelle lässt sich die Auswirkung für Administratoren abbilden.
| Konfiguration | Optionale Aktivierung möglich | Aktivierung erforderlich |
|---|---|---|
| None | Ja | Nein |
| Selected (ohne Admin Konto) | Ja | Nein |
| Selected (mit Admin Konto) | N/A | Ja |
| All | N/A | Ja |
Optionale Aktivierung möglich
Mit der Option steht es einem Admin Konto frei SSPR für sich einzurichten. Die Person wird nicht dazu gezwungen.
Damit ein Admin Konto SSPR freiwillig einsetzen kann muss die Person in der Security Info ihres Kontos mindestens zwei Methoden zur Wiederherstellung des Passworts angeben. Fehlen die Angaben, oder ist es nur eine Methode und die Person möchte über SSPR das Passwort zurücksetzen wird das System mitteilen es wurden nicht alle Anforderungen erfüllt und es sei nicht möglich.
Aktivierung erforderlich
Mit der Option wurde SSPR für eine Gruppe an Personen oder alle Benutzerkonten freigegeben. Während der Konfiguration kann angegeben werden wie viele Methoden eine Person angeben muss und welche Methoden angeboten werden um selbstständig das eigene Passwort zurückzusetzen.
- Wurde “Selected (users)” gewählt und ist das Admin Konto nicht in der Gruppe bleibt es für die Person eine optionale Aktivierung. Ist das Admin Konto in der Gruppe inkludiert ist es für die Person keine optionale Aktivierung mehr.
- Wurde “All (users)” gewählt müssen ausnahmslos alle AD Konten die Wiederherstellungsangaben liefern, Admin Konten eingeschlossen. Mit All (users) ist es für niemanden eine freiwillige Angabe.
Ist eine Person in der Gruppe inkludiert, oder betrifft es alle Benutzerkonten und ist bisher für das Benutzerkonto keine der erforderlichen Methoden hinterlegt wird das Konto dazu aufgefordert.
- Für normale Benutzerkonten sind so viele Methoden erforderlich wie es ein Admin konfigurierte (1 oder 2 Methoden).
- Für Benutzerkonten mit einer definierten Admin Rolle sind mind. zwei Methoden erforderlich, unabhängig wie es ein Admin für normale Benutzerkonten konfigurierte.
Nun gibt es noch die Möglichkeit die standardmässige Konfiguration für Admin Konten über PowerShell im Tenant anzupassen. Standardmässig ist das Attribut SelfServePasswordResetEnabled in der Konfiguration True und dadurch SSPR für definierte Admin Rollen immer möglich.
Bei Bedarf lässt sich die Konfiguration über Set-MsolCompanySettings anpassen. Admin Konten übernehmen nach der Anpassung die Vorgabe wie es für alle Benutzerkonten gilt.
