Passwort vergessen und Passwort ändern in Office 365

Apr 09
Passwort vergessen und Passwort ändern in Office 365

Ein eher kleines Update oder eher Hotfix für den ADFS 3.0 Server des Windows Servers 2012 R2 hat uns dazu bewogen, das Thema Passwortänderung und Passwort vergessen in Office 365 aufzunehmen. Nebst dem Hotfix für den ADFS Server gibt es offiziell auch seitens Office 365 eine kleine Anpassung dazu. Zuerst aber benötigen wir eine kleine Einführung zur Benutzerverwaltung. Office 365 bietet insgesamt drei Möglichkeiten, die Benutzer zu verwalten. Dies sind:

  • Nur Cloud Benutzer: Die Benutzer werden im Office 365 Admin Center oder per Powershell verwaltet. Es besteht keine Verbindung zu einer bestehenden IT-Infrastruktur.
  • AD-Benutzer mit Passwortsynchronisation: Benutzer werden mit den Tools DirSync oder AADSync inkl. dem Passwort nach Office 365 synchronisiert.
  • AD-Benutzer mit ADFS-Authentifizierung: Benutzer werden ohne Passwort mit den Tools DirSync oder AADSync nach Office 365 synchronisiert. Die Authentifizierung erfolgt jedoch an der internen ADFS-Infrastruktur, die zumindest aus einem ADFS Server und einem Web Application Proxy besteht.

Die Vor- und Nachteile der einzelnen Methoden behandeln wir gerne in einem späteren Blogbeitrag. Grundsätzlich empfehlen wir jedoch, falls irgendwie möglich, ADFS einzusetzen, da diese Variante die meisten Vorteile bietet.

Beginnen wir bei den Cloud Benutzern:

Diese Benutzer haben die Möglichkeit, ihr Passwort direkt in Office 365 zu ändern. Klicken Sie dazu oben rechts auf das Zahnrad-Symbol und wählen Sie im Menü [Office 365 – Einstellungen].

Auf der Einstellungsseite können Sie danach wählen, dass Sie Ihr Passwort ändern möchten.

Bis anhin war es jedoch nicht möglich, ein neues Passwort an eine alternative Adresse anzufordern, falls man es vergessen hatten. Falls jemand sein Passwort nicht mehr wusste, musste er sich immer bei seinem Administrator melden. Office 365 Administratoren haben nun die Möglichkeit, diese "Kennwort vergessen" Funktion für ihre Benutzer zu aktivieren. Öffnen Sie dazu das [Azure AD] über das Admin Center.

Falls Sie diesen Link zum ersten Mal auswählen, müssen Sie die Registrierung an Microsoft Azure abschliessen. Sie benötigen für die Registration ein Handy, an das ein SMS-Code zur Bestätigung gesendet wird. Erfreulicherweise wird mittlerweile keine Kreditkarte mehr zur Registrierung benötigt. Sie werden danach auf die Abonnements-Übersichtsseite weitergeleitet, können aber trotzdem bereits auf die Portalseite wechseln.

Öffnen Sie Ihr Verzeichnis im Azure Portal.

Wählen Sie in Ihrem Verzeichnis die Konfigurationsseite an. Diese haben wir bereits vor ein paar Wochen im Blogbeitrag zum Branding der Anmeldeseite beschrieben. Auf dieser Seite können Sie nun auch das Zurücksetzen des Kennworts aktivieren.

Danach müssen einige zusätzliche Konfigurationen vorgenommen werden. So können Sie auswählen, welche Methoden die Benutzer verwenden können. Sinnvoll sind sicher das Mobiltelefon und allenfalls eine alternative E-Mail Adresse. Falls Sie die Sicherheitsfrage aktivieren, können Sie anschliessend auswählen, wie viele Fragen die Benutzer definieren und bei der Rücksetzung angeben müssen. Ebenso können Sie die Fragen vorgeben. Sie haben auch die Möglichkeit zu wählen, wie viele Authentifizierungsmethoden für eine Kennwortrücksetzung notwendig sind. Sie können nur eine Methode oder gleich mehrere miteinander kombinieren, um die Sicherheit weiter zu erhöhen. Leiten Sie Ihre Benutzer auch nach der ersten Anmeldung sogleich auf die Registrationsseite für die Rücksetzungsmethoden weiter. So können Sie sicherstellen, dass jeder Benutzer seine Mobiltelefonnummer, alternative E-Mail Adresse oder die Sicherheitsfragen angibt und sein Kennwort dann auch zurücksetzen kann.

Der darunter erwähnte Synchronisationsdienst ist leider nur verfügbar, wenn man den kostenpflichtigen Dienst Azure AD Premium bezieht, der rund 5 CHF pro Benutzer und Monat kostet. Damit wäre es möglich, dass auch synchronisierte Benutzer ihr Passwort in Office 365 ändern könnten und DirSync bzw. AADSync schreiben es ins lokale Active Directory zurück. Leider gibt es noch keine Education Preise für diesen Dienst.

Nehmen Sie sich auf alle Fälle Zeit für die Konfiguration der Passwortrücksetzung und konfigurieren Sie die Funktion mit Bedacht.

AD-Benutzer mit Passwortsynchronisation:

Für diese Benutzer gibt es leider nur schlechte Nachrichten. Diese können kein neues Kennwort anfordern, falls es vergessen ging und sie können es auch nur in der Schule an einem Domänengerät ändern. Die Änderung über Office 365 funktioniert nur, wenn man den kostenpflichtigen Azure AD Premium Dienst einkauft.

AD-Benutzer mit ADFS:

Beim ADFS Server sieht es mittlerweile etwas besser aus, als bei der Passwortsynchronisation. Auch hier ist es zwar nicht möglich, ein neues Passwort anzufordern, falls man es nicht mehr weiss. Man kann es aber nun über den ADFS Server auch extern ändern. Dazu ist die Installation eines Hotfix für den ADFS 3.0 Server und ein Konfigurationsschritt notwendig.

Das Hotfix finden Sie unter http://support.microsoft.com/de-ch/kb/3035025/en-us. Microsoft hat es im letzten Monat klammheimlich veröffentlicht. Die Passwortänderung ist zwar bereits ohne dieses Hotfix über den ADFS Server möglich, jedoch nur für Geräte (unter anderem Windows 8 Geräte), die das Workplace Join Feature nutzen. Mit diesem Hotfix wird diese Einschränkung nun aufgehoben. Installieren Sie das Hotfix nur auf dem internen ADFS 3.0 Server. Der Web Application Proxy Server benötigt das Hotfix nicht. Starten Sie den Server nach der Installation neu.

Öffnen Sie nach dem Neustart die ADFS Management Konsole und darin die Ordner [Service] > [Endpoints]. Suchen Sie nach dem Update-Password Endpoint und aktivieren Sie diesen. Sie können auswählen, ob der Dienst nur intern oder auch extern über den Web Application Proxy zur Verfügung steht.

Nun können Sie folgende Adresse https://adfs.ihredomain.ch/adfs/portal/updatepassword öffnen, wobei Sie natürlich "adfs.ihredomain.ch" durch die Adresse Ihres ADFS Servers ersetzen. Danach können Sie das Passwort bequem im Browser ändern.

Wir fassen nochmals zusammen:

Benutzertyp

Passwortrücksetzung

Passwort ändern

Cloud Benutzer

Ja, sofern der Office 365 Administrator den Dienst über das Azure AD freigibt.

Ja, direkt im Office 365 Portal.

Benutzer mit Passwortsync

Nein. Mitteilung an den Admin.

Nur in der Schule an einem Domänengerät

Benutzer mit ADFS

Nein. Mitteilung an den Admin.

Ja, über eine ADFS Seite, sofern der Admin das Hotfix installiert und die Funktion freischaltet.

Haben Sie weitere Fragen zu diesen Funktionen oder den einzelnen Benutzermethoden? Dann können Sie sich gerne bei uns melden.