Opções de implantação de Autoatendimento de Redefinição de Senha

Importante

Em setembro de 2022, a Microsoft anunciou a reprovação do Servidor de Autenticação Multifator do Azure AD. A partir de 30 de setembro de 2024, as implantações do Servidor de Autenticação Multifator do Azure não atenderão mais às solicitações de MFA (autenticação multifator). Os clientes do Servidor de Autenticação Multifator do Azure devem planejar migrar para, em vez disso, usar provedores de MFA personalizados com MIM SSPR ou Microsoft Entra SSPR em vez do MIM SSPR.

Para novos clientes licenciados para Microsoft Entra ID P1 ou P2, recomendamos usar Microsoft Entra redefinição de senha de autoatendimento para fornecer a experiência do usuário final. Microsoft Entra redefinição de senha de autoatendimento fornece uma experiência integrada à Web e ao Windows para um usuário redefinir sua própria senha e dá suporte a muitos dos mesmos recursos que o MIM, incluindo emails alternativos e portões do Q&A. Ao implantar Microsoft Entra redefinição de senha de autoatendimento, você pode configurar Microsoft Entra Conectar para gravar novamente as novas senhas no AD DS, e o Serviço de Notificação de Alteração de Senha do MIM pode ser usado para encaminhar as senhas para outros sistemas, como o servidor de diretório de outro fornecedor. A implantação do MIM para gerenciamento de senhas não exige que o Serviço MIM ou os portais de registro ou de autoatendimento de redefinição de senha estejam implantados. Em vez disso, você pode seguir estas etapas:

• Primeiro, se você precisar enviar senhas para diretórios diferentes de Microsoft Entra ID e AD DS, implante a Sincronização do MIM com conectores para Active Directory Domain Services e quaisquer sistemas de destino adicionais, configure o MIM para gerenciamento de senha e implante o Serviço de Notificação de Alteração de Senha.
• Em seguida, se você precisar enviar senhas para diretórios diferentes de Microsoft Entra ID, configure Microsoft Entra Connect para gravar de volta as novas senhas no AD DS.
• Opcionalmente, faça o pré-registro de usuários.
• Por fim, implemente Microsoft Entra redefinição de senha de autoatendimento para os usuários finais.

Para clientes existentes que haviam implantado anteriormente o FORefront Identity Manager (FIM) para redefinição de senha de autoatendimento e são licenciados para Microsoft Entra ID P1 ou P2, recomendamos planejar a transição para Microsoft Entra redefinição de senha de autoatendimento. Você pode fazer a transição dos usuários finais para Microsoft Entra redefinição de senha de autoatendimento sem precisar que eles se registrem novamente, sincronizando ou definindo por meio do PowerShell o endereço de email alternativo ou o número de telefone celular de um usuário. Depois que os usuários forem registrados para Microsoft Entra redefinição de senha de autoatendimento, o portal de redefinição de senha do FIM poderá ser desativado.

Para clientes, que ainda não implantaram Microsoft Entra redefinição de senha de autoatendimento para seus usuários, o MIM também fornece portais de redefinição de senha de autoatendimento. Quando comparado ao FIM, o MIM 2016 inclui as seguintes alterações:

• O portal de Redefinição de Senha do MIM Self-Service e a tela de logon do Windows permitem que os usuários desbloqueiem suas contas sem alterar suas senhas.

• Um novo portão de autenticação, Portão de Telefone, foi adicionado ao MIM. Isso permite a autenticação do usuário por meio de chamada telefônica por meio do serviço de autenticação multifator Microsoft Entra.

A versão do MIM 2016 é criada até a versão 4.5.26.0 com base no cliente para baixar um SDK que foi preterido, e as implantações existentes devem passar para o uso do SSPR do MIM com um provedor de MFA personalizado ou Microsoft Entra redefinição de senha de autoatendimento. Novas implantações devem usar um provedor de MFA personalizado ou Microsoft Entra redefinição de senha de autoatendimento.

Implantando o MIM Self-Service o Portal de Redefinição de Senha usando um provedor personalizado para autenticação multifator

A seção a seguir descreve como implantar o portal de redefinição de senha de autoatendimento do MIM usando um provedor para autenticação multifator. Essas etapas só são necessárias para clientes que não estão usando Microsoft Entra redefinição de senha de autoatendimento para seus usuários.

Com a MFA, os usuários se autenticam por meio do provedor externo para verificar sua identidade enquanto tentam recuperar o acesso à sua conta e recursos. A autenticação pode ser por meio de SMS ou chamada telefônica. Quanto mais forte for a autenticação, maior será a confiança de que a pessoa que está tentando acessar é realmente o usuário que possui a identidade. Uma vez autenticado, o usuário pode escolher uma nova senha para substituir a antiga.

Pré-requisitos para configurar o desbloqueio da conta de autoatendimento e a redefinição de senha usando o MFA

Esta seção pressupõe que você tenha baixado e concluído a implantação Sincronização do MIM, Serviço MIM e MIM componentes do Portal do MIM do Microsoft Identity Manager 2016, incluindo os seguintes componentes e serviços:

• Um Windows Server 2008 R2 ou posterior foi configurado como servidor do Active Directory, incluindo serviços de domínio do AD e o controlador de domínio com um domínio designado (um “domínio corporativo”)

• Uma política de grupo é definida para o bloqueio de conta

• O Serviço de Sincronização do MIM 2016 é instalado e executado em um servidor ingressado no domínio para o domínio do AD

• O Portal de & de Serviço do MIM 2016, incluindo o Portal de Registro do SSPR e o Portal de Redefinição de SSPR, são instalados e executados em um servidor (pode estar co-localizado com a Sincronização)

• A Sincronização do MIM deve ser configurada para sincronização de identidades do AD-MIM, incluindo:

  • Configurando o ADMA (Agente de Gerenciamento do Active Directory) para conectividade com o AD DS e a capacidade para importar dados de identidade e exportá-los para o Active Directory.

  • Configurando o MIM MA (Agente de Gerenciamento do MIM) para conectividade com o DB (Banco de Dados) de serviço do FIM (Forefront Identity Manager) e a capacidade para importar dados de identidade e exportá-los para o banco de dados do FIM.

  • Configurando as regras de sincronização no Portal do MIM para permitir a sincronização de dados de usuário e facilitar a atividades baseadas em sincronização no Serviço do MIM.

• Suplementos do MIM 2016 & Extensões, incluindo o cliente integrado de logon do Windows SSPR, são implantados no servidor ou em um computador cliente separado.

Se você estiver usando Microsoft Entra autenticação multifator, esse cenário exigirá que você tenha CALs mim para seus usuários, bem como assinatura para Microsoft Entra autenticação multifator.

Preparar o MIM para trabalhar com a MFA

Configure a Sincronização do MIM para dar suporte para redefinição de senha e funcionalidade de desbloqueio de conta. Para obter mais informações, consulte Instalação dos complementos e extensões FIM, Instalação do FIM SSPR, Portões de autenticação de SSPR e Guia de laboratório de teste de SSPR

Configurar a porta de telefone ou o grupo de SMS de senha de uso único

1. Inicie a internet Explorer e navegue até o Portal do MIM, autenticando-se como administrador do MIM e clique em Fluxos de trabalho na barra de navegação à esquerda.

   

2. Marque Fluxo de trabalho AuthN de redefinição de senha.

   

3. Clique na guia Atividades e, em seguida, role para baixo até Adicionar atividade.

4. Selecione Portão do Telefone ou Portão de SMS de Senha Única clique em Selecionar e, em seguida, OK.

   Observação

   Se estiver usando outro provedor que gere a própria senha única, verifique se o campo de comprimento configurado acima tem o mesmo comprimento que o gerado pelo provedor de MFA. Esse comprimento deve ser 6 para o Servidor de Autenticação Multifator do Azure. O Servidor de Autenticação Multifator do Azure também gera seu próprio texto de mensagem para que a mensagem de texto SMS seja ignorada.

Agora, os usuários em sua organização podem se registrar para redefinição de senha. Durante este processo, eles deverão inserir o número de telefone de trabalho e de celular para que o sistema possa ligar para eles (ou enviar mensagens SMS).

Registrar usuários para redefinição de senha

1. Um usuário inicia um navegador da Web e navega até o Portal de registro de redefinição de senha do MIM. (Normalmente, este portal estará configurado com a autenticação do Windows). No portal, eles fornecerão o nome de usuário e a senha novamente para confirmar sua identidade.

   Eles precisam entrar no Portal de Registro de Senha e autenticar-se usando o nome de usuário e a senha.

2. No campo Número de Telefone ou Telefone Celular , eles precisam inserir um código de país, um espaço e o número de telefone e clicar em Avançar.

   

   

Como ele funciona para seus usuários?

Agora que tudo está configurado e em execução, convém saber pelo que os seus usuários terão de passar ao redefinirem suas senhas logo antes das férias e perceberem ao voltar que as esqueceram completamente.

Há duas maneiras de o usuário usar a funcionalidade de redefinir a senha e desbloquear conta: na tela de entrada do Windows ou no portal de autoatendimento.

Ao instalar os Suplementos e Extensões do MIM em um computador ingressado no domínio conectado pela rede organizacional ao Serviço do MIM, os usuários podem recuperar uma senha esquecida na experiência de logon na área de trabalho. As etapas a seguir guiarão você pelo processo.

Redefinição de senha integrada do logon na área de trabalho do Windows

1. Se o usuário inserir a senha errada várias vezes, na tela de entrada, ele terá a opção de clicar em Problemas ao fazer logon? .

   

   Clicar nesse link vai levá-los à tela de redefinição de senha do MIM, na qual eles podem alterar a senha ou desbloquear sua conta.

   

2. O usuário será direcionado para autenticar. Se MFA tiver sido configurado, o usuário receberá uma chamada telefônica.

3. Em segundo plano, o que está acontecendo é que o provedor de MFA, em seguida, faz uma chamada telefônica para o número que o usuário deu quando esse usuário se inscreveu para o serviço.

4. Quando um usuário atende o telefone, ele pode ser solicitado a interagir, por exemplo, para pressionar a tecla pound # no telefone. Então o usuário clica em Avançar no portal.

   Se você configurar outros portões também, o usuário será solicitado a fornecer mais informações nas telas subsequentes.

   Observação

   Se o usuário ficar impaciente e clicar em Avançar antes de pressionar a tecla sustenido #, a autenticação falhará.

5. Após a autenticação bem-sucedida, o usuário terá duas opções: desbloquear sua conta e manter senha atual ou definir uma nova senha.

6. Então o usuário deve digitar uma nova senha duas vezes e a senha será redefinida.

Acesso no portal de autoatendimento

1. Os usuários podem abrir um navegador da Web, navegar até o Portal de Redefinição de Senha, digitar o nome de usuário e clicar em Avançar.

   Se MFA tiver sido configurado, o usuário receberá uma chamada telefônica. Em segundo plano, o que está acontecendo é que Microsoft Entra autenticação multifator, em seguida, faz uma chamada telefônica para o número que o usuário deu quando se inscreveu no serviço.

   Quando um usuário atender o telefone, ele será solicitado a pressionar a tecla de cerquilha (#) no telefone. Então o usuário clica em Avançar no portal.

2. Se você configurar outros portões também, o usuário será solicitado a fornecer mais informações nas telas subsequentes.

   Observação

   Se o usuário ficar impaciente e clicar em Avançar antes de pressionar a tecla sustenido #, a autenticação falhará.

3. O usuário terá que escolher se deseja redefinir sua senha ou desbloquear sua conta. Se eles optarem por desbloquear sua conta, a conta será desbloqueada.

   

4. Após a autenticação bem-sucedida, o usuário receberá duas opções, para manter sua senha atual ou para definir uma nova senha.

5. 

6. Se o usuário optar por redefinir a senha, será necessário digitar uma nova senha duas vezes e clicar em Avançar para alterá-la.