Como funciona: Redefinição de senha self-service do Microsoft Entra
A redefinição de senha self-service (SSPR) do Microsoft Entra oferece aos usuários a capacidade de alterar ou redefinir suas senhas, sem envolvimento de administrador ou suporte técnico. Se a conta de um usuário estiver bloqueada ou se ele esquecer a senha, ele poderá seguir os avisos para desbloquear a si mesmo e voltar ao trabalho. Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar no dispositivo ou em um aplicativo. Recomendamos este vídeo sobre como habilitar e configurar o SSPR no Microsoft Entra ID.
Importante
Este artigo conceitual explica ao administrador como a redefinição de senha de autoatendimento funciona. Se você for um usuário final já registrado para redefinição de senha por autoatendimento e precisar voltar à sua conta, vá para https://aka.ms/sspr.
Se sua equipe de TI não tiver habilitado a capacidade de redefinir sua própria senha, entre em contato com sua assistência técnica para obter mais assistência.
Como funciona o processo de redefinição de senha?
Os usuários podem redefinir ou alterar sua senha usando o portal da SSPR. Primeiro eles devem registrar os métodos de autenticação desejados. Quando um usuário acessa o portal da SSPR, a plataforma Microsoft Entra ID considera os seguintes fatores:
- Como a página deve ser localizada?
- A conta de usuário é válida?
- A qual organização o usuário pertence?
- Onde a senha é gerenciada?
Quando um usuário seleciona o link Não consegue acessar sua conta de um aplicativo ou uma página, ou vai diretamente para https://aka.ms/sspr, o idioma usado no portal da SSPR é baseado nas seguintes opções:
- Por padrão, a localidade do navegador é usada para exibir a SSPR no idioma apropriado. A experiência de redefinição de senha é localizada nos mesmos idiomas para os quais o Microsoft 365 dá suporte.
- Se você quiser vincular à SSPR em um idioma específico localizado, acrescente
?mkt=ao final da URL de redefinição de senha junto com a localidade necessária.- Por exemplo, para especificar a localidade Espanhol es-US, use
?mkt=es-us- https://passwordreset.microsoftonline.com/?mkt=es-us.
- Por exemplo, para especificar a localidade Espanhol es-US, use
Depois que o portal da SSPR for exibido no idioma exigido, o usuário será solicitado a inserir uma ID de usuário e passar um captcha. O Microsoft Entra ID verifica se o usuário poderá usar a SSPR fazendo as seguintes verificações:
- Verifica se o usuário tem a SSPR habilitada.
- Se não tiver a SSPR habilitada, ele deverá entrar em contato com o administrador para redefinir a senha.
- Verifica se o usuário possui os métodos de autenticação corretos definidos em sua conta, de acordo com a política do administrador.
- Se a política exigir apenas um método, verifique se o usuário tem os dados apropriados definidos para pelo menos um dos métodos de autenticação habilitados pela política do administrador.
- Se os métodos de autenticação não estiverem configurados, o usuário será avisado para entrar em contato com o administrador para redefinir a senha.
- Se a política exigir dois métodos, verifique se o usuário tem os dados apropriados definidos para pelo menos dois dos métodos de autenticação habilitados pela política do administrador.
- Se os métodos de autenticação não estiverem configurados, o usuário será avisado para entrar em contato com o administrador para redefinir a senha.
- Se uma função de administrador do Azure for atribuída ao usuário, a política de senha forte de duas portas será imposta. Para obter mais informações, confira Diferenças da política de redefinição de senha de administrador.
- Se a política exigir apenas um método, verifique se o usuário tem os dados apropriados definidos para pelo menos um dos métodos de autenticação habilitados pela política do administrador.
- Verifica se a senha do usuário está sendo gerenciada no local, como, por exemplo, se o locatário do Microsoft Entra está usando autenticação de passagem federada ou sincronização de hash de senha:
- Se o write-back da SSPR estiver implantado e a senha do usuário for gerenciada localmente, o usuário poderá continuar a autenticação e redefinir a senha.
- Se o write-back não estiver implantado e a senha for gerenciada localmente, o usuário deverá entrar em contato com o administrador para redefinir a senha.
Se todas as verificações anteriores forem concluídas com êxito, o usuário será guiado no processo para redefinir ou alterar a senha.
Observação
A SSPR pode enviar notificações por email aos usuários como parte do processo de redefinição de senha. Esses emails são enviados usando o serviço de retransmissão SMTP, que opera em modo ativo-ativo em várias regiões.
Os serviços de retransmissão recebem e processam o corpo do email, mas não o armazenam. O corpo do email de SSPR que pode potencialmente conter informações fornecidas pelo cliente não é armazenado nos logs do serviço de retransmissão SMTP. Os logs contêm apenas metadados de protocolo.
Para obter uma introdução à SSPR, conclua o tutorial a seguir:
Exigir que os usuários se cadastram ao entrarem
Você pode habilitar a opção para exigir que o usuário conclua o registro da SSPR se ele usar autenticação moderna ou navegador da Web para entrar em qualquer aplicativo usando o Microsoft Entra ID. Esse fluxo de trabalho inclui os seguintes aplicativos:
- Microsoft 365
- Centro de administração do Microsoft Entra
- Painel de acesso
- Aplicativos federados
- Aplicativos personalizados usando o Microsoft Entra ID
Quando você não exige registro, os usuários não são solicitados durante a entrada, mas podem fazer o registro manualmente. Eles podem visitar https://aka.ms/ssprsetup ou selecionar o link Registrar para redefinição de senha na guia Perfil no Painel de Acesso.
! [Opções de registro para SSPR no centro de administração do Microsoft Entra][Registro]
Observação
Os usuários podem ignorar o portal de registro da SSPR selecionando Cancelar ou fechando a janela. Mas eles são solicitados a registrar toda vez que entrarem até concluírem o registro.
Se o usuário já tiver entrado, essa interrupção do registro para a SSPR não interromperá a conexão.
Reconfirmar as informações de autenticação
Para certificar-se de que os métodos de autenticação estejam corretos quando forem necessários para redefinir ou alterar a senha, você poderá solicitar aos usuários que confirmem as informações registradas após um determinado período de tempo. Esta opção fica disponível somente se você habilitar a opção Exigir que os usuários se registrem ao entrar.
Os valores válidos para solicitar que um usuário confirme os métodos registrados são de 0 a 730 dias. Definir esse valor para 0 significa que os usuários nunca serão solicitados a confirmar as informações de autenticação. Ao usar a experiência de registro combinada, os usuários serão solicitados a confirmar sua identidade antes de reconfirmar suas informações.
Métodos de autenticação
Quando um usuário é habilitado para SSPR, ele deve registrar pelo menos um método de autenticação. É altamente recomendável que você escolha dois ou mais métodos de autenticação para que o usuário tenha mais flexibilidade, caso não consiga acessar um método quando precisar. Para obter mais informações, consulte O que são métodos de autenticação?.
Os seguintes métodos de autenticação estão disponíveis para SSPR:
- Notificação de aplicativo móvel
- Código do aplicativo móvel
- Telefone celular
- Telefone comercial (disponível somente para locatários com assinaturas pagas)
- Perguntas de segurança
Os usuários só podem redefinir a senha se tiverem registrado um método de autenticação que o administrador tenha habilitado.
Aviso
As contas atribuídas a funções de administrador do Azure devem usar os métodos definidos na seção Diferenças da política de senha do administrador.
! [Seleção de métodos de autenticação no centro de administração do Microsoft Entra][Autenticação]
Quantidade necessária de métodos de autenticação
Você pode configurar o número de métodos de autenticação disponíveis que um usuário deve fornecer para redefinir ou desbloquear a senha. Esse valor pode ser definido para um ou dois.
Os usuários podem, e devem, registrar vários métodos de autenticação. Mais uma vez, é altamente recomendável que o usuário registre dois ou mais métodos de autenticação para que ele tenha mais flexibilidade caso não consiga acessar um método quando precisar.
Se o usuário não tiver o número mínimo de métodos necessários registrados ao tentar usar a SSPR, ele verá uma página de erro que o direcionará para solicitar ao administrador que redefina sua senha. Se tiver usuários existentes registrados para a SSPR, cuidado ao aumentar o número de métodos necessários de um para dois, pois eles não poderão então usar o recurso. Para obter mais informações, consulte a seção a seguir Alterar os métodos de autenticação.
Aplicativo móvel e SSPR
Ao usar um aplicativo móvel como método para redefinição de senha, como o aplicativo Microsoft Authenticator, as seguintes considerações se aplicam se uma organização não tiver migrado para a política de métodos de autenticação centralizada :
- Quando os administradores exigem que um método seja usado para redefinir uma senha, o código de verificação é a única opção disponível.
- Quando os administradores exigem que dois métodos sejam usados para redefinir uma senha, o usuário poderá usar a notificação OU o código de verificação, além de qualquer outro método habilitado.
| Número de métodos necessários para redefinir | Um | Dois |
|---|---|---|
| Recursos de aplicativos para dispositivos móveis disponíveis | Código | Código ou notificação |
Eles podem registrar o aplicativo em https://aka.ms/mfasetup ou no registro combinado de informações de segurança emhttps://aka.ms/setupsecurityinfo.
Importante
Se o aplicativo Authenticator não puder ser selecionado como o único método de autenticação quando apenas um método for necessário. Da mesma forma, quando forem exigidos dois métodos, não será possível selecionar o aplicativo Authenticator e apenas um método adicional.
Ao configurar as políticas da SSPR que incluem o aplicativo Authenticator como um método, pelo menos um método adicional deverá ser selecionado, quando for necessário um método, e pelo menos dois métodos adicionais deverão ser selecionados, quando a configuração de dois métodos for necessária.
Alterar métodos de autenticação
Se você iniciar com uma política que tenha apenas um método de autenticação requerido para reiniciar ou desbloquear registrado e você alterar esse número para dois métodos, o que acontece?
| Número de métodos registrados | Número de métodos necessários | Resultado |
|---|---|---|
| 1 ou mais | 1 | Capaz de redefinir ou desbloquear |
| 1 | 2 | Incapaz de redefinir ou desbloquear |
| 2 ou mais | 2 | Capaz de redefinir ou desbloquear |
Alterar os métodos de autenticação disponíveis também pode causar problemas para os usuários. Se você alterar os tipos de métodos de autenticação que um usuário pode usar, você poderá inadvertidamente impedir que os usuários sejam capazes de usar SSPR se eles não tiverem a quantidade mínima de dados disponíveis.
Considere o cenário de exemplo a seguir:
- A política original é configurada com dois métodos de autenticação necessários. Somente o número de telefone comercial e as questões de segurança são utilizados.
- O administrador altera a política para não usar perguntas de segurança, mas permite o uso de telefone celular e um email alternativo.
- Os usuários sem telefone celular ou os campos do email alternativos preenchidos no momento não podem redefinir suas senhas.
Notificações
Para melhorar o reconhecimento dos eventos de senha, a SSPR permite configurar notificações para os usuários e os administradores de identidade.
Notificar os usuários de redefinições de senha
Se essa opção estiver definida para Sim, os usuários que redefinirem suas senhas receberão um email notificando-os de que a senha foi alterada. O email é enviado pelo portal da SSPR para os endereços de email principal e alternativo armazenados no Microsoft Entra ID. Se nenhum endereço de email primário ou alternativo for definido, o SSPR tentará uma notificação por email por meio do Nome UPN (UPN). Ninguém mais é notificado sobre o evento de redefinição.
Notificar todos os administradores quando outros administradores redefinirem suas senhas
Se essa opção for definida para Sim, então, os Administradores Globais receberão um email em seu endereço principal registrado no Microsoft Entra ID. O email notifica que outro administrador alterou sua senha utilizando a SSPR.
Observação
Notificações por e-mail do serviço SSPR serão enviadas dos seguintes endereços com base na nuvem do Azure com a qual você está trabalhando:
- Pública: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Azure China 21Vianet: msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure for US Government: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Se você observar problemas ao receber notificações, verifique suas configurações de spam.
Se você quiser que os administradores personalizados recebam os emails de notificação, use personalizações SSPR e configure um email ou link de assistência técnica personalizado.
Integração local
Se você tiver um ambiente híbrido, poderá configurar o Microsoft Entra Connect para gravar eventos de alteração de senha do Microsoft Entra ID em um diretório local.
![A validação de write-back de senha está habilitada para o Microsoft Entra ID para uma integração local][Write-back]
O Microsoft Entra ID verifica sua conectividade híbrida atual e fornece uma das seguintes mensagens no centro de administração do Microsoft Entra:
- O cliente de write-back local está em execução.
- O Microsoft Entra ID está online e conectado ao seu cliente de write-back local. No entanto, parece que a versão instalada do Microsoft Entra Connect está desatualizada. Considere Atualizar o Microsoft Entra Connect para garantir que você tenha os recursos de conectividade e correções de bugs importantes mais recentes.
- Infelizmente não é possível verificar o status do cliente de write-back local porque a versão instalada do Microsoft Entra Connect está desatualizada. Atualize o Microsoft Entra Connect para poder verificar o status da conexão.
- Infelizmente, parece que neste momento não é possível conectarmos ao seu cliente de write-back local. Solucionar problemas do Microsoft Entra Connect para restaurar a conexão.
- Infelizmente, não podemos nos conectar ao seu cliente de write-back local porque o write-back de senha não foi configurado corretamente. Configurar o write-back de senha para restaurar a conexão.
- Infelizmente, parece que neste momento não é possível conectarmos ao seu cliente de write-back local. Isso pode ocorrer devido a problemas temporários em nossa extremidade. Se o problema persistir, consulte Solucionar problemas o Microsoft Entra Connect para restaurar a conexão.
Para começar a usar o write-back da SSPR, conclua o seguinte tutorial:
Write-back de senhas para o diretório local
Você pode habilitar o write-back de senha usando o centro de administração do Microsoft Entra. Você também pode desabilitar o write-back de senha temporariamente sem precisar reconfigurar o Microsoft Entra Connect.
- Se a opção for definida para Sim, o write-back será habilitado. Os usuários da autenticação de passagem federada ou sincronização de hash para a senha poderão redefinir as senhas.
- Se a opção for definida paraNão, o write-back será desabilitado. Os usuários da autenticação de passagem federada ou sincronização de hash para a senha não poderão redefinir as senhas.
Permitir aos usuários desbloquear contas sem redefinir a senha
Por padrão, o Microsoft Entra ID desbloqueia contas quando ele executa uma redefinição de senha. Para fornecer flexibilidade, você pode optar por permitir que os usuários desbloqueiem suas contas locais sem precisar redefinir a senha. Use essa configuração para separar essas duas operações.
- Se for definida para Sim, os usuários terão a opção de redefinir a senha e desbloquear a conta, ou desbloquear a conta sem precisar redefinir a senha.
- Se for definida para Não, os usuários só poderão executar uma operação combinada de redefinição de senha e desbloqueio de conta.
Filtros de senha do Active Directory local
A SSPR executa no Active Directory um procedimento equivalente a uma redefinição de senha iniciada pelo administrador. Se você estiver usando um filtro de senha de terceiros para impor regras de senha personalizadas e exigir que esse filtro seja verificado durante a redefinição de senha de autoatendimento do Microsoft Entra, verifique se a solução desse filtro de terceiros está configurada para ser aplicada no cenário de redefinição de senha de administrador. A proteção por senha do Microsoft Entra para o Active Directory Domain Services é compatível por padrão.
Redefinição de senha para usuários B2B
A reinicialização e a mudança de senha são totalmente suportadas em todas as configurações B2B (entre empresas). A reinicialização da senha do usuário B2B tem suporte nos três casos a seguir:
- Usuários de uma organização parceira com um locatário existente do Microsoft Entra: se a organização com a qual você está fazendo uma parceria tiver um locatário existente do Microsoft Entra, respeitaremos todas as políticas de redefinição de senha habilitadas no locatário. Para que a reinicialização da senha funcione, a organização parceira precisa ter certeza de que a SSPR do Microsoft Entra está habilitada. Não há qualquer custo adicional para os clientes do Microsoft 365.
- Usuários que se inscreveram usando a inscrição para autoatendimento: se a organização com a qual você está fazendo parceria usou o recurso inscrição para autoatendimento para entrar em um locatário, permitiremos que redefinam a senha com o email registrado.
- Usuários B2B: os novos usuários B2B criados com as novas funcionalidades do Microsoft Entra B2B também poderão redefinir as senhas com o email registrado durante o processo de convite.
Para testar este cenário, acesse https://passwordreset.microsoftonline.com com um desses usuários parceiros. Se eles possuem um email alternativo ou um email de autenticação definido, a redefinição de senha funcionará como esperado.
Observação
As contas Microsoft que receberam acesso de convidado ao locatário do Microsoft Entra, como as de Hotmail.com, Outlook.com ou outros endereços de email pessoal, não podem usar a SSPR do Microsoft Entra. É necessário que definam a senha, utilizando as informações localizadas no artigo Quando não for possível entrar na sua conta da Microsoft.
Próximas etapas
Para obter uma introdução à SSPR, conclua o tutorial a seguir: