Como funciona: Redefinição de senha de autoatendimento do Azure AD

A SSPR (redefinição de senha por autoatendimento) do Microsoft Azure AD (Active Directory) dá aos usuários a capacidade de alterar ou redefinir a senha, sem envolvimento do administrador ou do suporte técnico. Se a conta de um usuário estiver bloqueada ou se ele esquecer a senha, ele poderá seguir os avisos para desbloquear a si mesmo e voltar ao trabalho. Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar no dispositivo ou em um aplicativo. Recomendamos este vídeo sobre como habilitar e configurar o SSPR no Azure AD.

Importante

Este artigo conceitual explica ao administrador como a redefinição de senha de autoatendimento funciona. Se você for um usuário final já registrado para redefinição de senha por autoatendimento e precisar voltar à sua conta, vá para https://aka.ms/sspr.

Se sua equipe de TI não tiver habilitado a capacidade de redefinir sua própria senha, entre em contato com sua assistência técnica para obter mais assistência.

Como funciona o processo de redefinição de senha?

Os usuários podem redefinir ou alterar sua senha usando o portal da SSPR. Primeiro eles devem registrar os métodos de autenticação desejados. Quando um usuário acessa o portal da SSPR, a plataforma Azure considera os seguintes fatores:

  • Como a página deve ser localizada?
  • A conta de usuário é válida?
  • A qual organização o usuário pertence?
  • Onde a senha é gerenciada?

Quando um usuário seleciona o link Não consegue acessar sua conta de um aplicativo ou uma página, ou vai diretamente para https://aka.ms/sspr, o idioma usado no portal da SSPR é baseado nas seguintes opções:

  • Por padrão, a localidade do navegador é usada para exibir a SSPR no idioma apropriado. A experiência de redefinição de senha é localizada nos mesmos idiomas para os quais o Microsoft 365 dá suporte.
  • Se você quiser vincular à SSPR em um idioma específico localizado, acrescente ?mkt= ao final da URL de redefinição de senha junto com a localidade necessária.

Depois que o portal da SSPR for exibido no idioma exigido, o usuário será solicitado a inserir uma ID de usuário e passar um captcha. O Azure AD (Azure Active Directory) verifica se o usuário poderá usar a SSPR fazendo as seguintes verificações:

  • Verifica se o usuário tem a SSPR habilitada.
    • Se não tiver a SSPR habilitada, ele deverá entrar em contato com o administrador para redefinir a senha.
  • Verifica se o usuário possui os métodos de autenticação corretos definidos em sua conta, de acordo com a política do administrador.
    • Se a política exigir apenas um método, verifique se o usuário tem os dados apropriados definidos para pelo menos um dos métodos de autenticação habilitados pela política do administrador.
      • Se os métodos não estiverem configurados, o usuário será avisado para entrar em contato com o administrador para redefinir a senha.
    • Se a política exigir dois métodos, verifique se o usuário tem os dados apropriados definidos para pelo menos dois dos métodos de autenticação habilitados pela política do administrador.
      • Se os métodos de autenticação não estiverem configurados, o usuário será avisado para entrar em contato com o administrador para redefinir a senha.
    • Se uma função de administrador do Azure for atribuída ao usuário, a política de senha forte de duas portas será imposta. Para obter mais informações, confira Diferenças da política de redefinição de senha de administrador.
  • Verifica se a senha do usuário é gerenciada no local, como, por exemplo, se o locatário do Azure AD está usando autenticação de passagem federada ou sincronização de hash de senha:
    • Se o write-back da SSPR estiver implantado e a senha do usuário for gerenciada localmente, o usuário poderá continuar a autenticação e redefinir a senha.
    • Se o write-back não estiver implantado e a senha for gerenciada localmente, o usuário deverá entrar em contato com o administrador para redefinir a senha.

Se todas as verificações anteriores forem concluídas com êxito, o usuário será guiado no processo para redefinir ou alterar a senha.

Observação

A SSPR pode enviar notificações por email aos usuários como parte do processo de redefinição de senha. Esses emails são enviados usando o serviço de retransmissão SMTP, que opera em modo ativo-ativo em várias regiões.

Os serviços de retransmissão recebem e processam o corpo do email, mas não o armazenam. O corpo do email de SSPR que pode potencialmente conter informações fornecidas pelo cliente não é armazenado nos logs do serviço de retransmissão SMTP. Os logs contêm apenas metadados de protocolo.

Para obter uma introdução à SSPR, conclua o tutorial a seguir:

Exigir que os usuários se cadastram ao entrarem

Você pode habilitar a opção para exigir que o usuário conclua o registro da SSPR se ele usar autenticação moderna ou navegador da Web para entrar em qualquer aplicativo usando o Azure AD. Esse fluxo de trabalho inclui os seguintes aplicativos:

  • Microsoft 365
  • Portal do Azure
  • Painel de acesso
  • Aplicativos federados
  • Aplicativos personalizados que usam o Azure AD

Quando você não exige registro, os usuários não são solicitados durante a entrada, mas podem fazer o registro manualmente. Eles podem visitar https://aka.ms/ssprsetup ou selecionar o link Registrar para redefinição de senha na guia Perfil no Painel de Acesso.

Opções de registro para SSPR no portal do Azure

Observação

Os usuários podem ignorar o portal de registro da SSPR selecionando Cancelar ou fechando a janela. Mas eles são solicitados a registrar toda vez que entrarem até concluírem o registro.

Se o usuário já tiver entrado, essa interrupção do registro para a SSPR não interromperá a conexão.

Reconfirmar as informações de autenticação

Para certificar-se de que os métodos de autenticação estejam corretos quando forem necessários para redefinir ou alterar a senha, você poderá solicitar aos usuários que confirmem as informações registradas após um determinado período de tempo. Esta opção fica disponível somente se você habilitar a opção Exigir que os usuários se registrem ao entrar.

Os valores válidos para solicitar que um usuário confirme os métodos registrados são de 0 a 730 dias. Definir esse valor para 0 significa que os usuários nunca serão solicitados a confirmar as informações de autenticação. Ao usar a experiência de registro combinada, os usuários serão solicitados a confirmar sua identidade antes de reconfirmar suas informações.

Métodos de autenticação

Quando um usuário é habilitado para SSPR, ele deve registrar pelo menos um método de autenticação. É altamente recomendável que você escolha dois ou mais métodos de autenticação para que o usuário tenha mais flexibilidade, caso não consiga acessar um método quando precisar. Para obter mais informações, consulte O que são métodos de autenticação?.

Os seguintes métodos de autenticação estão disponíveis para SSPR:

  • Notificação de aplicativo móvel
  • Código do aplicativo móvel
  • Email
  • Telefone celular
  • Telefone comercial (disponível somente para locatários com assinaturas pagas)
  • Perguntas de segurança

Os usuários só podem redefinir a senha se tiverem registrado um método de autenticação que o administrador tenha habilitado.

Aviso

As contas atribuídas a funções de administrador do Azure devem usar os métodos definidos na seção Diferenças da política de senha do administrador.

Seleção de métodos de autenticação no portal do Azure

Quantidade necessária de métodos de autenticação

Você pode configurar o número de métodos de autenticação disponíveis que um usuário deve fornecer para redefinir ou desbloquear a senha. Esse valor pode ser definido para um ou dois.

Os usuários podem, e devem, registrar vários métodos de autenticação. Mais uma vez, é altamente recomendável que o usuário registre dois ou mais métodos de autenticação para que ele tenha mais flexibilidade caso não consiga acessar um método quando precisar.

Se o usuário não tiver o número mínimo de métodos necessários registrados ao tentar usar a SSPR, ele verá uma página de erro que o direcionará para solicitar ao administrador que redefina sua senha. Se tiver usuários existentes registrados para a SSPR, cuidado ao aumentar o número de métodos necessários de um para dois, pois eles não poderão então usar o recurso. Para obter mais informações, consulte a seção a seguir Alterar os métodos de autenticação.

Aplicativo móvel e SSPR

Ao usar um aplicativo móvel como método para redefinição de senha, como o aplicativo Microsoft Authenticator, as seguintes considerações se aplicam:

  • Quando os administradores exigem que um método seja usado para redefinir uma senha, o código de verificação é a única opção disponível.
  • Quando os administradores exigem que dois métodos sejam usados para redefinir uma senha, o usuário poderá usar a notificação OU o código de verificação, além de qualquer outro método habilitado.
Número de métodos necessários para redefinir Um Dois
Recursos de aplicativos para dispositivos móveis disponíveis Código Código ou notificação

Os usuários não têm a opção de registrar o aplicativo para dispositivo móvel ao se registrarem para a redefinição de senha de autoatendimento em https://aka.ms/ssprsetup. Eles podem registrar o aplicativo em https://aka.ms/mfasetup ou no registro combinado de informações de segurança emhttps://aka.ms/setupsecurityinfo.

Importante

Quando for exigido apenas um método de autenticação, o aplicativo Authenticator não poderá ser selecionado como o único método. Da mesma forma, quando forem exigidos dois métodos, não será possível selecionar o aplicativo Authenticator e apenas um método adicional.

Ao configurar as políticas da SSPR que incluem o aplicativo Authenticator como um método, pelo menos um método adicional deverá ser selecionado, quando for necessário um método, e pelo menos dois métodos adicionais deverão ser selecionados, quando a configuração de dois métodos for necessária.

O motivo desse requisito é porque a experiência de registro da SSPR do momento não inclui a opção para registrar o aplicativo Authenticator. Essa opção está incluída na nova experiência de registro combinado.

Permitir políticas que usam apenas o aplicativo Authenticator (quando um método é necessário) ou o aplicativo Authenticator e apenas um método adicional (quando dois métodos são necessários) pode fazer com que os usuários sejam impedidos de se registrarem para a SSPR até que sejam configurados para usar a nova experiência de registro combinado.

Alterar métodos de autenticação

Se você iniciar com uma política que tenha apenas um método de autenticação requerido para reiniciar ou desbloquear registrado e você alterar esse número para dois métodos, o que acontece?

Número de métodos registrados Número de métodos necessários Resultado
1 ou mais 1 Capaz de redefinir ou desbloquear
1 2 Incapaz de redefinir ou desbloquear
2 ou mais 2 Capaz de redefinir ou desbloquear

Alterar os métodos de autenticação disponíveis também pode causar problemas para os usuários. Se você alterar os tipos de métodos de autenticação que um usuário pode usar, você poderá inadvertidamente impedir que os usuários sejam capazes de usar SSPR se eles não tiverem a quantidade mínima de dados disponíveis.

Considere o cenário de exemplo a seguir:

  1. A política original é configurada com dois métodos de autenticação necessários. Somente o número de telefone comercial e as questões de segurança são utilizados.
  2. O administrador altera a política para não usar perguntas de segurança, mas permite o uso de telefone celular e um email alternativo.
  3. Os usuários sem telefone celular ou os campos do email alternativos preenchidos no momento não podem redefinir suas senhas.

Notificações

Para melhorar o reconhecimento dos eventos de senha, a SSPR permite configurar notificações para os usuários e os administradores de identidade.

Notificar os usuários de redefinições de senha

Se essa opção estiver definida para Sim, os usuários que redefinirem suas senhas receberão um email notificando-os de que a senha foi alterada. O email é enviado pelo portal da SSPR para os endereços de email principal e alternativo armazenados no Azure AD. Ninguém mais é notificado sobre o evento de redefinição.

Notificar todos os administradores quando outros administradores redefinirem suas senhas

Se essa opção for definida para Sim, então, todos os outros administradores do Azure receberão um email em seu endereço principal registrado no Azure AD. O email notifica que outro administrador alterou sua senha utilizando a SSPR.

Considere o cenário de exemplo a seguir:

  • Há quatro administradores em um ambiente.
  • O administrador A redefine sua senha usando a SSPR.
  • Os administradores B, C e D recebem um email alertando sobre a redefinição da senha.

Observação

Notificações por e-mail do serviço SSPR serão enviadas dos seguintes endereços com base na nuvem do Azure com a qual você está trabalhando:

  • Público: msonlineservicesteam@microsoft.com
  • China: msonlineservicesteam@oe.21vianet.com
  • Governo: msonlineservicesteam@azureadnotifications.us

Se você observar problemas ao receber notificações, verifique suas configurações de spam.

Integração local

Se você tiver um ambiente híbrido, poderá configurar o Azure AD Connect para gravar eventos de alteração de senha do Azure AD em um diretório local.

A validação de write-back de senha está habilitada e funcionando

O Azure AD verifica a conectividade híbrida atual e fornece uma das mensagens a seguir no portal do Azure:

  • O cliente de write-back local está em execução.
  • O Azure Active Directory está online e conectado ao seu cliente de write-back local. No entanto, parece que a versão instalada do Azure AD Connect está desatualizada. Considere Atualizar o Azure AD Connect para garantir que você tenha os recursos de conectividade e correções de bugs importantes mais recentes.
  • Infelizmente não é possível verificar o status do cliente de write-back local porque a versão instalada do Azure AD Connect está desatualizada. Atualize o Azure AD Connect para poder verificar o status da conexão.
  • Infelizmente, parece que neste momento não é possível conectarmos ao seu cliente de write-back local. Solucionar problemas do Azure AD Connect para restaurar a conexão.
  • Infelizmente, não podemos nos conectar ao seu cliente de write-back local porque o write-back de senha não foi configurado corretamente. Configurar o write-back de senha para restaurar a conexão.
  • Infelizmente, parece que neste momento não é possível conectarmos ao seu cliente de write-back local. Isso pode ocorrer devido a problemas temporários em nossa extremidade. Se o problema persistir, consulte Solucionar problemas o Azure AD Connect para restaurar a conexão.

Para começar a usar o write-back da SSPR, conclua o seguinte tutorial:

Write-back de senhas para o diretório local

Você pode habilitar o write-back de senha usando o portal do Azure. Você também pode desabilitar o write-back de senha temporariamente sem precisar reconfigurar o Azure AD Connect.

  • Se a opção for definida para Sim, o write-back será habilitado. Os usuários da autenticação de passagem federada ou sincronização de hash para a senha poderão redefinir as senhas.
  • Se a opção for definida paraNão, o write-back será desabilitado. Os usuários da autenticação de passagem federada ou sincronização de hash para a senha não poderão redefinir as senhas.

Permitir aos usuários desbloquear contas sem redefinir a senha

Por padrão, o Azure Active Directory desbloqueia contas quando ele executa uma redefinição de senha. Para fornecer flexibilidade, você pode optar por permitir que os usuários desbloqueiem suas contas locais sem precisar redefinir a senha. Use essa configuração para separar essas duas operações.

  • Se for definida para Sim, os usuários terão a opção de redefinir a senha e desbloquear a conta, ou desbloquear a conta sem precisar redefinir a senha.
  • Se for definida para Não, os usuários só poderão executar uma operação combinada de redefinição de senha e desbloqueio de conta.

Filtros de senha do Active Directory local

A SSPR executa no Active Directory um procedimento equivalente a uma redefinição de senha iniciada pelo administrador. Se você estiver usando um filtro de senha de terceiros para impor regras de senha personalizadas e exigir que esse filtro seja verificado durante a redefinição de senha de autoatendimento do Azure AD, verifique se a solução desse filtro de terceiros está configurada para ser aplicada no cenário de redefinição de senha de administrador. A proteção por senha do Azure AD para o Active Directory Domain Services é compatível por padrão.

Redefinição de senha para usuários B2B

A reinicialização e a mudança de senha são totalmente suportadas em todas as configurações B2B (entre empresas). A reinicialização da senha do usuário B2B tem suporte nos três casos a seguir:

  • Usuários de uma organização parceira com um locatário existente do Azure AD: se a organização com a qual você está fazendo uma parceria tiver um locatário existente do Azure Active Directory, respeitaremos todas as políticas de redefinição de senha habilitadas no locatário. Para que a reinicialização da senha funcione, a organização parceira precisa ter certeza de que a SSPR do Azure Active Directory está habilitada. Não há qualquer custo adicional para os clientes do Microsoft 365.
  • Usuários que se inscreveram usando a inscrição para autoatendimento: se a organização com a qual você está fazendo parceria usou o recurso inscrição para autoatendimento para entrar em um locatário, permitiremos que redefinam a senha com o email registrado.
  • Usuários B2B: os novos usuários B2B criados com as novas funcionalidades do Azure AD B2B também poderão redefinir as senhas com o email registrado durante o processo de convite.

Para testar este cenário, acesse https://passwordreset.microsoftonline.com com um desses usuários parceiros. Se eles possuem um email alternativo ou um email de autenticação definido, a redefinição de senha funcionará como esperado.

Observação

As contas Microsoft que receberam acesso de convidado ao locatário do Azure AD, como as de Hotmail.com, Outlook.com ou outros endereços de email pessoal, não podem usar a SSPR do Azure AD. É necessário que definam a senha, utilizando as informações localizadas no artigo Quando não for possível entrar na sua conta da Microsoft.

Próximas etapas

Para obter uma introdução à SSPR, conclua o tutorial a seguir:

Os artigos a seguir fornecem informações adicionais sobre a redefinição de senha através do Azure Active Directory: