Immer wieder taucht die Frage auf, was muss ich lizenzieren, damit ich das Zurückschrieben des Kennwortes in das lokale AD aus dem Azure AD nutzen kann. In den Artikel unter docs.microsoft.com wird es eindeutig beantwortet aber die Einhaltung der Compliance wieder an den Kunden abgegeben.
Um das „self-service password reset“(SSPR) und auch das „password writeback“ zu konfigurien und im Tenant funktional zu implementieren, muss nur mindestens eine Lizenz im Tenant zugewiesen sein. Um die Compliance einzuhalten bei nicht reinen Cloud Usern, müssen allerdings Premium Lizenzen bei den User zugewiesen werden.
Folgende Lizenzen kommen dafür in Frage:
- Azure AD Premium P1
- Azure AD Premium P2
- Enterprise Mobility + Security E3
- Enterprise Mobility + Security E5
- Microsoft 365 E3
- Microsoft 365 E5
Wie das Feature „Password writeback“ konfiguriert wird ist im folgenden Artikel (https://docs.microsoft.com/en-us/azure/active-directory/active-directory-passwords-writeback) erklärt.