Tutorial: Permitir que os usuários desbloqueiem sua conta ou redefinam senhas usando a redefinição de senha por autoatendimento do Microsoft Azure Active Directory

A SSPR (redefinição de senha por autoatendimento) do Microsoft Azure AD (Active Directory) dá aos usuários a capacidade de alterar ou redefinir a senha, sem envolvimento do administrador ou do suporte técnico. Se a conta de um usuário for bloqueada pelo Azure AD ou se ele esquecer a senha, ele poderá seguir os avisos para desbloquear a si mesmo e voltar ao trabalho. Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar no dispositivo ou em um aplicativo. Recomendamos este vídeo sobre como habilitar e configurar o SSPR no Azure AD. Também temos um vídeo para os administradores de TI sobre como resolver as seis mensagens de erro mais comuns do usuário final com a SSPR.

Importante

Este tutorial mostra a um administrador como habilitar a redefinição de senha por autoatendimento. Se você for um usuário final já registrado para redefinição de senha por autoatendimento e precisar voltar à sua conta, vá para a página Redefinição de senha do Microsoft Online.

Se sua equipe de TI não tiver habilitado a capacidade de redefinir sua própria senha, entre em contato com sua assistência técnica para obter mais assistência.

Neste tutorial, você aprenderá a:

• Habilitar a redefinição de senha por autoatendimento para um grupo de usuários do Azure AD
• Configurar métodos de autenticação e opções de registro
• Testar o processo SSPR como um usuário

Importante

Em março de 2023, anunciamos a substituição do gerenciamento de métodos de autenticação nas políticas de MFA (autenticação multifator) herdada e SSPR (redefinição de senha self-service). A partir de 30 de setembro de 2024, os métodos de autenticação não podem ser gerenciados nessas políticas herdadas de MFA e SSPR. Recomendamos que os clientes usem o controle de migração manual para migrar para a política de métodos de autenticação até a data de substituição.

Tutorial em vídeo

Acompanhe também um vídeo relacionado: Como habilitar e configurar a SSPR no Azure AD.

Pré-requisitos

Para concluir este tutorial, você precisará dos seguintes recursos e privilégios:

• Um locatário do Azure AD em funcionamento com pelo menos uma licença de avaliação ou gratuita do Azure AD habilitada. Na camada Gratuita, o SSPR funciona apenas para usuários de nuvem no Azure AD. Há suporte para a alteração de senha na Camada gratuita, ao contrário da redefinição de senha.
  • Para os tutoriais posteriores desta série, uma licença Premium P1 ou de avaliação do Azure AD é necessária para o write-back de senha local.
  • Se necessário, crie uma conta do Azure gratuitamente.
• Uma conta com privilégios de Administrador Global ou Administrador de Políticas de Autenticação.
• Um usuário que não seja administrador com uma senha que você conheça, como testuser. Você testará a experiência de SSPR do usuário final usando essa conta neste tutorial.
  • Se você precisar criar um usuário, confira Início rápido: Adicionar novos usuários ao Azure Active Directory.
• Um grupo do qual o usuário não administrador seja membro, como SSPR-Test-Group. Você habilitará a SSPR para esse grupo neste tutorial.
  • Se você precisar criar um grupo, confira Criar um grupo básico e adicionar membros usando o Azure Active Directory.

Habilitar a redefinição de senha por autoatendimento

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

O Azure AD permite que você habilite a SSPR para Nenhum usuário, usuários Selecionados ou Todos os usuários. Com essa capacidade granular, você pode escolher um subconjunto de usuários para testar o processo de registro e o fluxo de trabalho de SSPR. Quando você estiver familiarizado com o processo e puder comunicar os requisitos com um conjunto mais amplo de usuários, poderá selecionar um grupo de usuários para habilitar para SSPR. Ou, você pode habilitar a SSPR para todos no locatário do Azure AD.

Observação

No momento, você só pode habilitar um grupo do Azure AD para SSPR usando o centro de administração do Microsoft Entra. Como parte de uma implantação mais ampla da SSPR, o Azure AD dá suporte para grupos aninhados.

Neste tutorial, configure a SSPR para um conjunto de usuários em um grupo de teste. Use o SSPR-Test-Group e forneça seu próprio grupo do Azure AD, conforme necessário:

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.

2. Navegue até Proteção>Redefiniçãon desenha no menu à esquerda.

3. Na página Propriedades, na opção Redefinição da senha de autoatendimento habilitada, escolha Selecionado.

4. Se o grupo não estiver visível, escolha Não há grupos selecionados, procure e selecione seu grupo do Azure AD, como SSPR-Test-Groupe escolha selecionar.

   

5. Para habilitar a SSPR para os usuários selecionados, selecione Salvar.

Selecionar métodos de autenticação e opções de registro

Quando os usuários precisam desbloquear a conta ou redefinir a senha, eles precisam fornecer um método de confirmação adicional. Esse fator de autenticação extra garante que o Azure AD concluiu apenas eventos SSPR aprovados. Você pode escolher quais métodos de autenticação permitir, com base nas informações de registro que o usuário fornece.

1. Na página Métodos de autenticação do menu no lado esquerdo, defina o Número de métodos necessários para redefinir para 2.

   Para aprimorar a segurança, você pode aumentar o número de métodos de autenticação necessários para a SSPR.

2. Escolha os Métodos disponíveis para os usuários que sua organização deseja habilitar. Para este tutorial, marque as caixas para habilitar os seguintes métodos:

   • Notificação de aplicativo móvel
   • Código do aplicativo móvel
   • Email
   • Celular

   É possível habilitar métodos de autenticação adicionais, como Telefone comercial ou Perguntas de segurança, conforme necessário, para atender às suas necessidades empresariais.

3. Para aplicar os métodos de autenticação, selecione Salvar.

Antes que os usuários possam desbloquear sua conta ou redefinir uma senha, eles precisam registrar as informações de contato. O Azure AD usa essas informações de contato para os diferentes métodos de autenticação configurados nas etapas anteriores.

Um administrador pode fornecer manualmente essas informações de contato ou os usuários podem acessar um portal de registro para fornecer as informações por conta própria. Neste tutorial, configure o Azure AD para solicitar aos usuários o registro na próxima vez que entrarem.

1. Na página Registro do menu no lado esquerdo, selecione Sim para Exigir que os usuários se registrem ao entrar.

2. Defina Número de dias antes que os usuários precisem reconfirmar suas informações de autenticação como 180.

   É importante manter as informações de contato atualizadas. Se as informações de contato estiverem desatualizadas quando um evento de SSPR for iniciado, talvez o usuário não consiga desbloquear a conta ou redefinir a senha.

3. Para aplicar as configurações de registro, selecione Salvar.

Observação

A interrupção da solicitação de registro de informações de contato durante a entrada só ocorrerá se as condições definidas nas configurações forem atendidas e só se aplicará a usuários e contas de administrador habilitados para redefinir senhas usando a redefinição de senha de autoatendimento do Azure Active Directory.

Configurar notificações e personalizações

Para manter os usuários informados sobre a atividade da conta, você pode configurar o Azure AD para enviar notificações por email quando ocorrer um evento de SSPR. Essas notificações podem abranger contas de usuário e contas de administrador comuns. Para contas de administrador, essa notificação fornece uma camada adicional de reconhecimento quando uma senha de conta de administrador com privilégios é redefinida usando a SSPR. O Azure AD notificará todos os administradores globais quando alguém usar a SSPR em uma conta do administrador.

1. No menu no lado esquerdo da página Notificações, configure as seguintes opções:

   • Defina a opção Notificar os usuários sobre as redefinições de senha? como Sim.
   • Defina Notificar todos os administradores quando outros administradores redefinirem suas próprias senhas? como Sim.

2. Para aplicar as preferências de notificação, selecione Salvar.

Se os usuários precisarem de ajuda adicional com o processo de SSPR, você poderá personalizar o link para "Entre em contato com seu administrador". O usuário pode selecionar esse link no processo de registro de SSPR e quando desbloquear conta ou redefinir a senha. Para garantir que os usuários obtenham o suporte necessário, recomendamos que você forneça um email ou URL de assistência técnica personalizada.

1. Na página Personalização do menu no lado esquerdo, defina Personalizar link de assistência técnica como Sim.
2. No campo Email ou URL de assistência técnica personalizados, forneça o endereço de email ou a URL da página da Web em que os usuários possam obter mais ajuda de sua organização, como https://support.contoso.com/
3. Para aplicar o link personalizado, selecione Salvar.

Testar redefinição de senha de autoatendimento

Com a SSPR habilitada e configurada, teste o processo de SSPR com um usuário que faça parte do grupo selecionado na seção anterior, como Test-SSPR-Group. O exemplo a seguir usa a conta testuser. Forneça sua própria conta de usuário. Ela deve fazer parte do grupo que você habilitou para SSPR na primeira seção deste tutorial.

Observação

Ao testar a redefinição de senha por autoatendimento, use uma conta que não seja de administrador. Por padrão, o Azure AD habilita a redefinição de senha por autoatendimento para administradores. Eles devem usar dois métodos de autenticação para redefinir a própria senha. Para obter mais informações, confira Diferenças da política de redefinição de senha de administrador.

1. Para ver o processo de registro manual, abra uma nova janela do navegador no modo InPrivate ou incógnito e navegue até https://aka.ms/ssprsetup. O Azure AD direcionará os usuários para este portal de registro quando eles entrarem na próxima vez.

2. Entre com um usuário de teste que não seja administrador, como testuser, e registre as informações de contato dos seus métodos de autenticação.

3. Uma vez concluído, selecione o botão marcado Parece bom e feche a janela do navegador.

4. Abra uma nova janela do navegador no modo InPrivate ou incógnito e navegue até https://aka.ms/sspr.

5. Insira as informações da conta dos usuários de teste que não são administradores, como testuser, os caracteres do CAPTCHA e, em seguida, selecione Avançar.

   

6. Siga as etapas de verificação para redefinir sua senha. Quando terminar, você receberá uma notificação por email informando que sua senha foi redefinida.

Limpar os recursos

Em um tutorial posterior desta série, você vai configurar o write-back de senha. Esse recurso grava as alterações de senha da SSPR do Azure AD de volta em um ambiente do AD local. Se você quiser continuar com esta série de tutoriais para configurar o write-back de senha, não desabilite a SSPR agora.

Se não desejar mais usar a funcionalidade de SSPR configurada como parte deste tutorial, defina o status de SSPR como Nenhum usando as seguintes etapas:

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
2. Navegue até Proteção>Redefinição de senha.
3. Na página Propriedades, na opção Redefinição de senha por autoatendimento habilitada, escolha Nenhum.
4. Para aplicar a alteração de SSPR, selecione Salvar.

Perguntas frequentes

Esta seção explica perguntas comuns de administradores e usuários finais que experimentam o SSPR:

• Por que as políticas de senha locais não são exibidas durante a SSPR?

  No momento, o Azure AD Connect e a sincronização de nuvem não dão suporte ao compartilhamento de detalhes da política de senha com a nuvem. A SSPR exibe apenas os detalhes da política de senha de nuvem e não pode mostrar políticas locais.

• Por que usuários federados esperam até dois minutos após verem Sua senha foi redefinida até que possam usar senhas sincronizadas do local?

  Para usuários federados cujas senhas são sincronizadas, a origem da autoridade das senhas é local. Como resultado, o SSPR atualiza apenas as senhas locais. A sincronização de hash de senha com o Azure AD está agendada para ocorrer a cada dois minutos.

• Quando um usuário recém-criado que foi pré-populado com os dados do SSPR, como telefone e email, visita a página de registro do SSPR, Não perca o acesso à sua conta!como o título da página. Por que outros usuários que têm dados do SSPR pré-populados não veem a mensagem?

  Um usuário que vê Não perca o acesso à sua conta! é membro de grupos de registro de SSPR/combinado que estão configurados para o locatário. Usuários que não veem Não perca o acesso à sua conta! não faziam parte dos grupos de registro combinados/SSPR.

• Quando alguns usuários passam pelo processo de SSPR e redefinem sua senha, por que eles não veem o indicador de força de senha?

  Os usuários que não veem a força de senha fraca/forte têm o write-back de senha sincronizado habilitado. Como o SSPR não pode determinar a política de senha do ambiente local do cliente, ele não pode validar a força ou a fraqueza da senha.

Próximas etapas

Neste tutorial, você habilitou a redefinição de senha por autoatendimento do Azure AD para um grupo de usuários selecionados. Você aprendeu a:

• Habilitar a redefinição de senha por autoatendimento para um grupo de usuários do Azure AD
• Configurar métodos de autenticação e opções de registro
• Testar o processo SSPR como um usuário

Habilitar a Autenticação Multifator do Azure AD