Self-Service opções de implementação de Reposição de Palavra-passe

Importante

Em setembro de 2022, a Microsoft anunciou a descontinuação do Servidor Multi-Factor Authentication do Azure. A partir de 30 de setembro de 2024, as implementações do Servidor Multi-Factor Authentication do Azure deixarão de servir pedidos de autenticação multifator (MFA). Os clientes do Servidor Multi-Factor Authentication do Azure devem planear mudar para, em vez disso, utilizar fornecedores de MFA personalizados com a SSPR do MIM ou Microsoft Entra SSPR em vez da SSPR do MIM.

Para novos clientes licenciados para Microsoft Entra ID P1 ou P2, recomendamos que utilize Microsoft Entra reposição personalizada de palavra-passe para proporcionar a experiência de utilizador final. Microsoft Entra reposição personalizada de palavra-passe fornece uma experiência baseada na Web e integrada no Windows para um utilizador repor a sua própria palavra-passe e suporta muitas das mesmas capacidades que o MIM, incluindo e-mail alternativo e portas Q&A. Ao implementar Microsoft Entra reposição personalizada de palavra-passe, pode configurar Microsoft Entra Ligar para voltar a escrever as novas palavras-passe no AD DS e o Serviço de Notificação de Alteração de Palavra-passe do MIM pode ser utilizado para reencaminhar as palavras-passe para outros sistemas, como o servidor de diretórios de outro fornecedor. A implementação do MIM para gestão de palavras-passe não requer que o Serviço MIM ou os portais de registo ou reposição personalizada de palavra-passe do MIM sejam implementados. Em vez disso, pode seguir estes passos:

• Primeiro, se precisar de enviar palavras-passe para diretórios que não Microsoft Entra ID e AD DS, implemente a Sincronização do MIM com conectores para Active Directory Domain Services e quaisquer sistemas de destino adicionais, configure o MIM para gestão de palavras-passe e implemente o Serviço de Notificação de Alteração de Palavra-passe.
• Em seguida, se precisar de enviar palavras-passe para diretórios que não Microsoft Entra ID, configure Microsoft Entra Ligar para voltar a escrever as novas palavras-passe no AD DS.
• Opcionalmente, registe previamente os utilizadores.
• Por fim, implemente Microsoft Entra reposição personalizada de palavra-passe para os utilizadores finais.

Para clientes existentes que já tinham implementado o Forefront Identity Manager (FIM) para reposição personalizada de palavra-passe e que tenham licença para Microsoft Entra ID P1 ou P2, recomendamos que planeiem a transição para Microsoft Entra reposição personalizada de palavra-passe. Pode fazer a transição dos utilizadores finais para Microsoft Entra reposição personalizada de palavra-passe sem precisar que estes se registem novamente ao sincronizar ou definir através do PowerShell o endereço de e-mail alternativo ou o número de telemóvel de um utilizador. Depois de os utilizadores estarem registados para Microsoft Entra reposição personalizada de palavra-passe, o portal de reposição de palavra-passe do FIM pode ser desativado.

Para os clientes, que ainda não implementaram Microsoft Entra reposição personalizada de palavra-passe para os seus utilizadores, o MIM também fornece portais de reposição personalizada de palavras-passe. Em comparação com o FIM, o MIM 2016 inclui as seguintes alterações:

• O mim Self-Service portal de Reposição de Palavras-passe e o ecrã de início de sessão do Windows permitem que os utilizadores desbloqueiem as suas contas sem alterarem as palavras-passe.

• Foi adicionada uma nova porta de autenticação, Phone Gate, ao MIM. Isto permite a autenticação do utilizador através de uma chamada telefónica através do Serviço de autenticação multifator Microsoft Entra.

A versão do MIM 2016 compila até à versão 4.5.26.0 confiada ao cliente para transferir um SDK que foi preterido e as implementações existentes devem passar para a utilização da SSPR do MIM com um fornecedor de MFA personalizado ou Microsoft Entra reposição personalizada de palavra-passe. As novas implementações devem utilizar um fornecedor de MFA personalizado ou Microsoft Entra reposição personalizada de palavra-passe.

Implementar o MIM Self-Service Portal de Reposição de Palavras-passe com um fornecedor personalizado para autenticação multifator

A secção seguinte descreve como implementar o portal de reposição personalizada de palavra-passe do MIM, utilizando um fornecedor para autenticação multifator. Estes passos só são necessários para os clientes que não estão a utilizar Microsoft Entra reposição personalizada de palavra-passe para os seus utilizadores.

Com a MFA, os utilizadores autenticam-se através do fornecedor externo para verificar a respetiva identidade enquanto tentam recuperar o acesso à conta e aos recursos. Pode efetuar a autenticação por SMS ou através de uma chamada telefónica. Quanto mais forte for a autenticação, maior será a segurança de que a pessoa que tenta obter acesso é, de facto, o utilizador verdadeiro ao qual pertence a identidade. Uma vez autenticado, o utilizador pode escolher uma nova palavra-passe para substituir a antiga.

Pré-requisitos para configurar o desbloqueio personalizado da conta e a reposição de palavra-passe através do MFA

Esta secção pressupõe que transferiu e concluiu a implementação do Microsoft Identity Manager componentes da Sincronização do MIM de 2016, do Serviço MIM e do Portal do MIM, incluindo os seguintes componentes e serviços:

• Foi configurado um Windows Server 2008 R2 ou posterior como um servidor do Active Directory, incluindo os Serviços de Domínio do AD e o Controlador de Domínio com um domínio designado (um domínio “empresarial”)

• Uma Política de Grupo está definida para o Bloqueio da conta

• O Serviço de Sincronização do MIM 2016 (Sincronização) está instalado e em execução num servidor que está associado ao domínio do AD

• O Portal de & de Serviços do MIM 2016, incluindo o Portal de Registo SSPR e o Portal de Reposição SSPR, estão instalados e em execução num servidor (pode estar co-localizado com a Sincronização)

• A Sincronização do MIM está configurada para a sincronização de identidade AD-MIM, incluindo:

  • Configuração do Agente de Gestão do Active Directory (ADMA) para conetividade ao AD DS e capacidade para importar dados de identidade do Active Directory e respetiva exportação.

  • Configuração do Agente de Gestão do MIM (MIM MA) para conetividade à Base de Dados do Serviço FIM e capacidade para importar dados de identidade da base de dados do FIM e respetiva exportação.

  • Configuração das Regras de Sincronização no Portal do MIM para permitir a sincronização dos dados do utilizador e facilitar as atividades baseadas na sincronização no Serviço MIM.

• Os Suplementos do MIM 2016 & Extensões, incluindo o cliente integrado SSPR Windows Login, são implementados no servidor ou num computador cliente separado.

Se estiver a utilizar Microsoft Entra autenticação multifator, este cenário requer que tenha CALs do MIM para os seus utilizadores, bem como uma subscrição para Microsoft Entra autenticação multifator.

Preparar o MIM para trabalhar com a MFA

Configure a Sincronização do MIM para Suportar a Reposição de Palavra-passe e a Funcionalidade de Desbloqueio de Conta. Para obter mais informações, consulte Instalar Suplementos e Extensões do FIM, Instalar SSPR do FIM, Portas de Autenticação da SSPR e o Guia do Laboratório de Teste da SSPR

Configurar a Porta de telefone ou a Porta de SMS para Palavra-passe Monouso

1. Inicie o Internet Explorer e navegue para o Portal do MIM, autenticando-se como administrador do MIM e, em seguida, clique em Fluxos de trabalho na barra de navegação do lado esquerdo.

   

2. Selecione Fluxo de Trabalho de AuthN de Reposição de Palavra-passe.

   

3. Clique no separador Atividades e desloque ecrã para baixo até Adicionar Atividade.

4. Selecione Portão do Telefone ou Porta SMS de Palavra-passe única, clique em Selecionar e, em seguida, OK.

   Nota

   Se utilizar outro fornecedor que gere a palavra-passe única, certifique-se de que o campo de comprimento configurado acima tem o mesmo comprimento que o gerado pelo fornecedor de MFA. Este comprimento tem de ser 6 para o Servidor Multi-Factor Authentication do Azure. O Servidor Multi-Factor Authentication do Azure também gera o seu próprio texto de mensagem para que a mensagem sms seja ignorada.

Os utilizadores na sua organização podem agora registar-se para a reposição de palavra-passe. Durante este processo, deverão introduzir o respetivo número de telefone do trabalho ou do telemóvel para que o sistema possa contactá-los (ou enviar mensagens SMS).

Registar utilizadores para a reposição de palavra-passe

1. Um utilizador iniciará um browser e navegará para o Portal de Registo de Reposição de Palavras-passe do MIM. (Geralmente, este portal será configurado com a autenticação do Windows.) No portal, os utilizadores deverão fornecer o nome de utilizador e a palavra-passe novamente para confirmar a identidade.

   Têm de aceder ao Portal de Registo de Palavra-passe e efetuar a autenticação através do respetivo nome de utilizador e palavra-passe.

2. No campo Número de Telefone ou Telemóvel , têm de introduzir um código de país,um espaço e o número de telefone e clicar em Seguinte.

   

   

Como é que funciona para os seus utilizadores?

Agora que está tudo configurado e em execução, deve querer saber o que os seus utilizadores terão de fazer quando repõem as palavras-passe antes das férias e, quando regressam, não conseguem lembrar-se delas.

Existem duas formas através das quais um utilizador pode utilizar a funcionalidade de desbloqueio da conta e de reposição de palavra-passe: a partir do ecrã de início de sessão do Windows ou do Portal Self-Service.

Ao instalar os Suplementos e as Extensões do MIM num computador associado a um domínio ligado através da rede organizacional ao Serviço MIM, os utilizadores podem recuperar uma palavra-passe esquecida na experiência de início de sessão do ambiente de trabalho. Os seguintes passos guiá-lo-ão através do processo.

Reposição de palavra-passe integrada do início de sessão do ambiente de trabalho do Windows

1. Se o utilizador introduzir a palavra-passe errada várias vezes, no ecrã de início de sessão, terá a opção de clicar em Problemas ao iniciar sessão? .

   

   Ao clicar nesta ligação, o utilizador é reencaminhado para o ecrã Reposição de Palavra-passe do MIM, onde pode alterar a palavra-passe ou desbloquear a conta.

   

2. O utilizador será direcionado para a autenticação. Se o MFA tiver sido configurado, o utilizador irá receber uma chamada telefónica.

3. Em segundo plano, o que está a acontecer é que o fornecedor de MFA efetua uma chamada telefónica para o número que o utilizador deu quando esse utilizador se inscreveu no serviço.

4. Quando um utilizador atende o telefone, poderá ser-lhe pedido que interaja, por exemplo, para premir a tecla libra # no telemóvel. Em seguida, o utilizador clica em Seguinte no portal.

   Se também configurar outras portas, será pedido ao utilizador que forneça mais informações em ecrãs subsequentes.

   Nota

   Se o utilizador for impaciente e clicar em Seguinte antes de premir a tecla cardinal #, a autenticação falha.

5. Após a autenticação com êxito, o utilizador terá duas opções: desbloquear a conta e manter a palavra-passe atual ou definir uma nova.

6. Em seguida, o utilizador tem de introduzir uma nova palavra-passe duas vezes e a palavra-passe é reposta.

Aceder a partir do Portal Self-Service

1. Os utilizadores podem abrir um browser, navegar até ao Portal de Reposição de Palavra-passe, introduzir o respetivo nome de utilizador e clicar em Seguinte.

   Se o MFA tiver sido configurado, o utilizador irá receber uma chamada telefónica. Em segundo plano, o que está a acontecer é que Microsoft Entra autenticação multifator e, em seguida, coloca uma chamada telefónica para o número que o utilizador deu quando se inscreveu no serviço.

   Quando um utilizador atender o telemóvel, ser-lhe-á pedido que prima a tecla cardinal # no telemóvel. Em seguida, o utilizador clica em Seguinte no portal.

2. Se também configurar outras portas, será pedido ao utilizador que forneça mais informações em ecrãs subsequentes.

   Nota

   Se o utilizador for impaciente e clicar em Seguinte antes de premir a tecla cardinal #, a autenticação falha.

3. O utilizador terá de escolher se pretende repor a palavra-passe ou desbloquear a conta. Se optarem por desbloquear a conta, a conta será desbloqueada.

   

4. Após a autenticação bem-sucedida, ser-lhe-ão dadas duas opções para manter a palavra-passe atual ou para definir uma nova palavra-passe.

5. 

6. Se o utilizador escolher repor a palavra-passe, terá de escrever uma nova palavra-passe duas vezes e clicar em Seguinte para alterar a palavra-passe.