Durch das Konfigurieren der Einstellungen in Workspace ONE Access können Sie Benutzern die Möglichkeit einräumen, ihre Active Directory-Kennwörter bei Bedarf über die Workspace ONE Intelligent Hub-App oder das Workspace ONE Intelligent Hub-Portal zu ändern. Benutzer können ihre Active Directory-Kennwörter auch über die Anmeldeseite zurücksetzen, wenn das Kennwort abgelaufen ist oder wenn der Active Directory-Administrator das Kennwort zurückgesetzt hat, sodass der Benutzer das Kennwort bei der nächsten Anmeldung ändern muss.

Sie aktivieren diese Option pro Verzeichnis, indem Sie auf der Seite für die Einstellungen des Verzeichnisses die Option Kennwortänderung zulassen auswählen.

Benutzer können, wenn sie beim Intelligent Hub angemeldet sind, ihre Kennwörter mit einem Klick auf ihren Namen rechts oben, Auswählen von Konto aus dem Dropdown-Menü und einen Klick auf den Link Kennwort ändern ändern. In der Intelligent Hub-App haben Benutzer die Möglichkeit, ihre Kennwörter durch einen Klick auf das Menüsymbol mit den drei Balken und Auswählen von Kennwort zu ändern.

Abgelaufene Kennwörter oder vom Administrator in Active Directory zurückgesetzte Kennwörter können auf der Anmeldeseite geändert werden. Wenn ein Benutzer versucht, sich mit einem abgelaufenen Kennwort anzumelden, wird er dazu aufgefordert, sein Kennwort zurückzusetzen. Der Benutzer muss dann das alte Kennwort sowie das neue Kennwort eingeben.

Die Anforderungen für das neue Kennwort sind in der Active Directory-Kennwortrichtlinie festgelegt. Die Anzahl der zulässigen Versuche hängt auch von der Active Directory-Kennwortrichtlinie ab.

Es gelten die nachfolgend aufgeführten Beschränkungen.

  • Wenn ein Verzeichnis als „Globaler Katalog“ zu VMware Workspace ONE Access hinzugefügt wird, ist die Option Kennwortänderung zulassen nicht verfügbar. Verzeichnisse können als „Active Directory über LDAP“ oder „Integrierte Windows-Authentifizierung“ hinzugefügt werden, wozu die Ports 389 oder 636 verwendet werden.
  • Das Kennwort eines Bind-DN-Benutzers kann nicht in VMware Workspace ONE Access zurückgesetzt werden, selbst wenn es abläuft oder wenn der Active Directory-Administrator es zurücksetzt.

    Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

  • Kennwörter von Benutzern, deren Anmeldenamen aus Multibyte-Zeichen (keine ASCII-Zeichen) bestehen, können nicht in VMware Workspace ONE Access zurückgesetzt werden.
Hinweis: Die Option „Änderung des Kennworts zulassen“ kann für ACC-Verzeichnisse nicht aktiviert werden.

Voraussetzungen

  • Die Domänenfunktionsebene der Active Directory-Domänencontroller muss auf Windows 2008 oder höher eingestellt sein.
  • Port 464 muss vom Verzeichnissynchronisierungsdienst zu den Domänencontrollern geöffnet sein.
  • Das Active Directory muss eines der folgenden UPN-Formate verwenden:
    • Reguläres UPN-Format: samaccountname@domain
    • Alternatives UPN-Präfix-Format: alternativePrefix@domain
    • Alternatives UPN-Suffix-Format: samaccountname@alternativeSuffix

    Das UPN-Format von alternativesPräfix@alternativesSuffix wird nicht unterstützt.

  • Uhren auf dem Verzeichnissynchronisierungsdienst und den Domänencontrollern müssen synchronisiert werden.
  • Die Option Kennwortänderung zulassen ist in der Connector-Version 2016.11.1 und höher verfügbar.

Prozedur

  1. Navigieren Sie in der Workspace ONE Access-Konsole zur Seite Identitäts- und Zugriffsmanagement > Einrichten > Verzeichnisse.
  2. Klicken Sie auf das Verzeichnis, das Sie konfigurieren möchten.
  3. Aktivieren Sie im Abschnitt Kennwortänderung zulassen das Kontrollkästchen Änderung des Kennworts aktivieren.
  4. Geben Sie das Bind-DN-Kennwort im Abschnitt Details zum Verbindungsbenutzer ein, und klicken Sie auf Speichern.