Planejar a implantação da redefinição de senha self-service do Microsoft Entra
Importante
Este plano de implantação oferece orientações e melhores práticas para implantar a SSPR (redefinição de senha self-service) do Microsoft Entra.
Se você for um usuário final e precisar voltar à sua conta, vá para https://aka.ms/sspr .
A SSPR (redefinição de senha self-service) é um recurso do Microsoft Entra que permite que os usuários redefinam suas senhas sem entrar em contato com a equipe de TI para obter ajuda. Os usuários podem rapidamente se desbloquear e continuar trabalhando independentemente de onde estiverem ou da hora do dia. Ao permitir que os funcionários se desbloqueiem, sua organização pode reduzir o tempo não produtivo e os altos custos de suporte para os problemas mais comuns relacionados a senhas.
O SSPR tem os seguintes recursos principais:
- O self-service permite que os usuários finais redefinam suas senhas expiradas ou não expiradas sem entrar em contato com um administrador ou uma assistência técnica para obter suporte.
- O Write-back de senha permite o gerenciamento de senhas locais e a resolução de bloqueio de conta por meio da nuvem.
- Os relatórios de atividade de gerenciamento de senha fornecem aos administradores percepções sobre as atividades de registro e de redefinição de senha que ocorrem em suas organizações.
Este guia de implantação mostra como planejar e testar uma distribuição SSPR.
Para ver rapidamente o SSPR em ação e voltar para entender as considerações adicionais de implantação:
Dica
Como acompanhante deste artigo, recomendamos o uso do Guia de implantação do Planejamento de sua redefinição de senha self-service quando conectado ao Centro de administração do Microsoft 365. Este guia irá personalizar sua experiência com base em seu ambiente. Para revisar as melhores práticas sem entrar no aplicativo e ativar os recursos de instalação automatizada, acesse o portal de Instalação do M365.
Saiba mais sobre o SSPR
Saiba mais sobre o SSPR. Confira Como funciona: redefinição de senha self-service do Microsoft Entra.
Principais benefícios
Os principais benefícios da habilitação de SSPR são:
Gerenciamento de custo. O SSPR reduz os custos de suporte de TI, permitindo que os usuários redefinam senhas por conta própria. Ele também reduz o custo do tempo perdido devido a senhas perdidas e bloqueios.
Experiência do usuário intuitiva. Ele fornece um processo de registro de usuário único intuitivo que permite que os usuários redefinam senhas e desbloqueiem contas sob demanda de qualquer dispositivo ou local. O SSPR permite que os usuários voltem ao trabalho com mais rapidez e sejam mais produtivos.
Flexibilidade e segurança. O SSPR permite que as empresas acessem a segurança e a flexibilidade que uma plataforma de nuvem fornece. Os administradores podem alterar as configurações para acomodar novos requisitos de segurança e reverter essas alterações para os usuários sem interromper sua entrada.
Auditoria e rastreamento de uso robustos. Uma organização pode garantir que os sistemas de negócios permaneçam seguros enquanto seus usuários redefinem suas próprias senhas. Os logs de auditoria robustos incluem informações de cada etapa do processo de redefinição de senha. Esses logs estão disponíveis a partir de uma API e permitem que o usuário importe os dados para um sistema de escolha do SIEM (monitoramento de eventos e incidentes de segurança).
Licenciamento
O Microsoft Entra ID é licenciado por usuário, o que significa que cada usuário requer uma licença apropriada para os recursos que ele usa. Recomendamos o licenciamento baseado em grupo para SSPR.
Para comparar edições e recursos e habilitar o licenciamento baseado em grupo ou usuário, confira Requisitos de licenciamento para redefinição de senha self-service do Microsoft Entra.
Para obter informações sobre os preços, confira preços do Microsoft Entra.
Pré-requisitos
Um locatário de trabalho do Microsoft Entra com pelo menos uma licença de avaliação habilitada. Se necessário, crie um gratuitamente.
-
Um Administrador Global é necessário para gerenciar esse recurso.
Passo a passo guiado
Para obter um passo a passo guiado de muitas das recomendações neste artigo, consulte o guia Planejar sua implantação de redefinição de senha self-service quando estiver logado no Centro de administração do Microsoft 365. Para revisar as melhores práticas sem entrar no aplicativo e ativar os recursos de instalação automatizada, acesse o portal de Instalação do M365.
Recursos de treinamento
Arquitetura da solução
O exemplo a seguir descreve a arquitetura da solução de redefinição de senha para ambientes híbridos comuns.
Descrição do fluxo de trabalho
Para redefinir a senha, os usuários acessam o portal de redefinição de senha. Eles devem verificar o método ou métodos de autenticação registrados anteriormente para provar sua identidade. Se redefinirem a senha com êxito, eles iniciarão o processo de redefinição.
Para usuários somente de nuvem, o SSPR armazena a nova senha no Microsoft Entra ID.
Para usuários híbridos, o SSPR grava novamente a senha para o Active Directory local por meio do serviço Microsoft Entra Connect.
Observação: para usuários que têm a PHS (sincronização de hash de senha) desabilitada, o SSPR armazena as senhas somente no Active Directory local.
Melhores práticas
É possível ajudar os usuários a se registrarem rapidamente implantando o SSPR com outro aplicativo ou serviço popular na organização. Essa ação vai gerar um grande volume de entradas e orientar o registro.
Antes de implantar o SSPR, você pode optar por determinar o número e o custo médio de cada chamada de redefinição de senha. É possível usar esses dados após a implantação para mostrar o valor que o SSPR está trazendo para a organização.
Registro combinado para SSPR e autenticação multifator do Microsoft Entra
A SSPR permite que os usuários redefinam a senha de maneira segura usando os mesmos métodos da autenticação multifator do Microsoft Entra. Registro combinado é uma única etapa de registro para usuários finais que permite o registro de métodos MFA e SSPR ao mesmo tempo. Para que você realmente reconheça a funcionalidade e a experiência do usuário final, confira os Conceitos de registro combinado de informações de segurança.
É essencial informar os usuários sobre alterações futuras, requisitos de registro e ações de usuário necessárias. Oferecemos modelos de comunicação e documentação do usuário para preparar os usuários para a nova experiência e garantir o sucesso da distribuição. Envie os usuários para https://myprofile.microsoft.com para registrar ao selecionar o link Informações de Segurança nessa página.
Planejar o projeto de implantação
Considere suas necessidades organizacionais enquanto determina a estratégia para essa implantação em seu ambiente.
Envolva os participantes certos
Quando os projetos de tecnologia falham, eles normalmente fazem isso devido a expectativas incompatíveis com o impacto, os resultados e as responsabilidades. Para evitar essas armadilhas, verifique se você está participando dos stakeholders certos e que as funções de stakeholder no projeto sejam bem compreendidas ao documentar os stakeholders, a entrada e as responsabilidades no projeto.
Funções de administrador necessárias
| Função corporativa/persona | Função do Microsoft Entra (se necessário) |
|---|---|
| Assistência técnica nível 1 | Administrador de senhas |
| Assistência técnica nível 2 | Administrador de usuários |
| Administrador do SSPR | Administrador de autenticação |
Planejar um piloto
Recomendamos que a configuração inicial do SSPR esteja em um ambiente de teste. Comece com um grupo piloto habilitando o SSPR para um subconjunto de usuários em sua organização. Consulte Melhores práticas para obter um piloto.
Para criar um grupo, consulte como criar um grupo e adicionar membros no Microsoft Entra.
Planejar a configuração
As configurações a seguir são necessárias para habilitar o SSPR com os valores recomendados.
| Área | Configuração | Valor |
|---|---|---|
| Propriedades de SSPR | Redefinição de senha self-service habilitada | Grupo selecionado para o piloto/Todos para produção |
| Métodos de autenticação | Métodos de autenticação necessários para registro | Sempre 1 a mais do que o necessário para redefinir |
| Métodos de autenticação necessários para redefinir | Um ou dois | |
| Registro | Exigir que os usuários se registrem ao entrar | Sim |
| Número de dias antes que os usuários precisem reconfirmar suas informações de autenticação | 90 – 180 dias | |
| Notificações | Notificar os usuários sobre redefinições de senha | Sim |
| Notificar todos os administradores quando outros administradores redefinirem suas próprias senhas | Sim | |
| Personalização | Personalizar link de assistência técnica | Sim |
| URL ou email de assistência técnica personalizado | Site de suporte ou endereço de email | |
| Integração local | Write-back de senhas para o AD local | Sim |
| Permitir que os usuários desbloqueiem a conta sem redefinir a senha | Sim |
Propriedades de SSPR
Ao habilitar o SSPR, escolha um grupo de segurança apropriado no ambiente piloto.
- Para impor o registro SSPR para todos, é recomendável usar a opção Todos.
- Caso contrário, selecione o grupo de segurança do Microsoft Entra ID ou do AD apropriado.
Métodos de autenticação
Quando o SSPR estiver habilitado, os usuários só poderão redefinir sua senha se tiverem dados presentes nos métodos de autenticação que o administrador tiver habilitado. Os métodos incluem telefone, notificação do aplicativo Authenticator, perguntas de segurança, e assim por diante. Para obter mais informações, consulte O que são métodos de autenticação?.
Recomendamos as seguintes configurações do método de autenticação:
Defina os Métodos de autenticação necessários para registro em pelo menos um a mais do que o número necessário para a redefinição. Permitir várias autenticações dá aos usuários flexibilidade quando eles precisam ser redefinidos.
Defina o Número de métodos necessários para redefinir como um nível apropriado para sua organização. Um deles requer o menor conflito, enquanto dois podem aumentar sua postura de segurança.
Observação: o usuário deve ter os métodos de autenticação configurados em Diretivas e restrições de senha no Microsoft Entra ID.
Configurações de registro
Defina Exigir que os usuários se registrem ao entrar como Sim. Essa configuração exige que os usuários se registrem ao entrar, garantindo que todos os usuários estejam protegidos.
Defina o Número de dias antes que os usuários sejam solicitados a reconfirmar suas informações de autenticação entre 90 e 180 dias, a menos que sua organização tenha uma necessidade comercial para um período menor.
Configurações de notificações
Defina Notificar os usuários sobre redefinições de senha e Notificar todos os administradores quando outros administradores redefinirem suas senhas como Sim. Selecionar Sim em ambos aumenta a segurança, garantindo que os usuários saibam quando sua senha é redefinida. Também garante que todos os administradores saibam quando um administrador altera uma senha. Se os usuários ou administradores receberem uma notificação e eles não tiverem iniciado a alteração, eles poderão relatar imediatamente um possível problema de segurança.
Observação
Notificações por email do serviço SSPR serão enviadas dos seguintes endereços com base na nuvem do Azure com a qual você está trabalhando:
- Público: msonlineservicesteam@microsoft.com
- China: msonlineservicesteam@oe.21vianet.com
- Governo: msonlineservicesteam@azureadnotifications.us
Se você observar problemas ao receber notificações, verifique suas configurações de spam.
Configurações de personalização
É fundamental personalizar o email ou a URL da assistência técnica para garantir que os usuários que tenham problemas possam obter ajuda imediatamente. Defina essa opção como um endereço de email comum da assistência técnica ou página da Web com a qual os usuários estão familiarizados.
Para obter mais informações, consulte Personalizar a funcionalidade do Microsoft Entra para redefinição de senha self-service.
Write-back de senha
O write-back de senha é habilitado com Microsoft Entra Connect e grava redefinições de senha na nuvem de volta para um diretório local existente em tempo real. Para obter mais informações, consulte O que é write-back de senha?
Recomendamos as seguintes configurações:
- Verifique se Write-back de senhas no AD local está definido como Sim.
- Defina Permitir que os usuários desbloqueiem a conta sem redefinir a senha como Sim.
Por padrão, o Microsoft Entra ID desbloqueia contas quando ele executa uma redefinição de senha.
Configuração de senha de administrador
As contas de administrador têm permissões elevadas. Os administradores de domínio ou corporativos locais não podem redefinir suas senhas por meio de SSPR. As contas de administrador local têm as seguintes restrições:
- Só é possível alterar a senha em seu ambiente local.
- Nunca pode usar as perguntas e respostas secretas como um método para redefinir sua senha.
Recomendamos que você não sincronize suas contas de administrador do Active Directory local com o Microsoft Entra ID.
Ambientes com vários sistemas de gerenciamento de identidade
Alguns ambientes têm vários sistemas de gerenciamento de identidade. Os gerenciadores de identidade locais, como Oracle IAM e SiteMinder, exigem sincronização com o AD para senhas. É possível fazer isso usando uma ferramenta como o serviço de notificação de alteração de senha (PCNS) com o MIM (Microsoft Identity Manager). Para encontrar informações sobre esse cenário mais complexo, consulte o artigo Implantar o serviço de notificação de alteração de senha do MIM em um controlador de domínio.
Planejar o teste e suporte
Em cada estágio de sua implantação de grupos piloto iniciais em toda a organização, verifique se os resultados são os esperados.
Planejar o teste
Para garantir que sua implantação funcione conforme o esperado, planeje um conjunto de casos de teste para validar a implementação. Para avaliar os casos de teste, você precisa de um usuário de teste que não seja administrador com uma senha. Se você precisar criar um usuário, consulte Adicionar novos usuários ao Microsoft Entra ID.
A tabela a seguir inclui cenários de teste úteis que você pode usar para documentar os resultados esperados de suas organizações com base em suas políticas.
| Caso de negócios | Resultados esperados |
|---|---|
| O portal do SSPR pode ser acessado de dentro da rede corporativa | Determinado pela sua organização |
| O portal do SSPR pode ser acessado de fora da rede corporativa | Determinado pela sua organização |
| Redefinir a senha do usuário do navegador quando o usuário não estiver habilitado para redefinição de senha | O usuário não consegue acessar o fluxo de redefinição de senha |
| Redefinir a senha de usuário do navegador quando o usuário não tiver se registrado para redefinição de senha | O usuário não consegue acessar o fluxo de redefinição de senha |
| O usuário entra quando imposto para fazer o registro de redefinição de senha | Solicita que o usuário registre informações de segurança |
| O usuário entra quando o registro de redefinição de senha é concluído | Solicita que o usuário registre informações de segurança |
| O portal do SSPR é acessível quando o usuário não tem uma licença | Está acessível |
| Redefinir a senha do usuário da tela de bloqueio do dispositivo ingressado no Microsoft Entra do Windows 10 ou híbrido do Microsoft Entra | O usuário pode redefinir a senha |
| Os dados de registro e de uso do SSPR estão disponíveis para os administradores quase em tempo real | Está disponível por meio de logs de auditoria |
Também é possível consultar Concluir uma reversão do piloto de redefinição de senha self-service do Microsoft Entra. Neste tutorial, você habilitará uma distribuição piloto de SSPR em sua organização e testará usando uma conta que não seja de administrador.
Planejar o suporte
Embora o SSPR normalmente não crie problemas de usuário, é importante preparar a equipe de suporte para lidar com problemas que possam surgir. Para garantir o sucesso da sua equipe de suporte, é possível criar perguntas frequentes com base em perguntas que você recebe de seus usuários. Veja alguns exemplos:
| Cenários | Descrição |
|---|---|
| O usuário não tem nenhum método de autenticação registrado disponível | Um usuário está tentando redefinir sua senha, mas não tem nenhum dos métodos de autenticação que ele registrou disponível (exemplo: ele deixou seu telefone celular em casa e não pode acessar o e-mail) |
| O usuário não está recebendo um texto ou uma chamada em seu escritório ou telefone celular | Um usuário está tentando verificar sua identidade por meio de texto ou chamada, mas não está recebendo um texto/chamada. |
| O usuário não pode acessar o portal de redefinição de senha | Um usuário deseja redefinir sua senha, mas não está habilitado para redefinição de senha e não pode acessar a página para atualizar senhas. |
| O usuário não pode definir uma nova senha | Um usuário conclui a verificação durante o fluxo de redefinição de senha, mas não pode definir uma nova senha. |
| O usuário não vê um link Redefinir Senha em um dispositivo Windows 10 | Um usuário está tentando redefinir a senha da tela de bloqueio do Windows 10, mas o dispositivo não está associado ao Microsoft Entra ID ou a política de dispositivo do Microsoft Intune não está habilitada |
Planejar a reversão
Para reverter a implantação:
Para um único usuário, remova o usuário do grupo de segurança
Para um grupo, remova o grupo da configuração do SSPR
Para todos, habilite o SSPR no locatário do Microsoft Entra
Implantar SSPR
Antes de implantar, verifique se você fez o seguinte:
Determinou as definições de configuração apropriadas.
Identificou usuários e grupos para os ambientes piloto e de produção.
Determinou os parâmetros de configuração para registro e autoatendimento.
Configurou o write-back de senha caso tenha um ambiente híbrido.
Agora você está pronto para implantar o SSPR!
Consulte Habilitar a redefinição de senha self-service para obter instruções passo a passo completas sobre como configurar as seguintes áreas.
Habilitar SSPR no Windows
Para computadores que executam o Windows 7, 8, 8.1 e 10, você pode permitir que os usuários redefinam sua senha na tela de entrada do Windows
Gerenciar SSPR
O Microsoft Entra ID pode fornecer informações adicionais sobre o desempenho do SSPR por meio de auditorias e relatórios.
Relatórios de atividade de gerenciamento de senhas
É possível usar relatórios pré-criados no centro de administração do Microsoft Entra para medir o desempenho do SSPR. Se você estiver licenciado adequadamente, também poderá criar consultas personalizadas. Para obter mais informações, consulte Opções de relatório para gerenciamento de senhas do Microsoft Entra.
Um Administrador Global é necessário para gerenciar esse recurso.
Observação
Você deve optar por esses dados a serem coletados para sua organização. Para optar por participar, você deve visitar a guia Relatórios ou os logs de auditoria no centro de administração do Microsoft Entra pelo menos uma vez. Até lá, os dados não são coletados para sua organização.
Os logs de auditoria para registro e redefinição de senha estão disponíveis por 30 dias. Se a auditoria de segurança dentro de sua empresa exigir maior retenção, os logs precisarão ser exportados e consumidos em uma ferramenta SIEM, como Microsoft Azure Sentinel, Splunk ou ArcSight.
Métodos de autenticação – Uso e insights
O uso e insights permitem que você entenda como os métodos de autenticação para recursos como a autenticação multifator Microsoft Entra e o SSPR, estão trabalhando em sua organização. Essa capacidade de relatório fornece à sua organização os meios para entender quais métodos se registram e como usá-los.
Solucionar problemas
Documentação útil
Como funciona: redefinição de senha self-service do Microsoft Entra?
Personalizar a funcionalidade do Microsoft Entra para redefinição de senha self-service