Habilitar a redefinição de senha self-service do Microsoft Entra na tela de entrada do Windows

A SSPR (redefinição de senha self-service) dá aos usuários do Microsoft Entra ID a possibilidade de alterar ou redefinir a senha, sem envolvimento do administrador ou do suporte técnico. Normalmente, os usuários abrem um navegador da Web em outro dispositivo para acessar o portal SSPR. Para aprimorar a experiência em computadores com o Windows 7, 8, 8.1, 10 e 11, você pode permitir que os usuários redefinam a senha na tela de entrada do Windows.

Importante

Este tutorial mostra a um administrador como habilitar o SSPR para dispositivos Windows em uma empresa.

Se sua equipe de TI não tiver habilitado o recurso de usar o SSPR do dispositivo Windows ou se você tiver problemas durante a entrada, entre em contato com o suporte técnico para obter assistência adicional.

Limitações gerais

As seguintes limitações se aplicam ao uso do SSPR na tela de entrada do Windows:

• Atualmente não há suporte para a redefinição de senha a partir de uma Área de Trabalho Remota ou de sessões aprimoradas do Hyper-V.
• Alguns provedores de credenciais de terceiros são conhecidos por causar problemas com esse recurso.
• Desabilitação do UAC por meio da modificação de chave do registro EnableLUA é conhecida por causar problemas.
• Esse recurso não funciona para redes com autenticação de rede 802.1x implantada e a opção “Executar imediatamente antes do logon do usuário”. Para redes com autenticação de rede 802.1x implantada, é recomendável usar a autenticação de computador para habilitar esse recurso.
• Os computadores ingressados no Microsoft Entra híbrido devem ter a linha de visão de conectividade de rede para um controlador de domínio para usar a nova senha e atualizar as credenciais armazenadas em cache. Isso significa que os dispositivos devem estar na rede interna da organização ou em uma VPN com acesso à rede para um controlador de domínio local.
• Se estiver usando uma imagem, antes de executar o sysprep, veja se o cache da Web está desmarcado para o Administrador interno, antes de executar a etapa CopyProfile. Mais informações sobre esse assunto podem ser encontradas no artigo de suporte Desempenho insatisfatório ao usar perfil de usuário padrão personalizado.
• As configurações a seguir são conhecidas por interferir na capacidade de usar a redefinição de senhas nos dispositivos com Windows 10:
  • Se as notificações de tela de bloqueio estiverem desativadas, a Redefinição de senha não funcionará.
  • HideFastUserSwitching é definido como habilitado ou 1
  • DontDisplayLastUserName é definido como habilitado ou 1
  • NoLockScreen é definido como habilitado ou 1
  • BlockNonAdminUserInstall é definido como habilitado ou 1
  • EnableLostMode é definido no dispositivo
  • Explorer.exe é substituído por um shell personalizado
  • Logon interativo: exigir que o cartão inteligente esteja definido como ativado ou 1
• A combinação das seguintes três configurações específicas pode fazer com que esse recurso não funcione.
  • Logon interativo: não exigir CTRL+ALT+DEL = desabilitado (somente para Windows 10 versão 1710 e anterior)
  • DisableLockScreenAppNotifications = 1 ou Habilitado
  • O SKU do Windows é a edição Home

Observação

Essas limitações também se aplicam à redefinição do PIN do Windows Hello para Empresas, na tela de bloqueio do dispositivo.

Redefinição de senha do Windows 11 e do Windows 10

Para configurar um dispositivo Windows 11 ou Windows 10 para SSPR na tela de entrada, revise os pré-requisitos e as etapas de configuração a seguir.

Pré-requisitos do Windows 11 e do Windows 10

• Entre no centro de administração do Microsoft Entra como, no mínimo, um administrador de política de autenticação e habilite a redefinição de senha self-service do Microsoft Entra.
• Os usuários precisam se registrar para SSPR antes de usar esse recurso em https://aka.ms/ssprsetup
  • Não exclusivo para usar o SSPR da tela de entrada do Windows, todos os usuários devem fornecer as informações de contato de autenticação para que possam redefinir sua senha.
• Requisitos de proxy de rede:
  • Porta 443 para passwordreset.microsoftonline.com e ajax.aspnetcdn.com
  • Dispositivos Windows 10 exigem uma configuração de proxy no nível do computador ou configuração de proxy com escopo para a conta defaultuser1 temporária usada para executar SSPR (confira a seção de Solução de problemas para obter mais detalhes).
• Executar, pelo menos, o Windows 10, versão Atualização de abril de 2018 (v1803), e os dispositivos precisam estar:
  • Ingressado no Microsoft Entra
  • Ingressado no Microsoft Entra híbrido

Habilitação para o Windows 11 e o Windows 10 usando o Microsoft Intune

Implantar a alteração de configuração para habilitar o SSPR da tela de logon usando o Microsoft Intune é o método mais flexível. O Microsoft Intune permite que você implante a alteração de configuração para um grupo específico de computadores que você definir. Esse método requer o registro do dispositivo no Microsoft Intune.

Criar uma política de configuração de dispositivo no Microsoft Intune

1. Entre no Centro de administração do Microsoft Intune.

2. Crie um novo perfil de configuração do dispositivo acessando Configuração do dispositivo>Perfis e selecione +Criar perfil

   • Para Plataforma, escolha Windows 10 e posterior
   • Para Tipo de perfil, escolha Modelos e selecione o modelo Personalizado abaixo

3. Selecione Criar e forneça um nome significativo para o perfil, como SSPR da tela de entrada do Windows 11

   Opcionalmente, forneça uma descrição significativa do perfil, em seguida, selecione Avançar.

4. Em Definições de configuração, selecione Adicionar e forneça a seguinte configuração de OMA-URI para habilitar o link de redefinição de senha:

   • Forneça um nome significativo para explicar o que a configuração está fazendo, como Adicionar link de SSPR.
   • Opcionalmente, forneça uma descrição significativa da configuração.
   • OMA-URI definido como ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
   • Tipo de dados definido como Inteiro
   • Valor definido como 1

   Selecione Adicionar e Avançar.

5. Essa política pode ser atribuída a usuários, dispositivos ou grupos específicos. Atribua o perfil conforme desejado para seu ambiente, de preferência a um grupo de dispositivos de teste primeiro e selecione Avançar.

   Para obter mais informações, veja Atribuir perfis de usuário e de dispositivo no Microsoft Intune.

6. Configure as regras de aplicabilidade conforme desejado para seu ambiente, como para Atribuir o perfil se a edição do sistema operacional for Windows 10 Enterprise e, em seguida, selecione Avançar.

7. Examine o perfil e selecione Criar.

Habilitação para o Windows 11 e o Windows 10 usando o Registro

Para habilitar o SSPR na tela de entrada usando uma chave do registro, conclua as seguintes etapas:

1. Entre no PC do Windows usando credenciais administrativas.

2. Pressione Windows + R para abrir a caixa de diálogo Executar e, em seguida, execute regedit como administrador

3. Defina a seguinte chave do registro:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Solução de problemas de redefinição de senha do Windows 11 e do Windows 10

Se você tiver problemas com o uso do SSPR na tela de entrada do Windows, o log de auditoria do Microsoft Entra incluirá informações sobre o endereço IP e o ClientType em que a redefinição de senha ocorreu, conforme mostrado na seguinte saída de exemplo:

Quando os usuários redefinem a senha na tela de logon de um dispositivo Windows 11 ou 10, é criada uma conta temporária com baixos privilégios chamada defaultuser1. Essa conta é usada para manter o processo de redefinição de senha seguro.

A conta em si tem uma senha gerada aleatoriamente, que é validada em relação a uma política de senha de organizações, não aparece para entrada do dispositivo e é automaticamente removida depois que o usuário redefine sua senha. Vários perfis defaultuser podem existir, mas podem ser ignorados com segurança.

Configurações de proxy para redefinição de senha do Windows

Durante a redefinição de senha, o SSPR cria uma conta de usuário local temporária para se conectar ao https://passwordreset.microsoftonline.com/n/passwordreset. Quando um proxy é configurado para autenticação de usuário, ele pode falhar com o erro "Algo deu errado. Tente novamente mais tarde". Isso ocorre porque a conta de usuário local não está mais autorizada a usar o proxy autenticado.

Nesse caso, você pode adotar uma das seguintes soluções alternativas:

• Definir uma configuração de proxy em todo o computador que não dependa do tipo de usuário conectado. Por exemplo, você pode habilitar o Política de Grupo Definir configurações de proxy por computador (em vez de por usuário) para as estações de trabalho.

• Você também poderá usar configurações de proxy por usuário para SSPR se modificar o modelo de Registro para a Conta Padrão. Os comandos são os seguinte:

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• O erro "Algo deu errado" também pode ocorrer quando qualquer coisa interrompe a conectividade com a URL https://passwordreset.microsoftonline.com/n/passwordreset. Por exemplo, esse erro pode ocorrer quando o software antivírus é executado na estação de trabalho sem exclusões para as URLs passwordreset.microsoftonline.com, ajax.aspnetcdn.com e ocsp.digicert.com. Desabilite este software temporariamente para testar se o problema foi resolvido ou não.

Redefinição de senha do Windows 7, 8 e 8.1

Para configurar um dispositivo Windows 7, 8 ou 8.1 para SSPR na tela de entrada, examine os seguintes pré-requisitos e etapas de configuração.

Pré-requisitos do Windows 7, 8 e 8.1

• Entre no centro de administração do Microsoft Entra como, no mínimo, um administrador de política de autenticação e habilite a redefinição de senha self-service do Microsoft Entra.
• Os usuários precisam se registrar para SSPR antes de usar esse recurso em https://aka.ms/ssprsetup
  • Não exclusivo para usar o SSPR da tela de entrada do Windows, todos os usuários devem fornecer as informações de contato de autenticação para que possam redefinir sua senha.
• Requisitos de proxy de rede:
  • Porta 443 para passwordreset.microsoftonline.com
• Sistema operacional Windows 7 ou Windows 8.1 corrigido.
• TLS 1.2 habilitado usando a diretriz encontrada em Configurações de registro do protocolo TLS.
• Se mais de um provedor de credenciais de terceiros estiver habilitado no computador, os usuários verão mais de um perfil de usuário na tela de logon.

Aviso

O TLS 1.2 precisa ser habilitado, e não apenas configurado para negociar automaticamente.

Instalar

Para o Windows 7, 8 e 8,1, um pequeno componente deve ser instalado no computador para habilitar o SSPR na tela de entrada. Para instalar esse componente do SSPR, conclua as etapas a seguir:

1. Baixe o instalador correto para a versão do Windows que você quer habilitar.

   O instalador do software está disponível no Centro de Download da Microsoft em https://aka.ms/sspraddin

2. Entre no computador em que você quer instalar e execute o instalador.

3. Após a instalação, uma reinicialização é altamente recomendável.

4. Após a reinicialização, na tela de login, escolha um usuário e selecione "Esqueceu a senha?" para iniciar o fluxo de trabalho de redefinição de senha.

5. Conclua o fluxo de trabalho seguindo as etapas na tela para redefinir sua senha.

Instalação silenciosa

O componente SSPR pode ser instalado ou desinstalado sem prompts usando os seguintes comandos:

• Para uma instalação silenciosa, use o comando "msiexec /i SsprWindowsLogon.PROD.msi /qn"
• Para uma desinstalação silenciosa, use o comando "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Solucionar problemas de redefinição de senha do Windows 7, 8 e 8.1

Se você tiver problemas com o uso do SSPR na tela de entrada do Windows, os eventos serão registrados no computador e no Microsoft Entra ID. Os eventos do Microsoft Entra incluem informações sobre o endereço IP e ClientType em que ocorreu a redefinição de senha, conforme mostrado na seguinte saída de exemplo:

Se for necessário outro registro em log, uma chave do Registro no computador poderá ser alterada para habilitar o registro em log detalhado. Habilite o log detalhado para fins de solução de problemas usando apenas o seguinte valor de chave do registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Para habilitar o log detalhado, crie um REG_DWORD: "EnableLogging" e o configure como 1.
• Para desabilitar o log detalhado, altere o REG_DWORD: "EnableLogging" para 0.
• Examine o log de depuração no log de eventos do aplicativo em AADPasswordResetCredentialProvider de origem.

O que os usuários veem

Com o SSPR configurado para dispositivos Windows, o que muda para o usuário? Como eles sabem que podem redefinir sua senha na tela de logon? As capturas de tela de exemplo a seguir mostram as opções adicionais para que um usuário redefina sua senha usando SSPR:

Quando os usuários tentarem entrar, eles verão um link Redefinir senha ou Esqueceu a senha que abre a experiência de redefinição de senha self-service na tela de logon. Essa funcionalidade permite aos usuários redefinir a senha sem a necessidade de usar outro dispositivo para acessar um navegador da Web.

Mais informações para usuários sobre como usar esse recurso podem ser encontradas em Redefinir a senha corporativa ou de estudante

Próximas etapas

Para simplificar a experiência de registro do usuário, você pode preencher previamente as informações de contato de autenticação do usuário para SSPR.