Tutorial: Permitir que os usuários desbloqueiem suas contas ou redefinam senhas usando a redefinição de senha self-service do Microsoft Entra

A redefinição de senha self-service (SSPR) do Microsoft Entra oferece aos usuários a capacidade de alterar ou redefinir suas senhas sem envolvimento de administrador ou do suporte técnico. Se o Microsoft Entra ID bloquear a conta de um usuário ou este esquecer sua senha, ele poderá seguir as instruções para desbloquear sua própria conta e voltar ao trabalho. Essa capacidade reduz as chamadas ao suporte técnico e a perda de produtividade quando um usuário não conseguir entrar no seu dispositivo ou em um aplicativo. Recomendamos este vídeo sobre como habilitar e configurar o SSPR na ID do Microsoft Entra. Também temos um vídeo para administradores de TI sobre como resolver as seis mensagens de erro mais comuns do usuário final com SSPR.

Importante

Este tutorial mostra a um administrador como habilitar a redefinição de senha self-service. Se você já for um usuário final registrado para redefinição de senha de autoatendimento e precisar voltar para sua conta, vá para a página de redefinição de senha do Microsoft Online .

Se a sua equipe de TI não tiver habilitado a capacidade de redefinir sua própria senha, entre em contato com o suporte técnico para obter mais assistência.

Neste tutorial, você vai aprender a:

• Habilitar a redefinição de senha self-service para um grupo de usuários do Microsoft Entra
• Configurar métodos de autenticação e opções de inscrição
• Testar o processo de SSPR como usuário

Importante

Em março de 2023, anunciamos que os métodos de gerenciamento de autenticação nas políticas herdadas de autenticação multifator e políticas de redefinição de senha self-service (SSPR) seriam preteridos. A partir de 30 de setembro de 2025, os métodos de autenticação não poderão mais ser gerenciados nessas políticas herdadas de MFA e SSPR. Recomendamos que os clientes usem o controle de migração manual para migrar para a política de métodos de Autenticação antes da data da descontinuação.

Tutorial em vídeo

Você também pode acompanhar em um vídeo relacionado: Como habilitar e configurar o SSPR no Microsoft Entra ID.

Pré-requisitos

Para concluir este tutorial, você vai precisar dos seguintes recursos e privilégios:

• Um locatário funcional do Microsoft Entra com pelo menos uma licença do Microsoft Entra ID P1 é necessário para a redefinição da senha. Para obter mais informações sobre os requisitos de licença para alteração de senha e redefinição de senha na ID do Microsoft Entra, consulte os requisitos de licenciamento para redefinição de senha de autoatendimento do Microsoft Entra.
• Uma conta com pelo menos a função de Administrador de Política de Autenticação.
• Um usuário não administrador com uma senha que você conhece, como o testador. Você vai testar a experiência de SSPR do usuário final usando essa conta neste tutorial.
  • Se você precisar criar um usuário, consulte Início Rápido: Adicionar novos usuários à ID do Microsoft Entra.
• Um grupo do qual o usuário não administrador é membro, gosta de SSPR-Test-Group. Você vai habilitar a SSPR para esse grupo neste tutorial.
  • Se você precisar criar um grupo, consulte Criar um grupo básico e adicionar membros usando a ID do Microsoft Entra.

Habilitar a redefinição de senha por autoatendimento

A ID do Microsoft Entra permite habilitar o SSPR para Nenhum, Selecionado ou Todos os usuários. Essa capacidade granular permite que você escolha um subconjunto de usuários para testar o processo de inscrição e o fluxo de trabalho da SSPR. Quando estiver familiarizado com o processo e pronto para comunicar os requisitos a um conjunto de usuários mais amplo, você poderá selecionar um grupo de usuários para habilitar a SSPR. Ou, você pode habilitar a SSPR para todos no locatário do Microsoft Entra.

Observação

Atualmente, você só pode habilitar a SSPR para um grupo do Microsoft Entra usando o centro de administração do Microsoft Entra. Como parte de uma implantação da SSPR mais ampla, o Microsoft Entra ID oferece suporte a grupos aninhados.

Neste tutorial, configure a SSPR para um conjunto de usuários em um grupo de teste. Use o SSPR-Test-Group e forneça seu próprio grupo do Microsoft Entra conforme necessário:

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

2. Navegue até Proteção>Redefinição de senha no menu do lado esquerdo.

3. Na página Propriedades , na opção Redefinição de senha de autoatendimento habilitada, escolha Selecionado.

4. Se o grupo não estiver visível, escolha Nenhum grupo selecionado, procure e selecione seu grupo do Microsoft Entra, como SSPR-Test-Group e escolha Selecionar.

   

5. Para habilitar a SSPR para os usuários selecionados, selecione Salvar.

Selecionar métodos de autenticação e opções de inscrição

Quando precisam desbloquear sua conta ou redefinir sua senha, os usuários são solicitados a fornecer um outro método de confirmação. Esse fator de autenticação adicional garante que o Microsoft Entra ID tenha concluído apenas os eventos de SSPR aprovados. Você pode escolher quais métodos de autenticação quer permitir, com base nas informações de inscrição que o usuário fornecer.

1. No menu à esquerda da página Métodos de Autenticação , defina o número de métodos necessários para redefinir como 2.

   Para aprimorar a segurança, você pode aumentar o número de métodos de autenticação necessários para a SSPR.

2. Escolha os métodos disponíveis para os usuários que sua organização deseja permitir. Para este tutorial, marque as caixas para habilitar os seguintes métodos:

   • Notificação do aplicativo móvel
   • Código do aplicativo móvel
   • Email
   • Telefone celular

   Você pode habilitar outros métodos de autenticação, como o telefone do Office ou perguntas de segurança, conforme necessário para atender aos seus requisitos de negócios.

3. Para aplicar os métodos de autenticação, selecione Salvar.

Antes que possam desbloquear sua conta ou redefinir uma senha, os usuários precisam registrar suas informações de contato. O Microsoft Entra ID usa essas informações de contato para os diferentes métodos de autenticação configurados nas etapas anteriores.

Um administrador pode fornecer essas informações de contato manualmente ou os usuários podem acessar um portal de inscrição para fornecer as informações por conta própria. Neste tutorial, configure o Microsoft Entra ID para solicitar a inscrição dos usuários na próxima vez que entrarem.

1. No menu à esquerda da página Registro , selecione Sim para Exigir que os usuários se registrem ao entrar.

2. Defina o número de dias antes que os usuários sejam solicitados a confirmar novamente suas informações de autenticação como 180.

   É importante manter as informações de contato atualizadas. Se houver informações de contato desatualizadas quando um evento SSPR for iniciado, o usuário poderá não conseguir desbloquear sua conta ou redefinir sua senha.

3. Para aplicar as configurações de registro, selecione Salvar.

Observação

A interrupção para registrar informações de contato durante a entrada só ocorrerá se as condições definidas nas configurações forem atendidas. Isso só se aplica a usuários e contas de administrador habilitadas para redefinir senhas usando a redefinição de senha de autoatendimento do Microsoft Entra.

Configurar notificações e personalizações

Para manter os usuários informados sobre a atividade da conta, você pode configurar o Microsoft Entra ID para enviar notificações por email quando um evento de SSPR ocorrer. Essas notificações podem abranger tanto as contas de usuário comuns quanto as contas de administrador. Para as contas de administrador, essa notificação fornece uma camada adicional de conscientização quando uma senha de conta de administrador com privilégios é redefinida usando a SSPR. O Microsoft Entra ID notificará todos os Administradores Globais quando alguém usar a SSPR em uma conta do administrador.

1. No menu à esquerda da página Notificações, configure as seguintes opções:

   • Definir a opção Notificar usuários sobre redefinições de senha? Como Sim.
   • Defina Notificar todos os administradores quando outros administradores redefinirem suas próprias senhas? como Sim.

2. Para aplicar as preferências de notificação, selecione Salvar.

Se os usuários precisarem de mais ajuda com o processo de SSPR, você poderá personalizar o link "Contate seu administrador ". O usuário pode selecionar esse link no processo de inscrição da SSPR e quando desbloquearem sua conta ou redefinirem sua senha. Para garantir que os usuários obtenham o suporte necessário, recomendamos que você forneça um email ou URL de assistência técnica personalizada.

1. No menu à esquerda da página Personalização, defina Personalizar link do helpdesk como Sim.
2. No campo url ou email de assistência técnica personalizado , forneça um endereço de email ou URL de página da Web em que seus usuários possam obter mais ajuda da sua organização, como https://support.contoso.com/
3. Para aplicar o link personalizado, selecione Salvar.

Testar a redefinição de senha de self-service

Com a SSPR habilitada e configurada, teste o processo de SSPR com um usuário que faz parte do grupo selecionado na seção anterior, como Test-SSPR-Group. O exemplo a seguir usa a conta do testuser . Forneça sua própria conta de usuário. Faz parte do grupo que você habilitou para a SSPR na primeira seção deste tutorial.

Observação

Ao testar a redefinição de senha self-service, use uma conta que não seja de administrador. Por padrão, o Microsoft Entra ID habilita a redefinição de senha self-service para os administradores. Estes devem usar dois métodos de autenticação para redefinir sua senha. Para obter mais informações, confira Diferenças da política de redefinição de senha de administrador.

1. Para ver o processo de inscrição manual, abra uma nova janela do navegador no modo InPrivate ou incógnito e navegue até https://aka.ms/ssprsetup. A ID do Microsoft Entra direciona os usuários para este portal de registro quando eles entram na próxima vez.

2. Entre com um usuário de teste que não seja administrador, como testuser, e registre as informações de contato dos seus métodos de autenticação.

3. Depois de concluído, selecione o botão marcado Parece bom e feche a janela do navegador.

4. Abra uma nova janela do navegador no modo InPrivate ou incógnito e navegue até https://aka.ms/sspr.

5. Insira as informações da conta dos usuários de teste não administrador, como o testuser, os caracteres do CAPTCHA e, em seguida, selecione Avançar.

   

6. Siga as etapas de verificação para redefinir sua senha. Quando terminar, você receberá uma notificação por email informando que sua senha foi redefinida.

Limpar os recursos

Em um tutorial posterior nesta série, você configura o write-back de senha. Esse recurso grava as alterações de senha do Microsoft Entra SSPR de volta em um ambiente do AD local. Se quiser continuar com essa série de tutoriais para configurar o write-back da senha, não desabilite a SSPR agora.

Se você não quiser mais usar a funcionalidade SSPR configurada como parte deste tutorial, defina o status SSPR como Nenhum usando as seguintes etapas:

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
2. Navegue até Entra ID>Redefinição de Senha.
3. Na página Propriedades , na opção Redefinição de senha de autoatendimento habilitada, selecione Nenhum.
4. Para aplicar a alteração de SSPR, selecione Salvar.

Perguntas frequentes

Esta seção responde às perguntas comuns de administradores e usuários finais que experimentam a SSPR:

• Por que as políticas de senha locais não são exibidas durante a SSPR?

  No momento, o Microsoft Entra Connect e a sincronização na nuvem não oferecem suporte ao compartilhamento de detalhes da política de senhas com a nuvem. A SSPR mostra apenas os detalhes da política de senha na nuvem e não pode mostrar políticas locais.

• Por que os usuários federados esperam até 2 minutos depois de verem que sua senha foi redefinida antes de poderem usar senhas sincronizadas do local?

  Para usuários federados cujas senhas são sincronizadas, a origem da autoridade das senhas é local. Como resultado, a SSPR atualiza apenas as senhas locais. A sincronização do hash de senha de volta para o Microsoft Entra ID é agendada para a cada 2 minutos.

• Quando um usuário recém-criado que é pré-preenchido com dados SSPR, como telefone e email, visita a página de registro SSPR, não perca o acesso à sua conta! aparece como o título da página. Por que outros usuários cujos dados da SSPR foram preenchidos automaticamente não veem essa mensagem?

  Um usuário que vê a mensagem Não perca o acesso à sua conta! é membro de grupos de inscrição de SSPR/combinados que estão configurados para o locatário. Usuários que não veem Não perca acesso à sua conta! não fizeram parte dos grupos de registro SSPR/combinados.

• Quando alguns usuários passam pelo processo de SSPR e redefinem sua senha, por que não veem o indicador de força da senha?

  Os usuários que não veem o indicador de senha forte/fraca têm o write-back de senha sincronizado habilitado. Como a SSPR não pode determinar a política de senha do ambiente local do cliente, ela não pode validar a força ou a fraqueza da senha.

Próximas etapas

Neste tutorial, você habilitou a redefinição de senha self-service do Microsoft Entra para um grupo selecionado de usuários. Você aprendeu a:

• Habilitar a redefinição de senha self-service para um grupo de usuários do Microsoft Entra
• Configurar métodos de autenticação e opções de inscrição
• Testar o processo de SSPR como usuário

Habilitar a autenticação multifator do Microsoft Entra