{"id":414,"date":"2023-12-13T07:59:48","date_gmt":"2023-12-13T06:59:48","guid":{"rendered":"https:\/\/sparrowte.ch\/?p=414"},"modified":"2026-04-08T11:21:35","modified_gmt":"2026-04-08T09:21:35","slug":"414","status":"publish","type":"post","link":"https:\/\/sparrow365.de\/index.php\/2023\/12\/13\/414\/","title":{"rendered":"Wie setze ich Entra ID Passw\u00f6rter mit PowerShell zur\u00fcck? (2023)"},"content":{"rendered":"

Das Legacy Problem<\/h2>\n

Wenn man genau diese Frage stellt, findet man Online leider noch sehr viele L\u00f6sungen mit alten PowerShell Modulen (Azure AD, Azure AD Preview, MSOL), die deprecated werden<\/strong><\/a><\/p>\n

Entsprechend hier eine kleine Sammlung der neuen Wege \u00fcber die PowerShell Graph SDK.<\/p>\n

\n

! Notwendige Permissions finden sich am leichtesten via Find-MgGraphCommand "<CmdLet>"<\/code><\/code> <\/p>\n<\/blockquote>\n


<\/p>\n

EIGENES Kennwort \u00e4ndern, wenn man das alte kennt<\/h2>\n

Das ist so ziemlich das erste das man wahrscheinlich in der API Dokumentation findet<\/a>;<\/p>\n

! Wichtig: Dieser Endpunkt kann nur bei dem aktuell gegen die Graph API Authentifizierten Benutzer genutzt werden !<\/strong><\/p>\n

# Es kann der Benutzerprinzipalname (UPN) oder die Objekt-ID (OID) verwendet werden\n# Wichtig: Es muss der aktuell authentifizierte Benutzer sein\n$userId = (Get-MgContext).Account\n$params = @{\n    currentPassword = "<Aktuelles_Passwort>"\n    newPassword = "<Neues_Passwort>"\n}\nUpdate-MgUserPassword -UserId $userId -BodyParameter $params\n\n# Alternative ohne Microsoft.Graph.Users.Actions Modul:\nInvoke-MgGraphRequest POST "\/v1.0\/me\/changePassword" -Body $params<\/code><\/pre>\n
Die Einsatzzwecke sind limitiert, weil man sich vorab gegen die Graph API Authentifizieren muss, nur um dann noch mal das Kennwort anzugeben. Oder ich bin zu unkreativ. <\/p>\n
Viel interessanter ist wahrscheinlich:<\/p>\n

<\/p>\n
Als Admin das Kennwort eines Benutzers Setzen<\/em><\/h2>\n
Diese M\u00f6glichkeit wird in der Dokumentation und im Diskurs leicht \u00fcbersehen. Man kann das Kennwort eines Benutzers setzen, ohne dass er es beim n\u00e4chsten Login \u00e4ndern muss<\/a>.<\/p>\n
\n
Wenn man nicht gerade bspw. automatisch das Kennwort eines Service Accounts rotiert oder einen anderen sehr guten Grund<\/strong> hat, sollte forceChangePasswordNextSignIn = $true<\/code><\/code> genutzt werden<\/p>\n
M\u00f6chte man die \u00c4nderung \u00fcber die Enterprise Applikation umsetzen ist die Zuweisung einer Entra ID Admin Rolle<\/a> notwendig<\/p>\n<\/blockquote>\n
\"Permission<\/p>\n

<\/p>\n
# Es kann der Benutzerprinzipalname (UPN) oder die Objekt-ID (OID) verwendet werden\n$userId = "<BenutzerId>"\n\n$params = @{\n  passwordProfile = @{\n    forceChangePasswordNextSignIn = $false\n    password = "<Neues_Passwort>"\n  }\n}\n\nUpdate-MgUser -UserId $userId -BodyParameter $params\n\n# Ohne Zus\u00e4tzliches Modul\nInvoke-MgGraphRequest PATCH "\/v1.0\/users\/$userId" -Body $params<\/code><\/pre>\n

<\/p>\n
Als Admin das Kennwort eines anderen Benutzers \u00c4ndern<\/em><\/h2>\n
Mit einer entsprechenden Entra ID Admin Rolle<\/a> kann man \u00fcber die API bei anderen Benutzern die Authentifizierungsmethode \u00e4ndern<\/a>.   <\/p>\n
! Wichtig: \u00dcber diesen Endpunkt kann man nicht sein eigenes Kennwort zur\u00fccksetzen !<\/strong><\/p>\n
\n
Achtung<\/strong> – das zur\u00fccksetzen von Kennw\u00f6rtern \u00fcber diesen Endpunkt ist nur \u00fcber delegate Permissions<\/strong> m\u00f6glich – es kann nicht mit Application Permissions ein Kennwort zur\u00fcckgesetzt werden   <\/p>\n
"UserAuthenticationMethod.ReadWrite.All"<\/strong> gibt schreibrechte f\u00fcr Microsoft Authenticator, FIDO Keys, … auch von privilegierten Benutzern!<\/strong>
\nEin Angreifer mit einer solchen App Registration kann z.B. den Authenticator eines Global Admins entfernen<\/p>\n<\/blockquote>\n
# Optional, gibt man den Parameter nicht an wird Entra ID als Antwort ein selbstgeneriertes Kennwort liefern\n# Das hier gesetzte Kennwort muss der Benutzer sofort \u00e4ndern\n$params = @{newPassword = "<Neues_Passwort>"}\n\n# Es kann der Benutzerprinzipalname (UPN) oder die Objekt-ID (OID) verwendet werden\n$userId = "<BenutzerId>"\n\n# Authentication Methode "Passwort" hat statisch diese ID\n$authMethodId = "28c10230-6103-485e-b985-444c60001490"\n\nReset-MgUserAuthenticationMethodPassword -UserId $userId -AuthenticationMethodId $authMethodId -BodyParameter $params\n\n# Ohne Microsoft.Graph.Users.Actions:\nInvoke-MgGraphRequest POST "\/v1.0\/users\/$userId\/authentication\/methods\/$authMethodId\/resetPassword" -Body $params<\/code><\/pre>\n

<\/p>\n
Gibt man kein Initialpasswort an, sollte man die Antwort f\u00fcr weitere Verarbeitung abfangen: <\/p>\n
$res = Reset-MgUserAuthenticationMethodPassword -UserId $userId -AuthenticationMethodId $authMethodId\n$res = Invoke-MgGraphRequest POST "\/v1.0\/users\/$userId\/authentication\/methods\/$authMethodId\/resetPassword" \n\n$res.NewPassword<\/code><\/pre>\n
Ergebnis:<\/p>\n
\"PasswordOutput\"<\/p>\n

<\/p>\n
Abschlie\u00dfende Worte<\/h2>\n
Hoffentlich konnte ich ein wenig Verwirrung aufl\u00f6sen oder bei der Abl\u00f6sung der alten Module helfen – ich habe mich mit dem Thema auseinander gesetzt weil ich ein Initialkennwort f\u00fcr eine PAM L\u00f6sung setzen wollte und eher ungl\u00fccklich mit den Artikeln war, die ich gefunden habe. Wenn es noch etwas bei diesem zu verbessern gibt, sag mir bitte bescheid.<\/p>\n

<\/p>\n
Ich werde keine Kommentare moderieren und m\u00f6chte Ihre E-Mail-Adresse nicht; bitte beteiligen Sie sich an der Diskussion \u00fcber meinen Zugeh\u00f6rigen LinkedIn Post<\/a>.<\/p>\n

<\/p>\n
Wenn sie an den Dingen interessiert sind die ich tue folgen sie mir auf LinkedIn<\/a>.   <\/p>\n

<\/p>\n","protected":false},"excerpt":{"rendered":"
Das Legacy Problem Wenn man genau diese Frage stellt, findet man Online leider noch sehr viele L\u00f6sungen mit alten PowerShell Modulen (Azure AD, Azure AD Preview, MSOL), die deprecated werden Entsprechend hier eine kleine Sammlung der neuen Wege \u00fcber die PowerShell Graph SDK. ! Notwendige Permissions finden sich am leichtesten via Find-MgGraphCommand "<CmdLet>" EIGENES Kennwort… » weiterlesen<\/a><\/p>\n","protected":false},"author":2,"featured_media":424,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[24,48],"tags":[72,111,113,70,115,109,64,52,60,56,58,117,107,54,62],"class_list":["post-414","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-me-id","category-powershell","tag-aad","tag-auth-methods","tag-authenticationmethods","tag-azure-ad","tag-change","tag-changepassword","tag-entra","tag-entra-id","tag-graph","tag-graph-api","tag-microsoft-graph","tag-password","tag-passwoerter","tag-powershell","tag-powershell-sdk"],"_links":{"self":[{"href":"https:\/\/sparrow365.de\/index.php\/wp-json\/wp\/v2\/posts\/414","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sparrow365.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sparrow365.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sparrow365.de\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/sparrow365.de\/index.php\/wp-json\/wp\/v2\/comments?post=414"}],"version-history":[{"count":11,"href":"https:\/\/sparrow365.de\/index.php\/wp-json\/wp\/v2\/posts\/414\/revisions"}],"predecessor-version":[{"id":436,"href":"https:\/\/sparrow365.de\/index.php\/wp-json\/wp\/v2\/posts\/414\/revisions\/436"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sparrow365.de\/index.php\/wp-json\/wp\/v2\/media\/424"}],"wp:attachment":[{"href":"https:\/\/sparrow365.de\/index.php\/wp-json\/wp\/v2\/media?parent=414"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sparrow365.de\/index.php\/wp-json\/wp\/v2\/categories?post=414"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sparrow365.de\/index.php\/wp-json\/wp\/v2\/tags?post=414"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}