:

    Kennwortablauf & Kennwortänderung mit Entra Connect

    Entra Connect synchronisiert Benutzer zwischen dem on Premises Active Directory und Entra ID. In diesem Video erfahrt ihr, wie ihr mit ablaufenden Kennwörtern und Passwort-Hash-Sync (PHS) in Entra ID umgeht – besonders in hybriden Szenarien mit einem lokalen Active Directory.

    Das Abspielen dieses Videos setzt Cookies der Videoplattform YouTube. Da Sie Cookies abgelehnt haben, ist das Video blockiert. Um das Video anzusehen, müssen Sie Ihre Zustimmung zur Cookie-Nutzung geben. Klicken Sie dazu auf die Schaltfläche unten.
    Ich akzeptiere - Video anzeigen



    Klappt etwas nicht?

    Melde dich bei uns!



    Hier findest du das Script, mit dem du den Kennwortablauf und die “Nutzer muss Kennwort bei der nächsten Anmeldung ändern”-Funktion in Entra konfigurieren kannst.

    Configure-EntraPWPolicies.ps1

    Connect-MgGraph -Scopes OnPremDirectorySynchronization.ReadWrite.All, Domain.ReadWrite.All

$Domain = "<UPN-Suffix von zu konfigurierenden Benutzern>"

# Auslesen wie lange das Passwort gültig ist
(Get-MgDomain -DomainId $Domain).PasswordValidityPeriodInDays

# Setzen des Passwort-Gültigkeitszeitraums für die ausgewählte Domäne auf 90 Tage
Update-MgDomain -DomainId $Domain -PasswordValidityPeriodInDays 90

# Auslesen ob die Funktion, Cloud-Passwortrichtlinie für Benutzer, die ihr Passwort mit dem lokalen AD synchronisieren, aktiviert ist
(Get-MgDirectoryOnPremiseSynchronization).Features.CloudPasswordPolicyForPasswordSyncedUsersEnabled

# Aktivieren der Cloud-Passwortrichtlinie für Benutzer, die ihr Passwort mit dem lokalen AD synchronisieren
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.CloudPasswordPolicyForPasswordSyncedUsersEnabled = $true
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $OnPremSync.Id -Features $OnPremSync.Features

#### Kennwortablaufrichtlinie für Benutzer deaktivieren #####
# Update-MgUser -UserID <User Object ID> -PasswordPolicies "DisablePasswordExpiration" 


# Auslesen ob die Funktion "Benutzer zur Passwortänderung bei der Anmeldung zwingen" aktiviert ist
(Get-MgDirectoryOnPremiseSynchronization).Features.UserForcePasswordChangeOnLogonEnabled

# Aktivieren der Funktion "Benutzer zur Passwortänderung bei der Anmeldung zwingen"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.UserForcePasswordChangeOnLogonEnabled = $true

Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $OnPremSync.Id -Features $OnPremSync.Features