Self-Service Password Reset
Ensuring a clean and license-compliant base configuration for your M365 and Entra environment. The foundation for all subsequent Microsoft projects.
Ihr Helpdesk betreibt eine Passwort-Reset-Fabrik
In den meisten IT-Teams im Mid-Market entfallen 30–40% der Helpdesk-Tickets auf Passwort-Resets. Jedes Ticket blockiert einen arbeitenden Nutzer und kostet den Helpdesk 5–10 Minuten für manuelle Verifizierung und Rücksetzung. Derselbe Nutzer, dasselbe Problem, nächsten Monat.
Das ist kein Versagen Ihres IT-Teams. Es ist ein Workflow, den Microsoft vor Jahren gelöst hat — Self-Service Password Reset mit Hybrid-Writeback in Ihr lokales AD. Die Lizenz ist bereits in Ihrem M365 Business Premium oder M365 E3 enthalten. Der Grund, warum es nicht aktiv ist: Die Einführung erfordert die Konfiguration von Entra Connect, die Gestaltung der Authentifizierungsmethoden und die Kommunikation mit den Nutzern. Ohne strukturierten Prozess läuft der Pilot endlos weiter.
Klassische Beratung für SSPR? Fünfstellige Beträge. Der Berater geht. Ihr Helpdesk setzt weiterhin Passwörter zurück.
AKTIVITÄTEN IM DETAIL
LIEFERUMFANG
Überprüfen Sie die Abdeckung von Entra ID P1 und die Konfiguration von Entra Connect (oder Entra Connect Cloud Sync)
Aktivieren Sie das Kennwort-Writeback in Entra Connect oder Cloud Sync — ausgehender Port 443, keine eingehenden Firewallregeln
Konfigurieren Sie die Authentifizierungsmethoden für SSPR: Microsoft Authenticator, SMS, E-Mail, Sicherheitsfragen
Aktivieren Sie die kombinierte Registrierung (MFA + SSPR), um eine doppelte Einrichtung für Benutzer zu vermeiden
Legen Sie die Anzahl der Methoden fest: eine Methode zum Entsperren, zwei Methoden zum Zurücksetzen — von Microsoft empfohlene Standardgrundlage
Konfigurieren Sie „Benutzern erlauben, Konten zu entsperren, ohne ihr Kennwort zurückzusetzen“ — Entsperren in lokales AD
Führen Sie eine Pilotgruppe (20–50 Benutzer) 1 Woche lang aus, überwachen Sie die SSPR-Auditprotokolle und beheben Sie Sonderfälle
Gestaffelte Einführung für alle Benutzer, Gruppe für Gruppe
Integrieren Sie den SSPR-Link auf dem Sperrbildschirm von Windows 10/11 über ein Intune-Gerätekonfigurationsprofil
Benutzerhandbuch, IT-Admin-Runbook und Eskalationsverfahren für den Helpdesk
Überprüfen Sie die Abdeckung von Entra ID P1 und die Konfiguration von Entra Connect (oder Entra Connect Cloud Sync)
Aktivieren Sie das Kennwort-Writeback in Entra Connect oder Cloud Sync — ausgehender Port 443, keine eingehenden Firewallregeln
Konfigurieren Sie die Authentifizierungsmethoden für SSPR: Microsoft Authenticator, SMS, E-Mail, Sicherheitsfragen
Aktivieren Sie die kombinierte Registrierung (MFA + SSPR), um eine doppelte Einrichtung für Benutzer zu vermeiden
Legen Sie die Anzahl der Methoden fest: eine Methode zum Entsperren, zwei Methoden zum Zurücksetzen — von Microsoft empfohlene Standardgrundlage
Konfigurieren Sie „Benutzern erlauben, Konten zu entsperren, ohne ihr Kennwort zurückzusetzen“ — Entsperren in lokales AD
Führen Sie eine Pilotgruppe (20–50 Benutzer) 1 Woche lang aus, überwachen Sie die SSPR-Auditprotokolle und beheben Sie Sonderfälle
Gestaffelte Einführung für alle Benutzer, Gruppe für Gruppe
Integrieren Sie den SSPR-Link auf dem Sperrbildschirm von Windows 10/11 über ein Intune-Gerätekonfigurationsprofil
Benutzerhandbuch, IT-Admin-Runbook und Eskalationsverfahren für den Helpdesk
SSPR-Konfiguration: Authentifizierungsmethoden, Registrierungsrichtlinie, Gruppenzuordnung — vollständig in Entra ID konfiguriert
Passwortzurückschreiben: Entra Connect- oder Cloud-Sync-Zurückschreiben aktiv, Ende-zu-Ende gegen lokales AD validiert
Windows-Sperrbildschirm-Integration: Intune-Konfigurationsprofil für den Link „Passwort zurücksetzen“ auf der Anmeldeseite
Kommunikation zur Benutzerregistrierung: E-Mail-Ankündigung, Schritt-für-Schritt-Anleitung, FAQ
Betriebs-Runbook: Fehlerbehebung bei Zurückschreibungsfehlern, Hinzufügen neuer Authentifizierungsmethoden, Umgang mit föderierten Benutzern
Vollständige Projektdokumentation: Alle Konfigurationsentscheidungen lückenlos dokumentiert
3 Schritte. Vom Start zum fertigen Projekt.
So läuft ein typisches Microsoft-Projekt mit DAMALO.
Schritt 1
Blueprint wählen und Umgebung analysieren
Wählen Sie einen bewährten Blueprint. KI-Agenten berücksichtigen ihre Lizenzen, aktuelle Konfiguration und Compliance-Anforderungen in den Plan ein. Keine allgemeinen Ratschläge.
Schritt 2
Plan erhalten und Umsetzung starten
Prüfen Sie den Plan. KI-Agenten entwerfen die Architektur, Aufgaben und gleichen Abhängigkeiten mit den Microsoft-Best Practices ab. Auf Ihren Tenant zugeschnitten.
Schritt 3
Geführte Umsetzung bis zum Abschluss
Schritt für Schritt ausführen. KI-Agenten stellen PowerShell-Skripte, Deep Links zum Admin Center und Anleitungen bereit. Jede Änderung wird automatisch dokumentiert.
Das Ergebnis: Ein abgeschlossenes Microsoft-Projekt in 1-2 Wochen. Dokumentiert. Audit-ready. Von Ihrem Team verstanden. Jederzeit anpassbar. Keine Change Requests. Keine Nachbeauftragung.
Next steps after Self-Service Password Reset
Ein sauber konfigurierter Tenant ist die Grundlage. Diese Blueprints bauen direkt darauf auf.
