Durch das Konfigurieren der Einstellungen in Workspace ONE Access können Sie Benutzern die Möglichkeit einräumen, ihre Active Directory-Kennwörter über die Workspace ONE Intelligent Hub-App oder das Workspace ONE Intelligent Hub-Portal jederzeit zu ändern. Benutzer können ihre Active Directory-Kennwörter auch über die Anmeldeseite zurücksetzen, wenn das Kennwort abgelaufen ist oder wenn der Active Directory-Administrator das Kennwort zurückgesetzt hat, sodass der Benutzer das Kennwort bei der nächsten Anmeldung ändern muss.

Sie legen diese Option pro Verzeichnis fest, indem Sie auf der Registerkarte Einstellungen des Verzeichnisses die Option Änderung des Kennworts aktivieren auswählen.

Benutzer können, wenn sie beim Intelligent Hub angemeldet sind, ihre Kennwörter mit einem Klick auf ihren Namen rechts oben, Auswählen von Konto aus dem Dropdown-Menü und einen Klick auf den Link Kennwort ändern ändern. In der Intelligent Hub-App haben Benutzer die Möglichkeit, ihre Kennwörter durch einen Klick auf das Menüsymbol mit den drei Balken und Auswählen von Kennwort zu ändern.

Abgelaufene Kennwörter oder vom Administrator in Active Directory zurückgesetzte Kennwörter können auf der Anmeldeseite geändert werden. Wenn ein Benutzer versucht, sich mit einem abgelaufenen Kennwort anzumelden, wird er dazu aufgefordert, sein Kennwort zurückzusetzen. Der Benutzer muss dann das alte Kennwort sowie das neue Kennwort eingeben.

Die Active Directory-Kennwortrichtlinie bestimmt die Anforderungen für das neue Kennwort. Die Anzahl der zulässigen Versuche hängt auch von der Active Directory-Kennwortrichtlinie ab.

Hinweis: Wenn der Workspace ONE Access Connector im FIPS-Modus ausgeführt wird, gelten zusätzliche Anforderungen für Kennwörter. Informationen zu Ihrer Konnektorversion finden Sie unter Workspace ONE Access Connector und FIPS-Modus.

Die folgenden Einschränkungen gelten für die Option Änderung des Kennworts aktivieren.

  • Wenn ein Verzeichnis als „Globaler Katalog“ zu Workspace ONE Access hinzugefügt wird, ist die Option Änderung des Kennworts aktivieren nicht verfügbar. Sie können das Verzeichnis als „Active Directory über LDAP“ oder „Integrierte Windows-Authentifizierung“ mit Port 389 oder 636 hinzufügen.
  • Das Kennwort eines Bind-DN-Benutzers kann nicht in Workspace ONE Access zurückgesetzt werden, selbst wenn es abläuft oder wenn der Active Directory-Administrator es zurücksetzt.

    Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

  • Kennwörter von Benutzern, deren Anmeldenamen aus Multibyte-Zeichen (keine ASCII-Zeichen) bestehen, können nicht in Workspace ONE Access zurückgesetzt werden.
Hinweis: Sie können die Option Änderung des Kennworts aktivieren für ACC-Verzeichnisse nicht auswählen.

Voraussetzungen

  • Die Domänenfunktionsebene der Active Directory-Domänencontroller muss auf Windows 2008 oder höher eingestellt sein.
  • Port 464 muss vom Verzeichnissynchronisierungsdienst zu den Domänencontrollern geöffnet sein.
  • Das Active Directory muss eines der folgenden UPN-Formate verwenden:
    • Reguläres UPN-Format: samaccountname@domain
    • Alternatives UPN-Präfix-Format: alternativePrefix@domain
    • Alternatives UPN-Suffix-Format: samaccountname@alternativeSuffix

    Das UPN-Format von alternativesPräfix@alternativesSuffix wird nicht unterstützt.

  • Uhren auf dem Verzeichnissynchronisierungsdienst und den Domänencontrollern müssen synchronisiert werden.

Prozedur

  1. Wählen Sie in der Workspace ONE Access-Konsole Integrationen > Verzeichnisse aus.
  2. Klicken Sie auf das Verzeichnis, das Sie konfigurieren möchten.
  3. Wählen Sie die Registerkarte Einstellungen aus.
  4. Aktivieren Sie im Abschnitt Kennwortänderung zulassen das Kontrollkästchen Änderung des Kennworts aktivieren.
    ""
  5. Geben Sie das Bind-DN-Kennwort im Abschnitt Details zum Verbindungsbenutzer ein, und klicken Sie auf Speichern.