Bei uns können die Lehrpersonen die Passwörter der Schülerinnen und Schüler selber zurücksetzen. Der alte Weg (vgl. diesen Beitrag) setzte das Passwort im lokalen AD zurück. Da wir uns auf eine cloud-only Infrastruktur vorbereiten, musste ich auch für dieses Problem eine Lösung finden.

Neu ändern wir das Passwort direkt im Azure AD. Dazu verwenden wir die administrative Funktion My Staff. Um die entsprechende Funktion zu aktivieren, muss man im „Azure Active Directory admin center“ -> „User settings“ -> „User features – Manage user feature settings“ das Feature „Administrators can access My Staff“ von „none“ auf „Selected“ setzen und dann die Gruppen mit den Lehrpersonen auswählen.

Nun erstellt man eine sogenannte „administrative unit“ gemäss diesem Microsoft Beitrag.

Dieser „administrative unit“ kann man nun die Schülerinnen und Schülern zuweisen. Wenn man eine Gruppe hinzufügen möchte delegiert man die Verwaltung der Gruppe (die ja gar kein Passwort hat). Daher nützt das Hinzufügen der Gruppe leider nichts. Neu kann man gemäss diesem Artikel eine „dynamic membership rule“ erstellen. Damit muss man nun endlich die Schülerinnen und Schüler nicht mehr gemäss diesem Beitrag über eine CSV Datei einlesen und laufend manuell nachtragen.

Und bei den „Roles and administrators“ muss man bei „Passwort administrator“ eine Gruppe mit allen Lehrpersonen zuweisen.

Gemäss diesem Beitrag kann man nur Gruppen verwenden, die das Attribut „isAssignableToRole“ auf ja gesetzt haben. Nachträglich lässt sich das Attribut nicht mehr verändern, also lassen sich keine bestehenden Gruppen verwenden.

Als Workaround habe ich nun eine neue Gruppe erstellt und bei Members nochmals alle Lehrpersonen hinzugefügt.

Diese könnte man über ein CSV importieren, das man vorher aus der Gruppe der Lehrpersonen erstellt hat. Aber viel einfacher macht man das über PowerShell:

Den Zugang zu administrativen Tätigkeiten wie ein fremdes Passwort zurücksetzen sollte man mit MFA absichern. Dazu kann man diesem Microsoft Beitrag folgen.

Lehrpersonen können nun ein Passwort direkt über die Webseite https://mystaff.microsoft.com zurücksetzen oder noch einfacher über ein Programm, das man über Intune verteilt:

Wie das für eine Lehrperson aussieht, zeige ich in diesem Beitrag.