Partilhar via


Como funciona: Reposição personalizada de palavra-passe do Microsoft Entra

A redefinição de senha de autoatendimento (SSPR) do Microsoft Entra oferece aos usuários a capacidade de alterar ou redefinir sua senha, sem envolvimento de administrador ou help desk. Se a conta de um utilizador estiver bloqueada ou se se esquecer da palavra-passe, pode seguir as instruções para se desbloquear e voltar ao trabalho. Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar em seu dispositivo ou aplicativo. Recomendamos este vídeo sobre como habilitar e configurar o SSPR no Microsoft Entra ID.

Importante

Este artigo conceitual explica a um administrador como funciona a redefinição de senha de autoatendimento. Se você for um usuário final já registrado para redefinição de senha de autoatendimento e precisar voltar à sua conta, vá para https://aka.ms/sspr.

Se a sua equipa de TI não tiver ativado a capacidade de repor a sua própria palavra-passe, contacte o seu serviço de assistência para obter assistência adicional.

Como funciona o processo de redefinição de senha?

Um usuário pode redefinir ou alterar sua senha usando o portal SSPR. Eles devem primeiro registrar seus métodos de autenticação desejados. Quando um usuário acessa o portal SSPR, a plataforma Microsoft Entra considera os seguintes fatores:

  • Como a página deve ser localizada?
  • A conta de utilizador é válida?
  • A que organização pertence o utilizador?
  • Onde é gerida a palavra-passe do utilizador?

Quando um usuário seleciona o link Não é possível acessar sua conta a partir de um aplicativo ou página, ou vai diretamente para https://aka.ms/sspr, o idioma usado no portal SSPR é baseado nas seguintes opções:

  • Por padrão, a localidade do navegador é usada para exibir o SSPR no idioma apropriado. A experiência de redefinição de senha é localizada nos mesmos idiomas suportados pelo Microsoft 365.
  • Se você quiser vincular ao SSPR em um idioma localizado específico, anexe ?mkt= ao final da URL de redefinição de senha junto com a localidade necessária.

Depois que o portal SSPR é exibido no idioma necessário, o usuário é solicitado a inserir um ID de usuário e passar um captcha. Microsoft Entra ID agora verifica se o usuário é capaz de usar SSPR fazendo as seguintes verificações:

  • Verifica se o usuário tem o SSPR habilitado.
    • Se o usuário não estiver habilitado para SSPR, ele será solicitado a entrar em contato com o administrador para redefinir sua senha.
  • Verifica se o usuário tem os métodos de autenticação corretos definidos em sua conta de acordo com a política de administrador.
    • Se a política exigir apenas um método, verifique se o usuário tem os dados apropriados definidos para pelo menos um dos métodos de autenticação habilitados pela política de administrador.
      • Se os métodos de autenticação não estiverem configurados, o usuário é aconselhado a entrar em contato com o administrador para redefinir sua senha.
    • Se a política exigir dois métodos, verifique se o usuário tem os dados apropriados definidos para pelo menos dois dos métodos de autenticação habilitados pela política de administrador.
      • Se os métodos de autenticação não estiverem configurados, o usuário é aconselhado a entrar em contato com o administrador para redefinir sua senha.
    • Se uma função de administrador do Azure for atribuída ao usuário, a política de senha forte de duas portas será imposta. Para obter mais informações, consulte Diferenças de política de redefinição do administrador.
  • Verifica se a senha do usuário é gerenciada localmente, como se o locatário do Microsoft Entra está usando autenticação federada, de passagem ou sincronização de hash de senha:
    • Se o write-back SSPR estiver configurado e a senha do usuário for gerenciada localmente, o usuário terá permissão para prosseguir para autenticar e redefinir sua senha.
    • Se o write-back do SSPR não for implantado e a senha do usuário for gerenciada localmente, o usuário será solicitado a entrar em contato com o administrador para redefinir sua senha.

Se todas as verificações anteriores forem concluídas com sucesso, o usuário será guiado através do processo para redefinir ou alterar sua senha.

Nota

O SSPR pode enviar notificações por e-mail aos usuários como parte do processo de redefinição de senha. Esses e-mails são enviados usando o serviço de retransmissão SMTP, que opera em modo ativo-ativo em várias regiões.

Os serviços de retransmissão SMTP recebem e processam o corpo do e-mail, mas não o armazenam. O corpo do email SSPR que pode conter informações fornecidas pelo cliente não é armazenado nos logs do serviço de retransmissão SMTP. Os logs contêm apenas metadados de protocolo.

Para começar a usar o SSPR, conclua o seguinte tutorial:

Exigir que os utilizadores se registem quando iniciam sessão

Você pode habilitar a opção para exigir que um usuário conclua o registro SSPR se ele usar autenticação moderna ou navegador da Web para entrar em qualquer aplicativo usando o Microsoft Entra ID. Esse fluxo de trabalho inclui os seguintes aplicativos:

  • Microsoft 365
  • Centro de administração do Microsoft Entra
  • Painel de Acesso
  • Aplicativos federados
  • Aplicativos personalizados usando o Microsoft Entra ID

Quando você não precisa de registro, os usuários não são solicitados durante o login, mas podem se registrar manualmente. Os usuários podem visitar https://aka.ms/ssprsetup ou selecionar o link Registrar para redefinição de senha na guia Perfil no Painel de Acesso.

Captura de ecrã do registo de redefinição de palavra-passe para o Microsoft Entra ID.

Nota

Os usuários podem descartar o portal de registro SSPR selecionando cancelar ou fechando a janela. No entanto, eles são solicitados a se registrar cada vez que entrarem até concluírem o registro.

Essa interrupção para se registrar no SSPR não interrompe a conexão do usuário se ele já estiver conectado.

Reconfirmar informações de autenticação

Para garantir que os métodos de autenticação estejam corretos quando forem necessários para redefinir ou alterar a senha, você pode exigir que os usuários confirmem suas informações registradas após um determinado período de tempo. Essa opção só estará disponível se você habilitar a opção Exigir que os usuários se registrem ao entrar .

Os valores válidos para solicitar que um usuário confirme seus métodos registrados são de 0 a 730 dias. Definir esse valor como 0 significa que os usuários nunca são solicitados a confirmar suas informações de autenticação. Ao usar a experiência de registro combinada, os usuários serão obrigados a confirmar sua identidade antes de reconfirmar suas informações.

Métodos de autenticação

Quando um usuário está habilitado para SSPR, ele deve registrar pelo menos um método de autenticação. É altamente recomendável que você escolha dois ou mais métodos de autenticação para que seus usuários tenham mais flexibilidade caso não consigam acessar um método quando precisarem. Para obter mais informações, consulte O que são métodos de autenticação?.

Os seguintes métodos de autenticação estão disponíveis para SSPR:

  • Notificação da aplicação móvel
  • Código da aplicação móvel
  • Correio Eletrónico
  • Telemóvel
  • Telefone do escritório (disponível apenas para inquilinos com subscrições pagas)
  • Perguntas de segurança

Os usuários só podem redefinir sua senha se registrarem um método de autenticação habilitado pelo administrador.

Aviso

As contas atribuídas a funções de administrador do Azure são necessárias para usar métodos conforme definido na seção Diferenças de política de redefinição de administrador.

Captura de ecrã da política de métodos de autenticação para o Microsoft Entra ID.

Número de métodos de autenticação necessários

Você pode configurar o número dos métodos de autenticação disponíveis que um usuário deve fornecer para redefinir ou desbloquear sua senha. Esse valor pode ser definido como um ou dois.

Os usuários devem registrar vários métodos de autenticação para que possam entrar de outra maneira se não conseguirem acessar um método.

Se um usuário não registrar o número mínimo de métodos necessários, ele verá uma página de erro quando tentar usar o SSPR. Eles precisam solicitar que um administrador redefina sua senha. Para obter mais informações, consulte Alterar métodos de autenticação.

Aplicação móvel e SSPR

Ao usar um aplicativo móvel como um método para redefinição de senha, como o Microsoft Authenticator, as seguintes considerações se aplicam se uma organização não tiver migrado para a política de métodos de autenticação centralizada:

  • Quando os administradores exigem que um método seja usado para redefinir uma senha, o código de verificação é a única opção disponível.
  • Quando os administradores exigem que dois métodos sejam usados para redefinir uma senha, os usuários podem usar o código de verificação OU de notificação, além de quaisquer outros métodos habilitados.
Número de métodos necessários para a reposição Um Dois
Recursos do aplicativo móvel disponíveis Código Código ou notificação

Os utilizadores podem registar a sua aplicação móvel em https://aka.ms/mfasetup, ou no registo combinado de informações de segurança em https://aka.ms/setupsecurityinfo.

Importante

O autenticador não pode ser selecionado como o único método de autenticação quando apenas um método é necessário. Da mesma forma, Autenticador e apenas um método adicional não podem ser selecionados se você precisar de dois métodos.

Ao configurar políticas SSPR que incluem o aplicativo Authenticator como um método, pelo menos um método adicional deve ser selecionado quando um método é necessário, e pelo menos dois métodos adicionais devem ser selecionados quando a configuração de dois métodos é necessária.

Alterar métodos de autenticação

Se você começar com uma política que tem apenas um método de autenticação necessário para redefinir ou desbloquear registrado e alterar isso para dois métodos, o que acontece?

Número de métodos registados Número de métodos necessários Result
1 ou mais 1 Capaz de redefinir ou desbloquear
1 2 Não é possível redefinir ou desbloquear
2 ou mais 2 Capaz de redefinir ou desbloquear

Alterar os métodos de autenticação disponíveis também pode causar problemas para os usuários. Se você alterar quais métodos de autenticação estão disponíveis, os usuários sem a quantidade mínima de dados disponíveis não poderão usar o SSPR.

Considere o seguinte cenário de exemplo:

  1. A política original é configurada com dois métodos de autenticação necessários. Ele usa apenas o número de telefone do escritório e as perguntas de segurança.
  2. O administrador altera a política para não usar mais as perguntas de segurança, mas permite o uso de um telefone celular e um e-mail alternativo.
  3. Os usuários sem o telefone celular ou campos de e-mail alternativos preenchidos agora não podem redefinir suas senhas.

Notificações

Para melhorar o reconhecimento de eventos de senha, o SSPR permite configurar notificações para usuários e administradores de identidade.

Notificar os utilizadores sobre reposições de palavras-passe

Se essa opção estiver definida como Sim, os usuários que redefinirem sua senha receberão um e-mail notificando-os de que sua senha foi alterada. O email é enviado através do portal SSPR para seus endereços de email principais e alternativos que são armazenados no Microsoft Entra ID. Se nenhum endereço de e-mail principal ou alternativo for definido, o SSPR tentará notificar por e-mail por meio do Nome Principal de Usuário (UPN) dos usuários. Ninguém mais é notificado sobre o evento de redefinição.

Notificar todos os administradores quando outros administradores redefinirem suas senhas

Se essa opção estiver definida como Sim, os Administradores Globais receberão um e-mail para seu endereço de email principal armazenado na ID do Microsoft Entra. O e-mail notifica que outro administrador alterou sua senha usando SSPR.

Nota

As notificações por email do serviço SSPR serão enviadas dos seguintes endereços com base na nuvem do Azure com a qual você está trabalhando:

  • Público: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
  • Microsoft Azure operado pela 21Vianet (Azure na China): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
  • Azure para o governo dos EUA: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us

Se você observar problemas no recebimento de notificações, verifique suas configurações de spam.

Se quiser que os administradores personalizados recebam os e-mails de notificação, use as personalizações do SSPR e configure um link ou email de helpdesk personalizado.

Integração no local

Em um ambiente híbrido, você pode configurar a sincronização na nuvem do Microsoft Entra Connect para gravar eventos de alteração de senha de volta da ID do Microsoft Entra para um diretório local.

Captura de tela do write-back de senha habilitado para o Microsoft Entra ID para uma integração local.

O Microsoft Entra ID verifica sua conectividade híbrida atual e fornece mensagens no centro de administração do Microsoft Entra. Para obter ajuda com a resolução de possíveis erros, consulte Solucionar problemas do Microsoft Entra Connect.

Para começar a usar o write-back SSPR, conclua o seguinte tutorial:

Gravar senhas de volta em seu diretório local

Você pode habilitar o write-back de senha usando o centro de administração do Microsoft Entra. Você também pode desativar temporariamente o write-back de senha sem ter que reconfigurar o Microsoft Entra Connect.

  • Se a opção estiver definida como Sim, o write-back será habilitado. Usuários federados, autenticação de passagem ou sincronização de hash de senha podem redefinir suas senhas.
  • Se a opção estiver definida como Não, o write-back será desativado. Usuários federados, autenticação de passagem ou sincronização de hash de senha não podem redefinir suas senhas.

Permitir que os usuários desbloqueiem contas sem redefinir sua senha

Por padrão, o Microsoft Entra ID desbloqueia contas quando executa uma redefinição de senha. Para fornecer flexibilidade, você pode optar por permitir que os usuários desbloqueiem suas contas locais sem precisar redefinir sua senha. Use essa configuração para separar essas duas operações.

  • Se definido como Sim, os usuários têm a opção de redefinir sua senha e desbloquear a conta, ou desbloquear sua conta sem ter que redefinir a senha.
  • Se definido como Não, os usuários só poderão executar uma operação combinada de redefinição de senha e desbloqueio de conta.

Filtros de senha do Ative Directory local

O SSPR executa o equivalente a uma redefinição de senha iniciada pelo administrador no Ative Directory. Se você usar um filtro de senha de terceiros para impor regras de senha personalizadas e precisar que esse filtro de senha seja verificado durante a redefinição de senha de autoatendimento do Microsoft Entra, verifique se a solução de filtro de senha de terceiros está configurada para ser aplicada no cenário de redefinição de senha de administrador. A proteção por senha do Microsoft Entra para Serviços de Domínio Ative Directory é suportada por padrão.

Redefinição de senha para usuários B2B

A redefinição e a alteração de senha são totalmente suportadas em todas as configurações B2B (business-to-business). A redefinição de senha de usuário B2B é suportada nos três casos a seguir:

  • Usuários de uma organização parceira com um locatário existente do Microsoft Entra: se seu parceiro tiver um locatário do Microsoft Entra, respeitamos quaisquer políticas de redefinição de senha habilitadas nesse locatário. Para que a redefinição de senha funcione, a organização parceira só precisa se certificar de que o Microsoft Entra SSPR está habilitado. Não há outra cobrança para clientes do Microsoft 365.
  • Usuários que se inscrevem por meio de inscrição de autoatendimento: se seu parceiro usou o recurso de inscrição de autoatendimento para entrar em um locatário, permitimos que ele redefina a senha com o e-mail registrado.
  • Usuários B2B: Todos os novos usuários B2B criados usando os novos recursos B2B do Microsoft Entra também podem redefinir suas senhas com o e-mail que registraram durante o processo de convite.

Para testar esse cenário, vá para https://passwordreset.microsoftonline.com com um desses usuários parceiros. Se o usuário definiu um e-mail alternativo ou um e-mail de autenticação, a redefinição de senha funcionará conforme o esperado.

Nota

As contas da Microsoft que recebem acesso de convidado ao seu locatário do Microsoft Entra, como as do Hotmail.com, Outlook.com ou outros endereços de email pessoais, não podem usar o Microsoft Entra SSPR. Para obter mais informações, consulte Quando não consegue iniciar sessão na sua conta Microsoft.

Próximos passos

Para começar a usar o SSPR, conclua o seguinte tutorial: