Como funciona: Reposição personalizada de palavra-passe do Microsoft Entra
A redefinição de senha de autoatendimento (SSPR) do Microsoft Entra oferece aos usuários a capacidade de alterar ou redefinir sua senha, sem envolvimento de administrador ou help desk. Se a conta de um utilizador estiver bloqueada ou se se esquecer da palavra-passe, pode seguir as instruções para se desbloquear e voltar ao trabalho. Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar em seu dispositivo ou aplicativo. Recomendamos este vídeo sobre como habilitar e configurar o SSPR no Microsoft Entra ID.
Importante
Este artigo conceitual explica a um administrador como funciona a redefinição de senha de autoatendimento. Se você for um usuário final já registrado para redefinição de senha de autoatendimento e precisar voltar à sua conta, vá para https://aka.ms/sspr.
Se a sua equipa de TI não tiver ativado a capacidade de repor a sua própria palavra-passe, contacte o seu serviço de assistência para obter assistência adicional.
Como funciona o processo de redefinição de senha?
Um usuário pode redefinir ou alterar sua senha usando o portal SSPR. Eles devem primeiro ter registrado seus métodos de autenticação desejados. Quando um usuário acessa o portal SSPR, a plataforma Microsoft Entra ID considera os seguintes fatores:
- Como a página deve ser localizada?
- A conta de utilizador é válida?
- A que organização pertence o utilizador?
- Onde é gerida a palavra-passe do utilizador?
Quando um usuário seleciona o link Não é possível acessar sua conta a partir de um aplicativo ou página, ou vai diretamente para https://aka.ms/sspr, o idioma usado no portal SSPR é baseado nas seguintes opções:
- Por padrão, a localidade do navegador é usada para exibir o SSPR no idioma apropriado. A experiência de redefinição de senha é localizada nos mesmos idiomas suportados pelo Microsoft 365.
- Se você quiser vincular ao SSPR em um idioma localizado específico, anexe
?mkt=ao final da URL de redefinição de senha junto com a localidade necessária.- Por exemplo, para especificar a localidade es-us espanhola, usehttps://passwordreset.microsoftonline.com/?mkt=es-us
?mkt=es-us- .
- Por exemplo, para especificar a localidade es-us espanhola, usehttps://passwordreset.microsoftonline.com/?mkt=es-us
Depois que o portal SSPR é exibido no idioma necessário, o usuário é solicitado a inserir um ID de usuário e passar um captcha. Microsoft Entra ID agora verifica se o usuário é capaz de usar SSPR fazendo as seguintes verificações:
- Verifica se o usuário tem o SSPR habilitado.
- Se o usuário não estiver habilitado para SSPR, ele será solicitado a entrar em contato com o administrador para redefinir sua senha.
- Verifica se o usuário tem os métodos de autenticação corretos definidos em sua conta de acordo com a política de administrador.
- Se a política exigir apenas um método, verifique se o usuário tem os dados apropriados definidos para pelo menos um dos métodos de autenticação habilitados pela política de administrador.
- Se os métodos de autenticação não estiverem configurados, o usuário é aconselhado a entrar em contato com o administrador para redefinir sua senha.
- Se a política exigir dois métodos, verifique se o usuário tem os dados apropriados definidos para pelo menos dois dos métodos de autenticação habilitados pela política de administrador.
- Se os métodos de autenticação não estiverem configurados, o usuário é aconselhado a entrar em contato com o administrador para redefinir sua senha.
- Se uma função de administrador do Azure for atribuída ao usuário, a política de senha forte de duas portas será imposta. Para obter mais informações, consulte Diferenças de política de redefinição do administrador.
- Se a política exigir apenas um método, verifique se o usuário tem os dados apropriados definidos para pelo menos um dos métodos de autenticação habilitados pela política de administrador.
- Verifica se a senha do usuário é gerenciada localmente, como se o locatário do Microsoft Entra está usando autenticação federada, de passagem ou sincronização de hash de senha:
- Se o write-back SSPR estiver configurado e a senha do usuário for gerenciada localmente, o usuário terá permissão para prosseguir para autenticar e redefinir sua senha.
- Se o write-back do SSPR não for implantado e a senha do usuário for gerenciada localmente, o usuário será solicitado a entrar em contato com o administrador para redefinir sua senha.
Se todas as verificações anteriores forem concluídas com sucesso, o usuário será guiado através do processo para redefinir ou alterar sua senha.
Nota
O SSPR pode enviar notificações por e-mail aos usuários como parte do processo de redefinição de senha. Esses e-mails são enviados usando o serviço de retransmissão SMTP, que opera em modo ativo-ativo em várias regiões.
Os serviços de retransmissão SMTP recebem e processam o corpo do e-mail, mas não o armazenam. O corpo do email SSPR que pode conter informações fornecidas pelo cliente não é armazenado nos logs do serviço de retransmissão SMTP. Os logs contêm apenas metadados de protocolo.
Para começar a usar o SSPR, conclua o seguinte tutorial:
Exigir que os utilizadores se registem quando iniciam sessão
Você pode habilitar a opção para exigir que um usuário conclua o registro SSPR se ele usar autenticação moderna ou navegador da Web para entrar em qualquer aplicativo usando o Microsoft Entra ID. Esse fluxo de trabalho inclui os seguintes aplicativos:
- Microsoft 365
- Centro de administração do Microsoft Entra
- Painel de Acesso
- Aplicativos federados
- Aplicativos personalizados usando o Microsoft Entra ID
Quando você não precisa de registro, os usuários não são solicitados durante o login, mas podem se registrar manualmente. Os usuários podem visitar https://aka.ms/ssprsetup ou selecionar o link Registrar para redefinição de senha na guia Perfil no Painel de Acesso.
! [Opções de registo para SSPR no centro de administração do Microsoft Entra] [Inscrição]
Nota
Os usuários podem descartar o portal de registro SSPR selecionando cancelar ou fechando a janela. No entanto, eles são solicitados a se registrar cada vez que entrarem até concluírem o registro.
Essa interrupção para se registrar no SSPR não interrompe a conexão do usuário se ele já estiver conectado.
Reconfirmar informações de autenticação
Para garantir que os métodos de autenticação estejam corretos quando forem necessários para redefinir ou alterar a senha, você pode exigir que os usuários confirmem suas informações registradas após um determinado período de tempo. Essa opção só estará disponível se você habilitar a opção Exigir que os usuários se registrem ao entrar .
Os valores válidos para solicitar que um usuário confirme seus métodos registrados são de 0 a 730 dias. Definir esse valor como 0 significa que os usuários nunca são solicitados a confirmar suas informações de autenticação. Ao usar a experiência de registro combinada, os usuários serão obrigados a confirmar sua identidade antes de reconfirmar suas informações.
Métodos de autenticação
Quando um usuário está habilitado para SSPR, ele deve registrar pelo menos um método de autenticação. É altamente recomendável que você escolha dois ou mais métodos de autenticação para que seus usuários tenham mais flexibilidade caso não consigam acessar um método quando precisarem. Para obter mais informações, consulte O que são métodos de autenticação?.
Os seguintes métodos de autenticação estão disponíveis para SSPR:
- Notificação da aplicação móvel
- Código da aplicação móvel
- Correio Eletrónico
- Telemóvel
- Telefone do escritório (disponível apenas para inquilinos com subscrições pagas)
- Perguntas de segurança
Os usuários só podem redefinir sua senha se tiverem registrado um método de autenticação habilitado pelo administrador.
Aviso
As contas atribuídas a funções de administrador do Azure são necessárias para usar métodos conforme definido na seção Diferenças de política de redefinição de administrador.
! [Seleção de métodos de autenticação no centro de administração do Microsoft Entra] [Autenticação]
Número de métodos de autenticação necessários
Você pode configurar o número dos métodos de autenticação disponíveis que um usuário deve fornecer para redefinir ou desbloquear sua senha. Esse valor pode ser definido como um ou dois.
Os utilizadores podem, e devem, registar vários métodos de autenticação. Novamente, é altamente recomendável que os usuários registrem dois ou mais métodos de autenticação para que tenham mais flexibilidade caso não consigam acessar um método quando precisarem.
Se um usuário não tiver o número mínimo de métodos necessários registrados quando tentar usar o SSPR, ele verá uma página de erro que o direcionará a solicitar que um administrador redefina sua senha. Tenha cuidado se você aumentar o número de métodos necessários de um para dois se você tiver usuários existentes registrados para SSPR e eles não puderem usar o recurso. Para obter mais informações, consulte a seção a seguir para Alterar métodos de autenticação.
Aplicação móvel e SSPR
Ao usar um aplicativo móvel como um método para redefinição de senha, como o aplicativo Microsoft Authenticator, as seguintes considerações se aplicam se uma organização não tiver migrado para a política de métodos de autenticação centralizada:
- Quando os administradores exigem que um método seja usado para redefinir uma senha, o código de verificação é a única opção disponível.
- Quando os administradores exigem que dois métodos sejam usados para redefinir uma senha, os usuários podem usar o código de verificação OU de notificação, além de quaisquer outros métodos habilitados.
| Número de métodos necessários para a reposição | Um | Dois |
|---|---|---|
| Recursos do aplicativo móvel disponíveis | Código | Código ou notificação |
Os utilizadores podem registar a sua aplicação móvel em https://aka.ms/mfasetup, ou no registo combinado de informações de segurança em https://aka.ms/setupsecurityinfo.
Importante
Se o aplicativo Authenticator não puder ser selecionado como o único método de autenticação quando apenas um método for necessário. Da mesma forma, o aplicativo Authenticator e apenas um método adicional não podem ser selecionados ao exigir dois métodos.
Ao configurar políticas SSPR que incluem o aplicativo Authenticator como um método, pelo menos um método adicional deve ser selecionado quando um método é necessário, e pelo menos dois métodos adicionais devem ser selecionados quando a configuração de dois métodos é necessária.
Alterar métodos de autenticação
Se você começar com uma política que tem apenas um método de autenticação necessário para redefinir ou desbloquear registrado e alterar isso para dois métodos, o que acontece?
| Número de métodos registados | Número de métodos necessários | Result |
|---|---|---|
| 1 ou mais | 1 | Capaz de redefinir ou desbloquear |
| 1 | 2 | Não é possível redefinir ou desbloquear |
| 2 ou mais | 2 | Capaz de redefinir ou desbloquear |
Alterar os métodos de autenticação disponíveis também pode causar problemas para os usuários. Se você alterar os tipos de métodos de autenticação que um usuário pode usar, poderá inadvertidamente impedir que os usuários possam usar o SSPR se eles não tiverem a quantidade mínima de dados disponíveis.
Considere o seguinte cenário de exemplo:
- A política original é configurada com dois métodos de autenticação necessários. Ele usa apenas o número de telefone do escritório e as perguntas de segurança.
- O administrador altera a política para não usar mais as perguntas de segurança, mas permite o uso de um telefone celular e um e-mail alternativo.
- Os usuários sem o telefone celular ou campos de e-mail alternativos preenchidos agora não podem redefinir suas senhas.
Notifications
Para melhorar o reconhecimento de eventos de senha, o SSPR permite configurar notificações para usuários e administradores de identidade.
Notificar os utilizadores sobre reposições de palavras-passe
Se essa opção estiver definida como Sim, os usuários que redefinirem sua senha receberão um e-mail notificando-os de que sua senha foi alterada. O email é enviado através do portal SSPR para seus endereços de email principais e alternativos que são armazenados no Microsoft Entra ID. Se nenhum endereço de e-mail principal ou alternativo for definido, o SSPR tentará notificar por e-mail por meio do Nome Principal de Usuário (UPN) dos usuários. Ninguém mais é notificado sobre o evento de redefinição.
Notificar todos os administradores quando outros administradores redefinirem suas senhas
Se essa opção estiver definida como Sim, os Administradores Globais receberão um e-mail para seu endereço de email principal armazenado na ID do Microsoft Entra. O e-mail notifica que outro administrador alterou sua senha usando SSPR.
Nota
As notificações por email do serviço SSPR serão enviadas dos seguintes endereços com base na nuvem do Azure com a qual você está trabalhando:
- Público: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Azure China 21Vianet: msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure para o governo dos EUA: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Se você observar problemas no recebimento de notificações, verifique suas configurações de spam.
Se quiser que os administradores personalizados recebam os e-mails de notificação, use as personalizações do SSPR e configure um link ou email de helpdesk personalizado.
Integração no local
Se você tiver um ambiente híbrido, poderá configurar o Microsoft Entra Connect para gravar eventos de alteração de senha de volta da ID do Microsoft Entra para um diretório local.
! [A validação do write-back de senha está habilitada para o ID do Microsoft Entra para uma integração local] [Write-back]
O Microsoft Entra ID verifica sua conectividade híbrida atual e fornece uma das seguintes mensagens no centro de administração do Microsoft Entra:
- Seu cliente de write-back local está instalado e em execução.
- O Microsoft Entra ID está online e conectado ao seu cliente de write-back local. No entanto, parece que a versão instalada do Microsoft Entra Connect está desatualizada. Considere atualizar o Microsoft Entra Connect para garantir que você tenha os recursos de conectividade mais recentes e correções de bugs importantes.
- Infelizmente, não podemos verificar o status do cliente de write-back local porque a versão instalada do Microsoft Entra Connect está desatualizada. Atualize o Microsoft Entra Connect para poder verificar o estado da sua ligação.
- Infelizmente, parece que não podemos nos conectar ao seu cliente de write-back local no momento. Solucione problemas do Microsoft Entra Connect para restaurar a conexão.
- Infelizmente, não podemos nos conectar ao seu cliente de write-back local porque o write-back de senha não foi configurado corretamente. Configure o write-back de senha para restaurar a conexão.
- Infelizmente, parece que não podemos nos conectar ao seu cliente de write-back local no momento. Isso pode ser devido a problemas temporários do nosso lado. Se o problema persistir, solucione problemas do Microsoft Entra Connect para restaurar a conexão.
Para começar a usar o write-back SSPR, conclua o seguinte tutorial:
Gravar senhas de volta em seu diretório local
Você pode habilitar o write-back de senha usando o centro de administração do Microsoft Entra. Você também pode desativar temporariamente o write-back de senha sem ter que reconfigurar o Microsoft Entra Connect.
- Se a opção estiver definida como Sim, o write-back será habilitado. Usuários federados, autenticação de passagem ou sincronização de hash de senha podem redefinir suas senhas.
- Se a opção estiver definida como Não, o write-back será desativado. Usuários federados, autenticação de passagem ou sincronização de hash de senha não podem redefinir suas senhas.
Permitir que os usuários desbloqueiem contas sem redefinir sua senha
Por padrão, o Microsoft Entra ID desbloqueia contas quando executa uma redefinição de senha. Para fornecer flexibilidade, você pode optar por permitir que os usuários desbloqueiem suas contas locais sem precisar redefinir sua senha. Use essa configuração para separar essas duas operações.
- Se definido como Sim, os usuários têm a opção de redefinir sua senha e desbloquear a conta, ou desbloquear sua conta sem ter que redefinir a senha.
- Se definido como Não, os usuários só poderão executar uma operação combinada de redefinição de senha e desbloqueio de conta.
Filtros de senha do Ative Directory local
O SSPR executa o equivalente a uma redefinição de senha iniciada pelo administrador no Ative Directory. Se você usar um filtro de senha de terceiros para impor regras de senha personalizadas e precisar que esse filtro de senha seja verificado durante a redefinição de senha de autoatendimento do Microsoft Entra, verifique se a solução de filtro de senha de terceiros está configurada para ser aplicada no cenário de redefinição de senha de administrador. A proteção por senha do Microsoft Entra para Serviços de Domínio Ative Directory é suportada por padrão.
Redefinição de senha para usuários B2B
A redefinição e a alteração de senha são totalmente suportadas em todas as configurações B2B (business-to-business). A redefinição de senha de usuário B2B é suportada nos três casos a seguir:
- Usuários de uma organização parceira com um locatário existente do Microsoft Entra: se a organização com a qual você tem parceria tem um locatário existente do Microsoft Entra, respeitamos quaisquer políticas de redefinição de senha habilitadas nesse locatário. Para que a redefinição de senha funcione, a organização parceira só precisa se certificar de que o Microsoft Entra SSPR está habilitado. Não há cobrança adicional para clientes do Microsoft 365.
- Usuários que se inscrevem por meio de inscrição de autoatendimento: se a organização com a qual você tem parceria usou o recurso de inscrição de autoatendimento para entrar em um locatário, permitimos que eles redefina a senha com o e-mail que registraram.
- Usuários B2B: Todos os novos usuários B2B criados usando os novos recursos B2B do Microsoft Entra também podem redefinir suas senhas com o e-mail que registraram durante o processo de convite.
Para testar esse cenário, vá para https://passwordreset.microsoftonline.com com um desses usuários parceiros. Se eles tiverem um e-mail alternativo ou um e-mail de autenticação definido, a redefinição de senha funcionará conforme o esperado.
Nota
As contas da Microsoft às quais foi concedido acesso de convidado ao seu locatário do Microsoft Entra, como as do Hotmail.com, Outlook.com ou outros endereços de email pessoais, não podem usar o Microsoft Entra SSPR. Eles precisam redefinir a senha usando as informações encontradas no artigo Quando você não pode entrar na sua conta da Microsoft.
Próximos passos
Para começar a usar o SSPR, conclua o seguinte tutorial: