Habilitar a redefinição de senha self-service do Microsoft Entra na tela de entrada do Windows

Usando a redefinição de senha self-service (SSPR) no Microsoft Entra ID, os usuários podem alterar ou redefinir a senha sem o envolvimento do administrador ou do suporte técnico. Normalmente, os usuários abrem um navegador da Web em outro dispositivo para acessar o portal SSPR. Para aprimorar a experiência em computadores com o Windows 7, 8, 8.1, 10 e 11, você pode permitir que os usuários redefinam a senha na tela de entrada do Windows.

Este artigo mostra administradores como habilitar a SSPR para dispositivos Windows em uma empresa.

Se sua equipe de TI não tiver habilitado o recurso de usar o SSPR do dispositivo Windows ou se você tiver problemas durante a entrada, entre em contato com o suporte técnico para obter assistência adicional.

Limitações gerais

As seguintes limitações se aplicam ao uso do SSPR na tela de entrada do Windows:

• Atualmente não há suporte para a redefinição de senha a partir de uma Área de Trabalho Remota ou de sessões aprimoradas do Hyper-V.

• Alguns provedores de credenciais diferentes da Microsoft são conhecidos por causar problemas com esse recurso.

• Desabilitar o controle de conta de usuário por meio da modificação da chave de registro EnableLUA pode causar problemas.

• Esse recurso não funciona para redes com autenticação de rede 802.1x implantada e a opção Executar imediatamente antes do logon do usuário. Para redes com autenticação de rede 802.1x implantada, recomendamos usar a autenticação de computador para habilitar esse recurso.

• Os computadores ingressados no Microsoft Entra híbrido devem ter a linha de visão de conectividade de rede para um controlador de domínio para usar a nova senha e atualizar as credenciais armazenadas em cache. Os dispositivos devem estar na rede interna da organização ou em uma rede privada virtual com acesso à rede para um controlador de domínio local. Se a SSPR for o único requisito, a linha de conexão de rede com o controlador de domínio não será necessária.

• Se você usar uma imagem, antes de executar sysprep, garanta que o cache da Web esteja limpo para o administrador interno antes de executar a etapa CopyProfile. Para obter mais informações, consulte Desempenho ruim ao usar o perfil de usuário padrão personalizado.

• As configurações a seguir são conhecidas por interferir na capacidade de usar a redefinição de senhas nos dispositivos com Windows 10:

  • Se as notificações de tela de bloqueio estiverem desativadas, a Redefinição de senha não funcionará.
  • HideFastUserSwitching está definido como Habilitado ou 1.
  • DontDisplayLastUserName está definido como Habilitado ou 1.
  • NoLockScreen está definido como Habilitado ou 1.
  • BlockNonAdminUserInstall está definido como Habilitado ou 1.
  • EnableLostMode está definido no dispositivo.
  • Explorer.exe é substituído por um shell personalizado.
  • Logon interativo: exigir cartão inteligente está definido como Habilitado ou 1.

• A combinação das três configurações específicas a seguir pode fazer com que esse recurso não funcione.

  • Logon interativo: não exigir CTRL+ALT+DEL está definido como Desabilitado (somente para Windows 10 versão 1710 e anterior).
  • DisableLockScreenAppNotifications está definido como Habilitado ou 1.
  • A versão do Windows é a edição Home.

Nota

Essas limitações também se aplicam à redefinição de PIN do Windows Hello para Empresas na tela de bloqueio do dispositivo.

Redefinição de senha do Windows 11 e windows 10

Para configurar um dispositivo Windows 11 ou 10 para SSPR na tela de entrada, analise os pré-requisitos e as etapas de configuração a seguir.

Pré-requisitos do Windows 11 e windows 10

• Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação e habilite a SSPR do Microsoft Entra.
• Os usuários devem se registrar na SSPR antes de usar esse recurso na tela de entrada do Windows.
  • Todos os usuários devem fornecer informações de contato de autenticação antes de redefinir a senha, o que não é exclusivo para usar a SSPR na tela de entrada do Windows.
• Requisitos de proxy de rede:
  • Porta 443 para passwordreset.microsoftonline.com e ajax.aspnetcdn.com.
  • Os dispositivos Windows 10 exigem uma configuração de proxy no nível do computador ou uma configuração de proxy com escopo para a conta temporária defaultuser1 usada para executar a SSPR. Para obter mais informações, consulte a seção Solucionar problemas .
• Execute pelo menos o Windows 10, versão atualização de abril de 2018 (v1803) e os dispositivos devem ser:
  • Ingressado no Microsoft Entra.
  • Ingressado no Microsoft Entra híbrido.

Habilitar para Windows 11 e Windows 10 usando Intune

Implantar a alteração de configuração para habilitar a SSPR da tela de Windows usando o Intune é o método mais flexível. Com o Intune, você pode implantar a alteração de configuração em um grupo específico de computadores definidos. Esse método requer o registro do dispositivo no Intune.

Criar uma política de configuração do dispositivo no Intune

1. Entre no Centro de administração do Microsoft Intune.

2. Crie um novo perfil de configuração do dispositivo acessando Configuração do dispositivo>Perfis e selecionando +Criar perfil:

   • Para Plataforma, escolha Windows 10 e posterior.
   • Para Tipo de perfil, escolha Modelos e selecione o modelo Personalizado.

3. Selecione Criar e forneça um nome significativo para o perfil, como SSPR da tela de entrada do Windows 11.

   Se desejar, forneça uma descrição significativa do perfil e, em seguida, selecione Avançar.

4. Em Definições de configuração, selecione Adicionar e forneça a seguinte configuração de OMA-URI para habilitar o link de redefinição de senha:

   • Insira um nome significativo para explicar o que a configuração está fazendo, como Adicionar link de SSPR.
   • Se desejar, insira uma descrição significativa da configuração.
   • Defina OMA-URI como ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset.
   • Defina Tipo de dados como Inteiro.
   • Defina Valor como 1.

   Selecione Adicionar e selecione Próximo.

5. Você pode atribuir a política a usuários, dispositivos ou grupos específicos. Atribua o perfil desejado para o seu ambiente. A prática recomendada é atribuí-lo a um grupo de teste de dispositivos primeiro e, em seguida, selecionar Avançar.

   Para obter mais informações, consulte Atribuir perfis de usuário e dispositivo no Microsoft Intune.

6. Configure as regras de aplicabilidade que deseja para seu ambiente, como Atribuir o perfil se a edição do sistema operacional for Windows 10 Enterprise e, em seguida, selecione Avançar.

7. Examine o perfil e selecione Criar.

Habilitar para Windows 11 e Windows 10 usando o registro

Para habilitar a SSPR na tela de entrada do Windows usando uma chave de registro, siga estas etapas:

1. Entre no PC do Windows usando credenciais administrativas.

2. Selecione Windows + R para abrir a caixa de diálogo Executar e, em seguida, execute regedit como administrador.

3. Defina a seguinte chave do Registro:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Solucionar problemas de redefinição de senha do Windows 11 e Windows 10

Se você tiver problemas com o uso do SSPR na tela de entrada do Windows, o log de auditoria do Microsoft Entra incluirá informações sobre o endereço IP e o ClientType e que a redefinição de senha ocorreu, conforme mostrado na seguinte saída de exemplo.

Quando os usuários redefinem a senha da tela de entrada de um dispositivo Windows 11 ou 10, uma conta temporária de baixo privilégio chamada defaultuser1 será criada. Essa conta é usada para manter o processo de redefinição de senha seguro.

A própria conta tem uma senha gerada aleatoriamente, que é validada em relação à política de senha de uma organização. A senha não aparece para entrada no dispositivo e é removida automaticamente depois que o usuário redefine a senha. Vários perfis defaultuser podem existir, mas você pode ignorá-los com segurança.

Configurações de proxy para redefinição de senha do Windows

Durante a redefinição de senha, a SSPR cria uma conta de usuário local temporária para se conectar ao https://passwordreset.microsoftonline.com/n/passwordreset. Quando um proxy é configurado para autenticação do usuário, ele pode falhar com o erro "Algo deu errado. Tente novamente mais tarde." Esse erro ocorre porque a conta de usuário local não está autorizada a usar o proxy autenticado.

Nesse caso, adote uma das seguintes soluções alternativas:

• Definir uma configuração de proxy em todo o computador que não dependa do tipo de usuário conectado. Por exemplo, você pode habilitar a Política de Grupo Fazer configurações de proxy por computador (em vez de por usuário) para as estações de trabalho.

• Você também poderá usar configurações de proxy por usuário para SSPR se modificar o modelo de registro para a conta padrão. Os comandos são:

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• O erro "Algo deu errado" também pode ocorrer quando qualquer coisa interrompe a conectividade com o URL https://passwordreset.microsoftonline.com/n/passwordreset. Por exemplo, esse erro pode ocorrer quando o software antivírus é executado na estação de trabalho sem exclusões para os URLs passwordreset.microsoftonline.com, ajax.aspnetcdn.com e ocsp.digicert.com. Desabilite esse software temporariamente para testar se o problema foi resolvido ou não.

Redefinição de senha do Windows 7, 8 e 8.1

Para configurar um dispositivo Windows 7, 8 ou 8.1 para SSPR na tela de entrada do Windows, examine os seguintes pré-requisitos e etapas de configuração.

Pré-requisitos do Windows 7, 8 e 8.1

• Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação e habilite a SSPR do Microsoft Entra.
• Os usuários devem se registrar na SSPR na tela de entrada do Windows antes de usar esse recurso.
  • Todos os usuários devem fornecer informações de contato de autenticação antes de redefinir a senha, o que não é exclusivo para usar a SSPR na tela de entrada do Windows.
• Requisitos de proxy de rede:
  • Porta 443 para passwordreset.microsoftonline.com.
• Sistema operacional Windows 7 ou Windows 8.1 corrigido.
• TLS 1.2 habilitado usando a diretriz encontrada em Configurações de registro do protocolo TLS.
• Se mais de um provedor de credenciais diferente da Microsoft estiver habilitado no computador, os usuários verão mais de um perfil de usuário na tela de entrada do Windows.

Aviso

O TLS 1.2 precisa ser habilitado, e não apenas configurado para negociar automaticamente.

Instale o componente SSPR

Para o Windows 7, 8 e 8,1, um pequeno componente deve ser instalado no computador para habilitar o SSPR na tela de entrada do Windows. Para instalar esse componente SSPR, siga estas etapas:

1. Baixe o instalador correto para a versão do Windows que você quer habilitar.

   O instalador do software está disponível no Centro de Download da Microsoft.

2. Entre no computador em que você quer instalar e execute o instalador.

3. Após a instalação, recomendamos que você execute uma reinicialização.

4. Após a reinicialização, na tela de entrada do Windows, escolha um usuário e selecione Esqueceu a senha? para iniciar o fluxo de trabalho de redefinição de senha.

5. Siga as etapas para redefinir sua senha.

   

Instalação silenciosa

Para instalar ou desinstalar o componente SSPR sem prompts, use os seguintes comandos:

• Instalação silenciosa: use msiexec /i SsprWindowsLogon.PROD.msi /qn.
• Desinstalação silenciosa: use msiexec /x SsprWindowsLogon.PROD.msi /qn.

Solucionar problemas de redefinição de senha do Windows 7, 8 e 8.1

Se você tiver problemas ao usar a SSPR na tela de entrada do Windows, os eventos serão registrados no computador e no Microsoft Entra ID. Os eventos do Microsoft Entra incluem informações sobre o endereço IP e o parâmetro ClientType em que ocorreu a redefinição de senha.

Se for necessário mais registro, altere uma chave de registro no computador para habilitar o registro detalhado. Habilite o log detalhado para fins de solução de problemas usando apenas o seguinte valor de chave do registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Para habilitar o log detalhado, crie REG_DWORD: "EnableLogging" e o configure como 1.
• Para desabilitar o log detalhado, altere REG_DWORD: "EnableLogging" para 0.
• Revise o log de depuração no Log de Eventos do Aplicativo no AADPasswordResetCredentialProvider de origem.

O que os usuários veem?

Com o SSPR configurado para dispositivos Windows, o que muda para o usuário? Como eles sabem que podem redefinir sua senha na tela de entrada? As capturas de tela de exemplo a seguir mostram outras opções para que um usuário redefina a senha usando a SSPR.

Quando os usuários tentam entrar, eles veem um link Redefinir senha ou Esqueci a senha que abre a experiência da SSPR na tela de entrada. Agora os usuários podem redefinir a senha sem precisar usar outro dispositivo para acessar um navegador da Web.

Para obter mais informações sobre como usar esse recurso, consulte Redefinir sua senha corporativa ou de estudante.

Conteúdo relacionado

Para simplificar a experiência de registro do usuário, você pode preencher previamente as informações de contato de autenticação do usuário para SSPR.