Mit der Lösung Azure AD Self-Service Password Reset von Microsoft können Sie Passwörter aus Azure AD ändern, entsperren oder zurücksetzen und wieder in die lokale Active Directory-Struktur zurückschreiben. Diese Funktion steht nur Organisationen zur Verfügung, die über eine hybride Implementierung verfügen, d. h. die lokale Active Directory mit Azure AD synchronisiert haben und über eine P1/P2- oder Office 365 Business-Lizenz verfügen. Hinweis für Bildungspläne: Dies ist in A3/A5-Lizenzen enthalten.
Obwohl Microsoft einige Verbesserungen vorgenommen hat, weist die Lösung in einigen Bereichen hinsichtlich Benutzererfahrung und Sicherheit noch Defizite auf:
- MFA-Optionen sind entweder vollständig verfügbar oder gar nicht
- Die Implementierung von Sicherheitsfragen ist fragwürdig
- Keine Unterstützung für die Aktualisierung lokal zwischengespeicherter Anmeldeinformationen für Remote-Benutzer
- Keine Anzeige von Passwortrichtlinien
- Es fehlt eine dedizierte Service-Desk-Schnittstelle
MFA-Optionen und Plattform sind unzureichend
Azure AD Self-Service Password Reset bietet zwar MFA-Optionen, jedoch besteht das Problem der Plattform darin, dass MFA eine Alles-oder-Nichts-Entscheidung darstellt. Azure AD Self-Service Password Reset bietet Administratoren nicht die Möglichkeit, zusätzliche oder strengere Authentifizierungsfaktoren für privilegierte oder sensible Benutzer zu verlangen, sodass IT-Abteilungen die Wahl haben, entweder die Belastung für alle Benutzer zu erhöhen oder Abstriche bei der Sicherheit zu machen.
Specops uReset bietet eine robuste MFA-Plattform mit mehr als 20 sofort einsatzbereiten Authentifizierungsmethoden, die sich nahtlos in die Active Directory-Strukturen von Unternehmen integrieren lässt und die Möglichkeit bietet, unterschiedliche Authentifizierungsfaktoren für verschiedene GPOs zu verlangen. uReset MFA-Registrierungen können auch nahtlos erweitert werden, um andere risikoreiche Anwendungsfälle zu unterstützen, darunter die Self-Service-Wiederherstellung von Verschlüsselungsschlüsseln und die vom Service Desk unterstützte Zurücksetzung/Änderung von Passwörtern.
Sicherheitsfragen sind fragwürdig
Bei der Azure AD-Selbstbedienungsfunktion zum Zurücksetzen des Kennworts werden dem Benutzer alle Sicherheitsfragen gleichzeitig angezeigt, und die Antworten werden nicht verschleiert. Dies schafft ideale Bedingungen für das Mitlesen über die Schulter oder für Angreifer, die die Antworten auf alle Fragen durch Social Engineering ermitteln möchten. Azure AD verfügt außerdem über keine Sperrschwelle für falsche Antworten auf Fragen.
Auch bei kombinierter Registrierung bestehen Unterschiede zwischen Azure MFA und Azure AD SSPR. Alternative E-Mail-Adressen und Sicherheitsfragen, einschließlich benutzerdefinierter Fragen, werden in Azure AD SSPR unterstützt, jedoch nicht in Azure MFA. Diese Diskrepanz kann die Wahrscheinlichkeit von Authentifizierungsfehlern erhöhen und zu einer negativen Benutzererfahrung führen.
Aufgrund der Gefahr von Social Engineering oder Brute-Force-Angriffen hat ein Großteil der Sicherheitsbranche Fragen und Antworten als Form der Authentifizierung aufgegeben. Sollte Ihr Unternehmen diese jedoch weiterhin benötigen, kann Specops uReset Ihnen dabei helfen, sie mit zusätzlichen Sicherheitsfunktionen zu implementieren – beispielsweise indem nicht alle Fragen auf einmal angezeigt werden, die Antworten der Endbenutzer verschleiert werden und benutzerdefinierte Sperreinstellungen für falsche Antworten festgelegt werden.
Keine Unterstützung für die Aktualisierung lokal zwischengespeicherter Anmeldedaten
Anfragen zur Passwortzurücksetzung verursachen Kosten und Aufwand für den Helpdesk
Die Gartner Group schätzt, dass 40 % der Anfragen an den Helpdesk Passwörter betreffen. Forrester Research schätzt, dass jede Anfrage Unternehmen bis zu 70 US-Dollar kosten kann.
Remote-Benutzer können zu einem erheblichen Anstieg der Anrufe beim IT-Service Desk führen. Lokal zwischengespeicherte Anmeldeinformationen ermöglichen es Benutzern, sich zu authentifizieren, wenn keine Verbindung zum Domänencontroller hergestellt werden kann. Wenn ein Benutzer jedoch sein Passwort ohne ein Tool zur lokalen Aktualisierung dieser Anmeldeinformationen zurücksetzt oder ändert, kommt es zu Konflikten und der Benutzer kann gesperrt werden.
Azure AD Self-Service Password Reset verfügt über keinen Mechanismus zur Aktualisierung der zwischengespeicherten Anmeldeinformationen, wenn die Verbindung zum Domänencontroller unterbrochen wird. Dies führt wahrscheinlich zu einem starken Anstieg der Anrufe beim Service Desk von Unternehmen mit Remote-Benutzern, die Azure AD Self-Service Password Reset verwenden.
Specops uReset unterstützt die Aktualisierung lokal zwischengespeicherter Anmeldeinformationen mit oder ohne Verbindung zum Domänencontroller. Dies ist ein wichtiger und häufiger Anwendungsfall für die Mehrheit unserer Kunden, da Endbenutzer zunehmend in Vollzeit oder Teilzeit remote arbeiten.
Keine Anzeige von Kennwortrichtlinienregeln
Beim Zurücksetzen/Ändern von Passwörtern mit Azure AD Self-Service Password Reset werden den Benutzern keine Passwortrichtlinienregeln angezeigt, die ihnen bei der Festlegung eines konformen Passworts helfen. Die Benutzer werden erst nachträglich mit sehr allgemeinen Hinweisen darüber informiert, warum die Änderung/Zurücksetzung ihres Passworts fehlgeschlagen ist. Dies kann dazu führen, dass ein Benutzer mehrmals erfolglos versucht, sein Passwort zurückzusetzen oder zu ändern, was sich negativ auf seine Benutzererfahrung auswirkt und letztendlich zu Anrufen beim Service Desk führt.
Specops uReset verwendet eine dynamische Anzeige der Passwortrichtlinien, um Benutzer während der Eingabe ihres neuen Passworts mit Echtzeit-Feedback zu unterstützen. Auf diese Weise können Benutzer Fehler selbst korrigieren, bevor sie das neue Passwort übermitteln, was letztlich zu weniger Anrufen beim Service Desk führt.
Vergleich des Feedbacks von Endbenutzern
Keine dedizierte Service-Desk-Schnittstelle
Der Sinn einer Self-Service-Lösung zum Zurücksetzen von Passwörtern besteht darin, Anrufe beim Service Desk wegen Passwort-Zurücksetzungen zu vermeiden. Aufgrund von Gewohnheiten oder da es ihnen nicht möglich ist, zwischengespeicherte Anmeldedaten zu aktualisieren, werden einige Benutzer jedoch weiterhin den Helpdesk anrufen. Azure AD Self-Service Password Reset bietet keine spezielle Service-Desk-Schnittstelle, um das Zurücksetzen oder Ändern von Passwörtern oder das Entsperren von Konten zu erleichtern.
Die Hälfte aller Datenlecks geht auf böswillige oder kriminelle Angriffe zurück, wobei Social Engineering einen großen Anteil daran hat (Ponemon, 2019). Der IT-Service-Desk ist ein bevorzugtes Ziel für Social Engineering, daher ist die Überprüfung der Benutzer unerlässlich. Specops bietet mit Secure Service Desk ein Begleitprodukt zu uReset an, mit dem Service-Desk-Mitarbeiter die Identität der Benutzer anhand der von ihnen registrierten Authentifizierungsfaktoren überprüfen können, bevor sie mit der Zurücksetzung oder Änderung ihrer Passwörter fortfahren.
Über Specops uReset
Specops uReset ist eine Self-Service-Lösung für die Passwortverwaltung, mit der Unternehmen ihren IT-Service-Desk von Anfragen zur Passwortzurücksetzung entlasten können.
Mit Specops uReset können Benutzer ihre Passwörter zurücksetzen und ihre lokal zwischengespeicherten Anmeldedaten von jedem Ort und jedem Gerät aus aktualisieren. Endbenutzer können den Prozess der Passwortzurücksetzung über jeden Browser, ihr mobiles Gerät oder direkt über den Windows-Anmeldebildschirm auf ihren Arbeitsplätzen starten. Die Lösung ist Teil einer robusten Multi-Faktor-Authentifizierungsplattform, die auch die sichere Benutzerüberprüfung für die Wiederherstellung von Verschlüsselungsschlüsseln sowie unterschiedliche Authentifizierungsanforderungen für verschiedene Gruppenrichtlinienobjekte unterstützt. Erfahren Sie, wie Specops uReset Ihre IT-Abteilung entlasten und die Passwortsicherheit erhöhen kann.