A seguir estão algumas perguntas frequentes (FAQ) para todas as coisas relacionadas à redefinição de senha de autoatendimento.
Se você tiver uma pergunta geral sobre o Microsoft Entra ID e a redefinição de senha de autoatendimento (SSPR) que não foi respondida aqui, você pode pedir ajuda à comunidade na página de perguntas e respostas da Microsoft para o Microsoft Entra ID. Os membros da comunidade incluem engenheiros, gerentes de produto, MVPs e colegas profissionais de TI.
Esta FAQ está dividida nas seguintes secções:
- Perguntas sobre registro de redefinição de senha
- Perguntas sobre redefinição de senha
- Perguntas sobre alteração de senha
- Perguntas sobre relatórios de gerenciamento de senhas
- Perguntas sobre write-back de senha
Registro de redefinição de senha
Meus usuários podem registrar seus próprios dados de redefinição de senha?
Sim. Desde que a redefinição de senha esteja habilitada e eles sejam licenciados, os usuários podem acessar o portal de registro de redefinição de senha (https://aka.ms/ssprsetup) para registrar suas informações de autenticação. Os utilizadores também podem registar-se através do Painel de Acesso (https://myapps.microsoft.com). Para se registrar através do Painel de Acesso, eles precisam selecionar sua foto de perfil, selecionar Perfil e, em seguida, selecionar a opção Registrar para redefinição de senha.
Se você habilitar o registro combinado, os usuários poderão se registrar para autenticação multifator SSPR e Microsoft Entra ao mesmo tempo.
Se eu habilitar a redefinição de senha para um grupo e, em seguida, decidir habilitá-la para todos, meus usuários precisarão se registrar novamente?
Não. Os usuários que preencheram dados de autenticação não precisam se registrar novamente.
Posso definir dados de redefinição de senha em nome dos meus usuários?
Sim, você pode fazer isso com o Microsoft Entra Connect, o PowerShell, o centro de administração do Microsoft Entra ou o centro de administração do Microsoft 365. Para obter mais informações, consulte Dados usados pela redefinição de senha de autoatendimento do Microsoft Entra.
Posso sincronizar dados para perguntas de segurança no local?
Não, isso não é possível hoje.
Os meus utilizadores podem registar dados de tal forma que outros utilizadores não possam ver esses dados?
Sim. Quando os usuários registram dados usando o portal de registro de redefinição de senha, os dados são salvos em campos de autenticação privada que são visíveis apenas para Administradores de Autenticação Privilegiada e o usuário.
Os meus utilizadores têm de estar registados antes de poderem utilizar a reposição de palavra-passe?
Não. Se você definir informações de autenticação suficientes em seu nome, os usuários não precisarão se registrar. A redefinição de senha funciona desde que você tenha formatado corretamente os dados armazenados nos campos apropriados no diretório.
Posso sincronizar ou definir os campos telefone de autenticação, e-mail de autenticação ou telefone de autenticação alternativo em nome dos meus usuários?
Os campos que podem ser definidos por um Administrador de Autenticação Privilegiada são definidos no artigo Requisitos de dados SSPR.
Como é que o portal de registo determina quais as opções a mostrar aos meus utilizadores?
O portal de registro de redefinição de senha mostra apenas as opções que você habilitou para seus usuários. Essas opções são encontradas na seção Política de redefinição de senha do usuário da guia Configurar do diretório. Por exemplo, se você não habilitar as perguntas de segurança, os usuários não poderão se registrar para essa opção.
Quando é que um utilizador é considerado registado?
Um usuário é considerado registrado para SSPR quando ele registrou pelo menos o número de métodos necessários para redefinir uma senha que você definiu no centro de administração do Microsoft Entra.
Redefinição de senha
Você impede que os usuários tentem várias vezes redefinir uma senha em um curto período de tempo?
Sim, existem recursos de segurança incorporados na redefinição de senha para protegê-la de uso indevido.
Os usuários podem tentar validar suas informações (como o número de telefone), mas se não conseguirem provar sua identidade cinco vezes em um período de 24 horas, serão bloqueados por 24 horas.
Os usuários podem tentar validar um número de telefone, autenticar um aplicativo, enviar uma mensagem de texto ou validar perguntas e respostas de segurança apenas cinco vezes dentro de uma hora antes de serem bloqueados por 24 horas.
Os usuários podem enviar um e-mail no máximo 10 vezes dentro de um período de 10 minutos antes de serem bloqueados por 24 horas.
Os contadores são redefinidos assim que um usuário redefine sua senha.
Quanto tempo devo esperar para receber um e-mail, mensagem de texto ou telefonema da redefinição de senha?
E-mails, mensagens de texto e telefonemas devem chegar em menos de um minuto. O caso normal é de 5 a 20 segundos. Se não receber a notificação neste período:
- Verifique sua pasta de lixo.
- Verifique se o número ou e-mail que está a ser contactado é o que espera.
- Verifique se os dados de autenticação no diretório estão formatados corretamente, por exemplo, +1 4255551234 ou user@contoso.com.
Quais idiomas são suportados pela redefinição de senha?
A interface do usuário de redefinição de senha, mensagens de texto e chamadas de voz são localizadas nos mesmos idiomas suportados no Microsoft 365.
Que partes da experiência de redefinição de senha são marcadas quando defino os itens de identidade visual organizacional na guia configurar do meu diretório?
O portal de redefinição de senha mostra o logotipo da sua organização e permite que você configure o link "Entre em contato com o administrador" para apontar para um e-mail ou URL personalizado. Qualquer e-mail enviado por redefinição de senha inclui o logotipo, as cores e o nome da sua organização no corpo do e-mail e é personalizado a partir das configurações desse nome específico.
Como posso educar meus usuários sobre onde ir para redefinir suas senhas?
Experimente algumas das sugestões em nosso artigo de implantação do SSPR.
Posso utilizar esta página a partir de um dispositivo móvel?
Sim, esta página funciona em dispositivos móveis.
Você suporta o desbloqueio de contas locais do Ative Directory quando os usuários redefinem suas senhas?
Sim. Quando um usuário redefine sua senha, se o write-back de senha tiver sido implantado por meio do Microsoft Entra Connect, a conta desse usuário será desbloqueada automaticamente quando ele redefinir sua senha.
Como posso integrar a redefinição de senha diretamente na experiência de login na área de trabalho do meu usuário?
Se você for um cliente Microsoft Entra ID P1 ou P2, poderá instalar o Microsoft Identity Manager sem custo adicional e implantar a solução de redefinição de senha local.
Posso definir perguntas de segurança diferentes para diferentes localidades?
Não, isso não é possível hoje.
Quantas perguntas posso configurar para a opção de autenticação de perguntas de segurança?
Você pode configurar até 20 perguntas de segurança personalizadas no centro de administração do Microsoft Entra.
Quanto tempo podem durar as perguntas de segurança?
As perguntas de segurança podem ter de 3 a 200 caracteres.
Quanto tempo podem durar as respostas às perguntas de segurança?
As respostas podem ter de 3 a 40 caracteres.
As respostas duplicadas a perguntas de segurança são rejeitadas?
Sim, rejeitamos respostas duplicadas a perguntas de segurança.
Um usuário pode registrar a mesma pergunta de segurança mais de uma vez?
Não. Depois que um usuário registra uma pergunta específica, ele não pode se registrar para essa pergunta uma segunda vez.
É possível estabelecer um limite mínimo de questões de segurança para registo e reposição?
Sim, pode ser definido um limite para o registo e outro para a reposição. Podem ser necessárias três a cinco perguntas de segurança para o registo e três a cinco perguntas para a reposição.
Eu configurei minha política para exigir que os usuários usem perguntas de segurança para redefinição, mas os administradores do Azure parecem estar configurados de forma diferente.**
Este é o comportamento esperado. A Microsoft impõe uma política de redefinição de senha de duas portas padrão forte para qualquer função de administrador do Azure. Isso impede que os administradores usem perguntas de segurança. Você pode encontrar mais informações sobre essa política no artigo Políticas e restrições de senha no Microsoft Entra ID .
Se um usuário registrou mais do que o número máximo de perguntas necessárias para redefinir, como as perguntas de segurança são selecionadas durante a redefinição?
N número de perguntas de segurança são selecionadas aleatoriamente do número total de perguntas para as quais um usuário se registrou, onde N é a quantidade definida para a opção Número de perguntas necessárias para redefinir . Por exemplo, se um usuário registrou cinco perguntas de segurança, mas apenas três são necessárias para redefinir uma senha, três das cinco perguntas são selecionadas aleatoriamente e são apresentadas na redefinição. Para evitar o martelo de perguntas, se o usuário errar as respostas às perguntas, o processo de seleção recomeça.
Por quanto tempo as senhas únicas de e-mail e mensagem de texto são válidas?
O tempo de vida da sessão para redefinição de senha é de 15 minutos. A partir do início da operação de redefinição de senha, o usuário tem 15 minutos para redefinir sua senha. As senhas de uso único são válidas por 5 minutos durante a sessão de redefinição de senha.
Posso impedir que os utilizadores reponham a palavra-passe?
Sim, se você usar um grupo para habilitar o SSPR, poderá remover um usuário individual do grupo que permite que os usuários redefina sua senha. Se o usuário for um Administrador de Autenticação Privilegiada, ele poderá redefinir sua senha e isso não poderá ser desabilitado.
Alteração de palavra-passe
Onde meus usuários devem ir para alterar suas senhas?
Os utilizadores podem alterar as respetivas palavras-passe onde quer que vejam a respetiva imagem de perfil ou ícone, como no canto superior direito do portal do Office 365 ou das experiências do Painel de Acesso. Os usuários podem alterar suas senhas na página Perfil do Painel de Acesso. Os usuários também podem ser solicitados a alterar suas senhas automaticamente na página de entrada do Microsoft Entra se suas senhas tiverem expirado. Finalmente, os usuários podem navegar diretamente para o portal de alteração de senha do Microsoft Entra se quiserem alterar suas senhas.
Os meus utilizadores podem ser notificados no portal do Office quando a palavra-passe no local expirar?
Sim, isso é possível hoje se você usar os Serviços de Federação do Ative Directory (AD FS). Se utilizar o AD FS, siga as instruções no artigo Enviar declarações de política de palavra-passe com o AD FS . Se você usar a sincronização de hash de senha, isso não é possível hoje. Não sincronizamos políticas de senha de diretórios locais, portanto, não é possível postar notificações de expiração em experiências na nuvem. Em ambos os casos, também é possível notificar os usuários cujas senhas estão prestes a expirar por meio do PowerShell.
Posso impedir que os utilizadores alterem a palavra-passe?
Para utilizadores apenas na nuvem, as alterações de palavra-passe não podem ser bloqueadas. Para usuários locais, você pode definir a opção Usuário não pode alterar a senha como selecionada. Os usuários selecionados não podem alterar sua senha.
Relatórios de gerenciamento de senhas
Quanto tempo demora para os dados aparecerem nos relatórios de gerenciamento de senhas?
Os dados devem aparecer nos relatórios de gerenciamento de senhas em 5 a 10 minutos. Em alguns casos, pode levar até uma hora para aparecer.
Como posso filtrar os relatórios de gestão de palavras-passe?
Para filtrar os relatórios de gerenciamento de senhas, selecione a pequena lupa à extrema direita dos rótulos das colunas, perto da parte superior do relatório. Se quiser fazer uma filtragem mais avançada, pode transferir o relatório para o Excel e criar uma tabela dinâmica.
Qual é o número máximo de eventos armazenados nos relatórios de gerenciamento de senhas?
Até 75.000 eventos de registro de redefinição de senha ou redefinição de senha são armazenados nos relatórios de gerenciamento de senha, abrangendo até 30 dias. Estamos trabalhando para ampliar esse número para incluir mais eventos.
Até onde vão os relatórios de gerenciamento de senhas?
Os relatórios de gerenciamento de senhas mostram operações que ocorreram nos últimos 30 dias. Por enquanto, se você precisar arquivar esses dados, você pode baixar os relatórios periodicamente e salvá-los em um local separado.
Existe um número máximo de linhas que podem aparecer nos relatórios de gerenciamento de senhas?
Sim. Um máximo de 75.000 linhas podem aparecer em qualquer um dos relatórios de gerenciamento de senhas, sejam elas mostradas na interface do usuário ou baixadas.
Existe uma API para acessar os dados de redefinição de senha ou relatório de registro?
Sim, você pode obter essas informações do relatório de atividade de métodos de autenticação ou da API para obter a atividade de redefinição de senha. Você também pode usar a API de logs de auditoria e filtrar por eventos SSPR.
Write-back de senha
Como funciona o write-back de senha nos bastidores?
Consulte o artigo Como funciona o write-back de senha para obter uma explicação do que acontece quando você habilita o write-back de senha e como os dados fluem pelo sistema de volta para seu ambiente local.
Quanto tempo demora o write-back de senha para funcionar? Existe um atraso de sincronização como existe com a sincronização de hash de senha?
O write-back da senha é instantâneo. É um pipeline síncrono que funciona fundamentalmente de forma diferente da sincronização de hash de senha. O write-back de senha permite que os usuários obtenham feedback em tempo real sobre o sucesso de sua operação de redefinição ou alteração de senha. O tempo médio para um write-back bem-sucedido de uma senha é inferior a 500 ms.
Se a minha conta no local estiver desativada, como é que a minha conta na nuvem e o meu acesso são afetados?
Se o ID local estiver desativado, o ID e o acesso à nuvem também serão desativados no próximo intervalo de sincronização por meio do Microsoft Entra Connect. Por padrão, essa sincronização é feita a cada 30 minutos.
Se minha conta local estiver restrita por uma política de senha do Ative Directory local, o SSPR obedecerá a essa política quando eu alterar minha senha?
Sim, o SSPR depende e respeita a política de senha do Ative Directory local. Esta política inclui a típica política de palavra-passe de domínio do Ative Directory, bem como quaisquer políticas de palavra-passe definidas e refinadas destinadas a um utilizador.
Para que tipos de contas funciona o write-back de senha?
O write-back de senha funciona para contas de usuário que são sincronizadas do Ative Directory local para o Microsoft Entra ID, incluindo federado, hash de senha sincronizado e Usuários de Autenticação de Passagem.
O write-back de senha impõe as políticas de senha do meu domínio?
Sim. O write-back de senha impõe a idade, o histórico, a complexidade, os filtros e qualquer outra restrição que você possa colocar em vigor nas senhas em seu domínio local.
O write-back de senha é seguro? Como posso ter certeza de que não serei hackeado?
Sim, o write-back de senha é seguro. Para ler mais sobre as várias camadas de segurança implementadas pelo serviço de write-back de senha, confira a seção Segurança de write-back de senha no artigo Visão geral de write-back de senha.
Próximos passos
- Como concluo uma implementação bem-sucedida do SSPR?
- Repor ou alterar a palavra-passe
- Registre-se para redefinir a senha de autoatendimento
- Tem alguma questão sobre licenciamento?
- Quais dados são usados pelo SSPR e quais dados você deve preencher para seus usuários?
- Que métodos de autenticação estão disponíveis para os utilizadores?
- Quais são as opções de política com SSPR?
- O que é write-back de senha e por que me importo com isso?
- Como faço para relatar a atividade na SSPR?
- Quais são todas as opções na SSPR e o que elas significam?
- Acho que algo está quebrado. Como solucionar problemas de SSPR?