Compartilhar via

Como funciona: redefinição de senha de autoatendimento do Microsoft Entra

A redefinição de senha self-service (SSPR) do Microsoft Entra oferece aos usuários a capacidade de alterar ou redefinir suas senhas sem envolvimento de administrador ou do suporte técnico. Se a conta de um usuário estiver bloqueada ou esquecer a senha, ele poderá seguir as solicitações para se desbloquear e voltar ao trabalho. Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar em seu dispositivo ou aplicativo. Recomendamos este vídeo sobre como habilitar e configurar o SSPR na ID do Microsoft Entra.

Importante

Este artigo conceitual explica a um administrador como a redefinição de senha de autoatendimento funciona. Se você for um usuário final já registrado para redefinição de senha por autoatendimento e precisar voltar à sua conta, vá para https://aka.ms/sspr.

Se sua equipe de TI não tiver habilitado a capacidade de redefinir sua própria senha, entre em contato com sua assistência técnica para obter mais assistência.

Como funciona o processo de redefinição de senha?

Um usuário pode redefinir ou alterar sua senha usando o portal SSPR. Eles devem primeiro registrar seus métodos de autenticação desejados. Quando um usuário acessa o portal do SSPR, a plataforma Microsoft Entra considera os seguintes fatores:

  • Como a página deve ser localizada?
  • A conta de usuário é válida?
  • A qual organização o usuário pertence?
  • Onde a senha do usuário é gerenciada?

Quando um usuário seleciona o link Não é possível acessar sua conta de um aplicativo ou página ou vai diretamente para https://aka.ms/sspro idioma usado no portal do SSPR com base nas seguintes opções:

  • Por padrão, a localidade do navegador é usada para exibir a SSPR no idioma apropriado. A experiência de redefinição de senha é localizada nos mesmos idiomas compatíveis com o Microsoft 365.
  • Se você quiser vincular à SSPR em um idioma localizado específico, acrescente ?mkt= ao final da URL de redefinição de senha junto com a localidade necessária.

Depois que o portal SSPR é exibido no idioma necessário, o usuário é solicitado a inserir uma ID de usuário e passar um captcha. A ID do Microsoft Entra agora verifica se o usuário pode usar o SSPR fazendo as seguintes verificações:

  • Verifica se o usuário tem o SSPR habilitado.
    • Se o usuário não estiver habilitado para SSPR, o usuário será solicitado a entrar em contato com o administrador para redefinir a senha.
  • Verifica se o usuário tem os métodos de autenticação corretos definidos em sua conta de acordo com a política de administrador.
    • Se a política exigir apenas um método, verifique se o usuário tem os dados apropriados definidos para pelo menos um dos métodos de autenticação habilitados pela política de administrador.
      • Se os métodos de autenticação não estiverem configurados, o usuário será aconselhado a entrar em contato com o administrador para redefinir a senha.
    • Se a política exigir dois métodos, verifique se o usuário tem os dados apropriados definidos para pelo menos dois dos métodos de autenticação habilitados pela política de administrador.
      • Se os métodos de autenticação não estiverem configurados, o usuário será aconselhado a entrar em contato com o administrador para redefinir a senha.
    • Se uma função de administrador do Azure for atribuída ao usuário, a política de senha forte de duas portas será imposta. Para obter mais informações, confira Diferenças da política de redefinição de senha de administrador.
  • Verifica se a senha do usuário está sendo gerenciada no local, como, por exemplo, se o locatário do Microsoft Entra está usando autenticação de passagem federada ou sincronização de hash de senha:
    • Se o write-back SSPR estiver configurado e a senha do usuário for gerenciada localmente, o usuário poderá continuar a autenticar e redefinir sua senha.
    • Se o write-back da SSPR não estiver implantado e a senha for gerenciada localmente, o usuário deverá entrar em contato com o administrador para redefinir a senha.

Se todas as verificações anteriores forem concluídas com êxito, o usuário será guiado pelo processo para redefinir ou alterar sua senha.

Observação

A SSPR pode enviar notificações por email aos usuários como parte do processo de redefinição de senha. Esses emails são enviados usando o serviço de retransmissão SMTP, que opera em um modo ativo-ativo em várias regiões.

Os serviços de retransmissão SMTP recebem e processam o corpo do email, mas não o armazenam. O corpo do email SSPR que pode conter informações fornecidas pelo cliente não está armazenado nos logs do serviço de retransmissão SMTP. Os logs contêm apenas metadados de protocolo.

Para começar a usar o SSPR, conclua o seguinte tutorial:

Tutorial: Habilitar a redefinição de senha de autoatendimento (SSPR)

Exigir que os usuários se registrem quando entrarem

Você pode habilitar a opção para exigir que um usuário conclua o registro SSPR se ele usar a autenticação moderna ou o navegador da Web para entrar em qualquer aplicativo usando a ID do Microsoft Entra. Esse fluxo de trabalho inclui os seguintes aplicativos:

  • Microsoft 365
  • Centro de administração do Entra Microsoft
  • Painel de acesso
  • Aplicativos federados
  • Aplicativos personalizados usando a ID do Microsoft Entra

Quando o registro não é necessário, os usuários não são solicitados durante o login, mas podem se registrar manualmente. Os usuários podem visitar https://aka.ms/ssprsetup ou selecionar o link Registrar para redefinição de senha na guia Perfil no Painel de Acesso.

Captura de tela do registro de redefinição de senha para a ID do Microsoft Entra.

Observação

Os usuários podem ignorar o portal de registro SSPR selecionando cancelar ou fechando a janela. No entanto, eles são solicitados a se registrar sempre que entrarem até concluirem o registro.

Essa interrupção para se registrar no SSPR não interromperá a conexão do usuário se ele já estiver conectado.

Reconfirmar informações de autenticação

Você pode exigir que os usuários confirmem suas informações de autenticação após um determinado período de tempo. Essa opção só estará disponível se você habilitar a opção Exigir que os usuários se registrem ao entrar .

Valores válidos para solicitar que um usuário confirme se suas informações de autenticação são de 0 a 730 dias. Definir esse valor como 0 significa que os usuários nunca são solicitados a confirmar suas informações de autenticação. Os usuários precisam entrar antes de reconfirmar suas informações.

Observação

Se a SSPR exigir mais de um método de autenticação, um usuário que exclui um método não será obrigado a confirmar suas informações de autenticação até que eles atinjam o número de dias antes que os usuários sejam solicitados a confirmar novamente suas informações de autenticação.

Métodos de autenticação

Quando um usuário está habilitado para SSPR, ele deve registrar pelo menos um método de autenticação. É altamente recomendável que você escolha dois ou mais métodos de autenticação para que os usuários tenham mais flexibilidade caso não consigam acessar um método quando precisarem. Para obter mais informações, consulte O que são métodos de autenticação?.

Os seguintes métodos de autenticação estão disponíveis para SSPR:

  • Notificação de aplicativo móvel
  • Código do aplicativo móvel
  • Token OATH do hardware
  • Token de software OATH
  • Correio eletrônico
  • Telefone celular
  • Telefone do Office (disponível apenas para locatários com assinaturas pagas)
  • Perguntas de segurança

Os usuários só poderão redefinir a senha se registrarem um método de autenticação habilitado pelo administrador.

Aviso

As contas atribuídas às funções de administrador do Azure são necessárias para usar métodos conforme definido na seção Diferenças de política de redefinição do administrador.

Captura de tela da política de métodos de autenticação para a ID do Microsoft Entra.

Número de métodos de autenticação necessários

Você pode configurar o número dos métodos de autenticação disponíveis que um usuário deve fornecer para redefinir ou desbloquear sua senha. Esse valor pode ser definido como um ou dois.

Os usuários devem registrar vários métodos de autenticação para que possam entrar de outra maneira se não conseguirem acessar um método.

Se um usuário não registrar o número mínimo de métodos necessários, ele verá uma página de erro ao tentar usar o SSPR. Eles precisam solicitar que um administrador redefina sua senha. Para obter mais informações, consulte Alterar métodos de autenticação.

Aplicativo móvel e SSPR

Ao usar um aplicativo móvel como um método de redefinição de senha, como o Microsoft Authenticator, as seguintes considerações se aplicam se uma organização não tiver migrado para a política centralizada de métodos de autenticação:

  • Quando os administradores exigem que um método seja usado para redefinir uma senha, o código de verificação é a única opção disponível.
  • Quando os administradores exigem que dois métodos sejam usados para redefinir uma senha, os usuários poderão usar código de notificação ou verificação, além de outros métodos habilitados.
Número de métodos necessários para redefinir Um Dois
Recursos do aplicativo móvel disponíveis Código Código ou notificação

Os usuários podem registrar seu aplicativo móvel em https://aka.ms/mfasetup, ou no registro combinado de informações de segurança em https://aka.ms/setupsecurityinfo.

Importante

O autenticador não pode ser selecionado como o único método de autenticação quando apenas um método é necessário. Da mesma forma, o Authenticator e apenas um método adicional não poderão ser selecionados se você precisar de dois métodos.

Ao configurar políticas de SSPR que incluem o aplicativo Authenticator como um método, pelo menos um método adicional deve ser selecionado quando um método é necessário e pelo menos dois métodos adicionais devem ser selecionados ao configurar dois métodos.

Alterar métodos de autenticação

Se você começar com uma política que tenha apenas um método de autenticação necessário registrado para redefinir ou desbloquear, e você altera para dois métodos, então o que acontece?

Número de métodos registrados Número de métodos necessários Resultado
1 ou mais 1 Capaz de redefinir ou desbloquear
1 2 Incapaz de redefinir ou desbloquear
2 ou mais 2 Capaz de redefinir ou desbloquear

Alterar os métodos de autenticação disponíveis também pode causar problemas para os usuários. Se você alterar quais métodos de autenticação estão disponíveis, os usuários sem a quantidade mínima de dados disponíveis não poderão usar SSPR.

Considere o seguinte exemplo de cenário:

  1. A política original é configurada com dois métodos de autenticação necessários. Usa-se apenas o número de telefone do escritório e as perguntas de segurança.
  2. O administrador altera a política para não usar mais as perguntas de segurança, mas permite o uso de um telefone celular e um email alternativo.
  3. Os usuários sem o telefone celular ou campos de email alternativos preenchidos agora não podem redefinir suas senhas.

Notificações

Para melhorar a conscientização sobre eventos de senha, o SSPR permite configurar notificações para os usuários e administradores de identidade.

Notificar os usuários de redefinições de senha

Se essa opção estiver definida como Sim, os usuários que redefinirem a senha receberão um email informando que a senha foi alterada. O email é enviado por meio do portal SSPR para seus endereços de email primários e alternativos armazenados na ID do Microsoft Entra. Se nenhum endereço de email primário ou alternativo for definido, a SSPR tentará a notificação por email por meio do UPN (Nome de Entidade de Usuário) dos usuários. Ninguém mais é notificado sobre o evento de redefinição.

Notificar todos os administradores quando outros administradores redefinirem suas senhas

Se essa opção estiver definida como Sim, os Administradores Globais receberão um email para seu endereço de email principal armazenado na ID do Microsoft Entra. O email notifica-os de que outro administrador alterou sua senha usando SSPR.

Observação

As notificações por email do serviço SSPR serão enviadas dos seguintes endereços com base na nuvem do Azure com a qual você está trabalhando:

  • Pública: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
  • Microsoft Azure operado pela 21Vianet (Azure na China): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
  • Azure para o governo dos EUA: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us

Se você observar problemas ao receber notificações, verifique as configurações de spam.

Se você quiser que os administradores personalizados recebam os emails de notificação, use personalizações SSPR e configure um link ou email de assistência técnica personalizado.

Integração local

Em um ambiente híbrido, você pode configurar a sincronização de nuvem do Microsoft Entra Connect para gravar eventos de alteração de senha de volta da ID do Microsoft Entra para um diretório local.

Captura de tela do write-back de senha habilitado para o Microsoft Entra ID para uma integração local.

A ID do Microsoft Entra verifica sua conectividade híbrida atual e fornece mensagens no Centro de administração do Microsoft Entra. Para obter ajuda para resolver possíveis erros, consulte Solucionar problemas do Microsoft Entra Connect.

Para começar a usar o write-back do SSPR, conclua o seguinte tutorial:

Tutorial: habilitar write-back da redefinição de senha self-service (SSPR)

Write-back de senhas para o diretório local

Você pode habilitar a reversão de senha usando o Centro de Administração do Microsoft Entra. Você também pode desabilitar temporariamente o write-back de senha sem precisar reconfigurar o Microsoft Entra Connect.

  • Se a opção estiver definida como Sim, o write-back será habilitado. Os usuários da autenticação de passagem federada ou sincronização de hash para a senha poderão redefinir as senhas.
  • Se a opção estiver definida como Não, o write-back será desabilitado. Os usuários da autenticação de passagem federada ou sincronização de hash para a senha não poderão redefinir as senhas.

Permitir que os usuários desbloqueiem contas sem redefinir a senha

Por padrão, o Microsoft Entra ID desbloqueia contas quando ele executa uma redefinição de senha. Para fornecer flexibilidade, você pode optar por permitir que os usuários desbloqueiem suas contas locais sem precisar redefinir a senha. Use essa configuração para separar essas duas operações.

  • Se definido como Sim, os usuários receberão a opção de redefinir sua senha e desbloquear a conta ou desbloquear sua conta sem precisar redefinir a senha.
  • Se definido como Não, os usuários só poderão executar uma operação combinada de redefinição de senha e desbloqueio de conta.

Filtros de senha do Active Directory local

A SSPR executa o equivalente a uma redefinição de senha iniciada pelo administrador no Active Directory. Se você usar um filtro de senha de terceiros para impor regras de senha personalizadas e exigir que esse filtro de senha seja verificado durante a redefinição de senha de autoatendimento do Microsoft Entra, verifique se a solução de filtro de senha de terceiros está configurada para aplicar no cenário de redefinição de senha do administrador. A proteção de senha do Microsoft Entra para os Serviços de Domínio Active Directory é suportada por padrão.

Redefinição de senha para usuários B2B

A redefinição e a alteração de senha têm suporte total em todas as configurações de B2B (negócios para empresas). Há suporte para redefinição de senha de usuário B2B nos três casos a seguir:

  • Usuários de uma organização parceira com um locatário existente do Microsoft Entra: se seu parceiro tiver um locatário do Microsoft Entra, respeitaremos quaisquer políticas de redefinição de senha habilitadas nesse locatário. Para que a redefinição de senha funcione, a organização parceira precisa apenas garantir que o Microsoft Entra SSPR esteja habilitado. Não há outra cobrança para clientes do Microsoft 365.
  • Usuários que se inscrevem por meio de inscrição de autoatendimento: se seu parceiro usou o recurso de inscrição de autoatendimento para entrar em um locatário, permitimos que eles redefinam a senha com o email que registraram.
  • Usuários B2B: todos os novos usuários B2B criados usando os novos recursos do Microsoft Entra B2B também podem redefinir suas senhas com o email que registraram durante o processo de convite.

Para testar esse cenário, vá para https://passwordreset.microsoftonline.com com um desses usuários parceiros. Se o usuário definiu um email alternativo ou um email de autenticação, a redefinição de senha funcionará conforme o esperado.

Observação

As contas da Microsoft que recebem acesso de convidado ao seu locatário do Microsoft Entra, como as de Hotmail.com, Outlook.com ou outros endereços de email pessoais, não podem usar o Microsoft Entra SSPR. Para obter mais informações, consulte Quando você não pode entrar em sua conta da Microsoft.

Próximas etapas

Para começar a usar o SSPR, conclua o seguinte tutorial:

Tutorial: Habilitar a redefinição de senha de autoatendimento (SSPR)