Sie können Benutzern die Möglichkeit einräumen, ihre Active Directory-Kennwörter im Workspace ONE-Portal oder in der Workspace ONE-App je nach Bedarf zu ändern. Benutzer können auch ihr Active Directory-Kennwort auch in der VMware Identity Manager-Anmeldeseite zurücksetzen, wenn das Kennwort abgelaufen ist oder wenn der Active Directory-Administrator das Kennwort zurückgesetzt hat, sodass der Benutzer das Kennwort bei der nächsten Anmeldung ändern muss.

Sie aktivieren diese Option pro Verzeichnis, indem Sie auf der Seite „Verzeichniseinstellungen“ die Option Kennwortänderung zulassen auswählen.

Benutzer können, wenn sie beim Workspace ONE-Portal angemeldet sind, ihre Kennwörter durch Klicken auf ihren Namen rechts oben, Auswählen von Konto aus dem Dropdown-Menü und Anklicken des Link Kennwort ändern ändern. In der Workspace ONE-App haben Benutzer die Möglichkeit, ihre Kennwörter durch Klicken auf das Menüsymbol mit den drei Balken und durch Auswählen von Kennwort zu ändern.

Abgelaufene Kennwörter oder vom Administrator in Active Directory zurückgesetzte Kennwörter können auf der Anmeldeseite geändert werden. Wenn ein Benutzer versucht, sich mit einem abgelaufenen Kennwort anzumelden, wird er dazu aufgefordert, sein Kennwort zurückzusetzen. Der Benutzer muss dann das alte Kennwort sowie das neue Kennwort eingeben.

Die Anforderungen für das neue Kennwort sind in der Active Directory-Kennwortrichtlinie festgelegt. Die Anzahl der zulässigen Versuche hängt auch von der Active Directory-Kennwortrichtlinie ab.

Es gelten die nachfolgend aufgeführten Beschränkungen.

  • Wenn ein Verzeichnis als „Globaler Katalog“ zu VMware Identity Manager hinzugefügt wird, ist die Option Kennwortänderung zulassen nicht verfügbar. Verzeichnisse können als „Active Directory über LDAP“ oder „Integrierte Windows-Authentifizierung“ hinzugefügt werden, wozu die Ports 389 oder 636 verwendet werden.
  • Das Kennwort eines Bind-DN-Benutzers kann nicht in VMware Identity Manager zurückgesetzt werden, selbst wenn es abläuft oder wenn der Active Directory-Administrator es zurücksetzt.

    Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

  • Kennwörter von Benutzern, deren Anmeldenamen aus Multibyte-Zeichen (keine ASCII-Zeichen) bestehen, können nicht in VMware Identity Manager zurückgesetzt werden.
Hinweis: Die Option „Änderung des Kennworts zulassen“ kann für ACC-Verzeichnisse nicht aktiviert werden.

Voraussetzungen

  • Die Domänenfunktionsebene der Active Directory-Domänencontroller muss auf Windows 2008 oder höher eingestellt sein.
  • Port 464 muss von VMware Identity Manager zu den Domänencontrollern geöffnet sein. In einer SaaS-Bereitstellung muss der Port 464 von VMware Identity Manager Connector zu den Domänencontrollern geöffnet sein.
  • Das Active Directory muss eines der folgenden UPN-Formate verwenden:
    • Reguläres UPN-Format: samaccountname@domain
    • Alternatives UPN-Präfix-Format: alternativePrefix@domain
    • Alternatives UPN-Suffix-Format: samaccountname@alternativeSuffix

    Das UPN-Format von alternativesPräfix@alternativesSuffix wird nicht unterstützt.

  • Uhren auf dem Connector und den Domänencontrollern müssen synchronisiert werden.
  • Die Option Kennwortänderung zulassen ist in der Connector-Version 2016.11.1 und höher verfügbar.

Prozedur

  1. Klicken Sie in der VMware Identity Manager-Konsole auf die Registerkarte Identitäts- und Zugriffsmanagement.
  2. Klicken Sie auf der Registerkarte Verzeichnisse auf das Verzeichnis.
  3. Aktivieren Sie im Abschnitt Kennwortänderung zulassen das Kontrollkästchen Kennwortänderung aktivieren.
  4. Geben Sie das Bind-DN-Kennwort im Abschnitt Details zum Verbindungsbenutzer ein, und klicken Sie auf Speichern.